ACL 学习笔记 <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

一、概述
ACL 是在实际网络环境中经常用到的安全控制技术,是 IOS 的重要特性。

二、 ACL 的分类

IP 相关的访问控制列表主要分为以下几类:

1 标准 IP 访问控制列表

标准 IP 访问控制列表匹配 IP 包中的源地址,可对匹配的 IP 包采取拒绝或允许两个操作。编号范围是从 1 99 和从 1300 1999 的访问控制列表是标准 IP 访问控制列表。

2 扩展 IP 访问控制列表

扩展 IP 访问控制列表比标准 IP 访问控制列表具有更多的匹配项,包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的( established )和 IP 优先级等。编号范围是从 100 199 和从 2000 2699 的访问控制列表是扩展 IP 访问控制列表。

3 命名的 IP 访问控制列表

所谓命名的 IP 访问控制列表是以列表名代替列表编号来定义 IP 访问控制列表,同样包括标准和扩展两种列表。命名的 IP 访问控制列表的优点是便于理解、配置和使用。

三、 ACL 的配置规则

1 、通过使用 ACL 编号在接口下调用 ACL

2 ACL 的条目顺序很重要,一般要把限制严格的规则放在列表的上端。

3 ACL 尾端有一条隐含的拒绝规则

4 ACL 只应用于穿越路由器的流量,对本地产生的流量不起作用。

附:

LAB 标准的访问控制列表

实验拓扑:
 
 
 

实验目的:1掌握标准访问控制列表的配置方法
          2理解标准访问控制列表的特性
          3 熟悉扩展PING 的用法。

 

实验要求:1按如上拓扑,在三台路由器上起RIP协议,使全网互通
          2 R3上做ACL,拒绝R1 <?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />12.0.0.1的数据访问R3,允许其他地址访问R3.

 

实验步骤:步骤1 首先对三台路由器做好底层配置。

          步骤2 在三台路由器上配置静态,使全网互通。

                R1(config)#ip route 23.0.0.0 255.255.255.0 12.0.0.2

               

                R2(config)#ip route 1.1.1.0 255.255.255.0 12.0.0.1

              

                R3(config)#ip route 12.0.0.0 255.255.255.0 23.0.0.1

                R3(config)#ip route 1.1.1.0 255.255.255.0 23.0.0.1

         步骤 3 R3上配置ACL

                R3(config)#access-list 10 deny host 12.0.0.1

                R3(config)#access-list 10 permit any

                R3(config)#int s1

                R3(config-if)#ip access-group 10 in

        步骤4 用扩展ping 检验实验结果。