ACL简单的配置

ACL实施配置指导ACL分类：第一类是：基本ACL1.标准ACL的编号范围：1-99和1300-1999；2.2.标准ACL只匹配源ip地址，3.ACL的匹配顺序为从上往下（ACE序号从小到大）匹配ACE条目，若匹配对应的ACE条目后，就执行该ACE条目的行为（允许/拒绝），不会再往下匹配其他ACE条目。

4.ACL最后隐含一体deny any的ACE条目，会拒绝所有流量。

若是禁止某网段访问，其他网段均放通，则应该在拒绝流量的ACE配置完成后，再加一条permit any的ACE条目，用来放行其他流量。

第二类是：扩展ACL1.扩展ACL的编号范围：100-199和2000-2699。

2.标准ACL只匹配源ip地址，扩展ACL可以匹配数据流的五大元素（源ip地址、目的ip地址、源端口、目的端口、协议号）3.ACL的匹配顺序为从上往下（ACE序号从小到大）匹配ACE条目，若匹配对应的ACE条目后，就执行该ACE条目的行为（允许/拒绝），不会再往下匹配其他ACE条目。

4.ACL最后隐含一体deny any的ACE条目，会拒绝所有流量。

若是禁止某网段访问，其他网段均放通，则应该在拒绝流量的ACE配置完成后，再加一条permit any的ACE条目，用来放行其他流量。

ACL规划：标准ACL总体规划如下:ACL范围编号用户备注1-99 管理设备访问控制1-99为通用ACL1300-1500 校内部门访问控制1300-1500为通用ACL1501-1700 校外连接访问控制1501-1700为通用ACL1701-1999 测试用户使用1801-1999 预留注释：通用ACL即是一类用户的接口都调用的ACL.扩展ACL总体规划如下：ACL范围编号用户备注100-199 管理设备访问控制100-199为通用ACL2000-2150 校内部门访问控制2000-2150为通用ACL2151-2300 校外连接访问控制2151-2300为通用ACL2301-2400 测试用户使用2400-2699 预留ACL规范：ACL命名规范：为了便于ACL的管理和检索，新增ACL命名规范需要统一制定规范，命名规范如下：公式：AAA_BB_N各字段含义如下：✓AAA：所属学校名称单字的首拼音大写，如西安工业大学则为XAGYDX；✓BB：区分不同的部门，如果为校内使用，则BB字段为XN。

ACL（访问控制列表）一、基本：1、基本ACL表2、扩展ACL表3、基于时间的ACL表4、动态ACL表二、ACL工作过程1、自上而下处理1)、如果有一个匹配的ACL，后面的ACL表不再检查2)、如果所有的ACL都不匹配，禁止所有的操作（隐含）特例，创建一个空的ACL表，然后应用这个空的ACL表，产生禁止所有的操作。

3）、后添加的ACL表，放在尾部4)、ALC表放置的原则：如果是基本ACL表，尽量放在目的端，如果是扩展ACL表，尽量放在源端5)、语句的位置：一般具体ACL表放在模糊的ACL表前6)、3P原则：每一个协议每一个接口每一个方向只有一个ACL表。

（多个ACL表会引起干扰）7)、应用ACL的方向，入站和出站，应用在接口上三、基本ACL表(不具体)1、定义命令：access-list <</span>编号> permit/denny 源IP地址 [子网掩码反码]应用命令：ip access-group <</span>编号> in/out 查看命令：sh access-lists1）、编号：1-99和1300-19992）、可以控制一台计算机或控制一段网络3）、host:表示一台计算机4)、any:表示任何计算机四、ACL配置步骤：1、定义ACL表2、应用ACL表五、路由器在默认的情况下，对所有数据都是开放，而防火墙在默认情况下，对所有数据都禁止。

六：判断是流入还是流出，看路由器的数据流向七：注意：如果在写禁止，小心默认禁止所有1.控制一台计算机(禁止)Access-list 1 deny 172.16.2.100Access-list 1 permit anyInterface f0/0Ip access-group 1 out (应用到端口)2、控制一段网络（禁止）Access-list 1 deny 172.16.2.0 0.0.0.255Access-list 1 permit anyInterface f0/0Ip access-group 1 out(应用到端口)3、控制一台计算机（允许）Access-list 1 permit 172.16.1.1004、控制一个网段（允许）Access-list 1 permit 172.16.1.0 0.0.0.255telnet服务配置：1)、使能密码2)、登录密码控制telnet服务应用端口命令：access-class <</span>编号> in/out 实例：只允许172.16.1.100能够使用telnet服务access-list 1 permit 172.16.1.100 Line vty 0 4Access-class 1 in实例：。

acl规则的配置命令-回复ACL（Access Control List）是一种网络安全性配置，用于控制网络设备的流量过滤和访问控制。

它可以根据不同的条件来限制特定的网络流量，并决定是否允许或拒绝该流量通过网络设备。

在本文中，我们将详细介绍如何配置ACL规则的命令。

配置ACL规则的命令可以在不同厂商的网络设备上有所不同。

本文将以思科（Cisco）网络设备为例，介绍如何配置ACL规则的命令。

首先，登录到思科网络设备的命令行界面。

这可以通过一个终端仿真软件（如TeraTerm、PuTTY等）连接到设备的控制台端口，或通过SSH远程连接到设备的IP地址来完成。

一旦成功登录到设备的命令行界面，可以使用以下命令来配置ACL规则：1. 创建一个命名的ACL：config tip access-list <ACL名称>这将进入全局配置模式，然后创建一个以指定名称命名的ACL。

该名称将用于区分不同的ACL规则。

2. 添加允许或拒绝的规则：permit deny <源地址> <源地址掩码> <目的地址> <目的地址掩码> <协议> <源端口> <目的端口>这个命令用于向ACL规则中添加一个允许或拒绝的规则。

可以根据需要指定源地址，目的地址，协议，源端口和目的端口。

例如，要允许从192.168.1.0/24网段访问到10.0.0.0/24网段的全部协议和端口，使用以下命令：permit ip 192.168.1.0 0.0.0.255 10.0.0.0 0.0.0.255使用`deny`关键字可以创建一个拒绝规则，例如：deny tcp any host 10.0.0.1 eq 80这将拒绝所有源地址的TCP流量访问目标地址为10.0.0.1的80端口。

3. 应用ACL规则到接口：interface <接口名称>ip access-group <ACL名称> {in out}这个命令用于将ACL规则应用到指定接口。

ACL配置实例拓扑图如下：实验一：标准访问控制列表1、设置访问控制列表1，禁止192、168、2、2这台主机访问192、168、1、0/24这个网段中得服务器，而192、168、2、0/24这个网段中得其它主机可以正常访问。

设置访问控制列表如下：R1(config)#access-list 1 deny host 192、168、2、2R1(config)#access-list 1 permit any将访问控制列表应用到接口F0/0得出站方向上R1(config)#int f0/0R1(config-if)#ip access-group 1 out2、设置访问控制列表2，只允许192、168、2、0/24这个网段中得主机可以访问外网，192、168、1、0/24这个网段得主机则不可以。

设置访问控制列表R1(config)#access-list 2 permit 192、168、2、0 0、0、0、255将访问控制列表应用到S0/0得出站方向上R1(config)#int serial 0/0R1(config-if)#ip access-group 2 out3、设置访问控制列表3，只允许192、168、2、3这台主机可以使用telnet连接R1。

4、查瞧访问控制列表2 match(es)这些信息显示就是过滤包得数据，可以使用clear access-list counters命令来清除。

5、查瞧配置在接口上得访问控制列表6、删除访问控制列表删除访问控制列表要从两个方面入手，一就是删除访问控制列表，二就是取消访问控制列表有接口上得应用。

R1(config)#no access-list 1R1(config)#int f0/0R1(config-if)#no ip access-group 1 out实验二：扩展访问控制列表扩展访问控制列表得语法：access-list [100-199] [permit/deny] 协议源IP 源IP反码目标IP 目标IP 反码条件[eq] [具体协议/端口号]1、在SERVER上搭建、DNS服务如下：2、测试从三台PC中就是否可以正常访问各种服务。

---------------------------------------------------------------最新资料推荐------------------------------------------------------交换机配置ACL基本配置交换机配置（三）ACL 基本配置 1，二层 ACL . 组网需求: 通过二层访问控制列表，实现在每天 8:00～18:00 时间段内对源 MAC 为 00e0-fc01-0101 目的 MAC 为 00e0-fc01-0303 报文的过滤。

该主机从 GigabitEthernet0/1 接入。

.配置步骤: (1)定义时间段 # 定义 8:00 至 18:00 的周期时间段。

[Quidway] time-range huawei 8:00 to 18:00 daily (2)定义源 MAC 为 00e0-fc01-0101 目的 MAC 为 00e0-fc01-0303 的 ACL # 进入基于名字的二层访问控制列表视图，命名为traffic-of-link。

[Quidway] acl name traffic-of-link link # 定义源 MAC 为00e0-fc01-0101 目的 MAC 为 00e0-fc01-0303 的流分类规则。

[Quidway-acl-link-traffic-of-link] rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress 00e0-fc01-0303 0-0-0 time-range huawei (3)激活 ACL。

# 将 traffic-of-link 的 ACL 激活。

[Quidway-GigabitEthernet0/1] packet-filter link-group traffic-of-link 2，三层 ACL a)基本访问控制列表配置案例 . 组网需求: 通过基本访问控制列表，实现在每天 8:00～18:00 时间段内对源 IP 为 10.1.1.1 主机发出报文的过滤。

ACL简单介绍与典型配置ACL（Access Control List）是一种网络安全措施，用于控制网络设备上的数据包流向，以实现对网络流量的精细控制。

ACL可以根据定义的规则决定是否允许或拒绝特定类型的流量通过网络设备。

ACL通常用于路由器、防火墙和交换机等网络设备上。

它可以根据各种因素，如源IP地址、目标IP地址、传输协议和端口号等，对数据包进行分类和过滤。

根据ACL的规则，设备可以决定允许或拒绝通过特定接口的数据包。

典型的ACL配置包括以下几个步骤：1.定义访问控制列表：首先需要定义一个ACL，指定要过滤的流量类型和规则。

ACL可以根据源IP地址、目标IP地址、传输协议和端口号等标准来定义。

2.配置ACL规则：ACL规则定义了允许或拒绝特定类型的流量通过网络设备。

规则可以基于源和目标IP地址、传输协议、端口号以及其他可用的规则。

例如，可以定义一个规则，只允许特定IP地址的流量通过。

3.应用ACL到接口：一旦ACL规则定义好，需要将ACL应用到特定的接口上。

这样，ACL将检查通过该接口的流量，并根据规则决定是否允许通过。

4.验证ACL配置：最后，需要验证ACL配置是否正常工作。

可以使用网络管理工具或命令行接口来检查ACL规则是否按预期工作。

ACL的配置可以根据具体的网络环境和需求进行调整。

以下是一些典型的ACL配置示例：1.限制对特定服务的访问：可以配置ACL规则，只允许特定IP地址的流量访问特定的服务。

例如，可以配置ACL规则，只允许公司内部IP 地址的流量访问内部文件服务器。

2.屏蔽恶意流量：可以配置ACL规则，拦截来自已知恶意IP地址的流量。

这样可以阻止潜在的网络攻击，保护网络安全。

3.限制流量传输：可以配置ACL规则，限制特定端口号上的传输量。

例如，可以限制一些服务器上的FTP流量，以确保带宽的合理使用。

4.配置访问控制策略：可以根据不同用户或用户组，配置不同的ACL 规则。

这样可以实现对不同用户的精细访问控制，确保网络安全。

访问控制列表的工作原理
1.分清数据流方向，在数据流经过路由器的入、出方向都
设置都生效的时候建议应用到入方向。

（入：先ACL后路由，出：先路由后ACL）
2.访问控制列表管理的是经过路由器的数据包（过路包）
3.匹配访问控制列表的顺序为：由上至下；由范围小至范
围大；默认拒绝剩下所有；如果第一条匹配，则不再往下检查列表；如果最后没有任何一条规则匹配，则路由器根据默认的规则将丢弃数据。

4.要撤销ACL 顺序建议：先撤销端口应用，再no掉相应
列表
5.标准ACL不能单独删除某一条，只能删除整个ACL组。

三、配置标准访问控制列表
1.创建ACL
Conf#access-list ID(1-99) permit/deny (源IP)
源IP反掩码
Conf#access-list 1 per
192.168.1.1 0.0.0.0
Conf#access-list 1 deny any
192.168.1.1 0.0.0.0=host 192.168.1.1
Any= 0.0.0.0 255.255.255.255
含义：标准acl 序号为1 允许192.168.1.1通行并拒
绝了剩余所有的流量通行
2.应用到端口上
Conf#int f0/0 (进入你要配置规则
的端口)
（Conf-if）#ip access-group 1 in
含义：在f0/0接口的入方向应用了ACL 1 规则。