欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

思科CCNA ACL訪問控制列表基本用法分析

  發(fā)布時間:2020-03-06 15:46:47   作者:小金魚鈺鈺   我要評論
這篇文章主要介紹了思科CCNA ACL訪問控制列表基本用法,結合實例形式總結分析了思科CCNA ACL訪問控制列表基本功能、原理、操作命令與使用注意事項,需要的朋友可以參考下

本文實例講述了思科CCNA ACL訪問控制列表基本用法。分享給大家供大家參考,具體如下:

ACL訪問控制列表

作用:

1、控制數(shù)據(jù)流量
2、抓取感興趣流量

訪問控制:當流量在路由器上的各個接口,進入或離開時,ACL對流量進行匹配,之后產(chǎn)生動態(tài)—允許或拒絕

【1】分類:標準ACL 擴展ACL
標準ACL:檢查數(shù)據(jù)源IP地址
擴展ACL:檢查數(shù)據(jù)協(xié)議、源目IP地址 (上層協(xié)議)

ACL是一張表 每張ACL可包含多個條目 每個條目需要做permit/deny動作
允許 拒絕
【2】寫法:
1、編號寫法: 1-99 標準 100-199 擴展 一個編號為一張表 刪除一條,整表消失
2、命名寫法: 一個名字為一張表 可以使用序號隨意的刪除或插入

【3】匹配規(guī)則
從上向下匹配 一旦匹配不再向下查詢 且每張ACL末尾存在隱藏拒絕所有
方向:in/out
【4】調用規(guī)則:盡早的進行策略,避免流量在網(wǎng)絡無謂的傳輸;千萬不能誤刪掉不限制的流量;

標準ACL使用位置 在最靠近目標的接口上調用
擴展ACL使用位置 在最靠近源的接口上調用

注:cisco ACL不檢查本地數(shù)據(jù)流量

配置

編號寫法:

【1】標準ACL配置

R2(config)#access-list 1 deny 1.1.1.1
R2(config)#access-list 1 deny host 1.1.1.1
R2(config)#access-list 1 deny 1.1.1.0 0.0.0.255 通配符作用跟反掩碼一樣
R2(config)#access-list 1 permit any

【2】擴展ACL配置

R1(config)#access-list 100 deny icmp host 1.1.1.1 host 2.2.2.1
                                                                       源           源目
R1(config)#access-list 100 deny ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
R1(config)#access-list 100 deny tcp 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 eq 21

eq代表端口號

常見的端口號 FTP
文件傳輸協(xié)議 TCP 21
Telnet 遠程登錄 TCP 23
HTTP 超文本傳輸協(xié)議 TCP 80 8080
DNS 域名解析系統(tǒng) UDP/TCP 53
HTTPS 安全HTTP TCP 443

命名寫法:

【1】標準ACL配置

R1(config)#ip access-list standard ccna
R1(config-std-nacl)#10 permit host 1.1.1.1   host代表的是主機不用加0.0.0.0作用跟0.0.0.0一樣
R1(config-std-nacl)#permit 1.0.0.0

【2】擴展ACL配置

R1(config)#ip access-list extended ccnp
R1(config-ext-nacl)#10 deny icmp 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
R1(config-ext-nacl)#permit ip any any
R1(config-ext-nacl)#exit
R1(config)#intterface f0/0
R1(config-if)#ip access-group ccnp in

其他配置:

如三個路由器,讓R1Ping不通R3,但是R3能Ping通R1

R1(config)#ip access-list extended ccnp
R1(config-ext-nacl)# deny icmp host 192.168.1.2 host 192.168.3.2 echo干掉去的流量
R1(config-ext-nacl)#permit ip any any
R1(config-ext-nacl)#exit
R1(config)#interface f0/1
R1(config-if)#ip access-group ccna in

讓R3Ping不通R1,但是R1能Ping通R3

R1(config)#ip access-list extended ccna
R1(config-ext-nacl)#deny icmp host 192.168.1.2 host 192.168.3.2 echo-reply
干掉回的流量
R1(config-ext-nacl)#permit ip any any
R1(config-ext-nacl)#exit
R1(config)#interface f0/1
R1(config-if)#ip access-group ccna in

Echo表示源Ping不通目標,目標能Ping通源
echo-reply表示源能Ping通目標,目標Ping不通源

調用:

R2(config)#interface f0/1
R2(config-if)#ip access-group 1 out/in

查看ACL

R2#show ip access-lists

編號:通過編號可修改、增加、刪除 ACL中部分條目

R1(config)#ip access-list standard ccna
R1(config-std-nacl)#no 編號

相關文章

最新評論