标准ACL和扩展ACL的应用实例 配置实例
文章出处:www.net1980.com 原创
访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机。本文通过2个实例,介绍标准ACL和扩展ACL的使用方法。
在介绍案例之前,我们先来了解一下什么是标准访问控制列表和扩展访问控制列表: 标准访问控制列表比较简单,标准访问控制列表是通过使用IP包中的源IP地址进行过滤,在思科的路由器里使用的访问控制列表号1到99以及1300到1999来创建相应的ACL。 扩展访问控制列表功能很强大,他可以控制源IP,目的IP,源端口,目的端口等,能实现相当精细的控制,扩展ACL不仅读取IP包头的源地址/目的地址,还要读取第四层包头中的源端口和目的端口的IP。不过他存在一个缺点,那就是在没有硬件ACL加速的情况下,扩展ACL会消耗大量的路由器CPU资源。所以当使用中低档路由器时应尽量减少扩展ACL的条目数。在思科路由器里,扩展访问控制列表使用的ACL号为100到199以及2000到2699。
案例一:标准ACL应用实例 一、组网结构及需求
某企业总部在北京,广州有一分公司,通过专线连接到北京总部。广州分公司有管理者和普通员工两个网段,要求在路由器的接口上通过ACL进行控制,让管理者网段可以访问北京公司的数据库,但普通员工禁止访问北京公司数据库。
二、配置方法
1、广州公司路由器的数据配置 interface FastEthernet0/0
ip address 10.10.10.1 255.255.255.0 duplex auto speed auto interface Serial0/0 description to beijing
ip address 192.168.1.1 255.255.255.252 encapsulation ppp interface FastEthernet0/1
ip address 20.20.20.1 255.255.255.0 duplex auto speed auto
ip route 0.0.0.0 0.0.0.0 192.168.1.2
2、北京公司路由器的数据配置 interface FastEthernet0/0
ip address 172.16.1.1 255.255.255.0
duplex auto speed auto interface Serial0/0 description to Guangzhou
ip address 192.168.1.2 255.255.255.252
ip access-group 10 in /*与广州互连接口的入方向上,应用标准访问控制列表10 */ encapsulation ppp interface FastEthernet0/1
ip address 172.16.2.1 255.255.255.0 duplex auto speed auto
ip route 0.0.0.0 0.0.0.0 192.168.1.1
access-list 10 permit 20.20.20.0 0.0.0.255 /*标准访问控制列表10,允许源地址为20.20.20.0网段的数据包通过 */
案例二:扩展ACL应用实例 一、组网结构及需求
组网机构与案例一相同,要求广州分公司的管理者网段可以访问北京公司的数据库1和数据库2;普通员工可以访问数据库一,但禁止访问数据库二。
二、配置方法
1、广州公司路由器的数据配置 interface FastEthernet0/0
ip address 10.10.10.1 255.255.255.0 duplex auto speed auto interface Serial0/0 description to beijing
ip address 192.168.1.1 255.255.255.252 encapsulation ppp interface FastEthernet0/1
ip address 20.20.20.1 255.255.255.0 duplex auto speed auto
ip route 0.0.0.0 0.0.0.0 192.168.1.2
2、北京公司路由器的数据配置 interface FastEthernet0/0
ip address 172.16.1.1 255.255.255.0 duplex auto speed auto interface Serial0/0 description to Guangzhou
ip address 192.168.1.2 255.255.255.252
ip access-group 100 in /*与广州互连接口的入方向上,应用扩展访问控制列表100 */ encapsulation ppp interface FastEthernet0/1
ip address 172.16.2.1 255.255.255.0 duplex auto speed auto
ip route 0.0.0.0 0.0.0.0 192.168.1.1
access-list 100 permit ip 20.20.20.0 0.0.0.255 any /*允许源地址“20.20.20.0/24”访问任何网络 */
access-list 100 permit ip 10.10.10.0 0.0.0.255 172.16.1.0 0.0.0.255 /*允许源地址“10.10.10.0/24”访问“172.16.1.0/24” */
相关推荐:
loading