acl学习资料.doc

ACL 访问控制列表有基于IPv4的,也有基于IPv6,IPX,MAC,ARP的，不过今天重点讲的是IPv4。 作用： 就是限制和管理数据包从一个网段到另一个网段，其中包括： 数据层面：上网流量 控制层面：路由更新 管理层面：vty 可以结合高级的网络工具一起管理网络。 ACL的运行结构图 输出接口ACL运行 ACL匹配过程 标准访问控制列表（Standard ACL） 标准IP访问控制列表通过查看分组的源IP地址来过滤网络数据流。创建标准IP访问控制列表时，使用访问控制列表编号1-99或1300-1999。指定访问控制列表编号后，需要决定是要创建permit语句还是deny语句。 命令如下： access-list 10 deny host / any / 一个网段 interfast fastethernet 0/1 ip access-group 10 in interfast fastethernet 0/2 ip access-group 10 out 控制VTY（telnet/SSH）访问 使用标准IP访问控制列表来控制对VTY线路的访问。 命令如下： access-list 50 permit host line vty 0 4 access-class 50 in 扩展访问控制列表 扩展访问控制列表中，可以指定源地址、目标地址、协议以及标识上层协议或应用程序的端口号。使用扩展访问控制列表可在允许用户访问某个LAN的同时，禁止他们访问其中的特定主机——甚至主机提供的特定服务。使用编号100-199；但注意标号2000-2699也可用于扩展访问控制列表。 命令如下： 下面禁止主机访问Telnet服务（端口23）。如果用户使用FTP，没有问题。命令log在每次到达当前语句时都显示一条消息，这对监视非法访问企图很有帮助，但只适用于非生产型网络，因为在生产型网络中，这会让控制台消息过载。 access-list 110 deny tcp any host eq 23 log 别忘了，每个访问控制列表末尾有一条隐式的deny any语句。如果将该访问控制列表应用于接口，还不如关闭该接口，因为每个访问控制列表末尾都有一条隐式的deny any语句。因此，必须在该访问控制列表中添加如下语句： access-list 110 permit ip any any 别忘了， 55 与命令any等效，因此上述语句与下面的语句等效； access-list 110 permit ip 55 55 创建访问控制列表后，需要将其应用于一个接口 interfast fastethernet 0/1 ip access-group 110 in interfast fastethernet 0/2 ip access-group 110 out *注意在设置ACL时使用的都是通配符掩码 命名ACL 命名访问控制列表只是另一种创建标准和扩展访问控制列表的方式。 标准的命名访问控制列表 配置命令： (config)#ip access-list standard BlockSales (config-std-nacl)#deny 55 (config-std-nacl)#permit any (config)# interfast fastethernet 0/1 (config)#ip access-group BlockSales in 或者 (config)#interfast fastethernet 0/2 (config)#ip access-group BlockSales out 扩展的命名访问控制列表 配置命令： (config)#ip access-list extend No_Telnet (config-ext-nacl)#remask Deny all of Sales from Telnetting to Marketing(注释) (config-std-nacl)#deny tcp 55 55 eq 23 (config-std-nacl)#permit any (config)# interfast fastethernet 0/1 (config)#ip access-group No_Telnet s in 或者 (config)#interfast fastethernet 0/2 (config)#ip access-group No_Telnet out *12.3版本之前的acl，如果要删除某天ACE必须删除ACL重建。如果要在序列号为你10和20中插入一条ACE，也必须重建ACL。 ACL配置指南一个ACL应用于一个接口的一个方向的一种三层协议dynamic