配置标准访问控制列表ACL
1. 标准访问控制列表的作用
- 标准ACL(Access Control List)只检查数据包的源地址
- 可以使用标准ACL阻止(或允许)来自某一网络的所有通信流量
- 拒绝某一协议簇(如IP)的所有通信流量
注意:访问控制列表末尾隐含存在一条拒绝所有流量的指令。所以,访问控制列表至少要有一条允许数据通过的命令语句
默认语句
access-list 1 deny any
2. 标准访问控制列表的语法
基本语法:Access-list 标准访问控制列表号 deny/permit 源网络地址 通配符掩码
- 标准ACL的号码范围是<1-99>
- deny/permit 是必选项
- deny表示如果满足条件,数据包则被丢弃
- permit表示如果满足条件,数据包则被允许通过该接口
- 通配符掩码(反掩码),子网掩码按位取反就可以得到相应的通配符掩码
关键字any和host的用法
-
any:允许源地址为任意的IP地址的数据包通过
access-list 1 permit any 等价于 access-list 1 permit any 0.0.0.255 255.255.255.255 -
host:仅允许单台主机的流量通过
access-list permit host 192.168.100.100
3. 在接口上应用ACL
基本语法:ip access-group 访问控制列表号 in/out
- in:数据包从外部进入设备
- out:数据包从设备流向外部
in和out是针对设备来说的
4. 配置标准访问控制列表
本次实验的拓扑图如下图所示
各路由器的配置
Router0:
Router(config)#interface FastEthernet 0/0
Router(config-if)#ip address 192.168.1.1 255.255.255.0
Router(config)#interface FastEthernet 0/1
Router(config-if)#ip address 192.168.2.1 255.255.255.0
Router(config)#interface Serial 0/1/0
Router(config-if)#ip address 192.168.3.1 255.255.255.0
-----本次实验采用静态路由-----
Router(config)#ip route 192.168.4.0 255.255.255.0 192.168.3.2
Router1:
Router(config)#interface FastEthernet 0/0
Router(config-if)#ip address 192.168.4.1 255.255.255.0
Router(config)#interface Serial 0/1/0
Router(config-if)#ip address 192.168.3.2 255.255.255.0
-----本次实验采用静态路由-----
Router(config)#ip route 192.168.1.0 255.255.255.0 192.168.3.1
Router(config)#ip route 192.168.2.0 255.255.255.0 192.168.3.1
4.1 创建标准访问控制列表
目前所有主机互通,现要求主机PC0、PC1可以访问主机PC3,而主机PC2不能访问主机PC3
注意:设置标准访问控制列表的路由器应尽可能靠近数据包所送达的目的主机端,这样可以直接对数据包进行过滤
因此,本次实验使用Router1作为标准访问控制列表的过滤器
Router1:
Router(config)#access-list ?
<1-99> IP standard access list
<100-199> IP extended access list
Router(config)#access-list 1 ?
deny Specify packets to reject
permit Specify packets to forward
remark Access list entry comment
Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255 //允许192.168.1.0网段上的所有主机的数据包通过
Router(config)#access-list 1 permit host 192.168.2.101 //允许主机IP为192.168.2.101的数据包通过
Router(config)#access-list 1 deny host 192.168.2.102 //拒绝主机IP为192.168.2.102都数据包通过
4.2 选择接口的数据包流向
一般的,我们选择该设备数据流向的出口为该设备的过滤接口
我们需要根据具体情况来设置 in和out,一般out口适合少主机接入设置,而in口适合多主机接入设置
在本次拓扑实验里 in和out 的效果是一样的
Router1:
Router(config)#intface FastEthernet 0/0
Router(config-if)#ip access-group ?
<1-199> IP access list (standard or extended)
WORD Access-list name
Router(config-if)#ip access-group 1 ?
in inbound packets
out outbound packets
Router(config-if)#ip access-group 1 out //接口fa0/0使用ACL1的规则并绑定out进行过滤
测试主机连通性
文章来源:https://www.toymoban.com/news/detail-467323.html
总结:文章来源地址https://www.toymoban.com/news/detail-467323.html
- 标准访问控制列表只针对源地址
- 标准访问控制列表的配置应该尽可能靠近目标端进行设置
- 配置接口的数据包流向的 in和out方向是针对该设备的
到了这里,关于配置标准访问控制列表ACL的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
