【作用】 控制数据的访问 互通
【实现】
1 定义规则
2 定义动作
permit 允许
deny 拒绝
【分类】 标准ACL 仅仅关注源IP地址
扩展ACL 关注源IP和目标IP 还可以关注IP头部后面的内容
【表示】
ID 即通过不同的数字 表示不同的ACL
名字 便于人们对ACL 的配置与管理
配置
创建ACL
access-list (ID) permit /deny x.x.x.x wildcard-bits
ID的范围1-99标准ACL
ID范围 100-199表示扩展 ACL
x.x.x.x 表示的是一个IP 网络范围 或者一个ip地址
wildcard-bits 通配符
#0和1是交叉出现的
通配符中的0表示的是匹配的位
通配符中的1表示的是不匹配的位
通配符中 只关心0所表示的匹配的位
例如 access-list 1 permit 192.168.1.0 0.0.0.255
1 首先分析ACL的类型
2 其次分析ACL的匹配条件
首先分析通配符 关注通配符中0所对应的IP地址中的位
提取源IP地址中 与通配符0所对应的位
将提取出的位与ACL中的条件进行比对
如果相同则匹配成功 执行动作
如果不同 则匹配失败 继续寻找下一条目 /下一匹配条件
3 最后确认 处理动作
permit 允许
deny 拒绝
在没有正式调用之前 permit和deny 没有实际意义
调用ACL
确定在正确的设备上
确定在正确的端口上
确定在正确的方向上
interface fa0/1
ip access-group 1 in
验证与测试
sw#show ip access-lists 验证和查看设备上的ACL信息
pc>ping 192.168.1.254
show ip interface fa 0/0 查看端口上的ACL信息
【注意】任何一个ACL后面 都有一个隐含的 deny any
当一个ACL中有多个条目时 对每个条件匹配时 是按照序列号从小到大 依次进行检查 匹配的
标准ACL应该调用在距离目标近的位值
扩展ACL应该调用在距离源近的位置
access-list 1 deny 192.168.1.1 0.0.0.0
access-list 1 permit any
工作中常用的ACL 配置方式 【命名的ACL】
GW(config)#ip access-list standard Deny-Ping
GW(config-std-nacl)#10 deny 192.168.1.2 0.0.0.0 /10 deny host 192.168.1.1
GW(config-std-nacl)#20 permit any
GW(config-std-nacl)#exit
调用ACL
GW(config) interface fas0/0
GW(config-if)# ip access-group Deny-Ping in
为了匹配更加精确的流量 我们使用【扩展ACL】
创建ACL
ip access-list extended notping
10 deny icmp host192.168.1.1 host 192.168.1.254
20 permit ip any any
调用ACL
interface gi0/0
ip access-group notping in
验证 ping
show ip access-list
show ip inter gi0/0
原文:http://blog.51cto.com/2168836/2103462