扩展ACL
语法:access-list access-list-number { permit | deny } protocol { source source-wildcard destination destination-wildcard } [ operator operan ]
------------------------------------------------------------------------------------------------------------------------------------------
例如第一种:access-list 列表编号 permit|deny ip 源网络 源网络反掩码 目的网络 目的网络反掩码
第一种表示 允许或拒绝源网络访问目的网络的ip协议
------------------------------------------------------------------------------------------------------------------------------------------
例如第二种:access-list 列表编号 permit|deny tcp 源网络 源网络反掩码 目的网络 目的网络反掩码 eq 21
第二种表示 允许或拒绝源网络访问目的网络的FTP协议(采用TCP应用层进行过滤)
------------------------------------------------------------------------------------------------------------------------------------------
例如第三种:access-list 列表编号 permit|deny tcp 源网络 源网络反掩码 host 主机ip地址 eq 80
第三种表示 允许或拒绝源网络访问一个主机的HTTP协议(采用TCP应用层进行过滤,禁止源网络访问服务器的HTTP协议的网站)
------------------------------------------------------------------------------------------------------------------------------------------
例如第四种:access-list 列表编号 permit|deny tcp any host 主机ip地址 eq 80
第四种表示 允许或拒绝所有网段或主机访问一个主机的HTTP协议(采用TCP应用层进行过滤)
……
------------------------------------------------------------------------------------------------------------------------------------------
注意:每个访问控制列表最后一条都是拒绝所有。所以在写完拒绝时要允许所有:acc-list 列表编号 permit ip any any
注:扩展ACL列表编号为100-199
协议:
ip (ip包含tcp和udp)
icmp
tcp
udp
……
TCP应用层协议过滤:
FTP数据 20
FTP连接 21
Telnet 23
WWW(HTTP) 80
WWW(HTTPS)443
……
------------------------------------------------------------------------------------------------------------------------------------------
例题1:
允许网络192.168.1.0/24访问网络192.168.2.0/24的IP流量通过,而拒绝其他任何流量。ACL命令如下:
Router(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
Router(config)#access-list 101 deny ip any any
例题2:
拒绝网络192.168.1.0/24访问ftp服务器192.168.2.2/24的IP流量通过,而允许其他任何流量。ACL命令如下:
Router(config)#access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq 21
Router(config)#access-list 101 permit ip any any
例题3:
禁止网络192.168.1.0/24中的主机ping通服务器192.168.2.2/24的流量通过,而允许其他任何流量。ACL命令如下:
Router(config)# access-list 101 deny icmp 192.168.1.0 0.0.0.255 host 192.168.2.2 echo
Router(config)# access-list 101 permit ip any any