From 31427f87284789aae6dba6269381578d93ed1688 Mon Sep 17 00:00:00 2001 From: =?UTF-8?q?=E5=AD=99=E5=85=88=E4=BC=98?= <1967671450@qq.com> Date: Wed, 23 Apr 2025 16:54:37 +0800 Subject: [PATCH 1/2] test --- ...345\217\221\351\205\215\347\275\256v.2.md" | 79 +++++++++++++++++++ 1 file changed, 79 insertions(+) diff --git "a/18 \345\255\231\345\205\210\344\274\230/20250422 \350\267\257\347\224\261\345\231\250\351\207\215\345\210\206\345\217\221\351\205\215\347\275\256v.2.md" "b/18 \345\255\231\345\205\210\344\274\230/20250422 \350\267\257\347\224\261\345\231\250\351\207\215\345\210\206\345\217\221\351\205\215\347\275\256v.2.md" index 7fd2038..a99e437 100644 --- "a/18 \345\255\231\345\205\210\344\274\230/20250422 \350\267\257\347\224\261\345\231\250\351\207\215\345\210\206\345\217\221\351\205\215\347\275\256v.2.md" +++ "b/18 \345\255\231\345\205\210\344\274\230/20250422 \350\267\257\347\224\261\345\231\250\351\207\215\345\210\206\345\217\221\351\205\215\347\275\256v.2.md" @@ -236,6 +236,85 @@ Router# + + +```cmd +ospf与外网链接的路由器,配置完IP后 +Router>enable +Router#conf t +Enter configuration commands, one per line. End with CNTL/Z. +Router(config)#route ospf 1 +Router(config-router)#network 20.20.20.0 0.0.0.255 area 0 +Router(config-router)# +``` + + + +```cmd +rip与外网链接的路由器,配置完IP后 +Router> +Router>enable +Router#conf t +Enter configuration commands, one per line. End with CNTL/Z. +Router(config)#route rip +Router(config-router)#version 2 +Router(config-router)#network 30.30.30.0 +Router(config-router)# +``` + +```cmd +静态与外网链接的路由器,配置完IP后 +Router(config)#ip route 0.0.0.0 0.0.0.0 40.40.40.1 +``` + +```cmd +中间做转换的路由器 +Router>enable +Router#conf t +Enter configuration commands, one per line. End with CNTL/Z. +Router(config)#route ospf 1 +Router(config-router)#network 20.20.20.0 0.0.0.255 area 0 +Router(config-router)#exit +Router(config)#route ip +01:53:00: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.20.254 on GigabitEthernet0/0 from LOADING to FULL, Loading Do +% Incomplete command. +Router(config)#route rip +Router(config-router)#version 2 +Router(config-router)#network 30.30.30.0 +Router(config-router)# +Router(config-router)#exit +Router(config)# +Router(config)#ip route 192.168.200.0 255.255.255.0 40.40.40.2 +Router(config)#ip route 192.168.220.0 255.255.255.0 40.40.40.2 +Router(config)# +Router(config)#exit + + +将网络分别转换成osfp和rip +Router# +Router#conf t +Enter configuration commands, one per line. End with CNTL/Z. +Router(config)#route ospf 1 +Router(config-router)#redistribute rip sub +Router(config-router)#redistribute static subnets +Router(config-router)# +Router(config-router)#exit + +Router(config)#route rip +Router(config-router)#version 2 +Router(config-router)#redistribute ospf 1 metric 5 +Router(config-router)#redistribute static +Router(config-router)# +Router(config-router)#exit +Router(config)# +``` + + + +作业截图 + +![image-20250423165340497](https://gitee.com/sxy20031002/picture-bed-warehouse/raw/master/imgss/upgit_20250423_1745398421.png) + 中间负责重分发的路由器核心代码: ```bash -- Gitee From 27282d95f8255198f091f0d1bd5ac2c1f019c749 Mon Sep 17 00:00:00 2001 From: =?UTF-8?q?=E5=AD=99=E5=85=88=E4=BC=98?= <1967671450@qq.com> Date: Thu, 24 Apr 2025 12:28:02 +0800 Subject: [PATCH 2/2] test --- ...350\241\250ACL\351\205\215\347\275\256.md" | 226 ++++++++++++++++++ 1 file changed, 226 insertions(+) create mode 100644 "18 \345\255\231\345\205\210\344\274\230/20250423 \350\267\257\347\224\261\345\231\250IP\350\256\277\351\227\256\346\216\247\345\210\266\345\210\227\350\241\250ACL\351\205\215\347\275\256.md" diff --git "a/18 \345\255\231\345\205\210\344\274\230/20250423 \350\267\257\347\224\261\345\231\250IP\350\256\277\351\227\256\346\216\247\345\210\266\345\210\227\350\241\250ACL\351\205\215\347\275\256.md" "b/18 \345\255\231\345\205\210\344\274\230/20250423 \350\267\257\347\224\261\345\231\250IP\350\256\277\351\227\256\346\216\247\345\210\266\345\210\227\350\241\250ACL\351\205\215\347\275\256.md" new file mode 100644 index 0000000..7de8fce --- /dev/null +++ "b/18 \345\255\231\345\205\210\344\274\230/20250423 \350\267\257\347\224\261\345\231\250IP\350\256\277\351\227\256\346\216\247\345\210\266\345\210\227\350\241\250ACL\351\205\215\347\275\256.md" @@ -0,0 +1,226 @@ +# **思科ACL(访问控制列表)使用指南** + +## **引言** +访问控制列表(ACL,Access Control List)是思科设备中用于**流量过滤**和**安全策略**的核心技术,广泛应用于: +- **网络安全**:限制非法访问(如阻止攻击流量)。 +- **流量控制**:允许/拒绝特定服务(如HTTP、SSH)。 +- **策略路由**:结合路由映射(Route-map)实现高级选路。 + +本指南涵盖**标准ACL、扩展ACL、命名ACL**的语法、配置案例及验证方法,适用于CCNA/CCNP学习及实际工程部署。 + +--- + + + +### **一、ACL类型** +| 类型 | 编号范围 | 匹配依据 | 特点 | +| ----------- | ------------------ | ------------------------ | ------------------ | +| **标准ACL** | 1-99, 1300-1999 | 仅源IP地址 | 简单,效率低 | +| **扩展ACL** | 100-199, 2000-2699 | 源IP、目的IP、协议、端口 | 精细控制,推荐使用 | + +--- + +### **二、标准ACL语法** +#### **1. 创建ACL** +```bash +access-list <编号> <动作> <源IP> <通配符掩码> +# 编号范围 1-99 +# 动作:permit 允许 、 deny 拒绝 +``` +#### **2. 示例** +```bash +access-list 10 permit 192.168.1.0 0.0.0.255 # 允许192.168.1.0/24g整个网络 +access-list 10 permit 192.168.10.2 # 允许192.168.10.2单个IP通过 +access-list 10 deny any # 拒绝其他所有流量 +``` + +#### **3. 应用ACL** +```bash +# 语法分两步骤 +# 步骤1:先选择要应用ACL的端口 如 interface g0/0 +# 步骤2:通过ACL编号及方向来应用ACL,格式如下 +ip access-group <编号> <方向> #方向:out出去,in进来 +# 方向 in / out 代表流量流入/流出路由器的方向 +# 示例: +interface GigabitEthernet0/0 # 第一步,进入G0/0端口 +ip access-group 10 in # 第二步,在G0/0端口的入口方向应用编号为10的ACL +``` + +--- + +### **三、扩展ACL语法** +#### **1. 创建ACL** +```cisco +access-list <100-199|2000-2699> {permit|deny} <协议> <源IP> <通配符掩码> [源端口] <目的IP> <通配符掩码> [目的端口] [选项] +``` +#### **2. 常用协议关键字** +- `ip`:所有IP流量 +- `tcp`:TCP协议 +- `udp`:UDP协议 +- `icmp`:ICMP协议 + +#### **3. 示例** +##### **(1)允许特定TCP端口** +```cisco +access-list 101 permit tcp 192.168.1.0 0.0.0.255 any eq 80 ! 允许192.168.1.0/24访问任意HTTP +access-list 101 deny tcp any any eq 22 ! 拒绝所有SSH流量 +access-list 101 permit ip any any ! 允许其他所有IP流量 +``` + +##### **(2)允许ICMP(Ping)** +```cisco +access-list 102 permit icmp any any echo-reply ! 允许Ping回应 +access-list 102 permit icmp any any echo ! 允许发起Ping +``` + +##### **(3)拒绝特定子网访问** +```bash +# 拒绝来自192.168.10.0网段主机的IP流量访问172.16.1.0的主机 +access-list 103 deny ip 192.168.10.0 0.0.0.255 172.16.1.0 0.0.0.255 +#允许其它任意网络IP流量访问任意网络(除上一条拒绝的以外) +access-list 103 permit ip any any +``` + +#### **4. 应用ACL** +```cisco +interface GigabitEthernet0/1 + ip access-group 101 out ! 在接口出方向应用 +``` + +--- + +### **四、命名ACL(更易管理)** +#### **1. 创建命名ACL** +```cisco +ip access-list {standard|extended} +``` +#### **2. 示例** +```cisco +ip access-list extended WEB_TRAFFIC + permit tcp 192.168.1.0 0.0.0.255 any eq 80 + deny tcp any any eq 22 + permit ip any any +``` + +#### **3. 应用命名ACL** +```cisco +interface GigabitEthernet0/2 + ip access-group WEB_TRAFFIC in +``` + +--- + +### **五、ACL高级选项** +#### **1. 通配符掩码(Wildcard Mask)** +- `0.0.0.255` = 匹配前24位(类似子网掩码`255.255.255.0`的反向)。 +- `host 192.168.1.1` = 精确匹配单个IP(等价于`192.168.1.1 0.0.0.0`)。 + +#### **2. 端口匹配** +- `eq 80`:等于80端口(HTTP) +- `gt 1023`:大于1023端口 +- `range 20 21`:20到21端口(FTP) + +#### **3. 日志记录** +```cisco +access-list 104 deny tcp any any eq 23 log ! 拒绝Telnet并记录日志 +``` + +--- + +### **六、验证与排错** +#### **1. 查看ACL配置** +```cisco +show access-lists ! 显示所有ACL +show ip interface Gig0/0 ! 查看接口应用的ACL +``` + +#### **2. 清除ACL统计** +```cisco +clear access-list counters ! 重置ACL命中计数器 +``` + +--- + +### **七、注意事项** +1. **隐式拒绝**:ACL末尾默认有`deny any`,需显式允许必要流量。 +2. **顺序敏感**:ACL按从上到下匹配,首条匹配的规则生效。 +3. **性能影响**:过多ACL规则可能影响设备性能,尽量合并规则。 + +--- + +### **八、完整示例** +#### **场景**:允许内网访问Web,禁止访问SSH,允许Ping。 +```bash +# 创建扩展ACL +access-list 105 permit tcp 192.168.1.0 0.0.0.255 any eq 80 +access-list 105 deny tcp any any eq 22 +access-list 105 permit icmp any any +access-list 105 deny ip any any log + +# 应用ACL +interface GigabitEthernet0/0 + ip access-group 105 in +``` + +--- + +掌握这些语法后,可以灵活实现流量过滤、安全策略等功能!建议在模拟器(如Packet Tracer)中实践验证。 + + + + + + + +![image-20250423162234863](https://gitee.com/onesheet/images_backup/raw/master/img/upgit_20250423_1745396555.png) + +```cmd +财务部 +Router>enable +Router#conf t +Enter configuration commands, one per line. End with CNTL/Z. +Router(config)#acc +Router(config)#access-list 10 permit 192.168.10.1 +Router(config)#access-list 10 deny any +Router(config)# +Router(config)#inter g0/2 +Router(config-if)#ip access-group 10 out +Router(config-if)# +``` + +```cmd +业务部 +Router>enable +Router#conf t +Enter configuration commands, one per line. End with CNTL/Z. +Router(config)#access-l +Router(config)#access-list 10 permit 192.168.30.1 +Router(config)#access-list 10 deny any +Router(config)#inter g0/2 +Router(config-if)#ip access-group 10 out +Router(config-if)# +``` + +```cmd +后勤部 +Router>enable +Router#conf t +Enter configuration commands, one per line. End with CNTL/Z. +Router(config)#access-list 10 permit 192.168.20.2 +Router(config)#access-list 10 deny any +Router(config)#inter g0/0 +Router(config-if)#ip access-group 10 out +Router(config-if)# +``` + +```cmd +业务部只允许被财务部访问 +在业务部的进出口,设置只允许财务部进入 +Router#conf t +Enter configuration commands, one per line. End with CNTL/Z. +Router(config)#access-list 11 permit 192.168.10.1 +Router(config)#access-list 11 deny any +Router(config)#inter g0/2 +Router(config-if)#ip access-group 11 in +``` + -- Gitee