思科acl配置

发布于 2020-12-21  69 次阅读


标准ACL

通配符掩码

使用通配符掩码与源或目标地址一起分辨匹配的地址范围。
掩码位匹配含义:设置为“1”表示忽略IP地址中对应位(IP取0或1都可以匹配);设置为“0”表示IP地址中对应位必须精确匹配。
例如:(1)192.168.1.0 0.0.0.255 匹配的是192.168.1.0~192.168.1.255
   (2)192.168.1.0 0.0.0.254 匹配192.168.1.0网段中所有偶数IP
   (3)192.168.1.1 0.0.0.254 匹配192.168.1.0网段中所有奇数IP
any关键字: 代替地址掩码对0.0.0.0 255.255.255.255,匹配任何IP
host关键字: 代替通配符掩码0.0.0.0,精确匹配某个IP。例如:要实现匹配IP地址192.168.1.2,则可以写成192.168.1.2 0.0.0.0或者写成host 192.168.1.2。(注:标准ACL中没有通配符掩码默认该掩码为 0.0.0.0,host也可以省略;扩展ACL中通配符 0.0.0.0或 host关键字不可以省略)
全局模式下配置ACL。
创建标准ACL的基本格式: access-list access-list-number { deny | permit } { 源地址 [ 源地址通配符掩码 ] | any } [ log ]
其中,access-list-number是1~99的ACL编号;deny拒绝,permit允许;log是日志选项,匹配的条目信息显示在控制台上,也可以输出到日志服务器。
拒绝192.168.0.0访问192.168.2.0,允许访问其它
access-list 100 deny ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 100 permit ip any any
例子
VACL vlan间ACL 即可实现
1、建立vlan
2、配置每个interface vlan ip
3、 配置ACL
都允许访问VLAN20
Switch(config)# access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
Switch(config)# access-list 102 permit ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255
Switch(config)# access-list 102 permit ip 192.168.40.0 0.0.0.255 192.168.20.0 0.0.0.255
4、接口下应用ACL
Switch(config)# int vlan 10
Switch(config-if)# ip access-group 101 in
Switch(config)# int vlan 30
Switch(config-if)# ip access-group 102 in
反子网掩码
255.255.255.0 = 0.0.0.255
255.255.254.0 = 0.0.1.255
说明:
1、在每个ACL中都隐含着一个语句:
access-list list-num deny any
它位于ACL的最后,表示拒绝所有。所以任何一个与前面各语句都不匹配的数据包都会被拒绝。
允许某网段访问单个IP
access-list 101 permit ip 192.168.1.0 0.0.0.255 host 192.168.2.10
int vlan 10
ip access-group 101 in
实际场景使用例子
拒绝192.168.50.0/24网段访问192.168.1.0/24网段,允许访问外网
enable
configure terminal
access-list 102 deny ip 192.168.50.0 0.0.0.255 192.168.1.0 0.0.1.255
access-list 102 permit ip any any
interface Vlan50
ip access-group 102 in
删除单条ACL
show access-lists
Extended IP access list acl_name
    10 permit tcp any any eq www
    20 permit ip any any
    30 deny ip 192.168.0.0 0.0.0.255 10.1.1.0 0.0.0.255
ip access-list extended acl_name
no 30

show access-lists
Extended IP access list 102
10 deny ip 192.168.50.0 0.0.0.255 host 192.168.2.212 (7 matches)
20 permit ip 192.168.50.0 0.0.0.255 host 10.0.0.3 (3 matches)
30 permit ip 192.168.50.0 0.0.0.255 192.168.0.0 0.0.1.255
40 permit ip any any (481 matches)
ip access-list extended 102
no 30

 


公交车司机终于在众人的指责中将座位让给了老太太