访问控制列表

访问控制列表

 IP标准访问列表的配置

1.定义标准ACL
编号的标准访问列表

Router(config)#access-list <1-99> {permit|deny} 源地址 [反掩码]

命名的标准访问列表
ip access-list standard { name} deny　{source source-wildcard|host　source|any} or   permit {source source-wildcard|host  source|any}

2.应用ACL到接口
Router(config-if)#ip access-group <1-99>|{name}  { in | out }

IP扩展访问列表的配置

1.定义扩展的ACL

编号的扩展ACL
   Router(config)#access-list <100-199> { permit /deny } 协议 源地址 反掩码 [源端口] 目的地址 反掩码 [ 目的端口 ]

命名的扩展ACL
ip access-list extended { name}  {deny|permit} protocol　{source　 source-wildcard |host  source| any}[operator port] {destination destination-wildcard |host destination |any}[operator port]

2.应用ACL到接口

Router(config-if)#ip access-group <100-199> |{name} { in | out }

扩展访问列表的应用

   access-list 115 deny udp any any eq 69  
　　access-list 115 deny tcp any any eq 135
　　access-list 115 deny udp any any eq 135
　　access-list 115 deny udp any any eq 137
　　access-list 115 deny udp any any eq 138
　　access-list 115 deny tcp any any eq 139
　　access-list 115 deny udp any any eq 139
　　access-list 115 deny tcp any any eq 445
　　access-list 115 deny tcp any any eq 593
　　access-list 115 deny tcp any any eq 4444
　　access-list 115 permit ip any any
            
　　interface   <type> <number>
　　ip access-group 115 in                                  
　　ip access-group 115 out  
	利用ACL隔离冲击波病毒             

 访问列表的验证

显示全部的访问列表

Router#show access-lists

显示指定的访问列表

Router#show access-lists <1-199>

显示接口的访问列表应用

Router#show ip interface <接口名称> <接口编号> 

IP扩展访问列表配置实例

下例显示如何创建一条Extended IP ACL，该ACL有一条ACE，用于允许指定网络（192.168.x..x）的所有主机以HTTP访问服务器172.168.12.3，但拒绝其它所有主机使用网络。 
Switch (config)# ip access-list extended abc 
Switch (config-ext-nacl)# permit tcp 192.168.0.0 0.0.255.255 host 172.168.12.3 eq www 
Switch (config-ext-nacl)#end 
Switch # show access-lists