第11次课访问控制列表(ACL)资料.ppt

运算符包括lt(小于)、gt(大于)、eq(等于)、neq(不等于)。 端口号用于对应一种应用，如21—FTP、23—Telnet、25—SMTP、53—DNS、80—HTTP等。 “运算符 端口号”可匹配数据包的用途。如：“eq 80”可匹配那些访问Web网站的数据包。 在扩展ACL语句中， “运算符 端口号”可以没有。 例： access-list 100 permit tcp 55 55 eq 80 表示允许来自192.168.*.*的用户访问位于10.*.*.*的Web站点。 扩展ACL定义后，也需要使用 ip access-group 命令应用在指定接口上才能起作用。 如： Router(config)# interface e0 Router(config-if)# ip access-group 100 out 在每个扩展ACL末尾也有一条默认语句： access-list list-num deny ip any any 它会拒绝所有与前面语句不匹配的数据包。 扩展ACL配置举例1 R1 E0 一个局域网连接在路由器R1的E0口，这个局域网只允许Web通信流量和Ftp通信流量，其它都拒绝。 R1(config)# access-list 100 permit tcp any any eq 80 R1(config)# access-list 100 permit