ACL语法.doc

ACL语句ACL的创建和处理原则1. 每个协议的每个方向仅配置一个访问列表2. 标准应靠近目的地址3. 扩展应靠近源地址4. 编号符合范围5. 进出站方向是从路由器的角度来判断（就是进出路由）6. 语句的处理顺序是自上而下7. 最后都隐藏一个 deny any8. 编写列表时先特殊到一般查看路由上的已配ACL命令Show ip interfaceShow access-listsShow running-config标准ACL （199和13001999）语法：access-list 编号 deny|permit源地址源通配符 log1.拒绝某主机R1(config)# access-list 1 deny 1 R1(config)# access-list 1 deny host 12.允许所有主机R1(config)# access-list 1 permit any3.允许一个网络的所有主机R1(config)# access-list 1 permit 554.阻止一个网络的所有主机流量，但是允许其他网络流量R1(config)# access-list 1 deny 55R1(config)# access-list 1 permit any扩展ACL（100199和20002699）1. 阻止的网络流量到达该网络，但是允许相应的流量到达其他网络config)# access-list 101 deny ip 55 55R1(config)# access-list 101 permit ip any any2.允许某网络访问某主机R1(config)# access-list 101 permit tcp 55 host 1 eq http1. ACL编号2. 动作（deny或permit）3. 协议 ip（任何Internet协议）tcp（传输控制协议）udp（用户数据报协议）4. 源ip地址（某主机或网络）（host或any）参数5. 通配符掩码6. 目的ip地址（某主机或网络）（host或any）参数7. 匹配条件eq（等于）gt（大于）lt（小于）8. TCP应用（端口号和首字母）命名ACL语法：ip access-liststandard | extended 名称1. R1(config)#ip access-list extended AAAR1(config-ext-nacl)# permit ip anyR1(config-ext-nacl)# permit ip anyR1(config)#int fa0/0R1(config-if)#ip access-group AAA in2. 删除某一条语句（no line number）添加时直接在语句前加 行号R1(config)#ip access-list extended AAAR1(config-ext-nacl)# 20 permit ip any配置VTYR1（config）# access-list 2 permit R1（config）#line vty 0 4R1（config-line）#loginR1（config-line）#password ciscoR1（config-line）#access list 2 in配置静态动态NAT /PAT1.动态NAT地址池192.168.1.（1224）/24R1(config)#ip nat pool QQQ 24 netmask 2.定义匹配内部私有ip地址的访问列表，内部私有网络（/24）R1（config）# access-list 1 permit 553. 定义从内部列表到外部地址池的NAT转换R1（config）#ip nat inside source list 1 pool QQQ4. 需要定义端口为内部还是外部端口R1（config）# int fa0/0R1(config-if) # ip nat insideR1(config-if) # int se1/0R1(config-if) # ip nat outside5. 静态nat映射（为内部主机 映射一个固定外部ip地址25）R1(config) # ip nat inside source static 256. 查看相应的nat配置命令 Show ip nat translations(显示活动的转换。静态nat永久保存) Show ip nat statistics（显示转换统计信息，包括使用的地址数及成功和失败的次数） 7. PAT的配置1. 定义公用的ip地址池(这个网络地址是路由wan的串口地址)R1（config）#ip nat pool QQQ netmask 2. 定义匹配内部私有ip地址的访问列表，内部私有网络（/24）R1（config）# access-list 1 permit 553. 定义从内部列表到外部地址池的NAT转换R1（config）#ip nat inside source list 1 pool QQQ overload或直接配置串口R1（config）#ip nat inside source list 1 interface se0/0 overload8. 清空nat转换表9. 定义从内部列表到外