访问控制列表ACL(access control list)是应用在路由接口的指令列表,可以通过ACL来控制进出路由器的各种数据流,在路由器接口处控制数据包的转发或丢弃(根据具体配置的规则),ACL适用于所有的路由协议,如IP、IPX、AppleTalk,ACL分为2种类型:标准ACL
拓扑如下,说明2种ACL的区别用法
pc1:192.168.1.10 255.255.255.0
gateway 192.168.1.1
pc2: 192.168.2.10 255.255.255.0 gateway 192.168.2.1
R1的配置
enable
config t
interface e0/0
ip address 192.168.1.1 255.255.255.0
no shutdowm
interface e0/1
ip add 192.168.2.1 255.255.255.0
no shutdown
用标准访问控制列表
实现目的一:禁止主机192.168.1.10访问192.168.2.0/24网络,其他允许
R1中
access-list 1 deny host 192.168.1.10
access-list 1 permit any
interface e0/1
ip access-group 1 out
实现目的二:内网中只允许192.168.0.0/24网络的流量通过,拒绝其他(网络)流量
access-list 2 permit 192.168.0.0 0.0.0.255
access-list 2 deny 0.0.0.0 255.255.255.255 (any)
interface e0/0
ip access-group 2 out
interface e0/1
ip access-group 2 out
在ACL中any代表0.0.0.0 255.255.255.0(任何)
标准访问控制列表序号为1-99
标准访问控制列表也作为NAT转换中的PAT用途
用扩展访问控制列表
实现一:拒绝192.168.1.0/24网络的流量访问192.168.2.0/24网络,允许其他所有
R1配置
en
conf t
access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 101 ip permit any any
interface e0/1
ip access-group 101 out
实现二:拒绝192.168.1.0/24网络访问192.168.2.10主机的http访问,允许其他
R1配置
en
conf t
access-list 102 deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.1 eq 80
access-list 102 permit ip any any
interface e0/1
ip access-group 102 out
扩展访问控制列表的序号是100-199
在扩展访问控制列表中有了源地址和目的地址的概念,以及带掩码的网络,和协议.eq表示协议中等于,lt表示小于,gt表示大于,neq表示不等于(后接协议的端口号,比如http默认为80端口)