码迷,mamicode.com
首页 > 其他好文 > 详细

CCNA-5-访问控制列表

时间:2017-03-22 11:47:01      阅读:204      评论:0      收藏:0      [点我收藏+]

标签:思科;访问控制列表

·什么是访问列表:

  访问控制列表是应用在路由器接口的指令列表,这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。

·访问列表配置指南:

   1、访问列表的编号(同一个编号里可以写多个语句,可以放一起)指明了使用何种协议的访问列表

   2、每个端口、每个方向、每条协议只能对应于一条访问列表(可以先在notepad一条条写好,然后在填路由)

   3、访问列表的内容决定了数据的控制顺序(控制的条目越精细,越应该写在最上面)

   4、具有严格限制条件的语句应放在访问列表所有语句的最上面

   5、在访问列表的最后有一条隐含声明:deny any(即如果不匹配就会丢包)-每一条正确的访问列表都至少应该有一条允许语句

   6、先创建访问列表,然后应用到端口上(先应用的话由于列表还不存在,所有数据会丢失)

   7、访问列表不能过滤由路由器自己产生的数据


·通配符掩码(反掩码):

   ·如何检查相应的地址位:

            0 表示检查与之对应的地址位的值

            1 表示忽略与之对应的地址位的值

·例1:需要拒绝192.168.1.0网段的偶数IP地址:

       (偶数IP地址即ip最后一位必须为0)

        则为0.0.0.254(即1111,1110)

·配置:

    Router2(config)#access-list 1 deny 192.168.1.0 0.0.0.254 deny为拒绝路由

    Router2(config)#access-list 1 permit any   permit为放行路由,放行其他所有路由

    Router2(config)#int s0/0/0            进入接口下执行策略

    Router2(config-if)#access-group 1 in


·ACL运算符

  eq   等于

  neq  不等于

 gt   大于

  lt   小于

  range 提出范围

·例2:需要拒绝1.1.1.0/24网段去往192.168.2.0网段的telnet流量

R1(config)#ip access-list extended no-telnet    开启拓展ACL列表名为no-telnet

R1(config-ext-nacl)#deny tcp 1.1.1.0 0.0.0.255 192.168.2.0 0.0.0.255 eq telnet

R1(config-ext-nacl)#permit ip any any

R1(config)#int f0/0

R1(config-if)#ip access-group no-telnet in


本文出自 “12155849” 博客,请务必保留此出处http://12165849.blog.51cto.com/12155849/1909085

CCNA-5-访问控制列表

标签:思科;访问控制列表

原文地址:http://12165849.blog.51cto.com/12155849/1909085

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!