ACL配置(2)

21.2 配置IP标准访问表

IP标准访问表只根据源IP地址制定规则，对数据包进行相应的分析处理。

21.2.1 基本指令描述

命令

access-list access-list-number { permit | deny } {any | source source-wildcard | host source} [time-range time-range-name] l3-action-group-name]

[egr-action-group egr-action-group-name] [vfp-action-group vfp-action-group-name] access-list access-list-number remark comment ip

access-list

standard

{

access-list-number

access-list-name }

[sequence] { permit | deny } { any | source * 配置一条规则。 source-wildcard time-range-name]

[{l3_action-group|egr_action_group|vfp_action_group } action-group-name] [sequence] remark comment

? access-list

定义一条以数字命名的IP标准访问表的规则。

access-list access-list-number { permit | deny } {any | source source-wildcard | host source} [time-range time-range-name] [l3-action-group action-group-name] [egr-action-group action-group-name]

[vfp-action-group action-group-name] access-list access-list-number remark comment

* 配置一条访问表注释

config-std-nacl

|

host

source

}

[time-range

config-std-nacl

配置一条访问表注释 | * 配置标准访问表

config config

[l3-action-group

* 配置访问表

描述

配置模式 config

版权所有?2013，迈普通信技术股份有限公司，保留所有权利 .

??

语法

access-list access-list-number permit deny any

source | source-wildcard host source

time-range time-range-name l3-action-group action-group-name egr-action-group action-group-name vfp-action-group action-group-name remark comment

配置一条访问表规则。

IP标准访问表的编号，范围<1-1000>。 如果条件匹配，就允许访问。 如果条件匹配，就拒绝访问。 任意源地址。 源IP地址及通配符。 一个源主机地址。 指定规则生效的时间域。

指定规则匹配后采取的动作,作用于IN方向 指定规则匹配后采取的动作,作用于OUT方 向 指定规则匹配后采取的动作,用于灵活QINQ的动作 配置一条注释。注释规则，不会参与规则的匹配，仅仅起到规则的注释和分隔作用。

【配置模式】全局配置模式

【缺省情况】没有配置任何访问表和规则。

no格式是删掉一条以数字命名的访问表，包含它里面的所有规则。 no access-list access-list-number ? ip access-list standard

创建一个IP标准访问表，可以用数字命名，也可以是用户自定义名称，该命令将进入IP标准访问表配置模式。

ip access-list standard { access-list-number | access-list-name }

语法

access-list-number access-list-name

【配置模式】全局配置模式

【缺省情况】没有配置任何访问表和规则。

no格式是删掉某个IP标准访问表，包含它里面的所有规则。

描述

标准访问表的编号，范围<1-1000>。 访问表的名称，1～31个字符，区分大小写。

描述

版权所有?2013，迈普通信技术股份有限公司，保留所有权利 .

??

no ip access-list standard { access-list-number | access-list-name } ? permit | deny

配置一条permit或deny的IP标准访问表规则。

[sequence] { permit | deny } { any | source source-wildcard | host source } [time-range time-range-name] [vfp-action-group action-group-name]

语法

sequence permit deny any

source source-wildcard host source

time-range time-range-name l3-action-group action-group-name egr-action-group action-group-name vfp-action-group action-group-name 【配置模式】IP标准访问表配置模式 【缺省情况】没有配置任何访问表和规则。

no格式是删除指定的规则，可以仅指定规则序号，也可以带上规则的内容。 no sequence

no [sequence] { permit | deny } { any | source source-wildcard | host source } time-range time-range-name]

[vfp-action-group

action-group-name]

[egr-action-group

action-group-name]

规则序号

如果条件匹配，就允许访问。 如果条件匹配，就拒绝访问。 任意源地址 源IP地址及通配符 一个源主机地址 指定规则生效的时间域

指定规则匹配后采取的动作。作用于IN方向 指定规则匹配后采取的动作。作用于OUT方向 指定规则匹配后采取的动作。作用于灵活QINQ方向

描述

action-group-name]

[egr-action-group

action-group-name]

[l3-action-group

[l3-action-group action-group-name]

[sequence] remark comment

语法

sequence

规则序号

描述

版权所有?2013，迈普通信技术股份有限公司，保留所有权利 .

??

remark comment

配置一条注释。注释规则，不会参与规则的匹配，仅仅起到规则的注释和分隔作用。

【配置模式】IP标准访问表配置模式 【缺省情况】没有配置任何访问表和规则。 no格式是删掉一条注释。 no sequence

no [sequence] remark comment

21.2.2 应用实例

建立标准访问表2，定义了三条规则，它允许子网92.49.0.0上的主机IP地址为92.49.0.3发来的包通过，允许子网92.48.0.0上所有机器发来的包，拒绝接收其它的包。

命令

switch(config)# access-list 2 permit host 92.49.0.3 switch(config)# 0.0.255.255

switch(config)# access-list 2 deny any 以下定义可以起到同样效果：

命令

switch (config)# ip access-list standard 2

switch (config-std-nacl)# 10 permit host 92.49.0.3 switch(config-std-nacl)# 0.0.255.255

switch (config-std-nacl)# 30 deny any switch (config-std-nacl)# exit

当要删除其中的一条规则时应如下操作：

命令

描述

描述

允许主机IP地址为92.49.0.3发来的包通过

access-list 2 permit 92.48.0.0 允许子网92.48.0.0上所有机器发来的包

拒绝接收其它的包

描述

创建标准IP访问表2

允许主机IP地址为92.49.0.3发来的包通过

20 permit 92.48.0.0 允许子网92.48.0.0上所有机器发来的包

拒绝接收其它的包

版权所有?2013，迈普通信技术股份有限公司，保留所有权利 .

??

switch (config)# ip access-list standard 2 switch (config-std-nacl)# no 20 switch (config-std-nacl)# exit

删除序号为20的规则

21.3 配置IP扩展访问表

IP扩展控制表可以根据IP协议号、源IP地址、目的IP地址、源TCP/UDP端口号、目的TCP/UDP端口号、报文优先级、TCP标志等属性制定分类规则，对数据包进行相应的处理。IP扩展访问表比IP标准访问表所定义的内容更丰富，更准确，也更灵活。

21.3.1 基本指令描述

命令

access-list ip access-list extend sequence permit deny remark

show ip access-list ? access-list

定义一条以数字命名的IP扩展访问表的规则。

access-list access-list-number { permit | deny } protocol { any | source source-wildcard | host source } [operator source-port [source-port-wildcard]] { any | destination destination-wildcard | host destination } [operator destination-port [destination-port-wildcard]] [ack / fin / psh / rst / syn / urg] [precedence precedence] [tos tos] [dscp dscp] [time-range time-range-name] [vfp-action-group action-group-name] [egr-action-group action-group-name] [l3-action-group action-group-name]

access-list access-list-number remark comment

描述

* 配置访问表 * 配置IP扩展访问表

* 配置规则的序号，范围<1-2147483647>。 * 配置一条允许通过的规则 * 配置一条拒绝通过的规则 * 配置一条访问表注释 * 显示IP访问表的配置情况

配置模式 config config config-ext-nacl config-ext-nacl config-ext-nacl config-ext-nacl 特权模式

版权所有?2013，迈普通信技术股份有限公司，保留所有权利 .

???