ACL命令
一、标准ACL命令
conf t
access-list 表号 permit/deny 条件
#表号:1-99
#条件:源IP+反子网掩码
#反子网掩码:如0.0.0.255 其中0代表严格匹配,255代表不需要匹配。
例如:
access-list 1 deny 192.168.1.0 0.0.0.255 #拒绝源IP为192.168.1.0网段的流量
access-list 1 permit 0.0.0.0 255.255.255.255 #允许所有网段
access-list 1 deny 192.168.2.1 0.0.0.0 #拒绝一台主机/拒绝一个人
简化:
0.0.0.0 255.255.255.255 == any
192.168.2.1 0.0.0.0 == host 192.168.2.1
简化后:
access-list 1 deny 192.168.1.0 0.0.0.255 #拒绝源IP为192.168.1.0网段的流量
access-list 1 permit any #允许所有网段
access-list 1 deny host 192.168.2.1 #拒绝一台主机/拒绝一个人
二、扩展ACL命令
conf t
access-list 表号 permit/deny 协议 源IP 反掩码 目标IP 反掩码 [eq 端口号]
#表号:100-199
#协议:TCP/UDP/IP/ICMP (当写了端口号,只能写tcp或udp)
#注释:ICMP协议就是ping命令所使用的协议,ICMP协议是网络探测协议,ping别人,就是生成ICMP探测包发给对方,然后对方给我回应一个ICMP探测包,代表ping通了!
#[ ]:代表可选
案例一:
conf t
access-list 101 permit tcp 192.168.1.0 0.0.0.255 192.168.6.1 0.0.0.0 eq 80
access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.6.0 0.0.0.255 access-list 101 permit ip any any
案例二:
access-list 102 deny icmp 192.168.1.0 0.0.0.255 192.168.6.0 0.0.0.255
access-list 102 permit ip any any
案例三:
acc 103 deny tcp 192.168.1.0 0.0.0.255 host 192.168.6.1 eq 23
acc 103 permit ip 192.168.1.0 0.0.0.255 host 192.168.6.1
acc 103 deny ip any any
案例四:
acc 104 deny ip host 192.168.1.1 any acc 104 permit ip any any
三、将ACL表应用到某接口的某一方向上
int f0/1
ip access-group 102 in/out
exit
四、查看所有ACL表
show ip access-list
五、命名ACL
1.用命名acl创建表的方法
conf t
ip access-list extended 表名
开始从permit/deny编辑每一条即可
编写完exit退出即可!
2.命名ACL的好处
使用命名ACL格式可以任意删除某一条,也可以插入某一条!
例如:
R1(config)#do sh ip acce
Extended IP access list 120
10 deny icmp any any
20 deny udp 192.168.1.0 0.0.0.255 any eq domain
30 permit ip any any
可以删除某一条,如需要删除第二条,做如下操作:
R1(config)#ip access-list extended 120
R1(config-ext-nacl)#no 20
R1(config-ext-nacl)#exit
结果如下:
R1(config)#do sh ip acce
Extended IP access list 120
10 deny icmp any any
30 permit ip any any
R1(config)#
注释:如需要插入某一条,需要在条目前加数字即可。