访问控制列表（ACL）

一    创建标准访问控制列表

1 定义一个标准访问控制列表

Router （config ）#access-list  access-list-number （1-99 ）permit/ deny （允许/ 拒绝）source ( 数据包的源地址，可以是主机地址，也可以是网络地址)  source-wildcard （用来跟踪地址一起决定那些位需要进行匹配操作）log （生成相应的日志信息）   （注释：通配符any 可代替 0.0.0 .0  255.255.255.255  host 表示检查IP 地址的所有位eg ：172.30.16.29  0.0.0.0

=host  172.30.16.29 ）

2   使用命令ip access-group 将ACL 应用到某一个接口上

Router(config-if)#ip access-group access-list-number {in|out}( 在接口的一个方向上，只能应用一个access-list)

二 扩展访问控制列表的创建

1  使用access-list 命令创建扩展访问控制列表

Router(config)#access-list  access-list-number （范围100-199 ）  { permit | deny }  protocol （ 用来指定协议类型 ）[source （原地址） source-wildcard （与源地址对应的反掩码）  destination （目的地址） destination-wildcard （与目的地址相对应的反掩码）]  [operator port 《lt （小于） gt （大于） eq （等于） neq （不等于）和一个与协议对应的端口号 》] [established] [log] （生成相应的日志信息）

2  使用命令ip access-group 将ACL 应用到某一个接口上

Router(config-if)#ip access-group access-list-number {in|out}( 在接口的一个方向上，只能应用一个access-list)

三 。 明名访问控制列表的创建（举例说明）

1 创建名为cisco 的命名访问控制列表

Router(config)#ip access-list  extended  cisco

2  指定一个或多个permit 及deny 条件

Router （config-ext-nacl ）# deny tcp 172.16.4.0 0.0.0 .255 172.16.3.0 0.0.0.255 eq  23

Router （config-ext-nacl ）# permit ip  any  any

3  第三步，应用到接口E0 的出方向

Router （config ）#interface  fastethernet  0/0

Router （config-if ）#ip access-group  cisco out

四． 查看访问控制列表

Router#show ip interface fastethernet 0/0

Router#show access-list

注意：1. （总结：标准访问控制列表和扩展访问控制列表不能单独删除一条列表，要就是删除整个访问控制列表。而扩展访问控制列表也以单独删除一个访问控制条目。）

      2 ．所有条目都是按顺序执行的，一 一对照

 

本文出自 “IT” 博客，转载请与作者联系！