CISCO ACL配置详解
思科网络配置-ACL
思科⽹络配置-ACL1、标准ACL Router(config)# access-list access-list-number {permit | deny | remark} source [mask] Router(config-if)# ip access-group access-list-number {in | out} *表号------- 1 to 99 *缺省的通配符掩码 0.0.0.0 *no access-list access-list-number 移除整个ACL *remark 给访问列表添加功能注释 *mask 反掩码2.扩展ACL 扩展访问控制列表是⼀种⾼级的ACL,配置命令的具体格式如下: access-list ACL号 [permit|deny] [协议] [定义过滤源主机范围] [定义过滤源端⼝] [定义过滤⽬的主机访问] [定义过滤⽬的端⼝] 例如:access-list 101 deny tcp any host 192.168.1.1 eq www这句命令是将所有主机访问192.168.1.1这个地址⽹页服务(WWW)TCP连接的数据包丢弃。
⼩提⽰:同样在扩展访问控制列表中也可以定义过滤某个⽹段,当然和标准访问控制列表⼀样需要我们使⽤反向掩码定义IP地址后的⼦⽹掩码。
表号 100 to 199 3.命名访问控制列表 命名访问控制列表格式: ip access-list {standard/extended} <access-list-name>(可有字母,数字组合的字符串) 例如:ip access-list standard softer //建⽴⼀个名为softer的标准访问控制列表。
1. router(config)#ip access-list standard +⾃定义名2. router(config-std-nac1)#11 permit host +ip //默认情况下第⼀条为10,第⼆条为20.如果不指定序列号,则新添加的ACL被添加到列表的末尾3. router(config-std-nac1)#deny any4. router(config)#ip access-list standard benet5. router(config-std-nasl)#no 116. 使⽤show access-lists可查看配置的acl信息ACL的过滤流程: 1、按顺序的⽐较:先⽐较第⼀⾏,如果不匹配,再⽐较第⼆⾏,依次类推直到最后⼀⾏ 2、从第⼀⾏起,直到找到⼀个符合条件的⾏,符合以后就不再继续⽐较下去 3、默认在每个ACL中的最后⼀⾏为隐含的拒绝,最后要加pemint any,使其他的⽹络可通。
思科ACL访问控制列表常规配置操作详解
思科ACL访问控制列表常规配置操作详解本⽂实例讲述了思科ACL访问控制列表常规配置操作。
分享给⼤家供⼤家参考,具体如下:⼀、ACL概述ACL (Access Control List,访问控制列表)是⼀系列运⽤到路由器接⼝的指令列表。
这些指令告诉路由器接收哪些数据包、拒绝哪些数据包,接收或者拒绝根据⼀定的规则进⾏,如源地址、⽬标地址、端⼝号等。
ACL使得⽤户能够管理数据流,检测特定的数据包。
路由器将根据ACL中指定的条件,对经过路由器端⼝的数据包进⾏检査。
ACL可以基于所有的Routed Protocols (被路由协议,如IP、IPX等)对经过路由器的数据包进⾏过滤。
ACL在路由器的端⼝过滤数据流,决定是否转发或者阻⽌数据包。
ACL应该根据路由器的端⼝所允许的每个协议来制定,如果需要控制流经某个端⼝的所有数据流,就需要为该端⼝允许的每⼀个协议分别创建ACL。
例如,如果端⼝被配置为允许IP、AppleTalk和IPX协议的数据流,那么就需要创建⾄少3个ACL, 本⽂中仅讨论IP的访问控制列表。
针对IP协议,在路由器的每⼀个端⼝,可以创建两个ACL:—个⽤于过滤进⼊(inbound)端⼝的数据流,另⼀个⽤于过滤流出(outboimd)端⼝的数据流。
顺序执⾏:—个ACL列表中可以包含多个ACL指令,ACL指令的放置顺序很重要。
当路由器在决定是否转发或者阻⽌数据包的时候,Cisco的IOS软件,按照ACL中指令的顺序依次检査数据包是否满⾜某⼀个指令条件。
当检测到某个指令条件满⾜的时候,就执⾏该指令规定的动作,并且不会再检测后⾯的指令条件。
ACL作⽤: * 限制⽹络流量,提⾼⽹络性能。
* 提供数据流控制。
* 为⽹络访问提供基本的安全层。
⼆、ACL 类型1. 标准ACL: access-list-number编号1~99之间的整数,只针对源地址进⾏过滤。
2. 扩展ACL: access-list-number编号100~199之间的整数,可以同时使⽤源地址和⽬标地址作为过滤条件,还可以针对不同的协议、协议的特征、端⼝号、时间范围等过滤。
Cisco路由器配置ACL详解之基于时间的访问控制列表
Cisco路由器配置ACL详解之基于时间的访问控制列表
基于时间的访问控制列表:
上⾯我们介绍了标准ACL与扩展ACL,实际上我们数量掌握了这两种访问控制列表就可以应付⼤部分过滤⽹络数据包的要求了。
不过实际⼯作中总会有⼈提出这样或那样的苛刻要求,这时我们还需要掌握⼀些关于ACL的⾼级技巧。
基于时间的访问控制列表就属于⾼级技巧之⼀。
⼀、基于时间的访问控制列表⽤途:
可能公司会遇到这样的情况,要求上班时间不能上QQ,下班可以上或者平时不能访问某⽹站只有到了周末可以。
对于这种情况仅仅通过发布通知规定是不能彻底杜绝员⼯⾮法使⽤的问题的,这时基于时间的访问控制列表应运⽽⽣。
⼆、基于时间的访问控制列表的格式:
基于时间的访问控制列表由两部分组成,第⼀部分是定义时间段,第⼆部分是⽤扩展访问控制列表定义规则。
这⾥我们主要讲解下定义时间段,具体格式如下:
time-range时间段名称
absolute start [⼩时:分钟] [⽇⽉年] [end] [⼩时:分钟] [⽇⽉年]
例如:time-range softer
absolute start 0:00 1 may 2005 end 12:00 1 june 2005
意思是定义了⼀个时间段,名称为softer,并且设置了这个时间段的起始时间为2005年5⽉1⽇零点,结束时间为2005年6⽉1⽇中午12点。
我们通过这个时间段和扩展ACL的规则结合就可以指定出针对⾃⼰公司时间段开放的基于时间的访问控制列表了。
当然我们也可以定义⼯作⽇和周末,具体要使⽤periodic命令。
我们将在下⾯的配置实例中为⼤家详细介绍。
配置命名ACL(cisco)
配置命名ACL名字(Named)访问控制列表允许IP标准的(或者扩展的)访问列表使用字母-数字串(名字)表示,而不是使用上面所述的代码表示。
对于使用数字表示的IP访问控制列表条件语句,网络管理员若想要单独把其中某个语句删除是不可能的,他只能把整个IP访问列表删除,然后再重写,很不灵活。
而使用命名的IP访问列表可以从一个特定的访问列表中去删除单个的条件语句。
另外,使用命名的访问控制列表直观,管理员可以把访问控制列表的功能作为该列表的名字,这样不需要逐个条件语句分析就知道该访问控制列表的作用。
在使用代码配置访问控制列表时,被选择的代码有两层含义:它代表着访问控制列表的类型(标准访问列表或扩展访问列表)和针对的协议(检查IP协议数据还是其他协议数据)。
使用命名的访问列表时,也应声明是针对哪一种协议的访问控制列表及其类型。
不能在多个访问列表中使用相同的名字,不同类型的访问列表也不能使用相同的名字。
例如,某个标准访问列表被命名为“Market”,而某个扩展访问列表也被命名为Market,这是非法的。
注意:访问控制列表中的名字是大小写敏感的,例如,Market与market是不同的名字;此外,访问列表的名字不能以数字开头,例如,3abc是非法的名字。
在IOS11.2版之前不支持命名的访问控制列表。
命名访问控制列表的语法如下:(1)定义命名ACLRouter(config)#ip access-list {standard | extended} name×name:为ACL命的名字;进入命名的访问控制列表配置模式后:Router(config-{std | ext}-nac)#{test conditions}(2) 与接口关联Router(config-if)#ip access-group name {in | out}例如:Router(config)#ip access-list standard exampleRouter(config-std-nac)#permit 100.100.1.2 0.0.0.0Router(config-std-nac)#deny 11.10.0.0. 0.0.255.255Router(config-std-nac)#permit anyRouter(config)#interface s0Router(config-if)#ip access-group example in如果要删除某条件语句,例如,删除最后一条,可这样:Router(config-std-nac)#no permit any。
路由器配置ACL详解
cisco路由器配置ACL详解如果有人说路由交换设备主要就是路由和交换的功能,仅仅在路由交换数据包时应用的话他一定是个门外汉。
如果仅仅为了交换数据包我们使用普通的HUB就能胜任,如果只是使用路由功能我们完全可以选择一台WINDOWS服务器来做远程路由访问配置。
实际上路由器和交换机还有一个用途,那就是网络管理,学会通过硬件设备来方便有效的管理网络是每个网络管理员必须掌握的技能。
今天我们就为大家简单介绍访问控制列表在CISCO路由交换设备上的配置方法与命令。
什么是ACL?访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。
访问控制列表使用原则由于ACL涉及的配置命令很灵活,功能也很强大,所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。
在介绍例子前为大家将ACL设置原则罗列出来,方便各位读者更好的消化ACL知识。
1、最小特权原则只给受控对象完成任务所必须的最小的权限。
也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。
2、最靠近受控对象原则所有的网络层访问权限控制。
也就是说在检查规则时是采用自上而下在ACL 中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL 语句。
3、默认丢弃原则在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。
这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。
由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。
思科路由器acl详解
cisco路由器配置ACL详解如果有人说路由交换设备主要就是路由和交换的功能,仅仅在路由交换数据包时应用的话他一定是个门外汉。
如果仅仅为了交换数据包我们使用普通的HUB就能胜任,如果只是使用路由功能我们完全可以选择一台WINDOWS服务器来做远程路由访问配置。
实际上路由器和交换机还有一个用途,那就是网络管理,学会通过硬件设备来方便有效的管理网络是每个网络管理员必须掌握的技能。
今天我们就为大家简单介绍访问控制列表在CISCO路由交换上的配置方法与命令。
什么是ACL?访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。
访问控制列表使用原则由于ACL涉及的配置命令很灵活,功能也很强大,所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。
在介绍例子前为大家将ACL设置原则罗列出来,方便各位读者更好的消化ACL知识。
1、最小特权原则只给受控对象完成任务所必须的最小的权限。
也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。
2、最靠近受控对象原则所有的网络层访问权限控制。
也就是说在检查规则时是采用自上而下在ACL 中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL 语句。
3、默认丢弃原则在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。
这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。
由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。
详解cisco访问控制列表ACL
详解cisco访问控制列表ACL一:访问控制列表概述〃访问控制列表(ACL)是应用在路由器接口的指令列表。
这些指令列表用来告诉路由器哪些数据包可以通过,哪些数据包需要拒绝。
〃工作原理:它读取第三及第四层包头中的信息,如源地址、目的地址、源端口、目的端口等。
根据预先设定好的规则对包进行过滤,从而达到访问控制的目的。
〃实际应用:阻止某个网段访问服务器。
阻止A网段访问B网段,但B网段可以访问A网段。
禁止某些端口进入网络,可达到安全性。
二:标准ACL〃标准访问控制列表只检查被路由器路由的数据包的源地址。
若使用标准访问控制列表禁用某网段,则该网段下所有主机以及所有协议都被禁止。
如禁止了A网段,则A网段下所有的主机都不能访问服务器,而B网段下的主机却可以。
用1----99之间数字作为表号一般用于局域网,所以最好把标准ACL应用在离目的地址最近的地方。
〃标准ACL的配置:router(config)#access-list表号 deny(禁止)网段/IP地址反掩码********禁止某各网段或某个IProuter(config)#access-list表号 permit(允许) any注:默认情况下所有的网络被设置为禁止,所以应该放行其他的网段。
router(config)#interface 接口 ******进入想要应用此ACL的接口(因为访问控制列表只能应用在接口模式下)router(config-if)#ip access-group表号 out/in ***** 设置在此接口下为OUT或为IN其中router(config)#access-list 10 deny 192.168.0.10.0.0.0 =router(config)#access-list 10 deny host 192.168.0.1router(config)#access-list 10 deny 0.0.0.0255.255.255.255 =router(config)#access-list 10 deny anyrouter#show access-lists ******查看访问控制列表。
cisco路由器配置ACL详解
cisco路由器配置ACL详解如果有人说路由交换设备主要就是路由和交换的功能,仅仅在路由交换数据包时应用的话他一定是个门外汉。
如果仅仅为了交换数据包我们使用普通的HUB就能胜任,如果只是使用路由功能我们完全可以选择一台WINDOWS服务器来做远程路由访问配置。
实际上路由器和交换机还有一个用途,那就是网络管理,学会通过硬件设备来方便有效的管理网络是每个网络管理员必须掌握的技能。
今天我们就为大家简单介绍访问控制列表在CISCO路由交换上的配置方法与命令。
什么是ACL?访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。
访问控制列表使用原则由于ACL涉及的配置命令很灵活,功能也很强大,所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。
在介绍例子前为大家将ACL设置原则罗列出来,方便各位读者更好的消化ACL知识。
1、最小特权原则只给受控对象完成任务所必须的最小的权限。
也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。
2、最靠近受控对象原则所有的网络层访问权限控制。
也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。
3、默认丢弃原则在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。
这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。
由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
CISCO ACL配置详解什么是ACL?访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。
访问控制列表的原理对路由器接口来说有两个方向出:已经经路由器的处理,正离开路由器接口的数据包入:已经到达路由器接口的数据包,将被路由器处理。
匹配顺序为:"自上而下,依次匹配".默认为拒绝访问控制列表的类型标准访问控制列表:一般应用在out出站接口。
建议配置在离目标端最近的路由上扩展访问控制列表:配置在离源端最近的路由上,一般应用在入站in方向命名访问控制列表:允许在标准和扩展访问列表中使用名称代替表号访问控制列表使用原则1、最小特权原则只给受控对象完成任务所必须的最小的权限。
也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。
2、最靠近受控对象原则所有的网络层访问权限控制。
也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。
3、默认丢弃原则在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。
这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。
由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。
因此,要达到端到端的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。
一、标准访问列表访问控制列表ACL分很多种,不同场合应用不同种类的ACL.其中最简单的就是标准访问控制列表,标准访问控制列表是通过使用IP包中的源IP地址进行过滤,使用访问控制列表号1到99来创建相应的ACL.它的具体格式:access-list access-list-number [permit | deny ] [sourceaddress][wildcard-mask]access-list-number 为1-99 或者1300-1999之间的数字,这个是访问列表号。
例如:access-list 10 deny host 192.168.1.1这句命令是将所有来自192.168.1.1地址的数据包丢弃。
当然我们也可以用网段来表示,对某个网段进行过滤。
命令如下:access-list 10 deny 192.168.1.0 0.0.0.255通过上面的配置将来自192.168.1.0/24的所有计算机数据包进行过滤丢弃。
为什么后头的子网掩码表示的是0.0.0.255呢?这是因为CISCO规定在ACL中用反向掩玛表示子网掩码,反向掩码为0.0.0.255的代表他的子网掩码为255.255.255.0.小提示:对于标准访问控制列表来说,默认的命令是HOST,也就是说access-list 10 deny 192.168.1.1表示的是拒绝192.168.1.1这台主机数据包通讯,可以省去我们输入host命令。
标准访问列表配置实例:R1(config)#access-list 10 deny 192.168.2.0 0.0.0.255R1(config)#access-list 10 permit anyR1(config)#int fa0/0.1R1(config-subif)#ip access-group 10 out上面配置的含义是阻止来自网段192.168.2.0的机器从int fa0/0.1端口出去,访问列表在配置好之后,要把它在端口上应用,否则配置了还是无效的。
注意事项:1、标准访问列表,一般来说配置尽量靠近目的端。
2、配置的第二条命令中的any相当于0.0.0.0 255.255.255.2553、一定要加pemint any,使其他的网络可通。
4、访问列表是从上到下一条一条进行匹配的,所以在设置访问列表的时候要注意顺序。
如果从第一条匹配到最后一条还是不知道要怎么做,路由器就会丢弃这个数据包,也就是为什么上面的例子中上一定要加permit any.5、如果只阻止一个主机,那可以用host 192.168.1.12 或者192.168.1.12 0.0.0.0,这两种配置是等价的。
删除已建立的标准ACLR1(config)#no access-list +access-list number对标准的ACL来说,不能删除单个acl语句,只能删除整个ACL总结:标准ACL占用路由器资源很少,是一种最基本最简单的访问控制列表格式。
应用比较广泛,经常在要求控制级别较低的情况下使用。
如果要更加复杂的控制数据包的传输就需要使用扩展访问控制列表了,他可以满足我们到端口级的要求。
二、扩展访问控制列表上面我们提到的标准访问控制列表是基于IP地址进行过滤的,是最简单的ACL.那么如果我们希望将过滤细到端口怎么办呢?或者希望对数据包的目的地址进行过滤。
这时候就需要使用扩展访问控制列表了。
使用扩展IP访问列表可以有效的容许用户访问物理LAN而并不容许他使用某个特定服务(例如WWW,FTP等)。
扩展访问控制列表使用的ACL号为100到199.扩展访问控制列表的格式:access-list access-list number {permit/deny} protocol +源地址+反码+目标地址+反码+operator operan(It小于,gt大于,eq等于,neq不等于。
具体可?)+端口号1、扩展访问控制列表号的范围是100-199或者2000-2699.2、因为默认情况下,每个访问控制列表的末尾隐含deny all,所以在每个扩展访问控制列表里面必须有:access-list 110 permit ip any any .3、不同的服务要使用不同的协议,比如TFTP使用的是UDP协议。
4、更多注意事项可以参考上面标准访问控制列表部分例如:access-list 101 deny tcp any host 192.168.1.1 eq www //将所有主机访问192.168.1.1这个地址网页服务(WWW)TCP连接的数据包丢弃。
小提示:同样在扩展访问控制列表中也可以定义过滤某个网段,当然和标准访问控制列表一样需要我们使用反向掩码定义IP地址后的子网掩码。
扩展访问控制列表配置实例:R2(config)#access-list 110 deny tcp any host 192.168.1.12 eq wwwR2(config)#access-list 110 deny tcp any host 192.168.1.12 eq ftpR2(config)#int fa0/0R2(config-if)#ip access-group 110 out上面配置的含义是拒绝访问192.168.1.12的www和ftp服务实例二:路由器连接了二个网段,分别为172.16.4.0/24,172.16.3.0/24.在172.16.4.0/24网段中有一台服务器提供WWW服务,IP地址为172.16.4.13.要求:禁止172.16.3.0的计算机访问172.16.4.0的计算机,包括那台服务器,不过惟独可以访问172.16.4.13上的WWW服务,而其他服务不能访问。
路由器配置命令:access-list 101 permit tcp any 172.16.4.13 0.0.0.0 eq www //设置ACL101,容许源地址为任意IP,目的地址为172.16.4.13主机的80端口即WWW服务。
由于CISCO默认添加DENY ANY 的命令,所以ACL只写此一句即可。
进入相应端口ip access-group 101 out //将ACL101应用到端口设置完毕后172.16.3.0的计算机就无法访问172.16.4.0的计算机了,就算是服务器172.16.4.13开启了FTP服务也无法访问,惟独可以访问的就是172.16.4.13的WWW服务了。
删除已建立的扩展标准ACL删除和标准一样,不能单条删除,只能删除整个acl总结:扩展ACL功能很强大,他可以控制源IP,目的IP,源端口,目的端口等,能实现相当精细的控制,扩展ACL不仅读取IP包头的源地址/目的地址,还要读取第四层包头中的源端口和目的端口的IP.不过他存在一个缺点,那就是在没有硬件ACL加速的情况下,扩展ACL 会消耗大量的路由器CPU资源。
所以当使用中低档路由器时应尽量减少扩展ACL的条目数,将其简化为标准ACL或将多条扩展ACL合一是最有效的方法。
三、命名访问控制列表不管是标准访问控制列表还是扩展访问控制列表都有一个弊端,那就是当设置好ACL的规则后发现其中的某条有问题,希望进行修改或删除的话只能将全部ACL信息都删除。
也就是说修改一条或删除一条都会影响到整个ACL列表。
这一个缺点影响了我们的工作,为我们带来了繁重的负担。
不过我们可以用基于名称的访问控制列表来解决这个问题。
命名访问控制列表格式:ip access-list {standard/extended} access-list-name(可有字母,数字组合的字符串)例如:ip access-list standard softer //建立一个名为softer的标准访问控制列表。
命名访问控制列表使用方法:router(config)#ip access-list standard +自定义名router(config-std-nac1)#11 permit host +ip //默认情况下第一条为10,第二条为20.如果不指定序列号,则新添加的ACL被添加到列表的末尾router(config-std-nac1)#deny any对于命名ACL来说,可以向之前的acl中插入acl,删除也可以删除单条acl,如:router(config)#ip access-list standard benetrouter(config-std-nasl)#no 11使用show access-lists可查看配置的acl信息总结:如果设置ACL的规则比较多的话,应该使用基于名称的访问控制列表进行管理,这样可以减轻很多后期维护的工作,方便我们随时进行调整ACL规则。
四、反向访问控制列表反向访问控制列表属于ACL的一种高级应用。
他可以有效的防范病毒。