Cisco ACL配置全解

思科⽹络配置-ACL1、标准ACL Router(config)# access-list access-list-number {permit | deny | remark} source [mask] Router(config-if)# ip access-group access-list-number {in | out} *表号------- 1 to 99 *缺省的通配符掩码 0.0.0.0 *no access-list access-list-number 移除整个ACL *remark 给访问列表添加功能注释 *mask 反掩码2.扩展ACL 扩展访问控制列表是⼀种⾼级的ACL，配置命令的具体格式如下： access-list ACL号 [permit|deny] [协议] [定义过滤源主机范围] [定义过滤源端⼝] [定义过滤⽬的主机访问] [定义过滤⽬的端⼝] 例如：access-list 101 deny tcp any host 192.168.1.1 eq www这句命令是将所有主机访问192.168.1.1这个地址⽹页服务（WWW）TCP连接的数据包丢弃。

⼩提⽰：同样在扩展访问控制列表中也可以定义过滤某个⽹段，当然和标准访问控制列表⼀样需要我们使⽤反向掩码定义IP地址后的⼦⽹掩码。

　 表号 100 to 199　3.命名访问控制列表 命名访问控制列表格式： ip access-list {standard/extended} <access-list-name>（可有字母，数字组合的字符串) 例如：ip access-list standard softer //建⽴⼀个名为softer的标准访问控制列表。

1. router（config）#ip access-list standard +⾃定义名2. router（config-std-nac1）#11 permit host +ip //默认情况下第⼀条为10,第⼆条为20.如果不指定序列号，则新添加的ACL被添加到列表的末尾3. router（config-std-nac1）#deny any4. router（config）#ip access-list standard benet5. router（config-std-nasl）#no 116. 使⽤show access-lists可查看配置的acl信息ACL的过滤流程： 1、按顺序的⽐较：先⽐较第⼀⾏，如果不匹配，再⽐较第⼆⾏，依次类推直到最后⼀⾏ 2、从第⼀⾏起，直到找到⼀个符合条件的⾏，符合以后就不再继续⽐较下去 3、默认在每个ACL中的最后⼀⾏为隐含的拒绝，最后要加pemint any,使其他的⽹络可通。

思科ACL访问控制列表常规配置操作详解本⽂实例讲述了思科ACL访问控制列表常规配置操作。

分享给⼤家供⼤家参考，具体如下：⼀、ACL概述ACL (Access Control List,访问控制列表）是⼀系列运⽤到路由器接⼝的指令列表。

这些指令告诉路由器接收哪些数据包、拒绝哪些数据包，接收或者拒绝根据⼀定的规则进⾏，如源地址、⽬标地址、端⼝号等。

ACL使得⽤户能够管理数据流，检测特定的数据包。

路由器将根据ACL中指定的条件，对经过路由器端⼝的数据包进⾏检査。

ACL可以基于所有的Routed Protocols (被路由协议，如IP、IPX等）对经过路由器的数据包进⾏过滤。

ACL在路由器的端⼝过滤数据流，决定是否转发或者阻⽌数据包。

ACL应该根据路由器的端⼝所允许的每个协议来制定，如果需要控制流经某个端⼝的所有数据流，就需要为该端⼝允许的每⼀个协议分别创建ACL。

例如，如果端⼝被配置为允许IP、AppleTalk和IPX协议的数据流，那么就需要创建⾄少3个ACL, 本⽂中仅讨论IP的访问控制列表。

针对IP协议，在路由器的每⼀个端⼝,可以创建两个ACL:—个⽤于过滤进⼊（inbound)端⼝的数据流，另⼀个⽤于过滤流出（outboimd)端⼝的数据流。

顺序执⾏：—个ACL列表中可以包含多个ACL指令，ACL指令的放置顺序很重要。

当路由器在决定是否转发或者阻⽌数据包的时候，Cisco的IOS软件，按照ACL中指令的顺序依次检査数据包是否满⾜某⼀个指令条件。

当检测到某个指令条件满⾜的时候，就执⾏该指令规定的动作，并且不会再检测后⾯的指令条件。

ACL作⽤： * 限制⽹络流量，提⾼⽹络性能。

* 提供数据流控制。

* 为⽹络访问提供基本的安全层。

⼆、ACL 类型1. 标准ACL: access-list-number编号1~99之间的整数，只针对源地址进⾏过滤。

2. 扩展ACL: access-list-number编号100~199之间的整数，可以同时使⽤源地址和⽬标地址作为过滤条件，还可以针对不同的协议、协议的特征、端⼝号、时间范围等过滤。

详解cisco访问控制列表ACL一：访问控制列表概述〃访问控制列表（ACL）是应用在路由器接口的指令列表。

这些指令列表用来告诉路由器哪些数据包可以通过，哪些数据包需要拒绝。

〃工作原理：它读取第三及第四层包头中的信息，如源地址、目的地址、源端口、目的端口等。

根据预先设定好的规则对包进行过滤，从而达到访问控制的目的。

〃实际应用：阻止某个网段访问服务器。

阻止A网段访问B网段，但B网段可以访问A网段。

禁止某些端口进入网络，可达到安全性。

二：标准ACL〃标准访问控制列表只检查被路由器路由的数据包的源地址。

若使用标准访问控制列表禁用某网段，则该网段下所有主机以及所有协议都被禁止。

如禁止了A网段，则A网段下所有的主机都不能访问服务器，而B网段下的主机却可以。

用1----99之间数字作为表号一般用于局域网，所以最好把标准ACL应用在离目的地址最近的地方。

〃标准ACL的配置：router（config）#access-list表号 deny(禁止)网段/IP地址反掩码********禁止某各网段或某个IProuter（config）#access-list表号 permit（允许） any注：默认情况下所有的网络被设置为禁止，所以应该放行其他的网段。

router（config）#interface 接口 ******进入想要应用此ACL的接口（因为访问控制列表只能应用在接口模式下）router（config-if）#ip access-group表号 out/in ***** 设置在此接口下为OUT或为IN其中router(config)#access-list 10 deny 192.168.0.10.0.0.0 =router(config)#access-list 10 deny host 192.168.0.1router(config)#access-list 10 deny 0.0.0.0255.255.255.255 =router(config)#access-list 10 deny anyrouter#show access-lists ******查看访问控制列表。

配置命名ACL名字（Named）访问控制列表允许IP标准的（或者扩展的）访问列表使用字母-数字串（名字）表示，而不是使用上面所述的代码表示。

对于使用数字表示的IP访问控制列表条件语句，网络管理员若想要单独把其中某个语句删除是不可能的，他只能把整个IP访问列表删除，然后再重写，很不灵活。

而使用命名的IP访问列表可以从一个特定的访问列表中去删除单个的条件语句。

另外，使用命名的访问控制列表直观，管理员可以把访问控制列表的功能作为该列表的名字，这样不需要逐个条件语句分析就知道该访问控制列表的作用。

在使用代码配置访问控制列表时，被选择的代码有两层含义：它代表着访问控制列表的类型（标准访问列表或扩展访问列表）和针对的协议（检查IP协议数据还是其他协议数据）。

使用命名的访问列表时，也应声明是针对哪一种协议的访问控制列表及其类型。

不能在多个访问列表中使用相同的名字，不同类型的访问列表也不能使用相同的名字。

例如，某个标准访问列表被命名为“Market”,而某个扩展访问列表也被命名为Market,这是非法的。

注意：访问控制列表中的名字是大小写敏感的，例如，Market与market是不同的名字；此外，访问列表的名字不能以数字开头，例如，3abc是非法的名字。

在IOS11.2版之前不支持命名的访问控制列表。

命名访问控制列表的语法如下：（1）定义命名ACLRouter(config)#ip access-list {standard | extended} name×name:为ACL命的名字；进入命名的访问控制列表配置模式后：Router(config-{std | ext}-nac)#{test conditions}(2) 与接口关联Router(config-if)#ip access-group name {in | out}例如：Router(config)#ip access-list standard exampleRouter(config-std-nac)#permit 100.100.1.2 0.0.0.0Router(config-std-nac)#deny 11.10.0.0. 0.0.255.255Router(config-std-nac)#permit anyRouter(config)#interface s0Router(config-if)#ip access-group example in如果要删除某条件语句，例如，删除最后一条，可这样：Router(config-std-nac)#no permit any。

Cisco配置ACL-电脑资料第一阶段实验：配置实验环境，网络能正常通信R1的配置：R1>enR1#conf tR1（config）#int f0/0R1（config-if）#ip addr 10.0.0.1 255.255.255.252R1（config-if）#no shutR1（config-if）#int loopback 0R1（config-if）#ip addr 123.0.1.1 255.255.255.0R1（config-if）#int loopback 1R1（config-if）#ip addr 1.1.1.1 255.255.255.255R1（config-if）#exitR1（config）#ip route 192.168.0.0 255.255.0.0 10.0.0.2 R1（config）#username benet password testR1（config）#line vty 0 4R1（config-line）#login localSW1的配置：SW1>enSW1#vlan dataSW1（vlan）#vlan 2SW1（vlan）#vlan 3SW1（vlan）#vlan 4SW1（vlan）#vlan 100SW1（vlan）#exitSW1#conf tSW1（config）#int f0/1SW1（config-if）#no switchportSW1（config-if）#ip addr 10.0.0.2 255.255.255.252SW1（config-if）#no shutSW1（config-if）#exitSW1（config）#ip route 0.0.0.0 0.0.0.0 10.0.0.1SW1（config）#int range f0/14 - 15SW1（config-if-range）#switchport trunk encapsulation dot1qSW1（config-if-range）#switchport mode trunkSW1（config-if-range）#no shutSW1（config-if-range）#exitSW1（config）#int vlan 2SW1（config-if）#ip addr 192.168.2.1 255.255.255.0SW1（config-if）#no shutSW1（config-if）#int vlan 3SW1（config-if）#ip addr 192.168.3.1 255.255.255.0SW1（config-if）#no shutSW1（config-if）#int vlan 4SW1（config-if）#ip addr 192.168.4.1 255.255.255.0SW1（config-if）#no shutSW1（config-if）#int vlan 100SW1（config-if）#ip addr 192.168.100.1 255.255.255.0SW1（config-if）#no shutSW1（config-if）#exitSW1（config）#ip routingSW1（config）#int vlan 1SW1（config-if）#ip addr 192.168.0.1 255.255.255.0SW1（config-if）#no shutSW1（config-if）#exitSW1（config）#username benet password testSW1（config）#line vty 0 4SW2的配置：SW2>enSW2#vlan dataSW2（vlan）#vlan 2SW2（vlan）#vlan 3SW2（vlan）#vlan 4SW2（vlan）#exitSW2#conf tSW2（config）#int f0/15SW2（config-if）#switchport mode trunkSW2（config-if）#no shutSW2（config-if）#exitSW2（config）#int f0/1SW2（config-if）#switchport mode accessSW2（config-if）#switchport access vlan 2SW2（config-if）#no shutSW2（config-if）#int f0/2SW2（config-if）#switchport mode accessSW2（config-if）#switchport access vlan 3SW2（config-if）#no shutSW2（config-if）#int f0/3SW2（config-if）#switchport mode accessSW2（config-if）#switchport access vlan 4SW2（config-if）#no shutSW2（config-if）#int vlan 1SW2（config-if）#ip addr 192.168.0.2 255.255.255.0 SW2（config-if）#no shutSW2（config-if）#exitSW2（config）#ip default-gateway 192.168.0.1SW2（config）#username benet password test SW2（config）#line vty 0 4SW2（config-line）#login localSW3的配置：SW3>enSW3#vlan dataSW3（vlan）#vlan 100SW3（vlan）#exitSW3#conf tSW3（config）#int f0/15SW3（config-if）#switchport mode trunkSW3（config-if）#no shutSW3（config-if）#int f0/1SW3（config-if）#switchport mode accessSW3（config-if）#switchport access vlan 100SW3（config-if）#no shutSW3（config-if）#int vlan 1SW3（config-if）#ip addr 192.168.0.3 255.255.255.0 SW3（config-if）#no shutSW3（config-if）#exitSW3（config）#ip default-gateway 192.168.0.1 SW3（config）#no ip routingSW3（config）#username benet password test SW3（config）#line vty 0 4SW3（config-line）#login local网络管理区主机PC1（这里用路由器模拟）R5>enR5#conf tR5（config）#int f0/0R5（config-if）#ip addr 192.168.2.2 255.255.255.0R5（config-if）#no shutR5（config-if）#exitR5（config）#ip route 0.0.0.0 0.0.0.0 192.168.2.1财务部主机PC2配置IP:IP地址：192.168.3.2 网关：192.168.3.1信息安全员主机PC3配置IP:IP地址：192.168.4.2 网关：192.168.4.1服务器主机配置IP:IP地址：192.168.100.2 网关：192.168.100.1第一阶段实验验证测试：所有部门之间的主机均能互相通信并能访问服务器和外网（测试方法：用PING命令）在所有主机上均能远程管理路由器和所有交换机，，电脑资料《Cisco 配置ACL》(https://www.)。

访问控制列表ACLACL简介ACL（Access Control List）是一个常用的用于流量匹配的工具，ACL通过对数据包中的源IP、目标IP、协议、源端口、目标端口这5元素进行匹配，然后对匹配的数据执行相应的策略（转发、丢弃、NAT 转换、限速）1.对访问网络的流量进行过滤，实现网络的安全访问；2. 网络地址转换(NAT)；3. QOS服务质量；4. 策略路由。

策略：要求1.1和1.2可以访问财务部(1.1和1.2 是销售部经理),其他不允许访问财务。

一、标准ACL:匹配条件较少，只能通过源IP地址和时间段进行流量匹配，在一些需要进行简单匹配的环境中使用。

R(config)# access-list 编号策略源地址编号：标准ACL范围1--- 99策略：permit允许 | deny 拒绝源地址：要严格检查的地址（ IP+通配符掩码）通配符掩码--- 是用来限定特定的地址范围（反掩码）用0 表示严格匹配用1 表示不检查例：主机 172.16.1.1 通配符掩码 0.0.0.0 32位都要检查主网 172.16.0.0/16 通配符掩码0.0.255.255 检查16位子网 172.16.1.0/24 通配符掩码0.0.0.255 24位要检查任意的 0.0.0.0 通配符掩码255.255.255.255不检查主机 ---- host 172.16.1.1 任意 ---- any练习：192.168.1.64/28子网掩码：255.255.255.240子网号： 192.168.1.64/28 (剩余4个主机位，网络号是16的倍数)广播地址： 192.168.1.79 (下一个网络号-1)通配符掩码 0.0.0.15 (比较前28位)通配符掩码 = 255.255.255.255 - 子网掩码也称为反掩码将ACL与接口关联：R(config-if)#ip access-group 编号 {in|out}{in|out} 表明在哪个方向上的数据进行控制策略：要求1.1和1.2可以访问财务部(1.1和1.2 是销售部经理)，其他不允许访问财务部。

cisco访问控制列表acl所有配置命令详解Cisco 路由ACL（访问控制列表）的配置标准ACL Router(config)#access-list 1-99 permit/deny 192.168.1.1（源IP）0.0.0.255（反码）Router(config)#interface f0/0 Router(config-if)#ip access-group 1-99 out/in 扩展ACL Router(config)#access-list 100-199 permit/deny tcp （协议类型）192.168.1.1（源IP） 0.标准ACLRouter(config)#access-list 1-99 permit/deny 192.168.1.1（源IP） 0.0.0.255（反码）Router(config)#interface f0/0Router(config-if)#ip access-group 1-99 out/in扩展ACLRouter(config)#access-list 100-199 permit/deny tcp（协议类型） 192.168.1.1（源IP） 0.0.0.255（源IP反码） 172.16.0.1（目标IP） 0.0.255.255（目标IP反码） eq ftp/23 端口号Router(config)#interface f0/0Router(config-if)#ip access-group 100-199 out/in基于时间的ACL设定路由器的时间:#clock set {hh:mm:ss} {data} {month} {year}Router(config)#time-range wangxin （定义时间名称）以下有两种：1.absouluterRouter(config-time-range)#absouluter指定绝对时间范围start hh:mm end hh:mm Day（日） MONTH(月份） YEAR（年份）end hh:mm end hh:mm Day（日） MONTH(月份） YEAR（年份）如果省略start及其后面的时间，则表示与之相联系的permit或deny语句立即生效，并一直作用到end处的时间为止。

cisco路由器配置ACL详解ACL（Access Control List）是一种在Cisco路由器上配置的安全控制功能，用于控制网络流量的进出。

通过使用ACL，管理员可以根据特定的源地质、目标地质、端口号等条件来限制网络流量的传输。

本文将详细介绍如何在Cisco路由器上配置ACL。

第一章：ACL概述1.1 什么是ACL1.2 ACL的作用和用途1.3 ACL的优点和限制第二章：ACL配置方法2.1 基于标准访问列表（Standard Access List）的配置步骤2.2 基于扩展访问列表（Extended Access List）的配置步骤2.3 应用ACL到接口的配置步骤第三章：标准访问列表（Standard Access List）3.1 标准访问列表的介绍3.2 标准访问列表的配置示例3.3 标准访问列表的注意事项第四章：扩展访问列表（Extended Access List） 4.1 扩展访问列表的介绍4.2 扩展访问列表的配置示例4.3 扩展访问列表的注意事项第五章：应用ACL到接口5.1 应用ACL到入站（Inbound）接口的配置步骤 5.2 应用ACL到出站（Outbound）接口的配置步骤 5.3 应用ACL到VLAN接口的配置步骤第六章：法律名词及注释6.1 法律名词1的定义及注释6.2 法律名词2的定义及注释6.3 法律名词3的定义及注释附件：1、示例配置文件12、示例配置文件2请注意：文档中描述的配置选项和命令可能因不同的cisco路由器型号和软件版本而有所不同，具体的配置步骤应根据您的路由器型号和软件版本进行调整。

本文档涉及附件：（请根据实际情况列出涉及的附件）本文所涉及的法律名词及注释：（请根据实际情况列出相关法律名词及其注释）。