ACL配置

ACL配置

ACL(Access Control List，访问控制列表)，简单说就是包过滤，根据数据包的报头中的ip地址、协议端口号等信息进行过滤。利用ACL可以实现安全控制。编号：1-99 or 1300-1999(standard IP)，100-199 or 2000-2699(Extended IP)。ACL并不复杂，但在实际应用中的，要想恰当地应用ACL，必需要制定合理的策略。    
　　
一、ACL配置实验配置拓扑图


图一

图二　网络中的DNS服务器:192.168.1.2

图三　网络中的WWW服务器:192.168.1.3

配置简单的ACL
　　
１、配置ACL限制远程登录到路由器的主机

HuangChuang#conf t
Enter configuration commands, one per line. End with CNTL/Z.
HuangChuang(config)#access-list 1 permit host 192.168.2.2　＼＼路由器HuangChuang只允许192.168.2.2远程登录(telnet)
HuangChuang(config)#line vty 0 4
HuangChuang(config-line)#access-class 1 in
HuangChuang(config-line)#
　　
其它两个路由器配置相似。
　　
２、配置ACL禁止192.168.3.0/24网段的icmp协议数据包通向与192.168.1.0/24网段

xixian(config)#access-list 101 deny icmp 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255
xixian(config)#access-list 101 permit ip any any
xixian(config)#int fa0/1
xixian(config-if)#ip access-group 101 out
xixian(config-if)#
　　
３、配置ACL禁止特点的协议端口通讯

HuangChuang#conf t
Enter configuration commands, one per line. End with CNTL/Z.
HuangChuang(config)#ip access-list extended ACL1　　＼＼创建基于名称的扩展ACL
HuangChuang(config-ext-nacl)#deny tcp host 192.168.2.2 192.168.1.0 0.0.0.255 eq 80
HuangChuang(config-ext-nacl)#deny udp host 192.168.2.3 192.168.1.0 0.0.0.255 eq 53
HuangChuang(config-ext-nacl)#permit ip any any
HuangChuang(config-ext-nacl)#exit
HuangChuang(config)#int fa0/1
HuangChuang(config-if)#ip access-group ACL1 in
HuangChuang(config-if)#

ACL配置有2种

1.标准访问控制列表

2扩展访问控制列表

先说标准访问控制列表吧：标准控制列表控制序列号是1-99，标准ACL只能定义数据包里面源IP地址。