几句话就能让你明白：ACL 访问控制列表（二）

一、扩展方问控制列表的配置

1、创建ACL

Router(config)#access-list  access-list-number { permit| deny } protocol { source source-wildcard destination destination-wildcard }

[ operator operan]

   #access-list-number：访问控制列表表号，100~199之间

   #permit|deny：如果测试条件满足，则允许|拒绝该通信流量

   #protocol：用来指定协议类型，如IP、UDP、ICMP等

   #source、destination：分别用来标识源地址和目的地址

   #source-wildcard、destination-wildcard：源反码、目的反码

   #operator operan：lt(小于)、gt(大于)、eq(等于)或neq(不等于)+端口号

【例如：允许网络192.18.1.0/24访问网络192.168.2.0/24的IP流量通过，而拒绝其他任何流量】

   Router(config)# access-list 100 permit ip192.168.1.0  0.0.0.255  

                   192.168.2.0 0.0.0.255

   Router(config)# access-list 100 deny any any

【例如：拒绝网络192.168.1.0/24访问FTP服务器192.168.2.2/24的IP流量通过，而允许其他任何流量】

   Router(config)# access-list 100 permit ipany any

   Router(config)# access-list 100 deny tcp192.168.1.0  0.0.0.255

                   host 192.168.2.2 eq 21

【例如：禁止网络192.168.1.0/24中的主机ping通服务器192.168.2.2/24，而允许其他任何流量】

   Router(config)# access-list 100 deny icmp 192.168.1.0  0.0.0.255

                   host 192.168.2.2 echo

   Router(config)# access-list 100 permit ipany any

2、将ACL应用于接口

   Router(config)# ip access-groupaccess-list-number { in | out }

3、取消ACL的应用

   Router(config)# no ip access-groupaccess-list-number { in | out }

4、扩展ACL的配置实例

要求：

允许主机PC1访问Web服务器的WWW服务

禁止主机PC1访问Web服务器的其他任何服务

允许主机PC1访问网络192.168.2.0

命令：

R1(config)# access-list 100 permit tcp host 192.168.1.1 host

           192.168.3.1 eq www

R1(config)# access-list 100 deny ip host 192.168.1.1 host192.168.3.1

   R1(config)# access-list 100 permit ip host192.168.1.1 host

              192.168.2.0  0.0.0.255

   R1(config# int f0/0

   R1(config)# ip access-group 100 in

二、命名访问控制列表的配置

1、创建ACL

Router(config)#ip access-list { standard | extended } access-list-name

【定义标准命名ACL】

Router(config-std-nacl)#[sequence-Number] { permit | deny } source

                        [source-wildcard]

【定义扩展命名ACL】

Router(config-ext-nacl)#[sequence-Number] { permit | deny } protocol

   { source source-wildcard destinationdestination-wildcard }

   [ operator operan]

#sequence-Number：是一个可选参数，默认情况下，第一条为10，第二为20，依此类推。

【例：允许来自主机192.168.1.1的流量通过，而拒绝其他流量，标准命名ACL】

   Router(config)# ip access-list standardganbing

   Router(config-std-nacl)# permit host192.168.1.1

   Router(config-std-nacl)# deny any

【例：在命令ACL里插入一条ACL，允许来自主机192.168.2.1的流量通过】

   Router(config)# ip access-list standardganbing

   Router(config-std-nacl)# 15 permit host192.168.2.1

【例：拒绝网络192.168.1.0访问FTP服务器192.168.2.2的流量通过，而允许其他的任何流量，扩展命名 ACL】

   Router(config)# ip access-list extendedganbing

   Router(config-ext-nacl)# deny tcp192.168.1.0  0.0.0.255 host 192.168.2.2eq 21

   Router(config-ext-nacl)# permit ip any any

【例：删除已建立的命名ACL】

   Router(config)# no ip access-list {standard| extended} access-list-name

【例，删除标准命名ACL某一条记录】

   Router(config)# no ip access-list standardganbing

   Router(config)# no 10

【例，删除标准命名ACL某一条记录】

   Router(config)# no ip access-list standardganbing

   Router(config)# no permit host 192.168.1.1

2、将ACL应用于接口

   Router(config-if)# ip access-groupaccess-list-name { in | out }

3、在接口上取消命名ACL的应用

   Router(config-if)# no ip access-groupaccess-list-name { in | out }

本文转自甘兵 51CTO博客，原文链接：http://blog.51cto.com/ganbing/1229642，如需转载请自行联系原作者