ACL控制访问列表——标准访问控制列表配置实例
ACL标准访问控制列表的配置实例
ACL的工作流程
1、当一个数据报进入一个端口,路由器检查这个数据报是否可路由。
如果是可以路由的,路由器检查这个端口是否有ACL控制进入数据报。如果有,根据ACL中的条件指令,检查这个数据报。
如果数据报是被允许的,就查询路由表,决定数据报的目标端口。
2、路由器检查目标端口是否存在ACL控制流出的数据报
不存在,这个数据报就直接发送到目标端口。
如果存在,就再根据ACL进行取舍
假如你是某公司的网络管理员,为了安全起见领导要求:经理可以访问财务部,但是市场部不可以访问财务部。
ACL的配置:
1、
创建一个标准访问控制列表
Router(config)# access-list access_list_number {permit|deny} {test_conditions}
2、将访问控制绑定到接口上
Router(config-if)# {protocol} access-group access_list_number {in|out}
3、关闭访问控制列表
Router(config)# no access-list access_list_number
拓扑图:
操作步骤: Router0上操作
Router>en Router#conf t Router(config)#hostname r0 r0(config)#in f0/0 r0(config-if)#ip add 192.168.1.1 255.255.255.0 r0(config-if)#no shut r0(config-if)# r0(config-if)#in f0/1 r0(config-if)#ip add 192.168.2.1 255.255.255.0 r0(config-if)#no shut r0(config-if)#
r0(config-if)#in s1/0 r0(config-if)#ip add 192.168.3.1 255.255.255.0 r0(config-if)#clock rate 64000 r0(config-if)#no shut
Router1上操作 Router>en Router#conf t Enter configuration commands, one per line.End with CNTL/Z. Router(config)#in f0/0 Router(config-if)#ip add 192.168.4.1 255.255.255.0 Router(config-if)#no shut
Router(config-if)# %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up
Router(config-if)#in s1/1 Router(config-if)#ip add 192.168.3.2 255.255.255.0 Router(config-if)#no shut
Router(config-if)# %LINK-5-CHANGED: Interface Serial1/1, changed state to up Router(config-if)#ip route 0.0.0.0 0.0.0.0 192.168.3.1//配置缺省路由 Router(config)#
返回Router0上继续操作: r0(config-if)# r0(config-if)#ip route 192.168.4.0 255.255.255.0 192.168.3.2//添加静态路由 配置好以后测验。三台主机之间可相互通信! r0(config)#ip access-list ? extendedExtended Access List//扩展访问控制列表 standardStandard Access List//标准访问控制列表 r0(config)#ip access-list standard ? <1-99>Standard IP access-list number WORDAccess-list name r0(config)#ip access-list standardahxh//命名的方式 r0(config-std-nacl)#permit 192.168.1.0 0.0.0.255//允许192.168.1.0网段的报文通过 0.0.0.255用的是通配符掩码。和子网掩码一样,以点分十进制来表示。通过与IP地址执行比较操作来标识网络。不同的是,通配符掩码化为二进制以后,其中的“1”表示在比较中可以被忽略,地址为上的“0”则表示相应的地址位必须被检查
r0(config-std-nacl)#deny 192.168.2.0 0.0.0.255//丢弃192.168.2.0网段的报文 r0(config-std-nacl)#end
r0#[1] r0#conf t r0(config)#in s1/0//应用的端口上 r0(config-if)#ip access-group ahxh out//出栈应用 r0(config-if)#
[1]
【ACL控制访问列表——标准访问控制列表配置实例】转载于:https://blog.51cto.com/liangyouqiang/321331
推荐阅读
- 我的拖延症如何控制了我,又一次
- Android7.0|Android7.0 第三方应用无法访问私有库
- 真正的爱
- oracle|oracle java jdk install
- 每天听本书《控制焦虑》
- 数据技术|一文了解Gauss数据库(开发历程、OLTP&OLAP特点、行式&列式存储,及与Oracle和AWS对比)
- 控制自己的心为什么这么难([追光日记(第2篇)])
- 《不要用爱控制我》
- 8、Flask构建弹幕微电影网站-搭建后台页面-密码修改、主页控制面板
- 打开Anaconda|打开Anaconda Navigator 时报错 error 5 拒绝访问