cisco课程5

cisco课程5

ACL:access control list - 访问控制列表

-作用： 控制数据的访问、互通； -实现： 1、定义规则 1、房租逾期、扣除一个月押金； 2、定义动作 permit deny -分类： 标准ACL：仅仅关注的源IP地址； 扩展ACL：关注源IP地址和目标IP地址， 还可以关注IP头部后面的内容； -表示： id - 即通过不同的数字，表示不同的 ACL ； 名字 - 便于人们对 ACL 的配置与管理； -配置： 1、创建ACL access-list {ID} permit|deny x.x.x.x wildcard-bits ID范围：1-99 ，表示标准ACL ID范围: 100-199，表示扩展ACL x.x.x.x ： 表示的是一个IP网络范围或者一个IP地址 wildcard-bits：通配符 #0和1是允许交叉出现的； #通配符中的0，表示的是匹配的位； #通配符中的1，表示的是不匹配的位； 例子： access-list 1 permit 192.168.1.0 0.0.0.255 1、首先分析ACL的类型； 2、其次分析ACL的匹配条件 -首先分析“通配符”， 关注通配符中0所对应的IP地址中的位 -提取源IP地址中，与通配符0所对应的位， -将提取出的位，与ACL中的条件进行比对； 如果相同，则表示匹配成功，执行“动作” 如果不同，则表示匹配失败，继续查找下一条目/匹配条件 3、最后确认“处理动作” -permit ， 允许 -deny ， 拒绝 2、调用ACL #确定在正确的设备上、 #在正确的端口上、 #在正确的方向上； interface fas0/0 ip access-group 1 in 3、验证与测试 PC-1 ping 192.168.1.254 --> not OK

注意：任何一个ACL后面，都有一个隐含的 deny any ；当 一个 ACL 中有多个条目时，对每个条件匹配时，是按照序列号从小到大依次进行检查、培训的；标准ACL：应该调用在距离目标近的位置；扩展ACL：应该调用在距离源近的位置；

工作中常用的ACL配置方式 - 命名的 ACL ：创建ACL-GW(config)# ip access-list standard Deny-PingGW(config-std-nacl)# 10 deny 192.168.1.2 0.0.0.0GW(config-std-nacl)# 20 permit any GW(config-std-nacl)#exit调用ACL- GW(config)#interface fas0/0GW(config-if)#ip access-group Deny-Ping in

为了匹配更加精确的流量，我们使用“扩展ACL”：创建ACL-ip access-list extended notPing10 deny icmp host 192.168.1.2 host 192.168.1.25420 permit ip any any 调用ACL-interface fas0/0ip access-group notPing in 验证—— ping show ip access-list show ip interface fas0/0

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。