ACL访问控制列表配置要点VIP免费

ACL的使用ACL的处理过程：1.它是判断语句，只有两种结果，要么是拒绝（deny）,要么是允许（permit）2.语句顺序按照由上而下的顺序处理列表中的语句3.语句排序处理时，不匹配规则就一直向下查找，一旦某条语句匹配，后续语句不再处理。4.隐含拒绝如果所有语句执行完毕没有匹配条目默认丢弃数据包，在控制列表的末尾有一条默认拒绝所有的语句，是隐藏的（deny）要点：1.ACL能执行两个操作：允许或拒绝。语句自上而下执行。一旦发现匹配，后续语句就不再进行处理一因此先后顺序很重要。如果没有找到匹配，ACL末尾不可见的隐含拒绝语句将丢弃分组。一个ACL应该至少有一条permit语句；否则所有流量都会丢弃，因为每个ACL末尾都有隐藏的隐含拒绝语句。2.如果在语句结尾增加denyany的话可以看到拒绝记录3.CiscoACL有两种类型一种是标准另一种是扩展，使用方式习惯不同也有两种方式一种是编号方式，另一种是命名方式。示例：编号方式标准的ACL使用1~99以及1300~1999之间的数字作为表号，扩展的ACL使用100~199以及2000~2699之间的数字作为表号一、标准（标准ACL可以阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如IP）的所有通信流量。）允许172.17.31.222通过，其他主机禁止Cisco-3750（config）#access-list1（策略编号）（1-99、1300-1999）permithost172.17.31.222禁止172.17.31.222通过,其他主机允许Cisco-3750（config）#access-list1denyhost172.17.31.222Cisco-3750（config）#access-list1permitany允许172.17.31.0/24通过,其他主机禁止Cisco-3750（config）#access-list1permit172.17.31.00.0.0.254（反码255.255.255.255减去子网掩码，如172.17.31.0/24的255.255.255.255-255.255.255.0=0.0.0.255）禁止172.17.31.0/24通过,其他主机允许Cisco-3750（config）#access-list1deny172.17.31.00.0.0.254Cisco-3750（config）#access-list1permitany二、扩展（扩展ACL比标准ACL提供了更广泛的控制范围。例如，网络管理员如果希望做到“允许外来的Web通信流量通过，拒绝外来的FTP和Telnet等通信流量”那么，他可以使用扩展ACL来达到目的，标准ACL不能控制这么精确。）允许172.17.31.222访问任何主机80端口，其他主机禁止Cisco-3750（config）#access-list100permittcphost172.17.31.222（源）any（目标）eqwww允许所有主机访问172.17.31.222主机telnet(23)端口其他禁止Cisco-3750(config)#access-list100(100-199、2000-2699)permittcpanyhost172.17.31.222eq23接口应用(入方向)(所有ACL只有应用到接口上才能起作用)Cisco-3750(config)#intg1/0/1Cisco-3750(config-if)#ipaccess-group1in(出方向out)命名方式一、标准建立标准ACL命名为test、允许172.17.31.222通过，禁止172.17.31.223通过，其他主机禁止Cisco-3750(config)#ipaccess-liststandardtestCisco-3750(config-std-nacl)#permithost172.17.31.222Cisco-3750(config-std-nacl)#denyhost172.17.31.223建立标准ACL命名为test、禁止172.17.31.223通过，允许其他所有主机。Cisco-3750(config)#ipaccess-liststandardtestCisco-3750(config-std-nacl)#denyhost172.17.31.223Cisco-3750(config-std-nacl)#permitany二、扩展建立扩展ACL命名为test1，允许172.17.31.222访问所有主机80端口，其他所有主机禁止Cisco-3750(config)#ipaccess-listextendedtest1Cisco-3750(config-ext-nacl)#permittcphost172.17.31.222anyeqwww建立扩展ACL命名为test1，禁止所有主机访问172.17.31.222主机telnet(23)端口，但允许访问其他端口Cisco-3750(config)#ipaccess-listextendedtest1Cisco-3750(config-ext-nacl)#denytcpanyhost172.17.31.222eq23Cisco-3750(config-ext-nacl)#permittcpanyany接口应用(入方向)(所有ACL只有应用到接口上才能起作用)Cisco-3750(config)#intg1/3/1Cisco-3750(config-if)#ipaccess-grouptestin(出方向out)接口应用原则标准ACL,的应用靠近目标地址扩展ACL,的应用靠近源地址网上资料：CiscoACL原理及配置详解什么是ACL?访问控制列表简称为ACL,访问控制列表使用包过滤...