E-mail: 2010-04-28 CCNA学习笔记 关于访问控制列表(ACL)的讨论, ACL的全名为Access Cntrol List(访问控制列表) 访问控制列表分为两种: 标准ACL:(standard) 表号:1—99 1300--1999 基于源IP地址控制数据包 只会去允许或者拒绝单一的协议(IP) 扩展ACL:(extended) 表号:100---199 2000--2699 基于源IP地址,目的IP地址,端口号,协议类型 允许或者拒绝特殊的协议 命名ACL: 也是基于标准ACL和扩展ACL ACL规则: 一.ACLgarnish匹配顺序是从上而下,匹配到一条,将不在读取下面的条目。 二.ACL中最好把具体的条目放在前面。 三.每张ACL中至少有一个permit语句。 四.ACL默认策略为deny any(默认是拒绝所有)。 五.标准ACL尽可能放在离目的近的地方,扩展ACL尽可能放在离源近的地方。 六.标准ACL和扩展ACL删除时,不能删除单独一个条目。 七.每一个接口的一个方向只能应用一张ACL。 ACL的配置 标准ACL Access-list 1 deny IP地址 反掩码 Access-list 1 deny host IP地址 Access-list 1 permit any Hos t 代表单个主机 any 任何主机 在接口应用ACL Interface s1/0 Ip access-group 1 in/out 扩展ACL Access-list 100 deny tcp 源地址 目的地址 eq 23 (常用的有eq:“等于” gt:“大于”ironcurtain lt:“小于”) Access-list 100 permit ip any any 在接口应用ACL Interface s1/0 Ip access-group 100 in/out 命名ACL Ip access-list standard/extended cisco(name) Deny tcp host 192.168.1.1 host 192.168.2.2 eq 23 Permit ip any any 在接口应用ACL Interface s1/0 Ip access-group cisco in/out 利用ACL控制VTY线路的访问 Access-list 1 permit 192.168.1.0 0.0.0.255 (运用标准的ACL) 在VTY线路中应用ACL Line vty 0 4 Access-class 1 in 查看ACL Show access-list {表号} 注:标准和扩展ACL不可以删除单独的一个条目,命名ACL可以删除单独一个条目,但是都不可以添加条目。 使用命名ACL删除条目的时候,必须进入命名ACL的配置模式删除。 实验: 需求: 一. 只允许R1和R4通讯,不允许R3和R4通讯。 德文翻译在线二. 只允许bushR1可以telnet访问R4,不允许R3可以telnet访问R4。 (利用VTY访问控制,不允许通过VTY的线路来访问) 三. 只允许R1可以telnet访问R4,但是不可以ping通R4,不允许R3可以telnet访问R4,但是允许R3可以ping通R4。 配置 配置IP地址: R1: r1(config)#int s1/0 r1(config-if)#ip add 192.168.1.2 255.255.255.0 r1(config-if)#no sh R2: r2(config)#int s1/0 r2(config-if)#ip add 192.168.1.1 255.255.255.0 r2(config-if)#no sh r2(config-if)# r2(config-if)#int s1/1 r2(config-if)#ip add 192.168.2.1 255.255.255.0 r2(config-if)#no sh r2(config-if)# r2(config-if)#int s1/2 r2(config-if)#ip add 192.168.3.1 255.255.255.0 r2(config-if)#no sh r2(config-if)# R3: r3(config)#int s1/1 r3(config-if)#ip add 192.168.2.2 255.255.255.0 r3(config-if)#no sh R4: r4(config)#int s1/2 r4(config-if)#ip add 192.168.3.2 255.255.255.0 r4(config-if)#no sh 配置路由协议: 使用ODR协议,方便些。 R2agogo: r2(config)#router odr r2(config)# 测试网络连通性: R1: r1#ping 192.168.2.2 Type escape quence to abort. Sending 5, 100-byte ICMP Echos to 192.168.2.2, timeout is 2 conds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 20/40/72 ms r1#ping 192.168.3.2 Type escape quence to abort. Sending 5, 100-byte ICMP Echos to 192.168.3.2, timeout is 2 conds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 20/54/100 ms r1# 配置ACL进行访问控制: 需求一:只允许R1和R4通讯,不允许R3和R4通讯。 R2: r2(config)# r2(config)#access-list 1 permit host 192.168.1.2 r2(config)# r2(config)#int s1/2 r2(config-if)#ip access-group 1 out r2(config-if)# 测试下: R1: r1#ping 192.168.3.2 Type escape quence to abort. Sending 5, 100-byte ICMP Echos to 192.168.3.2, timeout is 2 conds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 8/37/68 ms r1# R3: r3#ping 192.168.3.2 Type escape quence to abort. Sending 5, 100-byte ICMP Echos to 192.168.3.2, timeout is 2 conds: U.U.U Success rate is 0 percent (0/5) r3#上海培训班 需求二:只允许R1可以telnet访问R4,不允许R3可以telnet访问R4。 (利用VTY访问控制,不允许通过VTY的线路来访问) R4: r4(config)# r4(config)#access-list 1 permit host 192.168.1.2 r4(config)# r4(config)#line vty 0 4 r4(config-line)# r4(config-line)#access-class 1 in r4(config-line)# 测试下, R1: r1#telnet 192.168.3.2 Trying 192.168.3.2 ... Open r4> R3: r3#telnet 192.168.3.2 Trying 192.168.3.2 ... % Connection refud by remote host r3# 需求三:只允许R1辞职信如何写可以telnet访问R4,但是不可以ping通R4,不允许R3可以telnet访问R4,但是允许R3可以ping通R4。 R2: r2(config)# r2(config)#access-list 100 deny icmp host 192.168.1.2 host 192.168.3.2 r2(config)#access-list 100 deny tcp host 192.168.2.2 host 192.168.3.2 eq 23 r2(config)#access-list 100 permit ip any any r2(config)# r2(config)#interface s1/2 r2(config-if)#ip access-group 100 out r2(config-if)# r2#show access-lists 100 Extended IP access list 100 deny icmp host 192.168.1.2 host 192.168.3.2 deny tcp host 192.168.2.2 host 192.168.3.2 eq telnet permit ip any any r2# 测试下, R1: r1# r1#telnet 192.168.3.2 Trying 192.168.3.2 ... Open 四级准考证丢了怎么办r4>exit [Connection to 192.168.3.2 clod by foreign host] r1#ping 192.168.3.2 Type escape quence to abort. Sending 5, 100-byte ICMP Echos to 192.168.3.2, timeout is 2 conds: U.U.U Success rate is 0 percent (0/5) r1# R3: r3# r3#telnet 192.168.3.2 Trying 192.168.3.2 ... % Destination unreachable; gateway or host down r3#ping 192.168.3.2 Type escape quence to abort. Sending 5, 100-byte ICMP Echos to 192.168.3.2, timeout is 2 conds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 8/46/76 ms r3# 关于ACL的讨论就到这里了。 | 
