扩展ACL命令

扩展ACL

语法：access-list access-list-number { permit | deny } protocol { source source-wildcard destination destination-wildcard } [ operator operan ]

------------------------------------------------------------------------------------------------------------------------------------------

例如第一种：access-list 列表编号 permit|deny ip 源网络源网络反掩码目的网络目的网络反掩码

第一种表示允许或拒绝源网络访问目的网络的ip协议

------------------------------------------------------------------------------------------------------------------------------------------

例如第二种：access-list 列表编号 permit|deny tcp 源网络源网络反掩码目的网络目的网络反掩码 eq 21

第二种表示允许或拒绝源网络访问目的网络的FTP协议（采用TCP应用层进行过滤）
------------------------------------------------------------------------------------------------------------------------------------------

例如第三种：access-list 列表编号 permit|deny tcp 源网络源网络反掩码 host 主机ip地址 eq 80

第三种表示允许或拒绝源网络访问一个主机的HTTP协议（采用TCP应用层进行过滤，禁止源网络访问服务器的HTTP协议的网站）
------------------------------------------------------------------------------------------------------------------------------------------

例如第四种：access-list 列表编号 permit|deny tcp any host 主机ip地址 eq 80

第四种表示允许或拒绝所有网段或主机访问一个主机的HTTP协议（采用TCP应用层进行过滤）

……
------------------------------------------------------------------------------------------------------------------------------------------

注意：每个访问控制列表最后一条都是拒绝所有。所以在写完拒绝时要允许所有：acc-list 列表编号 permit ip any any

注：扩展ACL列表编号为100-199

协议：
ip （ip包含tcp和udp）
icmp
tcp
udp
……

TCP应用层协议过滤：
FTP数据 20
FTP连接 21
Telnet 23
WWW（HTTP） 80
WWW（HTTPS）443
……

------------------------------------------------------------------------------------------------------------------------------------------
例题1：
允许网络192.168.1.0/24访问网络192.168.2.0/24的IP流量通过，而拒绝其他任何流量。ACL命令如下：
Router(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
Router(config)#access-list 101 deny ip any any

例题2：
拒绝网络192.168.1.0/24访问ftp服务器192.168.2.2/24的IP流量通过，而允许其他任何流量。ACL命令如下：
Router(config)#access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq 21
Router(config)#access-list 101 permit ip any any

例题3：
禁止网络192.168.1.0/24中的主机ping通服务器192.168.2.2/24的流量通过，而允许其他任何流量。ACL命令如下：
Router(config)# access-list 101 deny icmp 192.168.1.0 0.0.0.255 host 192.168.2.2 echo
Router(config)# access-list 101 permit ip any any

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.mzph.cn/news/178777.shtml

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈email:809451989@qq.com，一经查实，立即删除！