ACL 及 Iptabless.docVIP

ACL 1.访问控制列表的类型 标准访问控制列表：根据数据包的源IP地址来允许或拒绝。（标号1—99） 扩展访问控制列表：根据数据包的源IP地址、目的IP地址、指定协议、端口与标志（100-199） 命名访问控制列表：允许在标准与扩展访问控制列表中使用命名来代替标号 定时访问控制列表：提供基于时间的附加访问控制。 2.标准的ACL配置 语法：Router（config）#access-list （1—99） {permit|deny} 源ip的网段 反掩码 1.允许/24与 的流量通过 Router（config）#access-list 1 permit 55 Router（config）#access-list 1 permit .0 或Router（config）#access-list 1 host 2.拒绝访问任何网段 Router（config）#access-list 2 deny any 3.删除以建立的ACL Router（config）# no access-list 1 4.将ACl应用到端口 Router（config-if）#ip access-group （1——99）{in | out } 3.扩展访问ACL 配置 Router（config）#access-list （100-199）{permit | deny} protocol {原地址 反掩码 目标地址 反掩码} [operator operan ] Operator:lt-小于；gt—大于；eq—等于；neq-不等于 Protocol：TCP;UDP;IP;ICMP 允许网络/24访问网络/24的ip流量通过。而拒绝其他的任何流量 Router（config）#access-list 100 permit ip 55 55 Router（config）#access-list 100 deny ip any any 2. 拒绝网络/24访问FTP服务器。而其允许他的任何流量 Router（config）#access-list 101 deny tcp 55 host eq 21 Router（config）#access-list 101 permit ip any any 3.禁止/24中的主机ping服务器 而允许其他任何流量 Router（config）#access-list 119 deny icmp 55 host echo Router（config）#access-list 119 permit ip any any 4.将ACL应用到端口Router（config）# ip access-group 101 {in|out} 5.查看 show access-list 4.命名访问控制列表 1. Router（config）#ip access-list {standard |extended} access-list-name 2.标准命名ACL： Router（config-std-nacl）#【seq-Num】 {permit|deny}source 【source-vildcard】 3.扩展命名ACL： Router（config-std-nacl）#【seq-Num】 {permit|deny} Protocol {src src-vildcard dst dst-vildcard} 【operator operan】 如：允许来自主机/24与/24的流量通过，而拒绝其他的流量通过 Router（config）#ip access-list cisco Router（config-std-nacl）#15 permit host Router（config-std-nacl）#permit host 4.删除 Router（config）# no ip access-list access-list-name 或 Router（config）#ip access-list cisco Router（config-std-nacl）#no 15 5.将ACL应用到接口 Router（config-if）#ip access-group name {in|out} 5.定时访问控制列表 1.定义时间范围的名称 Router（config）# time-range name 2.指定时间范围何时生效 1).定义一个时间周期 Router（config-time-ran