访问控制列表

来源：互联网发布：一号店软件吧编辑：程序博客网时间：2024/05/02 03:04

访问控制列表

IP标准访问列表的配置

1.定义标准ACL
编号的标准访问列表

Router(config)#access-list <1-99> {permit|deny} 源地址 [反掩码]

命名的标准访问列表
ip access-list standard { name} deny　{source source-wildcard|host　source|any} or permit {source source-wildcard|host source|any}

2.应用ACL到接口
Router(config-if)#ip access-group <1-99>|{name} { in | out }

IP扩展访问列表的配置

1.定义扩展的ACL

编号的扩展ACL
Router(config)#access-list <100-199> { permit /deny } 协议源地址反掩码 [源端口] 目的地址反掩码 [ 目的端口 ]

命名的扩展ACL
ip access-list extended { name} {deny|permit} protocol　{source　 source-wildcard |host source| any}[operator port] {destination destination-wildcard |host destination |any}[operator port]

2.应用ACL到接口

Router(config-if)#ip access-group <100-199> |{name} { in | out }

扩展访问列表的应用

   access-list 115 deny udp any any eq 69  　　access-list 115 deny tcp any any eq 135　　access-list 115 deny udp any any eq 135　　access-list 115 deny udp any any eq 137　　access-list 115 deny udp any any eq 138　　access-list 115 deny tcp any any eq 139　　access-list 115 deny udp any any eq 139　　access-list 115 deny tcp any any eq 445　　access-list 115 deny tcp any any eq 593　　access-list 115 deny tcp any any eq 4444　　access-list 115 permit ip any any            　　interface   <type> <number>　　ip access-group 115 in                                  　　ip access-group 115 out  利用ACL隔离冲击波病毒

访问列表的验证

显示全部的访问列表

Router#show access-lists

显示指定的访问列表

Router#show access-lists <1-199>

显示接口的访问列表应用

Router#show ip interface <接口名称> <接口编号>

IP扩展访问列表配置实例

下例显示如何创建一条Extended IP ACL，该ACL有一条ACE，用于允许指定网络（192.168.x..x）的所有主机以HTTP访问服务器172.168.12.3，但拒绝其它所有主机使用网络。
Switch (config)# ip access-list extended abc
Switch (config-ext-nacl)# permit tcp 192.168.0.0 0.0.255.255 host 172.168.12.3 eq www
Switch (config-ext-nacl)#end
Switch # show access-lists

0 0