訪問控制列表 配置:命名訪問控制列表配置
訪問列表型別:
標準的訪問控制列表-(基於IP的編號範圍1-99,基於IPX的編號範圍800-899)檢查源地址,通常允許、拒絕完整的協議
擴充套件的訪問控制列表-(基於IP的編號範圍100-199,基於IPX的訪問控制列表範圍900-999),檢查源地址和目的地址,具體的TCP/IP協議和目的埠號,通常允許、拒絕的是某個特定的協議
SAP(基於IPX的編號1000-1099)。其它訪問列表範圍表示不同協議的訪問列表。
進方向和出方向分別用in和out表示。
************************************************
* 標準的訪問控制列表舉例
************************************************
前提(先進入全域性配置模式下)
access–list 11 deny/permit 192.168.1.12 0.0.0.255
#####192.168.1.12為源地址;0.0.0.255為192.168.1.12 的反掩碼;;11為標準的訪問控制列表的編號。
i p access–group 11 in/out //前提(先進入介面配置模式下)
###### in為進方向,out為出方向,預設下為出方向 。11為上面做訪問控制列表時用的編號。
做完這兩步,一個完整的訪問控制列表算完成了。預設下的反掩碼為0.0.0.0
用no access–list 11 命令刪除訪問控制列表,屬於這個編號下的訪問控制列表全部刪除(先進入全域性模式下);
用no ip access–group 11 命令在埠上刪除訪問控制列表(先進入介面模式下)。
***************************************************
* 擴充套件的訪問控制列表的配置 *
***************************************************
前提(先進入全域性配置模式下)
access–list 101 deny/permit tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 80
######意思是--拒絕/允許172.16.4.0這個網路遠端登陸到172.16.3.0這個網路。
access–list 101 permit ip any any
######訪問控制列表的意思的允許所有。
######(擴充套件訪問列表允許所有時,後面要用兩個any ;標準訪問控制列表在允許所有的時候,後面是一個any。)
######101為編號; tcp為協議號 ; 172.16.4.0 0.0.0.255為源地址;172.16.3.0 0.0.0.255 為目的地址; eq是等於的意思 ;80為埠號。
ip access–group101 out 前提(先進入介面配置模式)
######這條命令是介面上啟用訪問控制列表並指定方向。
***************************************************
* 命名的訪問控制列表的配置 *
***************************************************
(11.2以後的版本才支援)-基於IP和IPX都可以,可以自已定義一個名字。
(前提,先進入全域性配置模式下)
ip access–list standard/extended cisco // cisco為自行定義的名字
deny/permit 172.1.1.0 0.0.0.255 //上面選擇standard即標準訪問控制列表的時候
deny/permit tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 80 //上面選擇extended即擴充套件訪問控制列表的時候
ip access–group cisco in/out 前提(先進入介面配置模式下)在介面上應用命名的訪問控制列表,並指定方向。
********************************
* 訪問控制列表放置原則 *
********************************
將擴充套件訪問列表放置於離源裝置較近的位置,將標準訪問列表放置於離目的裝置較近的位置
********************************
* 訪問控制列表配置原則 *
********************************
訪問列表中的限制語句的位置是至關重要的;
將限制條件嚴格的語句放在訪問列表的最上面;
使用no access–list number命令將刪除整個訪問列表 number為配置的訪問控制列表編號, 例外:命名訪問列表可以刪除單獨的語句; copyright www.netdigedu.com
訪問列表中有一條隱藏訪問控制--拒絕所有(deny all);
在設定的訪問列表中要有一句 permit any。
eg:
命名訪問控制列表配置:
router(config)#ip access-list extended hbsj
router(config-ext-nacl)#permit ip 10.0.0.0 0.255.255.255 any
router(config-ext-nacl)#exit
router(config)#interface FastEthernet2/1/0
router(config-if)#ip access-group hbsj in
router(config)#ip access-list extended hbsj
router(config-ext-nacl)#permit ip 10.0.0.0 0.255.255.255 any
router(config-ext-nacl)#exit
router(config)#interface FastEthernet2/1/0
router(config-if)#ip access-group hbsj in