我們可以通過配置ACL控制資料包允許或拒絕到達目标。增加網絡安全性。
ACL分為:
v 标準ACL:根據資料包的來源做控制,允許或拒絕。清單号範圍:1~99。
v 擴充ACL:根據資料包的來源,目标,協定,端口做控制,允許或拒絕。清單号範圍:100~199。
v 指令ACL:對标準ACL和擴充ACL做管理,可以對ACL進行指令,友善識别。
思科ACL相關指令:
指令
描述
(config)# access-list 1 permit 192.168.1.0(源網段) 0.0.0.255(反掩碼)
允許标準ACL
(config)# access-list 1 deny 192.168.1.0(源網段) 0.0.0.255(反掩碼)
拒絕标準ACL
(config)# access-list 100 permit tcp(協定) 192.168.1.0(源網段) 0.0.0.255(反掩碼) 192.168.1.0(目标網段) 0.0.0.255(反掩碼) eq 80(端口号)
允許擴充ACL
(config)# access-list 100 deny tcp(協定) 192.168.1.0(源網段) 0.0.0.255(反掩碼) 192.168.1.0(目标網段) 0.0.0.255(反掩碼) eq 80(端口号)
拒絕擴充ACL
(config-if)# ip access-list standard a(名字)
建立标準命名ACL
(config-std-nad)#10(編号) permit 192.168.1.0(源網段) 0.0.0.255(反掩碼)
(config-if)# ip access-list extended a(名字)
建立擴充命名ACL
10 deny tcp(協定) 192.168.1.0(源網段) 0.0.0.255(反掩碼) 192.168.1.0(目标網段) 0.0.0.255(反掩碼) eq 80(端口号)
拒絕擴充命名ACL
(config-if)# ip access-group 1 in(入口)
将ACL應用于入口
(config-if)# ip access-group 1 out(出口)
将ACL應用于出口
# show access-list
檢視ACL狀态
注:标準ACL隻能用于入口,而擴充ACL可以應用于出入口。
Permit:允許,deny:拒絕,eq:等于,standad:标準,extended:擴充
案例:将ACL應用于遠端登入。
華為H3C相關指令:
[huawei] acl 2000
建立并進入ACL
[huawei] acl name ren
命名ACL
[huawei-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255
标準ACL
[huawei-acl-basic-2000]rule deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
擴充ACL
[huawei] display acl
檢視ACL
[huawei] display acl name
檢視命名ACL
注:華為H3C的ACL想要應用于接口必須關聯流政策。
案例:
配置思路:
v 定義ACL
v 配置流分類
v 配置流行為
v 配置流政策
v 接口上調用政策
