返回
acl访问控制列表配置

acl访问控制列表配置

ID:13118654

大小:268.00 KB

页数:13页

时间:2018-07-20

acl访问控制列表配置_第1页
acl访问控制列表配置_第2页
acl访问控制列表配置_第3页
acl访问控制列表配置_第4页
acl访问控制列表配置_第5页
资源描述:

《acl访问控制列表配置》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、ACL的使用ACL的处理过程:1.它是判断语句,只有两种结果,要么是拒绝(deny),要么是允许(permit)2.语句顺序按照由上而下的顺序处理列表中的语句3.语句排序处理时,不匹配规则就一直向下查找,一旦某条语句匹配,后续语句不再处理。4.隐含拒绝如果所有语句执行完毕没有匹配条目默认丢弃数据包,在控制列表的末尾有一条默认拒绝所有的语句,是隐藏的(deny)要点:1.ACL能执行两个操作:允许或拒绝。语句自上而下执行。一旦发现匹配,后续语句就不再进行处理---因此先后顺序很重要。如果没有找到匹配,ACL末尾不可见的隐含拒绝语句将丢弃分组。一个AC

2、L应该至少有一条permit语句;否则所有流量都会丢弃,因为每个ACL末尾都有隐藏的隐含拒绝语句。2.如果在语句结尾增加denyany的话可以看到拒绝记录3.CiscoACL有两种类型一种是标准另一种是扩展,使用方式习惯不同也有两种方式一种是编号方式,另一种是命名方式。示例:编号方式标准的ACL使用1~99以及1300~1999之间的数字作为表号,扩展的ACL使用100~199以及2000~2699之间的数字作为表号一、标准(标准ACL可以阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇(比如IP)的所有通

3、信流量。)允许172.17.31.222通过,其他主机禁止Cisco-3750(config)#access-list1(策略编号)(1-99、1300-1999)permithost172.17.31.222禁止172.17.31.222通过,其他主机允许Cisco-3750(config)#access-list1denyhost172.17.31.222Cisco-3750(config)#access-list1permitany允许172.17.31.0/24通过,其他主机禁止Cisco-3750(config)#access-list1

4、permit172.17.31.00.0.0.254(反码255.255.255.255减去子网掩码,如172.17.31.0/24的255.255.255.255—255.255.255.0=0.0.0.255)禁止172.17.31.0/24通过,其他主机允许Cisco-3750(config)#access-list1deny172.17.31.00.0.0.254Cisco-3750(config)#access-list1permitany二、扩展(扩展ACL比标准ACL提供了更广泛的控制范围。例如,网络管理员如果希望做到“允许外来的We

5、b通信流量通过,拒绝外来的FTP和Telnet等通信流量”,那么,他可以使用扩展ACL来达到目的,标准ACL不能控制这么精确。)允许172.17.31.222访问任何主机80端口,其他主机禁止Cisco-3750(config)#access-list100permittcphost172.17.31.222(源)any(目标)eqwww允许所有主机访问172.17.31.222主机telnet(23)端口其他禁止Cisco-3750(config)#access-list100(100-199、2000-2699)permittcpanyhost

6、172.17.31.222eq23接口应用(入方向)(所有ACL只有应用到接口上才能起作用)Cisco-3750(config)#intg1/0/1Cisco-3750(config-if)#ipaccess-group1in(出方向out)命名方式一、标准建立标准ACL命名为test、允许172.17.31.222通过,禁止172.17.31.223通过,其他主机禁止Cisco-3750(config)#ipaccess-liststandardtestCisco-3750(config-std-nacl)#permithost172.17.31

7、.222Cisco-3750(config-std-nacl)#denyhost172.17.31.223建立标准ACL命名为test、禁止172.17.31.223通过,允许其他所有主机。Cisco-3750(config)#ipaccess-liststandardtestCisco-3750(config-std-nacl)#denyhost172.17.31.223Cisco-3750(config-std-nacl)#permitany二、扩展建立扩展ACL命名为test1,允许172.17.31.222访问所有主机80端口,其他所有主机

8、禁止Cisco-3750(config)#ipaccess-listextendedtest1Cisco-3750(con

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。