cisco acl原理以及配置详解

PAGEPAGE3/ACL的使用ACL行处理因此先后顺序很重要。如果没有找到匹配，ACL末尾不可见的隐含拒绝语句将丢弃ACLpermitACL末尾denyanyCiscoACL有两种类型一种是标准另一种是扩展，使用方式习惯不同也有两种方式一种是编ACL1~991300~1999ACL100~199以及2000~2699之间的数字作为表号所有通信流量，或者拒绝某一协议簇（IP）的所有通信流量。）22

Cisco-3750(config)#access-list1permit54（55减去子网掩码，如/24的55—=55）Cisco-3750(config)#access-list1deny54Cisco-3750(config)#access-list1permitany用扩展ACL来达到目的，标准ACL不能控制这么精确。）Cisco-3750(config)#access-list100permittcphost22（源）any（目标）eq（ipaccess-ipaccess-Cisco-3750(config-std-nacl)#permitanyCisco-3750(config-ext-nacl)#denytcpanyhost22eq23Cisco-3750(config-ext-nacl)#permittcpanyany（扩展ACL，的应用靠近源地址

CiscoACL三层交换机，部分最新的二层交换机也开始提供ACL的支持了。更好的消化ACL知识。的，只要发现符合条件了就立刻转发，而不继续检测下面的ACL语句。CISCOACLDENYANYANY，也就是丢弃所IP包中的源IP地址进行过滤，使用的访问控制列表号1到99来创建相应的ACLIPIP199来创建相应的ACL。它的具体格式如下：access-listACLpermit|denyhostip例如：access-list10denyhost地址的数当然我们也可以用网段来表示，对某个网段进行过滤。命令如下：access-list10/24的所有计算机数据包进行过滤丢弃。为什么后头反向掩码为55的代表他的子网掩码为。host命令。我们采用如图所示的网络结构。路由器连接了二个网段，分别为/24，1/24网段中除3这台计算机访问/24的计算access-list1permithost3ACL3access-list1denyanyACLIPinte1E1ipaccess-group1inACL1E13IP地址的数据包传输出去了。来自其他IP地址的数据包都无法通过E1传输。any这句命令可以省略。另外在路由器连接网络不多的情况下也可以在E0端口使用ipaccess-group1out命令来宣告，宣告结果和上面最后两句命令效果一样。access-list1denyhost3ACL3access-list1permitanyACL，容许其他地址的计算机进行通讯inte1进入E1端口ipaccess-group1inACL1E0ipaccess-group1out来配置完毕后除了3其他IP地址都可以通过路由器正常通讯，传输数据包。IPLAN而并不容许他使用某个特定服务(WWW，FTP等)ACL100到199。IPLAN而并不容许他使用某个特定服务(WWW，FTP等)ACL号为100到199。access-listACL[permit|deny]协议定义过滤源主机范围定义过滤源端口定义过滤目的主机访问][定义过滤目的端口]例如：access-list101denytcpanyhosteqwww表一样需要我们使用反向掩码定义IP地址后的子网掩码。在/24网段中有一台服务器提供WWW服务，IP地址为3。惟独可以访问3上的WWW服务，而其他服务不能访问。access-list101permittcpany3eqwwwACL101，容许源地址为任的命令，所以ACL只写此一句即可。inte1E1ipaccess-group101outACL101设置完毕后的计算机就无法访问的计算机了，就算是服务器而的计算机访问的计算机没有任何问题。的机率。如本例就是仅仅将80端口对外界开放。总结：ACLIPIP，源端口，目的端口等，能实ACLCPUACL的ACLACL合一是最有效的方法。不管是标准访问控制列表还是扩展访问控制列表都有一个弊端，那就是当设置好ACLipaccess-liststandard|extended][ACL名称例如我们添加三条ACL规则permitpermitpermit，如果使用不是基于名称的访问nopermitACL信息都会被删除掉。正是因为使用nopermit后第一条和第三条指令依然总结：ACL的规则比较多的话，应该使用基于名称的访问控制列表进行管理，这样可以减轻很多后期维护的工作，方便我们随时进行调整ACL规则。ACLABPING，APINGB而BPINGA6/PAGEPAGE9//24ACL设置保护这些服务器免受来自这个网段的病毒攻击。access-list101permittcp5555establishedinte1E1ipaccess-group101outACL101的服务器区了。因为病毒TCPACL网段的TCP主动连接，因此病毒无法顺利传播。PING在中的计算机，如果可以PING通的话再用那台计算机PING的服务器，PING不通则说明ACL配置成功。3WWW服务的话也不能正常访问。解决的方法是在ESTABLISHEDACL规则，例如：access-list101permittcp55eq这样根据“最靠近受控对象原则”即在检查ACL规则时是采用自上而下在ACL中一条条检ACL语句。的计算ACL的方式进行防病毒的，运行了一年多效果很不错，ACLACL，实际上我们数量掌握了这两种访问控制列表就可ACL的高级技巧。基于时间的访问控制列表就属于高级技巧之 absolutestart小时：分钟end]小时：分钟]例如：time-rangesofterabsolutestart0:001may2005end12:001june51日零点,20056112ACL的3FTP资源，工作时间不能下载该FTP资源。time-rangesofterperiodicweekend00:00to23:59定义具体时间范围，为每周周末(6，日)023access-list101denytcpanyeqftptime-rangesofterACL，禁止在时间段softer范围内访问3的FTP服务。access-list101permitipanyanyACLinte1E1ipaccess-group101outACL101周末访问服务