文档介绍:访问控制列表
ACL 配置与故障排除
用标准编号 IPv4 ACL�测试数据包
激活接口上的列表。
设置入站或出站测试。
no ip access-group access-list-number {in | out} 命令可从接口删除 ACL。
ip access-group access-list-number {in | out}
使用 1 到 99 或 1300 到 1999 ess-list-number。
第一个条目分配的序列号是 10,�后续条目以 10 为增量递增。
默认通配符掩码是 (仅针对标准 ACL)。
no access-list access-list-number 命令可删除整个 ACL。
remark 用于向 ACL 添加说明。
access-list access-list-number �{permit | deny | remark} source [mask]
RouterX(config)#
RouterX(config-if)#
标准编号 IPv4 ACL 的配置
仅允许我的网络
标准编号 IPv4 ACL�示例 1
RouterX(config)# access-list 1 permit
(隐式拒绝所有—在列表中不可见)
(access-list 1 deny )
RouterX(config)# interface 0
RouterX(config-if)# ip access-group 1 out
RouterX(config)# interface 1
RouterX(config-if)# ip access-group 1 out
拒绝特定主机
标准编号 IPv4 ACL�示例 2
RouterX(config)# access-list 1 deny
RouterX(config)# access-list 1 permit
(隐式拒绝所有)
(access-list 1 deny )
RouterX(config)# interface 0
RouterX(config-if)# ip access-group 1 out
拒绝特定子网
标准编号 IPv4 ACL�示例 3
RouterX(config)# access-list 1 deny
RouterX(config)# access-list 1 permit any
(隐式拒绝所有)�(access-list 1 deny )
RouterX(config)# interface 0
RouterX(config-if)# ip access-group 1 out
仅允许网络 中的主机连接到路由器的 vty 线路
access-list 12 permit
(隐式拒绝所有)
!
line vty 0 4
access-class 12 in
示例:
access-class access-list-number {in | out}
限制特定 vty 与 ACL 地址之间的入站或出站连接
RouterX(config-line)#
用标准 ACL 控制 vty 访问
用扩展编号 IPv4 ACL�测试数据包
ip access-group access-list-number {in | out}
激活接口上的扩展列表
设置此列表条目的参数
access-list access-list-number {permit | deny} �protocol source source-wildcard [operator port] �destination destination-wildcard [operator port] �[established] [log]
RouterX(config)#
RouterX(config-if)#
扩展编号 IPv4 ACL 的配置
扩展编号 IPv4 ACL�示例 1
RouterX(config)# access-list 101 deny tcp eq 21
RouterX(c