神州数码ACL配置
ACL(访问控制列表)是一种用于控制网络流量的规则集合,它通过定义允许(permit)或拒绝(deny)特定类型的数据包,实现对网络访问的精细化控制。ACL广泛应用于路由器、交换机、防火墙等网络设备,是网络安全和流量管理的基础技术之一。
一、ACL的核心作用
- 流量过滤
- 允许或拒绝特定IP、端口、协议(如TCP/UDP/ICMP)的流量通过。
- 例如:阻止外网访问内网的SSH端口(22)。
- 网络安全
- 防止未授权访问(如黑客扫描、DDoS攻击)。
- 例如:只允许公司IP访问内部服务器。
- 流量管理(QoS)
- 结合其他技术(如NAT、策略路由),实现带宽控制或优先级调度。
- 其他应用
- 用于NAT(定义哪些内网IP可以转换)。
- 用于VPN(限制哪些用户可以建立隧道)。
配置过程
1. 标准ACL(限制源IP)
! 创建ACL,禁止192.168.1.100访问,允许其他
(config)#access-list 10 deny host A.B.C.D
(config)#access-list 10 permit any
! 应用ACL到接口(inbound方向)
(config)#interface GigabitEthernet0/0
(config-if)#ip access-group 10 in
2. 命名ACL(更易管理)
! 创建命名ACL
(config)#ip access-list extended WEB_FILTER
(config)#permit tcp A.B.C.D 《反掩码》 any eq 443
(config)#deny tcp any any eq 22
(config)#permit ip any any
! 应用到接口
(config)#interface GigabitEthernet0/0
(config-if)#ip access-group WEB_FILTER in
3. 基于时间的ACL
! 定义时间范围(工作时间9:00-17:00)
(config)#itime-range WORK_HOURS
(config)#iperiodic weekdays 9:00 to 17:00
! 在ACL中引用时间范围
(config)#iaccess-list 110 deny tcp any any eq 443 time-range WORK_HOURS
(config)#iaccess-list 110 permit ip any any
4. 扩展ACL(精确控制流量)
! 允许内网访问外网HTTP,拒绝SSH
(config)#iaccess-list 101 permit tcpA.B.C.D 《反掩码》any eq 80
(config)#iaccess-list 101 deny tcp any any eq 22
(config)#iaccess-list 101 permit ip any any! 允许其他流量
! 应用ACL到出站方向
(config)#iinterface GigabitEthernet0/1
(config-if)#iip access-group 101 out