ACL(access control list)訪問控制列表(今天所講爲三層ACL)
【作用】 控制數據的訪問 互通
【實現】
1 定義規則
2 定義動作
permit 允許
deny 拒絕【分類】 標準ACL 僅僅關注源IP地址
擴展ACL 關注源IP和目標IP 還可以關注IP頭部後面的內容
【表示】
ID 即通過不同的數字 表示不同的ACL
名字 便於人們對ACL 的配置與管理
配置
創建ACL
access-list (ID) permit /deny x.x.x.x wildcard-bits
ID的範圍1-99標準ACL
ID範圍 100-199表示擴展 ACL
x.x.x.x 表示的是一個IP 網絡範圍 或者一個ip地址
wildcard-bits 通配符
#0和1是交叉出現的
通配符中的0表示的是匹配的位
通配符中的1表示的是不匹配的位
通配符中 只關心0所表示的匹配的位
例如 access-list 1 permit 192.168.1.0 0.0.0.255
1 首先分析ACL的類型
2 其次分析ACL的匹配條件
首先分析通配符 關注通配符中0所對應的IP地址中的位
提取源IP地址中 與通配符0所對應的位
將提取出的位與ACL中的條件進行比對
如果相同則匹配成功 執行動作
如果不同 則匹配失敗 繼續尋找下一條目 /下一匹配條件
3 最後確認 處理動作
permit 允許
deny 拒絕
在沒有正式調用之前 permit和deny 沒有實際意義
調用ACL
確定在正確的設備上
確定在正確的端口上
確定在正確的方向上
interface fa0/1
ip access-group 1 in
驗證與測試
sw#show ip access-lists 驗證和查看設備上的ACL信息
pc>ping 192.168.1.254
show ip interface fa 0/0 查看端口上的ACL信息 【注意】任何一個ACL後面 都有一個隱含的 deny any
當一個ACL中有多個條目時 對每個條件匹配時 是按照序列號從小到大 依次進行檢查 匹配的
標準ACL應該調用在距離目標近的位值
擴展ACL應該調用在距離源近的位置
access-list 1 deny 192.168.1.1 0.0.0.0
access-list 1 permit any
工作中常用的ACL 配置方式 【命名的ACL】
GW(config)#ip access-list standard Deny-Ping
GW(config-std-nacl)#10 deny 192.168.1.2 0.0.0.0 /10 deny host 192.168.1.1
GW(config-std-nacl)#20 permit any
GW(config-std-nacl)#exit
調用ACL
GW(config) interface fas0/0
GW(config-if)# ip access-group Deny-Ping in
爲了匹配更加精確的流量 我們使用【擴展ACL】
創建ACL
ip access-list extended notping
10 deny icmp host192.168.1.1 host 192.168.1.254
20 permit ip any any
調用ACL
interface gi0/0
ip access-group notping in
驗證 ping
show ip access-list
show ip inter gi0/0