欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

思科CCNA ACL訪(fǎng)問(wèn)控制列表基本用法分析

  發(fā)布時(shí)間:2020-03-06 15:46:47   作者:小金魚(yú)鈺鈺   我要評(píng)論
這篇文章主要介紹了思科CCNA ACL訪(fǎng)問(wèn)控制列表基本用法,結(jié)合實(shí)例形式總結(jié)分析了思科CCNA ACL訪(fǎng)問(wèn)控制列表基本功能、原理、操作命令與使用注意事項(xiàng),需要的朋友可以參考下

本文實(shí)例講述了思科CCNA ACL訪(fǎng)問(wèn)控制列表基本用法。分享給大家供大家參考,具體如下:

ACL訪(fǎng)問(wèn)控制列表

作用:

1、控制數(shù)據(jù)流量
2、抓取感興趣流量

訪(fǎng)問(wèn)控制:當(dāng)流量在路由器上的各個(gè)接口,進(jìn)入或離開(kāi)時(shí),ACL對(duì)流量進(jìn)行匹配,之后產(chǎn)生動(dòng)態(tài)—允許或拒絕

【1】分類(lèi):標(biāo)準(zhǔn)ACL 擴(kuò)展ACL
標(biāo)準(zhǔn)ACL:檢查數(shù)據(jù)源IP地址
擴(kuò)展ACL:檢查數(shù)據(jù)協(xié)議、源目IP地址 (上層協(xié)議)

ACL是一張表 每張ACL可包含多個(gè)條目 每個(gè)條目需要做permit/deny動(dòng)作
允許 拒絕
【2】寫(xiě)法:
1、編號(hào)寫(xiě)法: 1-99 標(biāo)準(zhǔn) 100-199 擴(kuò)展 一個(gè)編號(hào)為一張表 刪除一條,整表消失
2、命名寫(xiě)法: 一個(gè)名字為一張表 可以使用序號(hào)隨意的刪除或插入

【3】匹配規(guī)則
從上向下匹配 一旦匹配不再向下查詢(xún) 且每張ACL末尾存在隱藏拒絕所有
方向:in/out
【4】調(diào)用規(guī)則:盡早的進(jìn)行策略,避免流量在網(wǎng)絡(luò)無(wú)謂的傳輸;千萬(wàn)不能誤刪掉不限制的流量;

標(biāo)準(zhǔn)ACL使用位置 在最靠近目標(biāo)的接口上調(diào)用
擴(kuò)展ACL使用位置 在最靠近源的接口上調(diào)用

注:cisco ACL不檢查本地?cái)?shù)據(jù)流量

配置

編號(hào)寫(xiě)法:

【1】標(biāo)準(zhǔn)ACL配置

R2(config)#access-list 1 deny 1.1.1.1
R2(config)#access-list 1 deny host 1.1.1.1
R2(config)#access-list 1 deny 1.1.1.0 0.0.0.255 通配符作用跟反掩碼一樣
R2(config)#access-list 1 permit any

【2】擴(kuò)展ACL配置

R1(config)#access-list 100 deny icmp host 1.1.1.1 host 2.2.2.1
                                                                       源           源目
R1(config)#access-list 100 deny ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
R1(config)#access-list 100 deny tcp 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 eq 21

eq代表端口號(hào)

常見(jiàn)的端口號(hào) FTP
文件傳輸協(xié)議 TCP 21
Telnet 遠(yuǎn)程登錄 TCP 23
HTTP 超文本傳輸協(xié)議 TCP 80 8080
DNS 域名解析系統(tǒng) UDP/TCP 53
HTTPS 安全HTTP TCP 443

命名寫(xiě)法:

【1】標(biāo)準(zhǔn)ACL配置

R1(config)#ip access-list standard ccna
R1(config-std-nacl)#10 permit host 1.1.1.1   host代表的是主機(jī)不用加0.0.0.0作用跟0.0.0.0一樣
R1(config-std-nacl)#permit 1.0.0.0

【2】擴(kuò)展ACL配置

R1(config)#ip access-list extended ccnp
R1(config-ext-nacl)#10 deny icmp 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
R1(config-ext-nacl)#permit ip any any
R1(config-ext-nacl)#exit
R1(config)#intterface f0/0
R1(config-if)#ip access-group ccnp in

其他配置:

如三個(gè)路由器,讓R1Ping不通R3,但是R3能Ping通R1

R1(config)#ip access-list extended ccnp
R1(config-ext-nacl)# deny icmp host 192.168.1.2 host 192.168.3.2 echo干掉去的流量
R1(config-ext-nacl)#permit ip any any
R1(config-ext-nacl)#exit
R1(config)#interface f0/1
R1(config-if)#ip access-group ccna in

讓R3Ping不通R1,但是R1能Ping通R3

R1(config)#ip access-list extended ccna
R1(config-ext-nacl)#deny icmp host 192.168.1.2 host 192.168.3.2 echo-reply
干掉回的流量
R1(config-ext-nacl)#permit ip any any
R1(config-ext-nacl)#exit
R1(config)#interface f0/1
R1(config-if)#ip access-group ccna in

Echo表示源Ping不通目標(biāo),目標(biāo)能Ping通源
echo-reply表示源能Ping通目標(biāo),目標(biāo)Ping不通源

調(diào)用:

R2(config)#interface f0/1
R2(config-if)#ip access-group 1 out/in

查看ACL

R2#show ip access-lists

編號(hào):通過(guò)編號(hào)可修改、增加、刪除 ACL中部分條目

R1(config)#ip access-list standard ccna
R1(config-std-nacl)#no 編號(hào)

相關(guān)文章

最新評(píng)論