几句话就能让你明白:ACL 访问控制列表(二)-阿里云开发者社区

开发者社区> 科技小先锋> 正文

几句话就能让你明白:ACL 访问控制列表(二)

简介:
+关注继续查看

一、扩展方问控制列表的配置

1、创建ACL

Router(config)#access-list  access-list-number { permit| deny } protocol { source source-wildcard destination destination-wildcard }

[ operator operan]

   #access-list-number:访问控制列表表号,100~199之间

   #permit|deny:如果测试条件满足,则允许|拒绝该通信流量

   #protocol:用来指定协议类型,如IP、UDP、ICMP等

   #source、destination:分别用来标识源地址和目的地址

   #source-wildcard、destination-wildcard:源反码、目的反码

   #operator operan:lt(小于)、gt(大于)、eq(等于)或neq(不等于)+端口号

【例如:允许网络192.18.1.0/24访问网络192.168.2.0/24的IP流量通过,而拒绝其他任何流量】

   Router(config)# access-list 100 permit ip192.168.1.0  0.0.0.255  

                   192.168.2.0 0.0.0.255

   Router(config)# access-list 100 deny any any

【例如:拒绝网络192.168.1.0/24访问FTP服务器192.168.2.2/24的IP流量通过,而允许其他任何流量】

   Router(config)# access-list 100 permit ipany any

   Router(config)# access-list 100 deny tcp192.168.1.0  0.0.0.255

                   host 192.168.2.2 eq 21

【例如:禁止网络192.168.1.0/24中的主机ping通服务器192.168.2.2/24,而允许其他任何流量】

   Router(config)# access-list 100 deny icmp 192.168.1.0  0.0.0.255

                   host 192.168.2.2 echo

   Router(config)# access-list 100 permit ipany any

2、将ACL应用于接口

   Router(config)# ip access-groupaccess-list-number { in | out }

3、取消ACL的应用

   Router(config)# no ip access-groupaccess-list-number { in | out }

4、扩展ACL的配置实例


100359418.jpg

要求:

允许主机PC1访问Web服务器的WWW服务

禁止主机PC1访问Web服务器的其他任何服务

允许主机PC1访问网络192.168.2.0

命令:

R1(config)# access-list 100 permit tcp host 192.168.1.1 host

           192.168.3.1 eq www

R1(config)# access-list 100 deny ip host 192.168.1.1 host192.168.3.1

   R1(config)# access-list 100 permit ip host192.168.1.1 host

              192.168.2.0  0.0.0.255

   R1(config# int f0/0

   R1(config)# ip access-group 100 in

二、命名访问控制列表的配置

1、创建ACL

Router(config)#ip access-list { standard | extended } access-list-name

【定义标准命名ACL】

Router(config-std-nacl)#[sequence-Number] { permit | deny } source

                        [source-wildcard]

【定义扩展命名ACL】

Router(config-ext-nacl)#[sequence-Number] { permit | deny } protocol

   { source source-wildcard destinationdestination-wildcard }

   [ operator operan]

#sequence-Number:是一个可选参数,默认情况下,第一条为10,第二为20,依此类推。

【例:允许来自主机192.168.1.1的流量通过,而拒绝其他流量,标准命名ACL】

   Router(config)# ip access-list standardganbing

   Router(config-std-nacl)# permit host192.168.1.1

   Router(config-std-nacl)# deny any

【例:在命令ACL里插入一条ACL,允许来自主机192.168.2.1的流量通过】

   Router(config)# ip access-list standardganbing

   Router(config-std-nacl)# 15 permit host192.168.2.1

【例:拒绝网络192.168.1.0访问FTP服务器192.168.2.2的流量通过,而允许其他的任何流量,扩展命名 ACL】

   Router(config)# ip access-list extendedganbing

   Router(config-ext-nacl)# deny tcp192.168.1.0  0.0.0.255 host 192.168.2.2eq 21

   Router(config-ext-nacl)# permit ip any any

【例:删除已建立的命名ACL】

   Router(config)# no ip access-list {standard| extended} access-list-name

【例,删除标准命名ACL某一条记录】

   Router(config)# no ip access-list standardganbing

   Router(config)# no 10

【例,删除标准命名ACL某一条记录】

   Router(config)# no ip access-list standardganbing

   Router(config)# no permit host 192.168.1.1

2、将ACL应用于接口

   Router(config-if)# ip access-groupaccess-list-name { in | out }

3、在接口上取消命名ACL的应用

   Router(config-if)# no ip access-groupaccess-list-name { in | out }


本文转自甘兵 51CTO博客,原文链接:http://blog.51cto.com/ganbing/1229642,如需转载请自行联系原作者

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
《Linux/UNIX OpenLDAP实战指南》——2.9 OpenLDAP控制策略
本节书摘来自异步社区《Linux/UNIX OpenLDAP实战指南》一书中的第2章,第2.9节,作者:郭大勇著,更多章节内容可以访问云栖社区“异步社区”公众号查看
1196 0
Apache Spark 将支持 Stage 级别的资源控制和调度
我们需要对不同 Stage 设置不同的资源。但是目前的 Spark 不支持这种细粒度的资源配置,导致我们不得不在作业启动的时候设置大量的资源,从而导致资源可能浪费,特别是在机器学习的场景下。
594 0
oracle参数文件、控制文件、数据文件、日志文件存放位置查看
1.参数文件和网络连接文件 SQL> show parameter spfile; NAME TYPE VALUE -----------------------------------...
667 0
使用OpenApi弹性释放和设置云服务器ECS释放
云服务器ECS的一个重要特性就是按需创建资源。您可以在业务高峰期按需弹性的自定义规则进行资源创建,在完成业务计算的时候释放资源。本篇将提供几个Tips帮助您更加容易和自动化的完成云服务器的释放和弹性设置。
12036 0
PHP中利用文件锁实现日志写入和网站接口访问等常见场景下的并发控制
针对并发环境下网站、日志文件写入产生的脏数据、更新丢失等情况的解决思路之一
2630 0
6967
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载