注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

itoedr的it学苑

记录从IT文盲学到专家的历程

 
 
 

日志

 
 

思科系统ACL语句使用举例  

2013-08-03 15:03:02|  分类: wccp使用 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
ACL的创建和处理原则
  1. 每个协议的每个方向仅配置一个访问列表

  2. 标准应靠近目的地址

  3. 扩展应靠近源地址

  4. 编号符合范围

  5. 进出站方向是从路由器的角度来判断(就是进出路由)

  6. 语句的处理顺序是自上而下

  7. 最后都隐藏一个 deny any

  8. 编写列表时先特殊到一般

查看路由上的已配ACL命令

Show ip interface

Show access-lists

Show running-config

标准ACL 1~991300~1999

语法:access-list [编号] [deny|permit][源地址][源通配符] [log]

1.拒绝某主机

R1(config)# access-list 1 deny 192.168.1.11 0.0.0.0

R1(config)# access-list 1 deny host 192.168.1.11

2.允许所有主机

R1(config)# access-list 1 permit any

3.允许一个网络的所有主机

R1(config)# access-list 1 permit 192.168.1.0 0.0.0.255

4.阻止一个网络的所有主机流量,但是允许其他网络流量

R1(config)# access-list 1 deny 192.168.1.0 0.0.0.255

R1(config)# access-list 1 permit any

扩展ACL100~1992000~2699

  1. 阻止192.168.1.0的网络流量到达192.168.2.0该网络,但是允许相应的流量到达其他网络

config)# access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

R1(config)# access-list 101 permit ip any any

2.允许某网络访问某主机

R1(config)# access-list 101 permit tcp 192.168.1.0 0.0.0.255 host 192.168.2.11 eq http

**************************************************

  1. ACL编号

  2. 动作(denypermit

  3. 协议 ip(任何Internet协议)tcp(传输控制协议)udp(用户数据报协议)

  4. ip地址(某主机或网络)(hostany)参数

  5. 通配符掩码

  6. 目的ip地址(某主机或网络)(hostany)参数

  7. 匹配条件eq(等于)gt(大于)lt(小于)

  8. TCP应用(端口号和首字母)

**************************************************

命名ACL

语法:ip access-list{standard | extended} 名称

  1.新建一个扩展表AAA

 R1(config)#ip access-list extended AAA

R1(config-ext-nacl)# permit ip 192.168.1.1 0.0.0.0 any

R1(config-ext-nacl)# permit ip 192.168.1.2 0.0.0.0 any

*将所建的acl(AAA)表应用到端口0/0in的方向

R1(config)#int fa0/0

R1(config-if)#ip access-group AAA in

  1. 删除某一条语句(no line number添加时直接在语句前加 行号

R1(config)#ip access-list extended AAA

R1(config-ext-nacl)# 20 permit ip 192.168.1.1 any #表示新建一条规则20,即新建规则位于10以后

配置VTY

R1config# access-list 2 permit 192.168.1.1

R1config#line vty 0 4

R1config-line#login

R1config-line#password cisco

R1config-line#access –list 2 in

配置静态动态NAT /PAT

1.动态NAT地址池192.168.1.1~224/24

R1(config)#ip nat pool QQQ 192.168.1.1 192.168.1.224 netmask 255.255.255.0

2.定义匹配内部私有ip地址的访问列表,内部私有网络(10.10.10.0/24

R1config# access-list 1 permit 10.10.10.0 0.0.0.255

  1. 定义从内部列表到外部地址池的NAT转换

R1config#ip nat inside source list 1 pool QQQ

  1. 需要定义端口为内部还是外部端口

R1config# int fa0/0

R1(config-if) # ip nat inside

R1(config-if) # int se1/0

R1(config-if) # ip nat outside

  1. 静态nat映射(为内部主机10.10.10.2 映射一个固定外部ip地址192.168.1.225

R1(config) # ip nat inside source static 10.10.10.2 192.168.1.225

  1. 查看相应的nat配置命令

Show ip nat translations(显示活动的转换。静态nat永久保存)

Show ip nat statistics(显示转换统计信息,包括使用的地址数及成功和失败的次数)

  1. PAT的配置

  1. 定义公用的ip地址池192.168.1.1(这个网络地址是路由wan的串口地址)

R1config#ip nat pool QQQ 192.168.1.1 192.168.1.1 netmask 255.255.255.0

2. 定义匹配内部私有ip地址的访问列表,内部私有网络(10.10.10.0/24

R1config# access-list 1 permit 10.10.10.0 0.0.0.255

3. 定义从内部列表到外部地址池的NAT转换

R1config#ip nat inside source list 1 pool QQQ overload

或直接配置串口

R1config#ip nat inside source list 1 interface se0/0 overload

  1. 清空nat转换表

  2. 定义从内部列表到外部地址池的NAT转换

R1config# clear ip nat translation *

删除用于创建nat池的命令

R1(config)#no ip nat pool QQQ 192.168.1.1 192.168.1.224 netmask 255.255.255.0

  评论这张
 
阅读(89)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017