fly122361 2009-11-28 07:20
访问控制列表全接触--ACL命令解释
一、创建ACL
1.标准编号ACL
router(config)#access-list acl_# permit/deny source_ip_address [wildcard_mask] [log]
acl_#:标准IP ACL编号(1-99/1300-1999)
source_ip_address:源IP地址
[wildcard_mask]:[]表示可选参数,可有可无;wildcard_mask表示通配符掩码,如果忽略通配符掩码,默认为0.0.0.0--完全匹配ACL语句中的相应地址。
log:将信息输出到路由器控制台端口
2.扩展编号ACL
router(config)#access-list acl_# permit/deny ip_protocol source_ip_address source_wildcard_mask [protocol_information] destination_ip_address destination_wildcard_mask [protocol_information] [log]
acl_#:标准IP ACL编号(100-199/2000-2699)
ip_protocol:表示IP协议(IP、ICMP、TCP、UDP、IGRP、EIGRP、IGMP、GRE、IPINIP、NOS、OSPF)
source_ip_address:源IP地址
destination_ip_address:目标IP地址
[protocol_information]:[]表示可选参数,可有可无;protocol_information表示协议信息(如端口号、消息类型)
3.TCP/UDP ACL
router(config)#access-list acl_# permit/deny TCP/UDP source_ip_address source_wildcard_mask [operator source_port_#] destination_ip_address destination_wildcard_mask [operator destination_port_#] [established] [log]
acl_#:标准IP ACL编号(100-199/2000-2699)
source_ip_address:源IP地址
destination_ip_address:目标IP地址
operator:操作符(lt"<",gt">",neq"不等于",eq"=",range"端口号范围")
source_port_#:源端口号
destination_port_#:目标端口号
established:仅用于TCP连接,使用此关键字的前提是,假设在网络内部产生TCP流量,并且要对回到网络的返回流量进行过滤。在这种情况下,此关键字可以允许或拒绝任何TCP数据段报头中RST或ACK位设置为1的TCP流量。
4.命名ACL
router(config)#ip access-list standard/extended ACL_name
二、在接口上应用ACL
1.标准IP ACL/扩展IP ACL
router(config)#interface type [slot_#]/port_#
router(config-if)#ip access-group ACL_# in/out
2.命名ACL
router(config)#interface type [slot_#]/port_#
router(config-if)#ip access-group ACL_NAME in/out
type:(接口)类型;如serial,fast ethernet等
slot_#:槽号
port_#:端口号
in/out:入站/出站方向,如不指明默认为OUT,在IOS12.0以后的版本必须指明方向。
ACL_#:ACL编号
ACL_NAME:ACL名字
========================
扩展IP访问控制列表各关键字功能表
关 键 字 功 能 描 述
list number
访问控制列表的表号范围,取值100~199
permit/deny
表示满足访问表项的报文是允许通过接口,还是要过滤掉
host/any
分别用于指定单个主机和所有主机。host是0.0.0.0通配符屏蔽码的简写;
any是源IP地址0.0.0.0/目标IP地址255.255.255.255的简写
protocol
定义了需要被控制的TCP/IP协议,如IP、TCP、UDP等协议
source address
以点分十进制形式表达的源地址
source-wildcard
源地址通配符屏蔽码,与子网掩码的方式刚好相反
source port
源端口号,可以使用数字、助记符或者使用操作符与数字或助记符相结合的形式来指定一个端口范围
destination address
以点分十进制形式表达的目的地址
destination-wildcard
目的地址通配符屏蔽码,,与子网掩码的方式刚好相反
destination port
目的端口号
option
一个常用的选项有log,用于对那些能够匹配访问表中的permit和deny语句的报文进行日志记录;
另一个常用的选项是established,只用于TCP协议且只在一个方向上来响应由另一端发起的会话