Cisco交换机ACL的配置

访问控制列表（Access Control List   ACL）的含义和作用就不讲了，自行百度

一 .ACL讲解

ACL分标准访问控制列表（Standard ACL）和拓展访问控制列表（Extended ACL），如下

① 标准ACL(访问控制列表号1—99或1300—1999)
只过滤源地址，允许或禁止整个TCP/IP协议族
一般配置在靠近流量目的地的接口
配置方法如下：
router（config）#access-list 1 permit 172.16.0.0 0.0.255.255
router（config）#access list 1 deny any //系统隐含条件（implicit deny any）
router（config）#interface F0/0
router（config-if）#ip access-group 1 in
router（config-if）#exit
router（config）#interface F0/1
router（config-if）#ip access-group 1 out
router（config-if）#no ip access-group 1 out //在端口上卸除ACL绑定

值得注意的是要改变ACL列表条件只能删除整个表：
router（config）#no access-list 1

②拓展ACL（访问控制列表标号100-199或2000-2600）
过滤源或目的地址，允许或拒绝一个具体的协议和端口号
一般放在靠近流量源头处
用到端口号时常用的英文缩写   it gt eq neq(＜、＞、＝、≠)
常见熟知端口号：
20 文件传输协议（FTP）数据通道
21 文件传输协议（FTP）控制通道
23 远程登录（Telnet）
25 简单邮件传输协议（SMTP）
53 域名服务系统（DNS）
69 普通文件传输协议（TFTP）
80 超文本传输协议（HTTP）
例1：
router（config）#access-list 101 deny ip 172.16.4.0 0.0.0.255 host 10.8.1.128
router（config）#access-list 101 permit ip 172.16.4.0 0.0.0.255 10.8.0.0 0.0.255.255
router（config）#access-list 101 deny ip any any //系统隐含条件（implicit denyall）
router（config）#interface s0
router（config-if）#ip access-group 101 out
router（config）#access-list 102 deny ip 172.16.3.0 0.0.0.255 host 172.16.4.10 eq 21
router（config）#access-list 102 deny ip 172.16.3.0 0.0.0.255 host 172.16.4.10 eq 20
router（config）#interface f0/0
router（config-if）#ip access-group 102 out


例2：
允许192.168.10.10 ping 172.16.1.1,禁止反向测试：
router（config）#access-list 199 deny icmp host 192.168.10.10 host 172.16.1.1 echo
router（config）#access-list 199 deny icmp host 192.168.10.10 host 172.16.1.1 echo reply
router（config）#access-list 199 permit ip any any

③命名IP ACL（Cisco IOS v11.2以后支持）
例：
router（config）#access-list standard acl_1 //注明standard还是extended控制列表，名字可使用大多数字符
router（config-std-nac）#permit 172.18.0.0 0.0.255.255 log
router（config-std-nac）#no permit 172.18.0.0 0.0.255.255 log //no 命令移去特定语句
router（config）#interface f0/0
router（config-if）#ip access-group acl_1 out




④查看ACL列表
router（config）# show ip interface e0 //查看接口ACL绑定情况
router（config）# show accesslists //监视ACL内容
router（config）#show access-list [acl表号]】

二.实例

拓扑图如下（路由配置用的是RIP），其中DNS服务器中有两条记录：

ns.shzu.edu.cn 2.2.2.200

ftp.shzu.edu.cn 2.2.2.100

实验要求：

①1.1.1.0/24网段中的所有节点能ping通2.2.2.0/24网段中的DNS服务器，而无法ping通其他节点

②2.2.2.0/24网段中的节点不能访问Internet（即不能ping 通R2之后的节点）

实验过程

①配置R1

②配置R2

③测试

至此实验结束，ACL配置过程中其他值得注意的一些地方总结如下：

访问控制列表的顺序决定被检验的顺序，特殊规则放在最前面（如针对某个主机）
每个列表至少有一个允许语句
每个接口，每个协议，每个方向上只能绑定一个ACL列表