IP标准访问控制列表配置实例

IP标准访问控制列表配置实例

例1.        访问控制列表将拒绝特定主机192.168.10.1，但允许其他的所有主机：
#access-list 1 deny host 192.168.10.1
#access-list 1 permit  any
例2.        访问控制列表将拒绝从192.168.0.0到192.168.255.255的所有流量，但允许192.167.0.0到192.167.255.255的流量。在这些范围之外的其他所有流量也被隐含的deny all 所拒绝：
#access-list 2 deny 192.168.0.0 0.0.255.255
#access-list 2 permit 192.167.0.0 0.0.255.255
例3.        访问控制列表将拒绝主机192.168.10.1和192.168.10.2，但允许来自网络192.168.10.0的其他所有流量一旦匹配成功，访问控制列表就停止继续匹配。因此即使流量被下面的permit所允许，但上面的deny也会使报文在到达permit语句之前就被丢弃：
#access-list 3 deny host 192.168.10.1
#access-list 3 deny host 192.168.10.2
#access-list 3 permit 192.168.10.0 0.0.0.255
IP标准访问控制列表应用于接口
（config）#Interface 口
（config-if）#Ip access-group 1 in/out
例4.        表示允许从129.8.0.0网段的主机向2052.39.160.0网段发送WWW报文：
#Access-list 100 permit tcp 129.8.0.0 0.0.255.255 202.39.160.0 0.0.0.255 eq www（80）
例5.        表示该规则序号为100，禁止129.9.0.0网段内的主机建立与202.39.160.0网段内的主机的端口WWW（80）的连接：
#access list 100 deny tcp 129.9.0.0 0.0.255.255 202.38.160.0 0.0.0.255 eq www（80）
例6.        表示该规则序号为101，禁止一切主机建立与IP地址为202.38.160.1的主机的Telnet（23）的连接：
#Access-list 101 deny tcp any 202.38.160.1 0.0.0.0.0 eq telnet
例7.        表示该规则序号为102，禁止129.9.8.0网段内的主机建立与202.38.160.0网段内的主机的端口大于128的UDP连接：
#Access-list 102 deny udp 129.9.8.0 0.0.0.255 202.38.160.0 0.0.0.255 gt 128
例8.        表示该规则序号为1禁止129.9.8.0网段内的主机与202.38.160.0 PING通
#Access-list 1 deny icmp 129.9.8.0 0.0.0.255 202.38.160.0 0.0.0.255

表-扩展访问控制列表的操作符意义
操作符及语法        意义
Eg  portnumber        等于端口号portnumber
Gt  portnumber        大于端口号portnumber
Lt  portnumber        小于端口号portnumber
Neg  portnumber        不等于端口号portnumber
Range  portnumber1 portnumber2        介于端口号portnumber1和portnumber2之间

表-端口号助记符
TCP        Domain（DNS）        Domain Nme Srvice（53）
空间        Ftp（21）        File Transfer Protocol（21）
邮件        Smtp（25）        Simple Mail Transport Protocol（25）
远程        Telnet（23）        Tlnet（23
网站        www（80）        World Wide Web（HTTP，80）
               

1.动态路由：
#router rip
(config-router)#network IP
2.过滤病毒实验：
参考：（冲击波常用端口：135 138 139 4444 69）
（config）#ip access-list extended company
             Deny tcp any any eq 135
             Deny tcp any any eq 138
             Deny tcp any any eq 139
             Deny tcp any any eq 4444
             Deny tcp any any eq 69
   Interface g0/0
   Ip access-group company in