Cisco ACl 标准的访问控制列表的配置

前提(先进入全局 配置 模式下) access?list 11 deny/permit 192.168.1.12 0.0.0.255 192.168.1.12为源地址0.0.0.255为192.168.1.12 的反掩码 11为 标准 的 访问 控制 列表 的编号 ip access?group 11 in/out 前提(先进入接口 配置 模式下) in为进方向out为出

　　前提(先进入全局配置模式下)

　　access?list 11 deny/permit 192.168.1.12 0.0.0.255 192.168.1.12为源地址0.0.0.255为192.168.1.12 的反掩码 11为标准的访问控制列表的编号

　　ip access?group 11 in/out 前提(先进入接口配置模式下) in为进方向out为出方向，缺省下为出方向 11为上面做访问控制列表时用的编号 做完这两步，一个完整的访问控制列表算完成了。缺省下的反掩码为0.0.0.0

　　用no access?list 11 命令删除访问控制列表，属于这个编号下的访问控制列表全部删除(先进入全局模式下)

　　用no ip access?group 11 命令在端口上删除访问控制列表(先进入接口模式下)

　　扩展的访问控制列表的配置 前提(先进入全局配置模式下)

　　access?list 101 deny/permit tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 80

　　access?list 101 permit ip any any 扩展访问列表允许所有时，后面要用两个any 标准访问控制列表在允许所有的时候，后面是一个any

　　101为编号 tcp为协议号 172.16.4.0 0.0.0.255为源地址172.16.3.0 0.0.0.255 为目的地址 eq是等于的意思 80为端口号 上面第一条访问控制列表的意思是--拒绝/允许172.16.4.0这个网络远程登陆到172.16.3.0这个网络，第二条访问控制列表的意思的允许所 有

　　ip access?group101 out 前提(先进入接口配置模式)这条命令是接口上启用访问控制列表并指定方向

　　命名的访问控制列表的配置(11.2以后的版本才支持)-基于IP和IPX都可以，可以自已定义一个名字 (前提，先进入全局配置模式下)

　　ip access?list standard/extended cisco cisco为自行定义的名字

　　deny/permit 172.1.1.0 0.0.0.255 上面选择standard即标准访问控制列表的时候

　　deny/permit tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 80 上面选择extended即扩展访问控制列表的时候

　　ip access?group cisco in/out 前提(先进入接口配置模式下)在接口上应用命名的访问控制列表，并指定方向

　　在VTY上面做禁止远程telnet访问

　　line vty 0 4

　　password cisco 在VTY下面配置的密码，在VTY下没有密码的时候，远程主机也不能发起telnet访问

　　login login登陆的意思(在VTY没设密码没做访问控制列表的情况下，这里设成no login远程主机可以telnet登录)

　　!(退到全局模式下)

　　access?list 1 deny 30.30.30.0 0.0.0.255(拒绝一个网络访问)

　　line vty 0 4

　　access?class 1 in (在VTY模式下开启访问控制列表并配置方向) in 为方向

　　带ESTABLISHED选项的扩展访问列表

　　带有Established的扩展访问列表允许内部的用户访问外部网络，而拒绝外部用户访问内部网络。而没有带关键词established的标准访问表和扩展访问表没有这个特性(Feature 下面是配置：(先进入全局模式下)

　　access?list 101 permit tcp any any established log?input

　　access?list 101 permit ospf any any

　　access?list 101 deny ip any any log?input

　　进入接口模式下

　　ip access?group 101 in

　　以上log?input 是为了显示数据报文被过滤的情况。接下来用 debug ip packet detailed 来监视报文经过的情况，因为路由器还有OSPF 的报文产生，因此我们用另外一条扩展访问控制列表对Debug 信息做限制

　　不监视OSPF的报文，下面为第2条扩展访问控制列表的配置 (先进入全局模式下)

　　access?list 102permit tcp any any 这里没有做拒绝OSPF的访问控制，但默认拒绝所有会拒绝OSPF

　　退到特权模式下配置

　　debug ip packet detail 102 (特权模式下查看debug输出信息命令为show logging )

　　上面这个案例是基于TCP的应用，任何TCP的通讯都是双向的

　　注意：TCP协议的第一次发送是SYN字段，这是用来同步准备建立一个新连接的两端主机，而ACK位由接收者置位从而向发送者表明数据已经成功接 收，RST (reset)位说明什么时候重新启动连接。带Established的扩展访问列表只允许ACK或RST位置1的TCP报文通过。

[1] [2] 下一页

【责编:peter】