命名訪問控制列表配置

  大家在談到路由器ACL的時候，首先想到的是標準ACL和擴展ACL，其實還有鮮爲人知的命名訪問ACL。本文主要目的是想介紹命名訪問控制列表配置。    

訪問列表類型：

      標準的訪問控制列表－（基於IP的編號範圍1－99,基於IPX的編號範圍800－899）檢查源地址，通常允許、拒絕完整的協議

      擴展的訪問控制列表－（基於IP的編號範圍100－199,基於IPX的訪問控制列表範圍900－999），檢查源地址和目的地址，具體的TCP/IP協議和目的端口號，通常允許、拒絕的是某個特定的協議

      SAP（基於IPX的編號1000－1099）。其它訪問列表範圍表示不同協議的訪問列表。

        進方向和出方向分別用in和out表示。

************************************************

*   標準的訪問控制列表舉例 *  

************************************************    

前提（先進入全局配置模式下）
          access–list 11 deny/permit 192.168.1.12 0.0.0.255   

######192.168.1.12爲源地址；0.0.0.255爲192.168.1.12 的反掩碼;；11爲標準的訪問控制列表的編號。

         i p access–group 11 in/out      //前提（先進入接口配置模式下）

###### in爲進方向，out爲出方向，缺省下爲出方向 。11爲上面做訪問控制列表時用的編號。

      做完這兩步，一個完整的訪問控制列表算完成了。缺省下的反掩碼爲0.0.0.0    

用no access–list 11 命令刪除訪問控制列表，屬於這個編號下的訪問控制列表全部刪除（先進入全局模式下）；

用no ip access–group 11 命令在端口上刪除訪問控制列表（先進入接口模式下）。

***************************************************

*   擴展的訪問控制列表的配置 *  

***************************************************    

    前提（先進入全局配置模式下）

      access–list 101 deny/permit tcp 172.16.4.0 0.0.0.255   172.16.3.0 0.0.0.255         eq 80  

######意思是－－拒絕／允許172.16.4.0這個網絡遠程登陸到172.16.3.0這個網絡。

      access–list 101 permit ip any any  

######訪問控制列表的意思的允許所有。

######（擴展訪問列表允許所有時，後面要用兩個any ；標準訪問控制列表在允許所有的時候，後面是一個any。）

######101爲編號； tcp爲協議號 ；   172.16.4.0 0.0.0.255爲源地址；172.16.3.0 0.0.0.255   爲目的地址； eq是等於的意思 ；80爲端口號。

      ip access–group101 out          前提（先進入接口配置模式）

######這條命令是接口上啓用訪問控制列表並指定方向。

***************************************************

*   命名的訪問控制列表的配置 *  

***************************************************    

（11.2以後的版本才支持）－基於IP和IPX都可以，可以自已定義一個名字。

（前提，先進入全局配置模式下）

      ip access–list standard/extended cisco                //  cisco爲自行定義的名字

      deny/permit 172.1.1.0 0.0.0.255                        //上面選擇standard即標準訪問控制列表的時候

      deny/permit tcp 172.16.4.0 0.0.0.255   172.16.3.0 0.0.0.255   eq 80    //上面選擇extended即擴展訪問控制列表的時候

ip access–group cisco in/out     前提（先進入接口配置模式下）在接口上應用命名的訪問控制列表，並指定方向。

********************************

*  訪問控制列表放置原則  *

********************************

將擴展訪問列表放置於離源設備較近的位置，將標準訪問列表放置於離目的設備較近的位置

********************************

*  訪問控制列表配置原則  *

********************************

訪問列表中的限制語句的位置是至關重要的；

將限制條件嚴格的語句放在訪問列表的最上面；

使用no access–list   number命令將刪除整個訪問列表 number爲配置的訪問控制列表編號， 例外：命名訪問列表可以刪除單獨的語句；

訪問列表中有一條隱藏訪問控制－－拒絕所有（deny all）；

在設置的訪問列表中要有一句 permit any。

 

 

命名訪問控制列表配置：

router(config)#ip access-list extended hbsj

router(config-ext-nacl)#permit ip 10.0.0.0 0.255.255.255 any

router(config-ext-nacl)#exit

router(config)#interface FastEthernet2/1/0

router(config-if)#ip access-group hbsj in

 

router(config)#ip access-list extended hbsj

router(config-ext-nacl)#permit ip 10.0.0.0 0.255.255.255 any

router(config-ext-nacl)#exit

router(config)#interface FastEthernet2/1/0

router(config-if)#ip access-group hbsj in