访问控制列表ACL教程.ppt

扩展访问控制列表的配置3-1 第一步，使用access-list命令创建扩展访问控制列表 Router(config)#access-list access-list-number { permit | deny } protocol [source source-wildcard destination destination-wildcard ] [operator port] [established] [log] 扩展访问控制列表操作符的含义 操作符及语法 意义 eq portnumber 等于端口号 portnumber gt portnumber 大于端口号portnumber lt portnumber 小于端口号portnumber neq portnumber 不等于端口号portnumber 扩展访问控制列表的配置3-2 扩展访问控制列表的配置3-3 第二步，使用ip access-group命令将扩展访问控制列表应用到某接口 Router（config-if）#ip access-group access-list-number { in | out } 扩展ACL应用1：拒绝ftp流量通过E0 第一步，创建拒绝来自、去往、ftp流量的ACL 第二步，应用到接口E0的出方向 Router(config)#access-list 101 deny tcp 55 55 eq 21 Router(config)#access-list 101 permit ip any any Router(config)#interface fastthernet 0/0 Router（config-if）#ip access-group 101 out 扩展ACL应用2： 拒绝telnet流量通过E0 第一步，创建拒绝来自、去往、telnet流量的ACL 第二步，应用到接口E0的出方向上 Router(config)#access-list 101 deny tcp 55 55 eq 23 Router(config)#access-list 101 permit ip any any Router(config)#interface fastethernet 0/0 Router（config-if）#ip access-group 101 out 命名的访问控制列表2-1 标准ACL和扩展ACL中可以使用一个字母数字组合的字符串（名字）代替来表示ACL的表号 命名IP访问列表允许从指定的访问列表删除单个条目 如果添加一个条目到列表中，那么该条目被添加到列表末尾 不能以同一个名字命名多个ACL 在命名的访问控制列表下 ，permit和deny命令的语法格式与前述有所不同 命名的访问控制列表2-2 第一步，创建名为cisco的命名访问控制列表 第二步，指定一个或多个permit及deny条件 第三步，应用到接口E0的出方向 Router（config）#interface fastethernet 0/0 Router（config-if）#ip access-group cisco out Router(config)#ip access-list extended cisco Router（config-ext-nacl）# deny tcp 55 55 eq 23 Router（config-ext-nacl）# permit ip any any 查看访问控制列表2-1 Router#show ip interface fastethernet 0/0 FastEthernet0/0 is up, line protocol is up Internet address is /24 Broadcast address is 55 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is cisco Inbound access list is not set Proxy ARP is enabled Local Proxy ARP is disabled Security level is default Split horizo