一、扩展方问控制列表的配置

1、创建ACL

Router(config)#access-list  access-list-number { permit| deny } protocol { source source-wildcard destination destination-wildcard }

[ operator operan]

   #access-list-number:访问控制列表表号,100~199之间

   #permit|deny:如果测试条件满足,则允许|拒绝该通信流量

   #protocol:用来指定协议类型,如IP、UDP、ICMP等

   #source、destination:分别用来标识源地址和目的地址

   #source-wildcard、destination-wildcard:源反码、目的反码

   #operator operan:lt(小于)、gt(大于)、eq(等于)或neq(不等于)+端口号

【例如:允许网络192.18.1.0/24访问网络192.168.2.0/24的IP流量通过,而拒绝其他任何流量】

   Router(config)# access-list 100 permit ip192.168.1.0  0.0.0.255  

                   192.168.2.0 0.0.0.255

   Router(config)# access-list 100 deny any any

【例如:拒绝网络192.168.1.0/24访问FTP服务器192.168.2.2/24的IP流量通过,而允许其他任何流量】

   Router(config)# access-list 100 permit ipany any

   Router(config)# access-list 100 deny tcp192.168.1.0  0.0.0.255

                   host 192.168.2.2 eq 21

【例如:禁止网络192.168.1.0/24中的主机ping通服务器192.168.2.2/24,而允许其他任何流量】

   Router(config)# access-list 100 deny icmp 192.168.1.0  0.0.0.255

                   host 192.168.2.2 echo

   Router(config)# access-list 100 permit ipany any

2、将ACL应用于接口

   Router(config)# ip access-groupaccess-list-number { in | out }

3、取消ACL的应用

   Router(config)# no ip access-groupaccess-list-number { in | out }

4、扩展ACL的配置实例


几句话就能让你明白:ACL 访问控制列表(二)_第1张图片

要求:

允许主机PC1访问Web服务器的WWW服务

禁止主机PC1访问Web服务器的其他任何服务

允许主机PC1访问网络192.168.2.0

命令:

R1(config)# access-list 100 permit tcp host 192.168.1.1 host

           192.168.3.1 eq www

R1(config)# access-list 100 deny ip host 192.168.1.1 host192.168.3.1

   R1(config)# access-list 100 permit ip host192.168.1.1 host

              192.168.2.0  0.0.0.255

   R1(config# int f0/0

   R1(config)# ip access-group 100 in

二、命名访问控制列表的配置

1、创建ACL

Router(config)#ip access-list { standard | extended } access-list-name

【定义标准命名ACL】

Router(config-std-nacl)#[sequence-Number] { permit | deny } source

                        [source-wildcard]

【定义扩展命名ACL】

Router(config-ext-nacl)#[sequence-Number] { permit | deny } protocol

   { source source-wildcard destinationdestination-wildcard }

   [ operator operan]

#sequence-Number:是一个可选参数,默认情况下,第一条为10,第二为20,依此类推。

【例:允许来自主机192.168.1.1的流量通过,而拒绝其他流量,标准命名ACL】

   Router(config)# ip access-list standardganbing

   Router(config-std-nacl)# permit host192.168.1.1

   Router(config-std-nacl)# deny any

【例:在命令ACL里插入一条ACL,允许来自主机192.168.2.1的流量通过】

   Router(config)# ip access-list standardganbing

   Router(config-std-nacl)# 15 permit host192.168.2.1

【例:拒绝网络192.168.1.0访问FTP服务器192.168.2.2的流量通过,而允许其他的任何流量,扩展命名 ACL】

   Router(config)# ip access-list extendedganbing

   Router(config-ext-nacl)# deny tcp192.168.1.0  0.0.0.255 host 192.168.2.2eq 21

   Router(config-ext-nacl)# permit ip any any

【例:删除已建立的命名ACL】

   Router(config)# no ip access-list {standard| extended} access-list-name

【例,删除标准命名ACL某一条记录】

   Router(config)# no ip access-list standardganbing

   Router(config)# no 10

【例,删除标准命名ACL某一条记录】

   Router(config)# no ip access-list standardganbing

   Router(config)# no permit host 192.168.1.1

2、将ACL应用于接口

   Router(config-if)# ip access-groupaccess-list-name { in | out }

3、在接口上取消命名ACL的应用

   Router(config-if)# no ip access-groupaccess-list-name { in | out }