Cisco交換機ACL的配置

訪問控制列表（Access Control List   ACL）的含義和作用就不講了，自行百度

一 .ACL講解

ACL分標準訪問控制列表（Standard ACL）和拓展訪問控制列表（Extended ACL），如下

① 標準ACL(訪問控制列表號1—99或1300—1999)
只過濾源地址，允許或禁止整個TCP/IP協議族
一般配置在靠近流量目的地的接口
配置方法如下：
router（config）#access-list 1 permit 172.16.0.0 0.0.255.255
router（config）#access list 1 deny any //系統隱含條件（implicit deny any）
router（config）#interface F0/0
router（config-if）#ip access-group 1 in
router（config-if）#exit
router（config）#interface F0/1
router（config-if）#ip access-group 1 out
router（config-if）#no ip access-group 1 out //在端口上卸除ACL綁定

值得注意的是要改變ACL列表條件只能刪除整個表：
router（config）#no access-list 1

②拓展ACL（訪問控制列表標號100-199或2000-2600）
過濾源或目的地址，允許或拒絕一個具體的協議和端口號
一般放在靠近流量源頭處
用到端口號時常用的英文縮寫   it gt eq neq(＜、＞、＝、≠)
常見熟知端口號：
20 文件傳輸協議（FTP）數據通道
21 文件傳輸協議（FTP）控制通道
23 遠程登錄（Telnet）
25 簡單郵件傳輸協議（SMTP）
53 域名服務系統（DNS）
69 普通文件傳輸協議（TFTP）
80 超文本傳輸協議（HTTP）
例1：
router（config）#access-list 101 deny ip 172.16.4.0 0.0.0.255 host 10.8.1.128
router（config）#access-list 101 permit ip 172.16.4.0 0.0.0.255 10.8.0.0 0.0.255.255
router（config）#access-list 101 deny ip any any //系統隱含條件（implicit denyall）
router（config）#interface s0
router（config-if）#ip access-group 101 out
router（config）#access-list 102 deny ip 172.16.3.0 0.0.0.255 host 172.16.4.10 eq 21
router（config）#access-list 102 deny ip 172.16.3.0 0.0.0.255 host 172.16.4.10 eq 20
router（config）#interface f0/0
router（config-if）#ip access-group 102 out


例2：
允許192.168.10.10 ping 172.16.1.1,禁止反向測試：
router（config）#access-list 199 deny icmp host 192.168.10.10 host 172.16.1.1 echo
router（config）#access-list 199 deny icmp host 192.168.10.10 host 172.16.1.1 echo reply
router（config）#access-list 199 permit ip any any

③命名IP ACL（Cisco IOS v11.2以後支持）
例：
router（config）#access-list standard acl_1 //註明standard還是extended控制列表，名字可使用大多數字符
router（config-std-nac）#permit 172.18.0.0 0.0.255.255 log
router（config-std-nac）#no permit 172.18.0.0 0.0.255.255 log //no 命令移去特定語句
router（config）#interface f0/0
router（config-if）#ip access-group acl_1 out




④查看ACL列表
router（config）# show ip interface e0 //查看接口ACL綁定情況
router（config）# show accesslists //監視ACL內容
router（config）#show access-list [acl表號]】

二.實例

拓撲圖如下（路由配置用的是RIP），其中DNS服務器中有兩條記錄：

ns.shzu.edu.cn 2.2.2.200

ftp.shzu.edu.cn 2.2.2.100

實驗要求：

①1.1.1.0/24網段中的所有節點能ping通2.2.2.0/24網段中的DNS服務器，而無法ping通其他節點

②2.2.2.0/24網段中的節點不能訪問Internet（即不能ping 通R2之後的節點）

實驗過程

①配置R1

②配置R2

③測試

至此實驗結束，ACL配置過程中其他值得注意的一些地方總結如下：

訪問控制列表的順序決定被檢驗的順序，特殊規則放在最前面（如針對某個主機）
每個列表至少有一個允許語句
每個接口，每個協議，每個方向上只能綁定一個ACL列表