[ACL配置大全及命令.doc

ACL的使用 ACL的处理过程： 1、语句排序 一旦某条语句匹配，后续语句不再处理。 2、隐含拒绝 如果所有语句执行完毕没有匹配条目默认丢弃数据包 要点： ACL能执行两个操作：允许或拒绝。语句自上而下执行。一旦发现匹配，后续语句就不再进行处理---因此先后顺序很重要。如果没有找到匹配，ACL末尾不可见的隐含拒绝语句将丢弃分组。一个ACL应该至少有一条permit语句；否则所有流量都会丢弃，因为每个ACL末尾都有隐藏的隐含拒绝语句。 如果在语句结尾增加 deny any的话可以看到拒绝记录 Cisco ACL有两种类型一种是标准另一种是扩展，使用方式习惯不同也有两种方式一种是编号方式，另一种是命名方式。 示例： 编号方式 标准的ACL使用 1 ~ 99 以及1300~1999之间的数字作为表号，扩展的ACL使用 100 ~ 199以及2000~2699之间的数字作为表号 允许22通过，其他主机禁止 Cisco-3750(config)#access-list 1（策略编号）（1-99、1300-1999） permit host 22 禁止22通过,其他主机允许 Cisco-3750(config)#access-list 1 deny host 22 Cisco-3750(config)#access-list 1 permit any 允许/24通过,其他主机禁止 Cisco-3750(config)#access-list 1 permit 54（反码55减去子网掩码，如/24的55—=55） 禁止/24通过,其他主机允许 Cisco-3750(config)#access-list 1 deny 54 Cisco-3750(config)#access-list 1 permit any 二、扩展（扩展ACL比标准ACL提供了更广泛的控制范围。例如，网络管理员如果希望做到“允许外来的Web通信流量通过，拒绝外来的FTP和Telnet等通信流量”，那么，他可以使用扩展ACL来达到目的，标准ACL不能控制这么精确。） 允许22访问任何主机80端口，其他主机禁止 Cisco-3750(config)#access-list 100 permit tcp host 22（源） any（目标） eq www 允许所有主机访问22主机telnet（23）端口其他禁止 Cisco-3750(config)#access-list 100（100-199、2000-2699） permit tcp any host 22 eq 23 接口应用（入方向）（所有ACL只有应用到接口上才能起作用） Cisco-3750(config)#int g1/0/1 Cisco-3750(config-if)#ip access-group 1 in（出方向out） 命名方式 标准 建立标准ACL命名为test、允许22通过，禁止23通过，其他主机禁止 Cisco-3750(config)#ip access-list standard test Cisco-3750(config-std-nacl)#permit host 22 Cisco-3750(config-std-nacl)#deny host 23 建立标准ACL命名为test、禁止23通过，允许其他所有主机。 Cisco-3750(config)#ip access-list standard test Cisco-3750(config-std-nacl)#deny host 23 Cisco-3750(config-std-nacl)#permit any 二、扩展 建立扩展ACL命名为test1，允许22访问所有主机80端口，其他所有主机禁止 Cisco-3750(config)#ip access-list extended test1 Cisco-3750(config-ext-nacl)#permit tcp host 22 any eq www 建立扩展ACL命名为test1，禁止所有主机访问22主机telnet（23）端口，但允许访问其他端口 Cisco-3750(config)#ip access-list extended test1 Cisco-3750(config-ext-nacl)#deny tcp any host 22 eq 23 Cisco-3750(config-ext-nacl)#permit tcp any any 接口应用（入方向）（所有ACL只有应用到接口上才能起作用） Cisco-3750(config)#int g1/0/1 Cisco-3750(config-if)#ip access-group tes