アクセス制御リスト(ACL)
予め定義された良好なパケットフィルタリングルールによれば、第3層、第4層ヘッダを読み取ります。
インタフェース・アプリケーションの方向でのアクセス制御リスト
データ方向に関連付けられたインターフェイスの方向にリスト
A:ルータは、データパケットがルータインターフェイスを残している、処理された;
へ:パケットルータが処理される、ルータインターフェイスに達しています。
アクセス制御リストの処理
アクセス制御リストのタイプ
標準アクセス制御リスト
- パケットの送信元IPアドレスに基づいてフィルタリング。
- 1から99までの標準的なアクセス制御リストACL番号。
拡張アクセスコントロールリスト
- 送信元IPアドレス、宛先IPアドレスに基づいてパケットをフィルタリングするために、プロトコル、ポートおよび徴候を指定します。
- 100から199へ拡張アクセス制御リストACL番号。
名前付きアクセス制御リスト
- ACLを命名する名前ではなく番号標準および拡張アクセス制御リストを使用されることができます。
アクセス制御リストの標準構成
基本的なコマンド:
Router(config)#access-list access-list-number {permit | deny} source [ source-wildcard ] //创建ACL
Router(config)# no access-list access-list-number //删除ACL
Router(config-i)# ip access-group access-list-number {in lout} //将ACL应用于接口
Router(config-if)# no ip access-group access-list-number {in lout} //在接口上取消ACL的应用アプリケーション例:
Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255 //创建ACL,允许网段192.168.1.0/24
Router(config)# access-list 1 permit 192.168.2.2 0.0.0.0 //创建ACL,允许IP192.168.2.2アクセス制御リストの暗黙の拒否を注意し、デフォルトでは、次のコマンドを使用するのと同じルールを設定しない場合に拒否します:
Router(config)# access-list 1 deny 0.0.0.0 255.255.255.255
我々はホストのIPアドレスは、キーワードを追加する前に、固定されたホストアドレスは、サブネットマスクを書き込むことはできません設定した場合、我々はすべてのIPアドレスを設定するとき、あなたはどの代替「0.0.0.0 255.255.255.255」を使用することができます。
拡張アクセスコントロールリストの設定
基本的なコマンド
Router(config)# access-list access-list-number { permit| deny } protocol { source source-wildcard destination destination-wildcard } [ operator operan ] //创建ACL
Router(config)# no access-list access-list-number //删除ACL
Router(config-if)# ip access-group access-list-number {in |out} //将ACL应用于接口
Router(config-if)# no ip access-group access-list-number {in |out} //在接口上取消ACL的应用アプリケーション例
Router(config)# access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
Router(config)# access-list 101 deny ip any any
Router(config)# access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq 21
Router(config)# access-list 101 permit ip any any
Router(config)# access-list 101 deny icmp 192.168.1.0 0.0.0.255 host 192.168.2.2 echo
Router(config)# access-list 101 permit ip any any名前付きアクセス制御リストの設定
基本的なコマンド
Router(config)# ip access-list { standard | extended } access-list-name //创建ACL,standard标准命名ACL,extended配置标准命名ACL
Router(config-std-nacl)# [ Sequence-Number] { permit | deny } source [ source-wildcard] //扩展命名ACL,Sequence-Number决定ACL语句在ACL列表中的位置
Router(config-ext-nacl)# [ Sequence-Number ] { permit| deny } protocol { source source-wildcard destination destination-wildcard } [ operator operan ] //配置扩展命名ACL
Router(config)# no ip access-list { standard lextended } access-list-name //删除整组ACL
Router(config-std-nacl)# no Sequence-Number //删除组中单一ACL语句,建议这种方法
Router(config-std-nacl)#no permit host ACL语句 //删除组中单一ACL语句
Router(config-if)# ip access-group access-list-name {in |out} //将ACL应用于接口
Router(config-if)# no ip access-group access-list-name {in |out} //在接口上取消ACL的应用
Router#show access-lists //查看ACL配置信息アプリケーション例
Router(config)# ip access-list standard cisco //标准命名ACL
Router(config-std-nacl)#15 permit host 192.168.2.1
Router(config)# ip access-list extended cisco //扩展命名ACL
Router(config-ext-nacl)# deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq 21
Router(config-ext-nacl)# permit ip any any