Cisco ACL類型詳解

來源：塔塔 更新時(shí)間：2013-08-08

更多

思科ACL
基本原則：1、按順序執(zhí)行，只要有一條滿足，則不會(huì)繼續(xù)查找
          2、隱含拒絕，如果都不匹配，那么一定匹配最后的隱含拒絕條目，思科默認(rèn)的
          3、任何條件下只給用戶能滿足他們需求的最小權(quán)限
          4、不要忘記把ACL應(yīng)用到端口上
一、標(biāo)準(zhǔn)ACL
    命令：access-list {1-99} {permit/deny} source-ip source-wildcard [log]
    例：access-list 1 penmit 192.168.2.0 0.0.0.255      允許192.168.2.0網(wǎng)段的訪問
        access-list 1 deny 192.168.1.0 0.0.0.255        拒絕192.168.1.0網(wǎng)段的訪問
    說明：wildcard為反掩碼，host表示特定主機(jī)等同于192.168.2.3 0.0.0.0；any表示所有的源或目標(biāo)等同于0.0.0.0 255.255.255.255 ；log表示有匹配時(shí)生成日志信息；標(biāo)準(zhǔn)ACL一般用    在離目的最近的地方
 
二、擴(kuò)展ACL
    命令：access-list {100-199} {permit/deny}  protocol source-ip source-wildcard  [operator port] destination-ip destination-wildcard               [operator port] [established]    [log]
    例：access-list 101 permit tcp 192.168.2.0 0.0.0.255 gt 1023 host 192.168.1.2 eq 80
           允許192.168.2.0網(wǎng)段的主機(jī)訪問主機(jī)192.168.1.2的web服務(wù)
           access-list 101 permit udp 192.168.2.0 0.0.0.255 gt 1023 any eq 53
           允許192.168.2.0網(wǎng)段的主機(jī)訪問外網(wǎng)以做dns查詢
          說明：gt 1023表示所有大于1023的端口，這是因?yàn)橐话阍L問web、ftp等服務(wù)器時(shí)客戶端的主機(jī)是使用一個(gè)1023以上的隨機(jī)端口；             established 表示允許一個(gè)已經(jīng)建立的連接的流量，也就是數(shù)據(jù)包的ACK位已設(shè)置的包。
 
三、命名ACL
     命令： ip access-list {standard/extended} name
                  { permit /deny} source-ip source-wildcard                               標(biāo)準(zhǔn)
                  { permit /deny} protocol source-ip source-wildcard [operator port] destination-ip destination-wildcard  [operator port] [established][log]                              擴(kuò)展
    例：ip access-list extended outbound             定義一個(gè)名為outbound的命名ACL
             permit tcp 192.168.2.0 0.0.0.255 gt 1023 host 192.168.1.2 eq 80 
            允許192.168.2.0網(wǎng)段的主機(jī)訪問主機(jī)192.168.1.2的web服務(wù)