【RSR】RSR如何配置扩展ACL

发布时间: 2013-09-11 点击量:657 打印 字体:

功能介绍:

扩展ACL可以匹配数据流的五大元素(源ip地址、目的ip地址、源端口、目的端口、协议号)。

应用场景:

企业进行安全策略设置时,若只想控制来自某些IP或网段的部分流量,如禁止某IP地址打开网页,即可写一条扩展的ACL,源是此IP地址,目的IP是所有,目的端口为80(网页端口为80)的ACL进行控制,此时可采用扩展ACL。

一、组网需求

不允许PC1 访问100.100.100.100 的web服务(tcp 80端口),其它流量全部放行。

二、组网拓扑

       

 

三、配置要点

1、在全局下配置扩展ACL

2、在内网口调用

3、保存配置

 

四、配置步骤

       1、在全局下配置扩展ACL

1)标准ACL的编号范围:1-99和1300-1999;扩展ACL的编号范围:100-199和2000-2699。

2)标准ACL只匹配源ip地址,扩展ACL可以匹配数据流的五大元素(源ip地址、目的ip地址、源端口、目的端口、协议号)

3)ACL的匹配顺序为从上往下(ACE序号从小到大)匹配ACE条目,若匹配对应的ACE条目后,就执行该ACE条目的行为(允许/拒绝),不会再往下匹配其他ACE条目。

4)ACL最后隐含一体deny any的ACE条目,会拒绝所有流量。若是禁止某网段访问,其他网段均放通,则应该在拒绝流量的ACE配置完成后,再加一条permit any的ACE条目,用来放行其他流量。

Ruijie(config)#ip access-list extended 100

Ruijie(config-ext-nacl)#10 deny tcp 192.168.1.2 0.0.0.0 100.100.100.100 0.0.0.0 eq 80    //配置acl拒绝内网 192.168.1.2 的PC访问 100.100.100.100的80端口

Ruijie(config-ext-nacl)#20 permit ip any any    //配置允许其它流量(必须配置)

Ruijie(config-ext-nacl)#exit

2、在内网接口上调用

Ruijie(config)#interface fastEthernet 0/0

Ruijie(config-if-FastEthernet 0/0)#ip access-group 100 in      //接口下调用

3、保存配置

Ruijie(config-if-FastEthernet 0/0)#end    

Ruijie#write        //确认配置正确,保存配置

 

五、配置验证

1、测试内网PC能否访问100.100.100.100的web服务,及其他流量访问,若PC1无法访问100.100.100.100的web服务,其他流量访问正常,则配置正确。

2、查看acl的配置

Ruijie#show access-lists

ip access-list extended 100

 10 deny tcp host 192.168.1.2 host 100.100.100.100 eq www

 20 permit ip any any

3、查看acl在接口下的应用

Ruijie#show ip access-group

ip access-group 100 in

Applied On interface FastEthernet 0/0.

 

 

 

00 分享 纠错
相关条目