控制列表ACL配置

控制列表ACL配置1:设置判断标准语句(一个ACL可由多个语句组成)Aclstandard/extendednumber列表号rule测试语句ZXR10(config)#ACL配置步骤2:将ACL应用到接口上ipaccess-groupaccess-list-number{in|out}

ZXR10(config-if)#IPaccess-list-number范围1-99或100-199号码范围IPACL类型1-99100-199StandardExtended标准ACL(1to99)根据源IP地址对数据包进行控制扩展ACL(100to199)判别依据包括源/目的地址,协议类型,源/目的端口号ACL号码范围标准与扩展ACL的比较标准ACL扩展ACL基于源地址过滤.允许/拒绝整个TCP/IP协簇.指定特定的IP协议和协议号范围从100到199.范围从1到99基于五元组过滤.通配符的作用0代表对应位必须与前面的地址相应位一致1代表对应位可以是任意值忽略所有比特位=001111111286432168421=00000000=00001111=11111100=11111111忽略最后六个比特位匹配所有比特位忽略最后四个比特位匹配最后两个比特位例子匹配条件:匹配所有32位地址----主机地址9

(匹配所有32位)通配符:匹配特定主机地址55意为接受所有地址可简写为any匹配条件:匹配任意地址（任意地址都被认为符合条件）

55(忽略所有位的比较)AnyIPaddress通配符:匹配任意地址指定特定地址范围172.30.16.0/24到172.30.31.0/24172.30.16.0

00010000通配符: 00001111 |<-------

匹配

------->|<-----忽略----->|

00010000 = 16

00010001 = 17

00010010 = 18 : :

00011111 = 31地址与通配符如下55匹配特定子网Aclstandardnumber列表号（1--99）rule序列号permit/deny源地址源地址通配符ZXR10(config)#IP标准ACL使用列表号1至99缺省通配符为“noaclstandardaccess-list-number”删除整个ACL在接口上应用ACL设置进入或外出方向“noipaccess-groupaccess-list-number”去掉接口上的ACL设置ZXR10(config-if)#ipaccess-groupaccess-list-number{in|out}配置标准ACL3S0Fei_1/1非网段只允许两边的网络互相访问Aclstandardnumber1rule1permit

55(rule2deny55)－－隐含拒绝全部interfaceFei_1/2ipaccess-group1outinterfaceFei_1/1ipaccess-group1outFei_1/2标准ACL配置示例1Aclstandardnumber1rule1deny3Rule2permitany(rule3deny55)－－隐含拒绝全部interfacefei_1/2ipaccess-group1out3S0拒绝特定主机3对网段的访问非网段Fei_1/1Fei_1/2标准ACL配置示例2拒绝特定子网对网段的访问3S0非网段Aclstandardnumber1rule1deny55rule2permitany(rule3deny55)别忘了系统还有隐含的这条规则！interfacefei_1/2ipaccess-group1outFei_1/1Fei_1/2标准ACL配置示例3过滤telnet对路由器的访问利用ACL针对地址限制进入的vty连接linetelentaccess-classaccess-list-number

ZXR10(config)#实例－－控制telent访问

只允许

网段中的主机才能对路由器进行telnet访问aclstandardnumber12rule1permit55linetelnetaccess-class12

/24网段我只接受来自/24的telnet访问！/24网段telnet/24网段INTERNETZXR10(config)#扩展ACL的配置ZXR10(config)#

设置扩展ACLaclextendednumber列表号rule序列号permit/denytcp/udp源地址源地址通配符目的地址目的地址通配符操作符（eq：=,neq:!=,gt:>,lt:<）协议号ZXR10(config-if)#

ipaccess-groupaccess-list-number{in|out}

应用到接口Aclextendednumber101Rule1denytcp5555eq21Rule2denytcp5555eq20Rule3permitipanyany

interfacefei_2/1ipaccess-group101out拒绝从子网

到子网

通过fei_2/1口出去的FTP访问允许其他所有流量扩展ACL的配置实例13S0非网段Fei_1/1Fei_2/1Aclexendednumber101Rule1denytcp55anyeq23Rule2permitipanyanyinterfacefei_2/1ipaccess-group101out扩展ACL的配置实例23S0仅拒绝从子网

通过fei_2/1口外出的Telnet允许其他所有流量非网段Fei_1/1Fei_2/1ACL配置原则ACL语句的顺序很关键

ACL按照由上到下的顺序执行，找到一个匹配语句后既执行相应的操作，然后跳出ACL而不会继续匹配下面的语句。所以配置ACL语句的顺序非常关键！

自上到下的处理顺序具体的判别条目应放置在前面标准ACL可以自动排序：主机网段any隐含的拒绝所有的条目除非最后有明确的允许语句，否则最终拒绝所有流量，所以ACL中必须有允许条目存在，否则一切流量被拒绝如何放置ACL？标准ACL应该在什么位置路由器上设置？－对于标准ACL，应该被配置在距离目的网络最近的路由器上。扩展ACL应该在什么位置路由器上设置？－对于扩展ACL，应该被配置在距离源网络最近的路由器上。E0E0E1S0To0S1S0S1E0E0BADPC_APC_BR2#showaclextendedacl101rule1denytcpanyeqtelnetrule2denytcpanyeqftprule3permitipanyanyACL配置显示ACL实用案例-

反向ACL防范病毒攻击（1）需求：/24网段是服务器，为了保证服务器的安全，需要防止/24对该网段的攻击/24还要能够使用服务器提供的www服务3S0非网段Fei_1/1Fei_2/1ACL实用案例-

反向ACL防范病毒攻击（2）aclextendednumber101rule1permittcp5530.0.0.0eqwww

/24可以访问服务器的www服务aclextendednumber101rule1denytcp5555established

/24不能主动向服务器网段发起tcp连接，可以禁止病毒攻击interfacef