Cisco ❀ 访问控制列表-ACL（cisco交换机）

Cisco ❀ 访问控制列表-ACL（cisco交换机）

访问控制列表—ACL

在路由器的各个接口上进行访问的控制—限制流量的进或出 定义感兴趣流量—帮助其他的策略协议来抓取流量

访问控制：当流量在路由器上的各个接口，进入或离开时，ACL对流量进行匹配，之后产生动态-----允许、拒绝

【1】.分类： 标准列表 ----仅关注数据包中的源ip地址 扩展列表 ----关注数据包中的源、目标ip地址，协议号、目标端口号

匹配规则：至上而下逐一匹配，上条匹配按上条执行，不再查看下条；末尾隐含拒绝所有；调用规则：尽早的进行策略，避免流量在网络无谓的传输；千万不能误删掉不限制的流量；

【2】.写法： 编号写法 ----1-99标准列表编号 100-199扩展列表编号 一个编号为一张表 删除一条，整表消失； 命名写法 ----一个名字为一张表 可以使用序号随意的删除或插入

【3】.配置： 标准列表：—仅关注源ip地址，为避免误删，建议调用时尽量的靠近目标；编号写法：

r2(config)#access-list 1 deny host 192.168.2.2r2(config)#access-list 1 deny 192.168.1.0 0.0.0.255r2(config)#access-list 1 permit any 动作 源ip地址

在匹配范围时，使用与OSPF相同的反掩码机制，但ACL不称为反掩码，而被称为通配符； 匹配规则虽然相同，但反掩码必须为连续的0或1；通配符可以1、0穿插；

【4】.接口调用

r2(config)#interface fastEthernet 0/0r2(config-if)#ip access-group 1 ?in inbound packetsout outbound packetsr2(config-if)#ip access-group 1 out

命名写法：

r2(config)#ip access-list standard xxxr2(config-std-nacl)#deny host 192.168.2.2r2(config-std-nacl)#permit anyr2(config-std-nacl)#exitr2(config)#interface f0/0r2(config-if)#ip access-group xxx out r2(config)# ip access-list standard xxxr2(config-std-nacl)#15 deny host 192.168.2.3r2(config-std-nacl)#no 15

【5】.扩展配置 因为扩展ACL关注数据包中的源、目标ip，协议号、目标端口号 故在调用时，尽量靠近源，但不能在源上；ACL不能限制本地的流量；

仅关注源和目标ip地址； 编号：

r1(config)#access-list 100 deny ip host 192.168.1.2 host 192.168.2.2 动作 源ip 目标ip

注：源ip地址或目标ip地址；均可为 Host+ip=主机 192.168.1.0 0.0.0.255 通配符 Any 所有

r1(config)#access-list 100 deny ip host 192.168.1.2 host 192.168.2.2 拒绝 192.168.1.2 到 192.168.2.2r1(config)#access-list 100 permit ip any anyr1(config)#interface fastEthernet 0/0.1r1(config-subif)#ip access-group 100 in

【6】交换vlan access-group 可以实现在vlan内的过滤MAC数据（二层）和IP数据（三层）

Mac access-list extended name Permit/deny H.H.H/any/host 调用： Vlan access-map name 1 Action drop/forwardMatch mac/Ip address ACL

创作者：Eric· Charles

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。