扩展ACL命令

扩展ACL

语法:access-list  access-list-number { permit | deny } protocol { source source-wildcard destination  destination-wildcard } [ operator operan ]

------------------------------------------------------------------------------------------------------------------------------------------

例如第一种:access-list       列表编号       permit|deny     ip       源网络      源网络反掩码      目的网络       目的网络反掩码 

第一种表示 允许或拒绝源网络访问目的网络的ip协议

------------------------------------------------------------------------------------------------------------------------------------------

例如第二种:access-list       列表编号       permit|deny     tcp       源网络      源网络反掩码      目的网络       目的网络反掩码       eq       21

第二种表示 允许或拒绝源网络访问目的网络的FTP协议(采用TCP应用层进行过滤)
------------------------------------------------------------------------------------------------------------------------------------------


例如第三种:access-list       列表编号       permit|deny     tcp       源网络      源网络反掩码      host       主机ip地址      eq      80 

第三种表示 允许或拒绝源网络访问一个主机的HTTP协议(采用TCP应用层进行过滤,禁止源网络访问服务器的HTTP协议的网站)
------------------------------------------------------------------------------------------------------------------------------------------


例如第四种:access-list       列表编号       permit|deny     tcp       any      host       主机ip地址      eq      80 

第四种表示 允许或拒绝所有网段或主机访问一个主机的HTTP协议(采用TCP应用层进行过滤)

……
------------------------------------------------------------------------------------------------------------------------------------------

注意:每个访问控制列表最后一条都是拒绝所有。所以在写完拒绝时要允许所有:acc-list 列表编号 permit ip any any


注:扩展ACL列表编号为100-199

协议:
ip (ip包含tcp和udp)
icmp
tcp
udp
……


TCP应用层协议过滤:
FTP数据 20
FTP连接 21
Telnet 23
WWW(HTTP) 80
WWW(HTTPS)443
……

------------------------------------------------------------------------------------------------------------------------------------------
例题1:
允许网络192.168.1.0/24访问网络192.168.2.0/24的IP流量通过,而拒绝其他任何流量。ACL命令如下:
Router(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
Router(config)#access-list 101 deny ip any any

例题2:
拒绝网络192.168.1.0/24访问ftp服务器192.168.2.2/24的IP流量通过,而允许其他任何流量。ACL命令如下:
Router(config)#access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq  21
Router(config)#access-list 101 permit ip any any

例题3:
禁止网络192.168.1.0/24中的主机ping通服务器192.168.2.2/24的流量通过,而允许其他任何流量。ACL命令如下:
Router(config)# access-list 101 deny icmp 192.168.1.0 0.0.0.255 host 192.168.2.2 echo
Router(config)# access-list 101 permit ip any any

你可能感兴趣的:(思科(Cisco),网络)