ACL语句
ACL的创建和处理原则
1. 每个协议的每个方向仅配置一个访问列表
2. 标准应靠近目的地址
3. 扩展应靠近源地址
4. 编号符合范围
5. 进出站方向是从路由器的角度来判断(就是进出路由)
6. 语句的处理顺序是自上而下
7. 最后都隐藏一个 deny any
8. 编写列表时先特殊到一般
查看路由上的已配ACL命令
Show ip interface
黎耀祥个人资料Show access-lists
Show running-config
标准ACL 1~991300~1999
语法:access-list [编号] [deny|permit][源地址][源通配符] [log]
1.拒绝某主机
叶迎春 沈冰R1(config)# access-list 1 deny 192.168.1.11 0.0.0.0
R1(config)# access-list 1 deny host 192.168.1.11
刘亦菲童年照2.允许所有主机
R1(config)# access-list 1 permit any
3.允许一个网络的所有主机
R1(config)# access-list 1 permit 192.168.1.0 0.0.0.255
4.阻止一个网络的所有主机流量,但是允许其他网络流量教师节古诗大全
R1(config)# access-list 1 deny  192.168.1.0 0.0.0.255
R1(config)# access-list 1 permit  any
扩展ACL100~1992000~2699
1. 阻止192.168.1.0的网络流量到达192.168.2.0该网络,但是允许相应的流量到达其他网络
config)# access-list 101 deny ip 192.168.1.0 0.0.0.255  192.168.2.0 0.0.0.255
R1(config)# access-list 101 permit ip any any
2.允许某网络访问某主机
R1(config)# access-list 101 permit  tcp 192.168.1.0 0.0.0.255 host 192.168.2.11 eq http
1. ACL编号
2. 动作(deny或permit)
3. 协议 ip(任何Internet协议)tcp(传输控制协议)udp(用户数据报协议)
4. 源ip地址(某主机或网络)(host或any)参数
5. 通配符掩码
6. 目的ip地址(某主机或网络)(host或any)参数
7. 匹配条件eq(等于)gt(大于)lt(小于)
8. TCP应用(端口号和首字母)
命名ACL
语法:ip access-list{standard | extended} 名称
1.
R1(config)#ip access-list extended  AAA
爱情这杯酒谁喝都得醉R1(config-ext-nacl)# permit ip 192.168.1.1 0.0.0.0 any
R1(config-ext-nacl)# permit ip 192.168.1.2 0.0.0.0 any
R1(config)#int fa0/0
R1(config-if)#ip access-group  AAA  in
2. 删除某一条语句(no line number)添加时直接在语句前加 行号
R1(config)#ip access-list extended  AAA
R1(config-ext-nacl)# 20  permit ip 192.168.1.1  any
配置VTY
R1config孙红雷艾特田馥甄)# access-list 2 permit 192.168.1.1
R1config#line vty 0 4
R1config-line#login
R1config-line#password cisco
R1config-line#access –list 2 in