ACL访问列表配置规则梳理

Posted 2020-09-01

访问控制列表有3种，标准访问控制列表，扩展访问控制列表，命名访问控制列表

访问控制列表只对穿越路由器的数据流有过滤效果，不会对始发于当前路由器的数据进行过滤

1）标准访问列表:standard access-list

标准访问列表的序号范围：1~99或1300~1999（扩展范围）

格式：

R1(config)#access-list 10 deny host 172.16.10.0 0.0.0.255 //拒绝来自172.16.10.0网段的数据

R1(config)#access-list 10 permit 0.0.0.0 255.255.255.255 //允许所有数据，此句等价于permit any any

R1(config)#int f0/0 R1(config-if)ip access-group 10 out //对流出f0/0的数据加以acl 10来过滤

R1(config) #line vty 0 4 R1(config-line)#access-class 10 in //将访问控制列表10应用于VTY上

R1(config)#access-list 10 remark aabbccdd //给ACL 10 添加注释

一般而言，IP标准访问控制列表放在离目的地尽可能进的地方

2）扩展访问控制列表：extended access-list

范围：100~199或2000~2699（扩展范围）

格式：

R2(config)#access-list 110 deny tcp any host 172.16.50.5 eq 21 //拒绝来源于任何地方到主机172.16.50.5的ftp数据

R2(config)#access-list 110 deny tcp any 172.16.50.5 255.255.255.255 eq 21 //作用等同于上句，只是用的语法格式不一样，172.16.50.5 255.255.255.255 相当于上句的host 172.16.50.5

一般而言，扩展访问控制列表应放在离信源近的地方，但具体情况以实际需求为准

3）命名访问控制列表

格式：

R3(config)#ip access-list standard BlockMarket //给列表取个名字，然后再写相关规则，是标准的还是标准格式，是扩展的还是扩展格式 R3(config-std-nacl)#deny 172.16.40.0 0.0.0.255 R3(config-std-nacl)#permit any

R3(config)#ip access-list extended BlockSales R3(config-ext-nacl)#permit tcp host 192.168.177.2 host 172.22.89.26 eq 80

R3(config-ext-nacl)#remark Deny all of Sales from Telnetting to Marketing //用remark来给ACL BlockSales添加注释，以增强可读性

R3(config-ext-nacl)#21 deny udp any host 172.16.30.5 eq 69 //利用命名ACL，可以对标准访问列表或扩展访问列表，进行内部的执行次序修改

察看访问列表

show access-list : 显示路由器中配置的所有访问控制列表及其参数，还显示各条语句允许或禁止分组通过的次数，但不会指出应用于哪个接口

show access-list 110 : 只显示访问控制列表110的参数，也不反映那个接口

show ip access-list：只显示路由上配置的IP访问控制列表，IPX等非IP Access-list不会显示

show ip interface： 显示应用于接口的访问列表会

show runing-config：显示访问控制列表以及应用了的接口

本文出自 “101010...010101” 博客，谢绝转载！