访问控制列表(ACL)

    创建标准访问控制列表
1 定义一个标准访问控制列表
Router config #access-list  access-list-number 1-99 permit/ deny (允许/ 拒绝)source ( 数据包的源地址,可以是主机地址,也可以是网络地址)  source-wildcard (用来跟踪地址一起决定那些位需要进行匹配操作)log (生成相应的日志信息)   (注释:通配符any 可代替 0.0.0 .0  255.255.255.255  host 表示检查IP 地址的所有位eg 172.30.16.29  0.0.0.0
=host  172.30.16.29
2   使用命令ip access-group ACL 应用到某一个接口上
Router(config-if)#ip access-group access-list-number {in|out}( 在接口的一个方向上,只能应用一个access-list)
扩展访问控制列表的创建
1  使用access-list 命令创建扩展访问控制列表
Router(config)#access-list  access-list-number (范围100-199  { permit | deny }  protocol 用来指定协议类型 [source (原地址) source-wildcard (与源地址对应的反掩码)  destination (目的地址) destination-wildcard (与目的地址相对应的反掩码)]  [operator port lt (小于) gt (大于) eq (等于) neq (不等于)和一个与协议对应的端口号 ] [established] [log] (生成相应的日志信息)
2  使用命令ip access-group ACL 应用到某一个接口上
Router(config-if)#ip access-group access-list-number {in|out}( 在接口的一个方向上,只能应用一个access-list)
明名访问控制列表的创建(举例说明)
1 创建名为cisco 的命名访问控制列表
Router(config)#ip access-list  extended  cisco
2  指定一个或多个permit deny 条件
Router config-ext-nacl # deny tcp 172.16.4.0 0.0.0 .255 172.16.3.0 0.0.0.255 eq  23
Router config-ext-nacl # permit ip  any  any
3  第三步,应用到接口E0 的出方向
Router config #interface  fastethernet  0/0
Router config-if #ip access-group  cisco out
四. 查看访问控制列表
Router#show ip interface fastethernet 0/0
Router#show access-list
注意:1. (总结:标准访问控制列表和扩展访问控制列表不能单独删除一条列表,要就是删除整个访问控制列表。而扩展访问控制列表也以单独删除一个访问控制条目。)
      2 .所有条目都是按顺序执行的,一 一对照
 

本文出自 “IT” 博客,转载请与作者联系!

你可能感兴趣的:(职场,休闲,嘻嘻……,(*^__^*))