Cisco访问控制列表-ACL配置与故障排除.ppt

访问控制列表,ACL配置与故障排除,用标准编号IPv4ACL测试数据包,激活接口上的列表。设置入站或出站测试。noipaccess-groupaccess-list-numberin|out命令可从接口删除ACL。,ipaccess-groupaccess-list-numberin|out,使用1到99或1300到1999作为access-list-number。第一个条目分配的序列号是10，后续条目以10为增量递增。默认通配符掩码是（仅针对标准ACL）。noaccess-listaccess-list-number命令可删除整个ACL。remark用于向ACL添加说明。,access-listaccess-list-numberpermit|deny|remarksourcemask,RouterX(config)#,RouterX(config-if)#,标准编号IPv4ACL的配置,仅允许我的网络,标准编号IPv4ACL示例1,RouterX(config)#access-list1permit55（隐式拒绝所有在列表中不可见）(access-list1deny55)RouterX(config)#interfaceethernet0RouterX(config-if)#ipaccess-group1outRouterX(config)#interfaceethernet1RouterX(config-if)#ipaccess-group1out,拒绝特定主机,标准编号IPv4ACL示例2,RouterX(config)#access-list1denyRouterX(config)#access-list1permit55（隐式拒绝所有）(access-list1deny55)RouterX(config)#interfaceethernet0RouterX(config-if)#ipaccess-group1out,拒绝特定子网,标准编号IPv4ACL示例3,RouterX(config)#access-list1deny55RouterX(config)#access-list1permitany（隐式拒绝所有）(access-list1deny55)RouterX(config)#interfaceethernet0RouterX(config-if)#ipaccess-group1out,仅允许网络55中的主机连接到路由器的vty线路,access-list12permit55（隐式拒绝所有）!linevty04access-class12in,示例：,access-classaccess-list-numberin|out,限制特定vty与ACL地址之间的入站或出站连接,RouterX(config-line)#,用标准ACL控制vty访问,用扩展编号IPv4ACL测试数据包,ipaccess-groupaccess-list-numberin|out,激活接口上的扩展列表,设置此列表条目的参数,access-listaccess-list-numberpermit|denyprotocolsourcesource-wildcardoperatorportdestinationdestination-wildcardoperatorportestablishedlog,RouterX(config)#,RouterX(config-if)#,扩展编号IPv4ACL的配置,扩展编号IPv4ACL示例1,RouterX(config)#access-list101denytcp5555eq21RouterX(config)#access-list101permitipanyany（隐式拒绝所有）(access-list101denyip555)RouterX(config)#interfaceethernet0RouterX(config-if)#ipaccess-group101out,拒绝从子网到子网经E0流出的FTP流量允许所有其它流量,FTP服务器,扩展编号IPv4ACL示例2,RouterX(config)#access-list101denytcp55anyeq23RouterX(config)#access-list101permitipanyany（隐式拒绝所有）RouterX(config)#interfaceethernet0RouterX(config-if)#ipaccess-group101out,仅拒绝来自子网经E0流出的Telnet流量允许所有其它流量,ipaccess-liststandard|extendedname,sequence-numberpermit|denyipaccesslisttestconditionspermit|denyipaccesslisttestconditions,ipaccess-groupnamein|out,命名IPACL的配置,字母数字命名的字符串必须是唯一的,如果未配置，则从10开始自动生成序列号，并以10为增量递增no序列号命令可从命名ACL中删除指定测试,激活接口上的命名IPACL,RouterX(configstd-|ext-nacl)#,RouterX(config-if)#,RouterX(config)#,拒绝特定的主机,标准命名IPv4ACL示例,RouterX(config)#ipaccess-liststandardtroublemakerRouterX(config-std-nacl)#denyhost3RouterX(config-std-nacl)#permit55RouterX(config-std-nacl)#interfacee0RouterX(config-if)#ipaccess-grouptroublemakerout,拒绝来自特定子网的Telnet流量,扩展命名IPv4ACL示例,RouterX(config)#ipaccess-listextendedbadgroupRouterX(config-ext-nacl)#denytcp55anyeq23RouterX(config-ext-nacl)#permitipanyanyRouterX(config-ext-nacl)#interfacee0RouterX(config-if)#ipaccess-groupbadgroupout,注释ACL语句,access-listaccess-list-numberremarkremark,ipaccess-liststandard|extendedname,创建命名ACL注释,创建被编号的ACL注释,RouterX(configstd-|ext-nacl)#,RouterX(config)#,remarkremark,RouterX(config)#,创建命名ACL,或,监控ACL语句,RouterX#showaccess-listsaccess-listnumber|name,RouterX#showaccess-listsStandardIPaccesslistSALES10deny,wildcardbits5520permit30permit40permitExtendedIPaccesslistENG10permittcphostanyeqtelnet(25matches)20permittcphostanyeqftp30permittcphostanyeqftp-data,显示所有访问列表,检验ACL,RouterX#showipinterfacese0Ethernet0isup,lineprotocolisupInternetaddressis1/24Broadcastaddressis55AddressdeterminedbysetupcommandMTUis1500bytesHelperaddressisnotsetDirectedbroadcastforwardingisdisabledOutgoingaccesslistisnotsetInboundaccesslistis1ProxyARPisenabledSecuritylevelisdefaultSplithorizonisenabledICMPredirectsarealwayssentICMPunreachablesarealwayssentICMPmaskrepliesareneversentIPfastswitchingisenabledIPfastswitchingonthesameinterfaceisdisabledIPFeatureFastswitchingturbovectorIPmulticastfastswitchingisenabledIPmulticastdistributedfastswitchingisdisabled,排除ACL的常见错误,错误1：主机与没有连接。,错误2：网络无法用TFTP连接。,排除ACL的常见错误（续）,ERROR2,错误3：网络可使用Telnet连接，但是不允许进行此项连接。,排除ACL的常见错误（续）,ERROR3,错误4：主机可使用Telnet连接，但是不允许进行此项连接。,排除ACL的常见错误（续）,ERROR4,错误5：主机可使用Telnet连接，但是不允许进行此项连接。,A,B,排除ACL的常见错误（续）,ERROR5,错误6：主机可使用Telnet连接路由器B，但是不允许进行此项连接。,B,A,排除ACL的常见错误（续）,ERROR6,可视目标6-1：ACL实施与故障排除,工作组路由器s0/0/0路由器fa0/0交换机A1B1C1D10.5.