ACL

ACL

ACL:访问控制列表(Access Control List,ACL

访问控制列表是应用在路由器接口的指令列表,这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。

ACL命令

ip access-list standard/extended xxx

 permit xxxx

 deny xxx

int f0/x

 ip access-group x in/out

 

 

PC1 PING PC0

 

ACL

PC2 PING PC0

ACL

 

 

基于标准访问列表ACL

在Config模式下

ip access-list standard 1   //首先创建一个扩展访问列表

permit 192.168.10.0 0.0.0.255   //允许源地址(192.168.10.0/24)

  deny 192.168.20.0 0.0.0.255    //拒绝源地址(192.168.20.0/24)

int f0/1

  ip access-group 1 out  //绑定扩展访问列表,数据方向是从F0/1出去

 

注意:

  1. 扩展访问列表绑定在路由起上离源地址最远的端口
  2. 注意数据方向in还是out
  3. 标准访问列表在最后有一个隐藏的deny any
  4. 标准访问列表是根据从上往下的匹配策略开始匹配的,如果匹配到了就根据访问列表中的允许或拒绝。如果没有匹配到就一直匹配到最后一个隐藏deny any,然后拒绝掉
  5. 标准访问列表写法有多种,只要策略正,不要局限于一种。可以绑定在通讯线路中的任何一台路由器

 

PC1可以PING通

ACL

PC2到R1就被拒绝了

ACL

实验成功

 

 

 

 

 

基于扩展访问列表ACL

在Config模式下

ip access-list extended 100   //首先创建一个扩展访问列表

permit ip 192.168.10.0 0.0.0.255 172.16.1.0 0.0.0.255   //允许源地址(192.168.10.0/24)到目的地址(172.16.1.0/24)

  deny ip 192.168.20.0 0.0.0.255 172.16.1.0 0.0.0.255    //拒绝源地址(192.168.10.0/24)到目的地址(172.16.1.0/24)

int f0/0

  ip access-group 100 in  //绑定扩展访问列表,数据方向是从F0/0进入

 

注意:

  1. 扩展访问列表绑定在路由器上离源地址最近的端口
  2. 注意数据的方向in还是out
  3. 扩展访问列表在最后有一个隐藏的deny ip any any(拒绝所有源地址到所有目的地址)
  4. 扩展访问列表是根据从上往下的匹配策略开始匹配的,如果匹配到了就根据访问列表中的允许或拒绝。如果没有匹配到就一直匹配到最后一个隐藏deny ip any any,然后拒绝掉
  5. 扩展访问列表写法有多种,只要策略正确,不要局限于一种,也可以绑定在通讯线路中的任何一台路由器

 

PC1可以PING通

ACL

PC2到R1就被拒绝

ACL

实验成功

相关文章:

猜你喜欢
相关资源
相似解决方案
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode