侧边栏壁纸
  • 累计撰写 781 篇文章
  • 累计创建 1 个标签
  • 累计收到 1 条评论
标签搜索

访问控制列表

Dettan
2021-07-10 / 0 评论 / 0 点赞 / 98 阅读 / 1,360 字
温馨提示:
本文最后更新于 2022-04-30,若内容或图片失效,请留言反馈。部分素材来自网络,若不小心影响到您的利益,请联系我们删除。

交换机物理接口不能配置acl
使用 ACL 的指导原则:
在位于内部网络和外部网络(例如互联网)交界处的防火墙路由器上使用 ACL。
在位于网络两个部分交界处的路由器上使用 ACL,以控制进出内部网络特定部分的流量。
在边界路由器(即位于网络边界的路由器)上配置 ACL。这样可以在内外部网络之间,或网络中受控度较低的区域与敏感区域之间起到基本的缓冲作用。
为边界路由器接口上配置的每种网络协议配置 ACL。
应用 ACL 的规则
您可以为每种协议 (per protocol)、每个方向 (per direction)、每个接口 (per interface) 配置一个 ACL:
每种协议一个 ACL - 要控制接口上的流量,必须为接口上启用的每种协议定义相应的 ACL。
每个方向一个 ACL - 一个 ACL 只能控制接口上一个方向的流量。要控制入站流量和出站流量,必须分别定义两个 ACL。
每个接口一个 ACL - 一个 ACL 只能控制一个接口(例如 GigabitEthernet 0/0)上的流量。
通配符掩码:
可以匹配主机,也可以匹配网络号
子网掩码是取掩码上是1 的位匹配,而通配符掩码是取掩码上是0 的位匹配.
例子
192.168.1.100 255.255.255.0子网掩码取出来是:192.168.1.0匹配符掩码取出来是:0.0.0.100
扩展ACL
将扩展 ACL 放置在尽可能靠近需要过滤的流量源的位置上。这样,不需要的流量会在靠近源网络的位置遭到拒绝,而无需通过网络基础设施。
标准 ACL
由于标准 ACL 不会指定目标地址,所以其位置应该尽可能靠近目标。在流量源附近设置标准 ACL 可以有效阻止流量通过应用了 ACL 的接口到达任何其他网络。
设置(编号的) 只能是标准ACL
Router(config)# access-list access-list-number { deny | permit | remark }source [ source-wildcard ][ log ]
access-list-number 1 到 99 范围内的一个数字,就是一个代号。remark 添加备注R1(config)# access-list 10 permit 192.168.10.0 0.0.0.255R1(config)# access-list remark bulabula no yinhao
设置 (命名的)
R1(config)# ip access-list standard|extended File_Server_RestrictionsR1(config-std-nacl)# permit host 192.168.20.4R1(config-std-nacl)# deny any
绑定
Router(config-if)# ip access-group {access-list-number | access-list-name} { in | out }
删除
Route(config)# no access-list access-list-number
添加行


删除行
no standard号(看上图)
查看
show access-list
show ip access-list
show running-config | section interface
show running-config g0/1
看接口上的ACL配置
0

评论区