大家在談到路由器ACL的時候,首先想到的是標準ACL和擴展ACL,其實還有鮮爲人知的命名訪問ACL。本文主要目的是想介紹命名訪問控制列表配置。
訪問列表類型:
標準的訪問控制列表-(基於IP的編號範圍1-99,基於IPX的編號範圍800-899)檢查源地址,通常允許、拒絕完整的協議
擴展的訪問控制列表-(基於IP的編號範圍100-199,基於IPX的訪問控制列表範圍900-999),檢查源地址和目的地址,具體的TCP/IP協議和目的端口號,通常允許、拒絕的是某個特定的協議
SAP(基於IPX的編號1000-1099)。其它訪問列表範圍表示不同協議的訪問列表。
進方向和出方向分別用in和out表示。
************************************************
* 標準的訪問控制列表舉例 *
************************************************
前提(先進入全局配置模式下)
access–list 11 deny/permit 192.168.1.12 0.0.0.255
######192.168.1.12爲源地址;0.0.0.255爲192.168.1.12 的反掩碼;;11爲標準的訪問控制列表的編號。
i p access–group 11 in/out //前提(先進入接口配置模式下)
###### in爲進方向,out爲出方向,缺省下爲出方向 。11爲上面做訪問控制列表時用的編號。
做完這兩步,一個完整的訪問控制列表算完成了。缺省下的反掩碼爲0.0.0.0
用no access–list 11 命令刪除訪問控制列表,屬於這個編號下的訪問控制列表全部刪除(先進入全局模式下);
用no ip access–group 11 命令在端口上刪除訪問控制列表(先進入接口模式下)。
***************************************************
* 擴展的訪問控制列表的配置 *
***************************************************
前提(先進入全局配置模式下)
access–list 101 deny/permit tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 80
######意思是--拒絕/允許172.16.4.0這個網絡遠程登陸到172.16.3.0這個網絡。
access–list 101 permit ip any any
######訪問控制列表的意思的允許所有。
######(擴展訪問列表允許所有時,後面要用兩個any ;標準訪問控制列表在允許所有的時候,後面是一個any。)
######101爲編號; tcp爲協議號 ; 172.16.4.0 0.0.0.255爲源地址;172.16.3.0 0.0.0.255 爲目的地址; eq是等於的意思 ;80爲端口號。
ip access–group101 out 前提(先進入接口配置模式)
######這條命令是接口上啓用訪問控制列表並指定方向。
***************************************************
* 命名的訪問控制列表的配置 *
***************************************************
(11.2以後的版本才支持)-基於IP和IPX都可以,可以自已定義一個名字。
(前提,先進入全局配置模式下)
ip access–list standard/extended cisco // cisco爲自行定義的名字
deny/permit 172.1.1.0 0.0.0.255 //上面選擇standard即標準訪問控制列表的時候
deny/permit tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 80 //上面選擇extended即擴展訪問控制列表的時候
ip access–group cisco in/out 前提(先進入接口配置模式下)在接口上應用命名的訪問控制列表,並指定方向。
********************************
* 訪問控制列表放置原則 *
********************************
將擴展訪問列表放置於離源設備較近的位置,將標準訪問列表放置於離目的設備較近的位置
********************************
* 訪問控制列表配置原則 *
********************************
訪問列表中的限制語句的位置是至關重要的;
將限制條件嚴格的語句放在訪問列表的最上面;
使用no access–list number命令將刪除整個訪問列表 number爲配置的訪問控制列表編號, 例外:命名訪問列表可以刪除單獨的語句;
訪問列表中有一條隱藏訪問控制--拒絕所有(deny all);
在設置的訪問列表中要有一句 permit any。
命名訪問控制列表配置:
router(config)#ip access-list extended hbsj
router(config-ext-nacl)#permit ip 10.0.0.0 0.255.255.255 any
router(config-ext-nacl)#exit
router(config)#interface FastEthernet2/1/0
router(config-if)#ip access-group hbsj in
router(config)#ip access-list extended hbsj
router(config-ext-nacl)#permit ip 10.0.0.0 0.255.255.255 any
router(config-ext-nacl)#exit
router(config)#interface FastEthernet2/1/0
router(config-if)#ip access-group hbsj in