在此介紹是Cisco ACL相關基本設定。此工具就像是Cisco小型的防火牆,利用將存取規則寫在清單上,再藉由此清單比對封包來達到安全目的。

• ACL會逐一比對每一列規則,直到符合為止。一旦封包被比對到符合清單上某一列規則,就進行此規則設定動作,便不再繼續後續的比對。
• ACL清單上的每列規則是有順序性,即使清單上規則條件一樣,但規則條件順序不一樣,也可能造成管控安全也不相同。
• 根據經驗,限制範圍越小的規則應該條列在清單的前面。
• 每個存取清單的結尾都會有一列隱含的“拒絕”。
• 每個介面的每個協定的每個方向(in or out)只能指定一個存取清單。

1. 標準式存取清單(standard access list):只比對來源IP,對於更細緻得比對服務(www,ftp,telnet,ssh等等)就無法分辨出來。配置時,盡量配置在靠近目的。
2. 延伸式存取清單(extend acess list): 補足標準式的不足,可以比對來源及目地IP位置與服務(www,ftp,telnet,ssh等等)及第三層及第四層表頭協定。配置時,盡量配置在靠近來源。

1. 在未設定ACL時,先測試看看基本網路是否可以到達。
2. 在ACL全域設定中建立清單,寫規則。
3. 在將清單指定到介面的哪一個方向(in or out)。

• 目的:阻擋192.168.22.254這個IP 無法 Ping 到R1任何介面。