diff --git "a/39 \351\255\217\346\205\247\345\251\267/20250425 \346\211\251\345\261\225\357\274\232ACL\357\274\210\350\256\277\351\227\256\346\216\247\345\210\266\345\210\227\350\241\250\357\274\211.md" "b/39 \351\255\217\346\205\247\345\251\267/20250425 \346\211\251\345\261\225\357\274\232ACL\357\274\210\350\256\277\351\227\256\346\216\247\345\210\266\345\210\227\350\241\250\357\274\211.md" new file mode 100644 index 0000000000000000000000000000000000000000..85bfa6326823bed24705a4f1b3513df308eacaf5 --- /dev/null +++ "b/39 \351\255\217\346\205\247\345\251\267/20250425 \346\211\251\345\261\225\357\274\232ACL\357\274\210\350\256\277\351\227\256\346\216\247\345\210\266\345\210\227\350\241\250\357\274\211.md" @@ -0,0 +1,171 @@ +### 访问控制列表(ACL,Access Control List)是思科设备中用于**流量过滤**和**安全策略**的核心技术,广泛应用于: + +- **网络安全**:限制非法访问(如阻止攻击流量)。 +- **流量控制**:允许/拒绝特定服务(如HTTP、SSH)。 +- **策略路由**:结合路由映射(Route-map)实现高级选路。 + + + +### **一、ACL类型** + +| 类型 | 编号范围 | 匹配依据 | 特点 | +| ----------- | ------------------ | ------------------------ | ------------------ | +| **标准ACL** | 1-99, 1300-1999 | 仅源IP地址 | 简单,效率低 | +| **扩展ACL** | 100-199, 2000-2699 | 源IP、目的IP、协议、端口 | 精细控制,推荐使用 | + +### **二、标准ACL语法** + +#### **1. 创建ACL** + +```bash +access-list <编号> <动作> <源IP> <通配符掩码> + +# 编号范围 1-99 + +# 动作:permit 允许 、 deny 拒绝 +``` + +#### **2. 示例** + +```bash +access-list 10 permit 192.168.1.0 0.0.0.255 # 允许192.168.1.0/24g整个网络(网段要加反掩码) + +access-list 10 permit 192.168.10.2 # 允许192.168.10.2单个IP通过 + +access-list 10 deny any # 拒绝其他所有流量 +``` + +#### **3. 应用ACL** + +```bash +# 语法分两步骤 + +# 步骤1:先选择要应用ACL的端口 如 interface g0/0 +# 步骤2:通过ACL编号及方向来应用ACL,格式如下 +ip access-group <编号> <方向> # 方向 in / out 代表流量流入/流出路由器的方向 + +# 示例: +interface GigabitEthernet0/0 # 第一步,进入G0/0端口 +ip access-group 10 in # 第二步,在G0/0端口的入口方向应用编号为10的ACL +``` + +--- + +### **三、验证与排错** + +#### **1. 查看ACL配置** + +```cmd +show access-lists ! 显示所有ACL +show ip interface Gig0/0 ! 查看接口应用的ACL +``` + + + + + + [20250424 ACL(简).pkt](pkt文件夹\20250424 ACL(简).pkt) + +```cmd +// 三层交换机设置应用ACL(实现任务一) +Switch>en + +Switch#confi t + +Switch(config)#access-list 10 permit 192.168.10.1 //允许这台主机访问 + +Switch(config)#access-list 10 deny any //拒绝所有流量 + +上面这两行规则,决定只有192.168.10.1这台主机可以访问外部 + +Switch(config)#interface f0/2 + +Switch(config-if)#ip access-group 10 out //把ACL规则应用到g0/2这个端口 + + + +// 在路由器1设置应用ACL(实现任务二) +Router>en + +Router#confi t + +Router(config)#access-list 10 permit 192.168.20.0 0.0.0.255 //因为要允许的是网段,不是具体主机,所以要加上反掩码 + +Router(config)#access-list 10 deny any + +Router(config)#interface g0/1 + +Router(config-if)#ip access-group 10 in +``` + + + + + + [20250424 ACL(复杂).pkt](pkt文件夹\20250424 ACL(复杂).pkt) + +```cmd +// 财务部财务经理链接的路由器配置应用ACL,实现任务1、2 +Router>en + +Router#confi t + +Router(config)#access-list 10 permit 192.168.10.1 + +Router(config)#access-list 10 deny any + +Router(config)#interface g0/2 + +Router(config-if)#ip access-group 10 out +``` + +```cmd +//后勤部路由器配置应用ACL,实现任务1、2 + +Router>en + +Router#confi t + +Router(config)#access-list 10 permit 192.168.20.2 + +Router(config)#acc 10 deny any + +Router(config)#interface g0/0 + +Router(config-if)#ip acc 10 out +``` + +```cmd +// 业务部中左边路由器配置应用ACL,实现任务1、2 +Router>en + +Router#confi t + +Router(config)#access-list 10 permit 192.168.30.1 + +Router(config)#access-list 10 de any + +Router(config)#interface g0/2 + +Router(config-if)#ip access-group 10 out + + + + + +//业务部中右边路由器配置应用ACL,完成任务3 +Router>en + +Router#confi t + +Router(config)#access-list 10 permit 192.168.30.1 + +Router(config)#access-list 10 permit 3.3.3.0 0.0.0.255 + +Router(config)#access-list 10 deny any + +Router(config)#interface g0/0 + +Router(config-if)#ip access-group 10 in +``` +