交换机与路由技术-32-命名ACL

目录

命名的访问控制列表

1.1 特点

1.2 删除访问控制列表

1.3 命名ACL配置案例

1.3.1 配置要求

1.3.2  配置命令（思路）

1.3.3 查看ACL配置信息

1.3.4 假设要删除其中某一条配置

1.3.5 假设要插入一条ACL条目在20和30之间

二、总结配置命名ACL

---

命名的访问控制列表

1.1 特点

命名访问控制列表允许在标准和扩展访问控制列表中使用名称代替表号

没有表号，根据关键字区分是标准还是扩展的ACL

标准命名ACL是 standard

扩展命名ACL是 extended

1.2 删除访问控制列表

在删除之前需要在应用接口取消

不管是标准的还是扩展的ACL删除访问控制列表其中的某一条策略，都会将整个表内的所有ACL条目都删除掉，非常不灵活。

添加ACL也是自动往后加，无法在中间插入

命名ACL弥补了这一缺点，这也是命名ACL相比扩展ACL的优势所在

命名ACL可以在某一个表内删除单条ACL或增加或插入一条ACL（通过序号实现）

1.3 命名ACL配置案例

1.3.1 配置要求

PC0 无法访问服务器的dns服务、其他服务正常

（即PC0无法通过域名访问，但可以通过ip地址访问网站）

PC1无法访问服务器的http服务、其他服务正常

（即可以进行域名解析但是无法访问网站）

两台主机都无法ping通服务器

1.3.2  配置命令（思路）

Router(config)#access-list ?

<1-99> IP standard access list

<100-199> IP extended access list

/* 命名ACL前面要加ip */

Router(config)#ip access-list ?

extended Extended Access List

standard Standard Access List

Router(config)#ip access-list extended ?

<100-199> Extended IP access-list number

WORD name

Router(config)#ip access-list extended myACL

Router(config-ext-nacl)#?

<1-2147483647> Sequence Number

default Set a command to its defaults

deny Specify packets to reject

exit Exit from access-list configuration mode

no Negate a command or set its defaults

permit Specify packets to forward

remark Access list entry comment

Router(config-ext-nacl)#deny ?

ahp Authentication Header Protocol

eigrp Cisco's EIGRP routing protocol

esp Encapsulation Security Payload

gre Cisco's GRE tunneling

icmp Internet Control Message Protocol

ip Any Internet Protocol

ospf OSPF routing protocol

tcp Transmission Control Protocol

udp User Datagram Protocol

Router(config-ext-nacl)#deny icmp ?

A.B.C.D Source address

any Any source host

host A single source host

Router(config-ext-nacl)#deny icmp host 192.168.10.1 ?

A.B.C.D Destination address

any Any destination host

host A single destination host

Router(config-ext-nacl)#deny icmp host 192.168.10.1 host 192.168.40.1

Router(config-ext-nacl)#deny icmp host 192.168.20.1 host 192.168.40.1

Router(config-ext-nacl)#deny udp host 192.168.10.1 host 192.168.40.1 eq 53

Router(config-ext-nacl)#deny tcp host 192.168.20.1 host 192.168.40.1 eq 80

Router(config-ext-nacl)#permit ip any any

Router(config-ext-nacl)#exit

Router(config)#int g0/2

Router(config-if)#ip acc

Router(config-if)#ip access-group myACL out

Router(config-if)#

1.3.3 查看ACL配置信息

show ip access-lists

1.3.4 假设要删除其中某一条配置

步骤一：在接口上取消ACL应用

步骤二：在全局模式，进入命名ACL模式，no 该ACL条目

Router(config)#int g0/2

Router(config-if)#no ip access-group myACL out

Router(config-if)#exit

Router(config)#ip access-list extended myACL

Router(config-ext-nacl)#no deny icmp host 192.168.10.1 host 192.168.40.1

Router(config-ext-nacl)#end

Router#

再次查看ACL信息之前的序号10被删除

删除后别忘了在接口再次应用ACL

Router(config)#int g0/2

Router(config-if)# ip access-group myACL out

1.3.5 假设要插入一条ACL条目在20和30之间

新增之前也是在应用接口上取消，添加后再重新应用即可

Router(config)#

Router(config)#ip access-list extended myACL

Router(config-ext-nacl)#

Router(config-ext-nacl)#?

<1-2147483647> Sequence Number

default Set a command to its defaults

deny Specify packets to reject

exit Exit from access-list configuration mode

no Negate a command or set its defaults

permit Specify packets to forward

remark Access list entry comment

Router(config-ext-nacl)#22 permit  ip host 192.168.20.2 host 192.168.20.3

查看ACL信息

二、总结配置命名ACL

Router(config)#ip access-list standard/extended ACL-name

Router(config-ext-nacl)# deny/permit 协议 源地址/主机 目的地址/主机 (eq/gt/lt/neq/range) （端口号）

插入一条ACL条目

首先在应用接口取消ACL的应用

其次进入标准或扩展命名ACL

Router(config-ext-nacl)#序号 deny/permit…

最后重新在接口应用生效

删除一条ACL条目

首先在应用接口取消ACL的应用

其次进入标准或扩展命名ACL

Router(config-ext-nacl)#no acl命令

最后重新在接口应用生效