cisco訪問控制列表acl所有配置命令詳解

cisco 路由acl（訪問控制列表）的配置

標準acl router(config)#access-list 1-99 permit/deny 192.168.1.

1（源ip） 0.0.0.

255（反碼） router(config)#inte***ce f0/0 router(config-if)#ip access-group 1-99 out/in 擴充套件acl router(config)#access-list 100-199 permit/deny tcp （協議型別） 192.168.1.

1（源ip） 0.

標準acl

router(config)#access-list 1-99 permit/deny 192.168.1.1（源ip） 0.0.0.255（反碼）

router(config)#inte***ce f0/0

router(config-if)#ip access-group 1-99 out/in

擴充套件acl

router(config)#access-list 100-199 permit/deny tcp（協議型別） 192.168.1.

1（源ip） 0.0.0.

255（源ip反碼） 172.16.0.

1（目標ip） 0.0.255.

255（目標ip反碼） eq ftp/23 埠號

router(config)#inte***ce f0/0

router(config-if)#ip access-group 100-199 out/in

基於時間的acl

設定路由器的時間:

#clock set

router(config)#time-range wangxin （定義時間名稱）

以下有兩種：

1.absouluter

router(config-time-range)#absouluter指定絕對時間範圍 start hh:mm end hh:mm day（日） month(月份） year（年份）end hh:

mm end hh:mm day（日） month(月份） year（年份）

如果省略start及其後面的時間，則表示與之相聯絡的permit或deny語句立即生效，並一直作用到end處的時間為止。如果省略end及其後面的時間，則表示與之相聯絡的permit或deny語句在start處表示的時間開始生效，並且一直進行下去。2.

periodic

router(config-time-range)#periodic friday（星期） hh:mm（開始時間） to friday hh:mm（結束時間）

router(config)#access-list 100-199 access-list 100-199 permit/deny tcp（協議型別） 192.168.1.

1（源ip） 0.0.0.

255（源ip反碼） 172.16.0.

1（目標ip） 0.0.255.

255（目標ip反碼） eq ftp/23 埠號 time-range wangxin

router(config)#inte***ce f0/0

router(config-if)#ip access-group 100-199 out/in

cisco路由器配置acl詳解之擴充套件訪問控制列表

擴充套件訪問控制列表：

上面我們提到的標準訪問控制列表是基於ip位址進行過濾的，是最簡單的acl。那麼如果我們希望將過濾細到埠怎麼辦呢？或者希望對資料報的目的位址進行過濾。

這時候就需要使用擴充套件訪問控制列表了。使用擴充套件ip訪問列表可以有效的容許使用者訪問物理lan而並不容許他使用某個特定服務（例如www，ftp等）。擴充套件訪問控制列表使用的acl號為100到199。

擴充套件訪問控制列表的格式：

擴充套件訪問控制列表是一種高階的acl，配置命令的具體格式如下：

access-list acl號[permit|deny] [協議] [定義過濾源主機範圍] [定義過濾源埠] [定義過濾目的主機訪問] [定義過濾目的埠]例如：access-list 101 deny tcp any host 192.168.

1.1 eq www這句命令是將所有主機訪問192.168.

1.1這個位址網頁服務（ww w）tcp連線的資料報丟棄。

小提示：同樣在擴充套件訪問控制列表中也可以定義過濾某個網段，當然和標準訪問控制列表一樣需要我們使用反向掩碼定義ip位址後的子網掩碼。

網路環境介紹：

我們採用如圖所示的網路結構。路由器連線了二個網段，分別為172.16.

4.0/24,172.16.

3.0/24。在172.

16.4.0/24網段中有一台伺服器提供www服務，ip位址為172.

16.4.13。

配置任務：禁止172.16.

3.0的計算機訪問172.16.

4.0的計算機，包括那台伺服器，不過惟獨可以訪問172.16.

4.13上的www服務，而其他服務不能訪問。

路由器配置命令：

access-list 101 permit tcp any 172.16.4.

13 0.0.0.

0 eq www設定acl101，容許源位址為任意ip，目的位址為172.16.4.

13主機的80埠即www服務。由於cisco預設新增deny any的命令，所以acl只寫此一句即可。

int e 0進入e1埠

ip access-group 101 out將acl101宣告出去

設定完畢後172.16.3.

0的計算機就無法訪問172.16.4.

0的計算機了，就算是伺服器172.16.4.

13開啟了ftp服務也無法訪問，惟獨可以訪問的就是172.16.4.

13的www服務了。而172.16.

4.0的計算機訪問172.16.

3.0的計算機沒有任何問題。

擴充套件acl有乙個最大的好處就是可以保護伺服器，例如很多伺服器為了更好的提供服務都是暴露在公網上的，這時為了保證服務正常提供所有埠都對外界開放，很容易招來黑客和病毒的攻擊，通過擴充套件acl可以將除了服務埠以外的其他埠都封鎖掉，降低了被攻擊的機率。如本例就是僅僅將80埠對外界開放。

總結：擴充套件acl功能很強大，他可以控制源ip，目的ip，源埠，目的埠等，能實現相當精細的控制，擴充套件acl不僅讀取ip包頭的源位址/目的位址，還要讀取第四層包頭中的源埠和目的埠的ip。不過他存在乙個缺點，那就是在沒有硬體acl加速的情況下，擴充套件acl會消耗大量的路由器cpu資源。

所以當使用中低檔路由器時應儘量減少擴充套件acl的條目數，將其簡化為標準acl或將多條擴充套件acl合一是最有效的方法。

cisco路由器配置acl詳解之基於名稱的訪問控制列表

不管是標準訪問控制列表還是擴充套件訪問控制列表都有乙個弊端，那就是當設定好acl的規則後發現其中的某條有問題，希望進行修改或刪除的話只能將全部acl資訊都刪除。也就是說修改一條或刪除一條都會影響到整個acl列表。這乙個缺點影響了我們的工作，為我們帶來了繁重的負擔。

不過我們可以用基於名稱的訪問控制列表來解決這個問題。

一、基於名稱的訪問控制列表的格式：

ip access-list [standard|extended] [acl名稱]

例如：ip access-list standard softer就建立了乙個名為softer的標準訪問控制列表。

二、基於名稱的訪問控制列表的使用方法：

當我們建立了乙個基於名稱的訪問列表後就可以進入到這個acl中進行配置了。

例如我們新增三條acl規則

permit 1.1.1.1 0.0.0.0

permit 2.2.2.2 0.0.0.0

permit 3.3.3.3 0.0.0.0

如果我們發現第二條命令應該是2.2.2.

1而不是2.2.2.

2，如果使用不是基於名稱的訪問控制列表的話，使用no permit 2.2.2.

2 0.0.0.

0後整個acl資訊都會被刪除掉。正是因為使用了基於名稱的訪問控制列表，我們使用no permit 2.2.

2.2 0.0.

0.0後第一條和第三條指令依然存在。

總結：如果設定acl的規則比較多的話，應該使用基於名稱的訪問控制列表進行管理，這樣可以減輕很多後期維護的工作，方便我們隨時進行調整acl規則

cisco路由器配置acl詳解之反向訪問控制列表

反向訪問控制列表：

我們使用訪問控制列表除了合理管理網路訪問以外還有乙個更重要的方面，那就是防範病毒，我們可以將平時常見病毒傳播使用的埠進行過濾，將使用這些埠的資料報丟棄。這樣就可以有效的防範病毒的攻擊。

不過即使再科學的訪問控制列表規則也可能會因為未知病毒的傳播而無效，畢竟未知病毒使用的埠是我們無法估計的，而且隨著防範病毒數量的增多會造成訪問控制列表規則過多，在一定程度上影響了網路訪問的速度。這時我們可以使用反向控制列表來解決以上的問題。

一、反向訪問控制列表的用途

反向訪問控制列表屬於acl的一種高階應用。他可以有效的防範病毒。通過配置反向acl可以保證ab兩個網段的計算機互相ping，a可以ping通b而b不能ping通a。

說得通俗些的話就是傳輸資料可以分為兩個過程，首先是源主機向目的主機傳送連線請求和資料，然後是目的主機在雙方建立好連線後傳送資料給源主機。反向acl控制的就是上面提到的連線請求。

二、反向訪問控制列表的格式

反向訪問控制列**式非常簡單，只要在配置好的擴充套件訪問列表最後加上established即可。我們還是通過例項為大家講解。

網路環境介紹：

我們採用如圖所示的網路結構。路由器連線了二個網段，分別為172.16.

4.0/24,172.16.

3.0/24。在172.

16.4.0/24網段中的計算機都是伺服器，我們通過反向acl設定保護這些伺服器免受來自172.

16.3.0這個網段的病毒攻擊。

配置例項：禁止病毒從172.16.3.0/24這個網段傳播到172.16.4.0/24這個伺服器網段。

路由器配置命令：

access-list 101 permit tcp 172.16.3.

0 0.0.0.

255 172.16.4.

0 0.0.0.

255 established定義acl101，容許所有來自172.16.

3.0網段的計算機訪問172.16.

4.0網段中的計算機，前提是tcp連線已經建立了的。當tcp連線沒有建立的話是不容許172.16.3.0訪問17 2.16.4.0的。

int e 1進入e1埠

ip access-group 101 out將acl101宣告出去

設定完畢後病毒就不會輕易的從172.16.3.

0傳播到172.16.4.

0的伺服器區了。因為病毒要想傳播都是主動進行tcp連線的，由於路由器上採用反向acl禁止了172.16.

3.0網段的tcp主動連線，因此病毒無法順利傳播。

小提示：檢驗反向acl是否順利配置的乙個簡單方法就是拿172.16.

4.0裡的一台伺服器ping在172.16.

3.0中的計算機，如果可以pin g通的話再用172.16.

3.0那台計算機ping172.16.

4.0的伺服器，ping不通則說明acl配置成功。

通過上文配置的反向acl會出現乙個問題，那就是172.16.3.

0的計算機不能訪問伺服器的服務了，假如圖中172.16.4.

13提供了www 服務的話也不能正常訪問。解決的方法是在established那句前頭再新增乙個擴充套件acl規則，例如：access-list 101 permit tcp 172.

1 6.3.0 0.

0.0.255 172.

16.4.13 0.

0.0.0 eq www

這樣根據「最靠近受控物件原則」即在檢查acl規則時是採用自上而下在acl中一條條檢測的，只要發現符合條件了就立刻**，而不繼續檢測下面的acl語句。172.16.

3.0的計算機就可以正常訪問該伺服器的www服務了，而下面的established防病毒命令還可以正常生效

cisco路由器配置acl詳解之基於時間的訪問控制列表

基於時間的訪問控制列表：

上面我們介紹了標準acl與擴充套件acl，實際上我們數量掌握了這兩種訪問控制列表就可以應付大部分過濾網路資料報的要求了。不過實際工作中總會有人提出這樣或那樣的苛刻要求，這時我們還需要掌握一些關於acl的高階技巧。基於時間的訪問控制列表就屬於高階技巧之一。

一、基於時間的訪問控制列表用途：

可能公司會遇到這樣的情況，要求上班時間不能上qq，下班可以上或者平時不能訪問某**只有到了週末可以。對於這種情況僅僅通過發布通知規定是不能徹底杜絕員工非法使用的問題的，這時基於時間的訪問控制列表應運而生。

二、基於時間的訪問控制列表的格式：

基於時間的訪問控制列表由兩部分組成，第一部分是定義時間段，第二部分是用擴充套件訪問控制列表定義規則。這裡我們主要講解下定義時間段，具體格式如下：

time-range時間段名稱

absolute start[小時：分鐘] [日月年] [end] [小時：分鐘] [日月年]

例如：time-range softer

absolute start 0:00 1 may 2005 end 12:00 1 june 2005

意思是定義了乙個時間段，名稱為softer，並且設定了這個時間段的起始時間為2023年5月1日零點,結束時間為2023年6月1日中午1 2點。。當然我們也可以定義工作日和週末，具體要使用periodic命令。我們將在下面的配置例項中為大家詳細介紹。

cisco訪問控制列表acl所有配置命令詳解

ACL訪問控制列表實驗報告

ip訪問控制列表配置實驗報告

第13課標準IP訪問控制列表配置

cisco訪問控制列表acl所有配置命令詳解

ACL訪問控制列表實驗報告

ip訪問控制列表配置實驗報告

第13課標準IP訪問控制列表配置

相關推薦