标准ACL(1-99)放在最近目的地址的端口、扩展ACL(100-199)放在最近源地址的端口
单台主机:host 192.168.1.254 或者 192.168.1.254 0.0.0.0 或者 192.168.1.254
一个子网:192.168.1.0 0.0.0.255
172.16.0.0 0.0.255.255
所有网络:any 或者 0.0.0.0 255.255.255.255
----------------------------------------------------------------------------------
编号ACL配置方法
Router(config)#access-list 1 permit host 192.168.1.254
‘创建一条标准acl编号为1 允许主机192.168.1.254通过
Router(config)#access-list 1 deny 192.168.1.0 0.0.0.255
‘创建一条标准acl编号为1 禁止子网192.168.1.0/24通过
Router (config)#access-list 101 permit tcp any host 192.168.2.1 eq www
‘创建一条扩展acl编号为101 允许所有主机访问主机192.168.2.1的www服务
Router (config)#access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.1 eq 25
‘创建一条扩展acl编号为101 拒绝192.168.1.0/24访问主机192.168.2.1的smtp服务
----------------------------------------------------------------------------------
命名ACL配置方法
Router(config)#ip access-list standart ACL1 ‘创建名为ACL1的标准acl
Router(config-std-acl)#permit host 192.168.1.254 ‘允许主机192.168.1.254通过
Router(config-std-acl)#deny 192.168.1.0 0.0.0.255‘拒绝192.168.1.0/24通过
Router(config)#ip access-list extended ACL2
‘创建名为ACL2的扩展acl
Router(config-std-acl)#permit tcp any host 192.168.2.1 eq www
‘允许所有主机访问主机192.168.2.1的www服务
Router(config-std-acl)# deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.1 eq 25
‘拒绝192.168.1.0/24访问主机192.168.2.1的smtp服务
----------------------------------------------------------------------------------
编号ACL和命名ACL激活方法
Router(config)#interface ethernet 0/0
Router(config-if)#ip access-group 1 in
‘在e0/0接口上应用标准acl编号为1方式为in方向
Router(config)#interface ethernet 0/1
‘Router(config-if)#ip access-group acl2 out
在e0/1接口上应用扩展acl命名为acl2方式为out方向
评论