访问控制列表
IP标准访问列表的配置
1.定义标准ACL
编号的标准访问列表
Router(config)#access-list <1-99> {permit|deny} 源地址 [反掩码]
命名的标准访问列表
ip access-list standard { name} deny {source source-wildcard|host source|any} or permit {source source-wildcard|host source|any}
2.应用ACL到接口
Router(config-if)#ip access-group <1-99>|{name} { in | out }
IP扩展访问列表的配置
1.定义扩展的ACL
编号的扩展ACL
Router(config)#access-list <100-199> { permit /deny } 协议 源地址 反掩码 [源端口] 目的地址 反掩码 [ 目的端口 ]
命名的扩展ACL
ip access-list extended { name} {deny|permit} protocol {source source-wildcard |host source| any}[operator port] {destination destination-wildcard |host destination |any}[operator port]
2.应用ACL到接口
Router(config-if)#ip access-group <100-199> |{name} { in | out }
扩展访问列表的应用
access-list 115 deny udp any any eq 69
access-list 115 deny tcp any any eq 135
access-list 115 deny udp any any eq 135
access-list 115 deny udp any any eq 137
access-list 115 deny udp any any eq 138
access-list 115 deny tcp any any eq 139
access-list 115 deny udp any any eq 139
access-list 115 deny tcp any any eq 445
access-list 115 deny tcp any any eq 593
access-list 115 deny tcp any any eq 4444
access-list 115 permit ip any any
interface <type> <number>
ip access-group 115 in
ip access-group 115 out
利用ACL隔离冲击波病毒
访问列表的验证
显示全部的访问列表
Router#show access-lists
显示指定的访问列表
Router#show access-lists <1-199>
显示接口的访问列表应用
Router#show ip interface <接口名称> <接口编号>
IP扩展访问列表配置实例
下例显示如何创建一条Extended IP ACL,该ACL有一条ACE,用于允许指定网络(192.168.x..x)的所有主机以HTTP访问服务器172.168.12.3,但拒绝其它所有主机使用网络。
Switch (config)# ip access-list extended abc
Switch (config-ext-nacl)# permit tcp 192.168.0.0 0.0.255.255 host 172.168.12.3 eq www
Switch (config-ext-nacl)#end
Switch # show access-lists
来源:CSDN
作者:静-静的雪
链接:https://blog.csdn.net/u011547107/article/details/47904501