目录
命名的访问控制列表
1.1 特点
命名访问控制列表允许在标准和扩展访问控制列表中使用名称代替表号
没有表号,根据关键字区分是标准还是扩展的ACL
标准命名ACL是 standard
扩展命名ACL是 extended
1.2 删除访问控制列表
在删除之前需要在应用接口取消
不管是标准的还是扩展的ACL删除访问控制列表其中的某一条策略,都会将整个表内的所有ACL条目都删除掉,非常不灵活。
添加ACL也是自动往后加,无法在中间插入
命名ACL弥补了这一缺点,这也是命名ACL相比扩展ACL的优势所在
命名ACL可以在某一个表内删除单条ACL或增加或插入一条ACL(通过序号实现)
1.3 命名ACL配置案例
1.3.1 配置要求
PC0 无法访问服务器的dns服务、其他服务正常
(即PC0无法通过域名访问,但可以通过ip地址访问网站)
PC1无法访问服务器的http服务、其他服务正常
(即可以进行域名解析但是无法访问网站)
两台主机都无法ping通服务器
1.3.2 配置命令(思路)
Router(config)#access-list ?
<1-99> IP standard access list
<100-199> IP extended access list
/* 命名ACL前面要加ip */
Router(config)#ip access-list ?
extended Extended Access List
standard Standard Access List
Router(config)#ip access-list extended ?
<100-199> Extended IP access-list number
WORD name
Router(config)#ip access-list extended myACL
Router(config-ext-nacl)#?
<1-2147483647> Sequence Number
default Set a command to its defaults
deny Specify packets to reject
exit Exit from access-list configuration mode
no Negate a command or set its defaults
permit Specify packets to forward
remark Access list entry comment
Router(config-ext-nacl)#deny ?
ahp Authentication Header Protocol
eigrp Cisco's EIGRP routing protocol
esp Encapsulation Security Payload
gre Cisco's GRE tunneling
icmp Internet Control Message Protocol
ip Any Internet Protocol
ospf OSPF routing protocol
tcp Transmission Control Protocol
udp User Datagram Protocol
Router(config-ext-nacl)#deny icmp ?
A.B.C.D Source address
any Any source host
host A single source host
Router(config-ext-nacl)#deny icmp host 192.168.10.1 ?
A.B.C.D Destination address
any Any destination host
host A single destination host
Router(config-ext-nacl)#deny icmp host 192.168.10.1 host 192.168.40.1
Router(config-ext-nacl)#deny icmp host 192.168.20.1 host 192.168.40.1
Router(config-ext-nacl)#deny udp host 192.168.10.1 host 192.168.40.1 eq 53
Router(config-ext-nacl)#deny tcp host 192.168.20.1 host 192.168.40.1 eq 80
Router(config-ext-nacl)#permit ip any any
Router(config-ext-nacl)#exit
Router(config)#int g0/2
Router(config-if)#ip acc
Router(config-if)#ip access-group myACL out
Router(config-if)#
1.3.3 查看ACL配置信息
show ip access-lists
1.3.4 假设要删除其中某一条配置
步骤一:在接口上取消ACL应用
步骤二:在全局模式,进入命名ACL模式,no 该ACL条目
Router(config)#int g0/2
Router(config-if)#no ip access-group myACL out
Router(config-if)#exit
Router(config)#ip access-list extended myACL
Router(config-ext-nacl)#no deny icmp host 192.168.10.1 host 192.168.40.1
Router(config-ext-nacl)#end
Router#
再次查看ACL信息之前的序号10被删除
删除后别忘了在接口再次应用ACL
Router(config)#int g0/2
Router(config-if)# ip access-group myACL out
1.3.5 假设要插入一条ACL条目在20和30之间
新增之前也是在应用接口上取消,添加后再重新应用即可
Router(config)#
Router(config)#ip access-list extended myACL
Router(config-ext-nacl)#
Router(config-ext-nacl)#?
<1-2147483647> Sequence Number
default Set a command to its defaults
deny Specify packets to reject
exit Exit from access-list configuration mode
no Negate a command or set its defaults
permit Specify packets to forward
remark Access list entry comment
Router(config-ext-nacl)#22 permit ip host 192.168.20.2 host 192.168.20.3
查看ACL信息
二、总结配置命名ACL
Router(config)#ip access-list standard/extended ACL-name
Router(config-ext-nacl)# deny/permit 协议 源地址/主机 目的地址/主机 (eq/gt/lt/neq/range) (端口号)
插入一条ACL条目
首先在应用接口取消ACL的应用
其次进入标准或扩展命名ACL
Router(config-ext-nacl)#序号 deny/permit…
最后重新在接口应用生效
删除一条ACL条目
首先在应用接口取消ACL的应用
其次进入标准或扩展命名ACL
Router(config-ext-nacl)#no acl命令
最后重新在接口应用生效