標準ACL、擴展ACL和命名ACL的理論和配置實例

時間：2015-03-05 07:00:07      閱讀：123      評論：0      收藏：0      [點我收藏+]

標簽：訪問控制列表   標準acl   擴展acl   命名acl   原理和配置   

理論部分

標準訪問控制列表的配置：

R1(config)#access-list access-list-number ｛permit丨deny｝ source ｛source wildcard｝

access-list-number：訪問控制列表表號

permit丨deny：滿足測試條件，則拒絕/允許通過流量

Source：數(shù)據(jù)包的源地址，可以是主機地址或網(wǎng)絡(luò)地址

｛source wildcard｝：通配符掩碼，也叫做反碼。在用二進制數(shù)0和1表示時，如果為1表明這一位不需要匹配，如果為0表明這一位需要嚴格匹配

擴展訪問控制列表的配置：

創(chuàng)建ACL命令語法如下：

R1(config)#access-list access-list-number ｛permit丨deny｝protocol ｛source source-wildcard destination destination-wildcard｝｛operator operan｝對命令參數(shù)的詳細說明如下：

access-list-number：訪問控制列表的表號，對于擴展ACL是100~199

｛permit丨deny｝：當滿足條件，則允許或拒絕該流量通過

Protocol：用來指定協(xié)議類型，如IP、TCP、UDP、ICMP等

source source-wildcard：源地址和源反碼

destination destination-wildcard：目的地址和目的反碼

｛operator operan｝：ls（小于）、gt（大于）、eq（等于）或neq（不等于）一個端口號

命名訪問控制列表的配置：

創(chuàng)建ACL的語法命令如下：

R1(config)#ip access-list ｛standard丨extended｝access-list-name

其中access-list-name是ACL的名字，應(yīng)具有實際意義

｛standard丨extended｝選擇標準ACL或可擴展的ACL

分析在哪個接口應(yīng)用標準ACL

路由器對入站接口是先檢查訪問控制列表，對允許的數(shù)據(jù)包才檢查路由表。而對于外出的數(shù)據(jù)包先查詢路由表，確定目標端口后才查看出站的訪問控制列表。所以應(yīng)該盡量應(yīng)用在入站接口，因為效率更高

靠控制方最近的方向是in方向，離受限制方最近的端口

如果作為服務(wù)器要限制某個IP訪問時應(yīng)該應(yīng)用在out方向 

標準ACL、擴展ACL和命名ACL綜合試驗案例

首先搭建拓撲結(jié)構(gòu)，規(guī)劃IP地址，連接拓撲線路PC機全部使用的是添加網(wǎng)卡

使用軟件GNS3下載地址：http://down.51cto.com/data/991235

先配置簡單的最后配置復(fù)雜的，下面是路由交換的詳細配置

R1上面的配置

Loopback接口地址123.0.1.1/24 模擬外網(wǎng)地址

下面是標準ACL語句配置，實現(xiàn)網(wǎng)絡(luò)192.168.2.0網(wǎng)段允許通過telnet登錄。并配置本地登錄的屬性。然后應(yīng)用ACL到VTY遠程登錄配置。還有進入特權(quán)模式的密碼。

W3上面的配置

首先配置一個管理IP地址，并創(chuàng)建一個VTP域用于共享vlan信息。

創(chuàng)建標準ACL語句，表示允許192.168.2.0網(wǎng)段telnet遠程

SW2上面的配置

配置接口trunk模式、封裝類型并創(chuàng)建一個VTP域

把端口加入到相應(yīng)的vlan，配置管理IP地址和默認網(wǎng)關(guān)，這樣在不是直連的PC機（也就是網(wǎng)關(guān)機）上面就可以遠程登錄進行管理了

SW1上面的配置

首先配置trunk模式，選擇封裝類型。配置各個vlan的管理IP地址。

創(chuàng)建VTP域，配置為服務(wù)模式。

上面創(chuàng)建了一條標準的ACL語句用于遠程telnet管理交換機

下面創(chuàng)建的是為服務(wù)器C4創(chuàng)建的訪問和限制的各種信息。并應(yīng)用在了路由器的out接口上。

為C3機創(chuàng)建擴展ACL語句，并應(yīng)用在VLAN3的in接口上

為C2機創(chuàng)建擴展ACL語句，并應(yīng)用在vlan4的in接口上

最后在進行集體查看ACL語句

結(jié)果驗證：由于本次實驗沒有用宿主機和虛擬機。

   后面又做了一個實驗。真機實驗結(jié)果請看：

配置ACL語句使用宿主機訪問虛擬機

本文出自 “朕的天下” 博客，請務(wù)必保留此出處http://zhang2015.blog.51cto.com/9735109/1617339

標準ACL、擴展ACL和命名ACL的理論和配置實例

本站僅提供存儲服務(wù)，所有內(nèi)容均由用戶發(fā)布，如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請點擊舉報。