cisco路由器配置ACL详解

思科⽹络配置-ACL1、标准ACL Router(config)# access-list access-list-number {permit | deny | remark} source [mask] Router(config-if)# ip access-group access-list-number {in | out} *表号------- 1 to 99 *缺省的通配符掩码 0.0.0.0 *no access-list access-list-number 移除整个ACL *remark 给访问列表添加功能注释 *mask 反掩码2.扩展ACL 扩展访问控制列表是⼀种⾼级的ACL，配置命令的具体格式如下： access-list ACL号 [permit|deny] [协议] [定义过滤源主机范围] [定义过滤源端⼝] [定义过滤⽬的主机访问] [定义过滤⽬的端⼝] 例如：access-list 101 deny tcp any host 192.168.1.1 eq www这句命令是将所有主机访问192.168.1.1这个地址⽹页服务（WWW）TCP连接的数据包丢弃。

⼩提⽰：同样在扩展访问控制列表中也可以定义过滤某个⽹段，当然和标准访问控制列表⼀样需要我们使⽤反向掩码定义IP地址后的⼦⽹掩码。

　 表号 100 to 199　3.命名访问控制列表 命名访问控制列表格式： ip access-list {standard/extended} <access-list-name>（可有字母，数字组合的字符串) 例如：ip access-list standard softer //建⽴⼀个名为softer的标准访问控制列表。

1. router（config）#ip access-list standard +⾃定义名2. router（config-std-nac1）#11 permit host +ip //默认情况下第⼀条为10,第⼆条为20.如果不指定序列号，则新添加的ACL被添加到列表的末尾3. router（config-std-nac1）#deny any4. router（config）#ip access-list standard benet5. router（config-std-nasl）#no 116. 使⽤show access-lists可查看配置的acl信息ACL的过滤流程： 1、按顺序的⽐较：先⽐较第⼀⾏，如果不匹配，再⽐较第⼆⾏，依次类推直到最后⼀⾏ 2、从第⼀⾏起，直到找到⼀个符合条件的⾏，符合以后就不再继续⽐较下去 3、默认在每个ACL中的最后⼀⾏为隐含的拒绝，最后要加pemint any,使其他的⽹络可通。

思科ACL访问控制列表常规配置操作详解本⽂实例讲述了思科ACL访问控制列表常规配置操作。

分享给⼤家供⼤家参考，具体如下：⼀、ACL概述ACL (Access Control List,访问控制列表）是⼀系列运⽤到路由器接⼝的指令列表。

这些指令告诉路由器接收哪些数据包、拒绝哪些数据包，接收或者拒绝根据⼀定的规则进⾏，如源地址、⽬标地址、端⼝号等。

ACL使得⽤户能够管理数据流，检测特定的数据包。

路由器将根据ACL中指定的条件，对经过路由器端⼝的数据包进⾏检査。

ACL可以基于所有的Routed Protocols (被路由协议，如IP、IPX等）对经过路由器的数据包进⾏过滤。

ACL在路由器的端⼝过滤数据流，决定是否转发或者阻⽌数据包。

ACL应该根据路由器的端⼝所允许的每个协议来制定，如果需要控制流经某个端⼝的所有数据流，就需要为该端⼝允许的每⼀个协议分别创建ACL。

例如，如果端⼝被配置为允许IP、AppleTalk和IPX协议的数据流，那么就需要创建⾄少3个ACL, 本⽂中仅讨论IP的访问控制列表。

针对IP协议，在路由器的每⼀个端⼝,可以创建两个ACL:—个⽤于过滤进⼊（inbound)端⼝的数据流，另⼀个⽤于过滤流出（outboimd)端⼝的数据流。

顺序执⾏：—个ACL列表中可以包含多个ACL指令，ACL指令的放置顺序很重要。

当路由器在决定是否转发或者阻⽌数据包的时候，Cisco的IOS软件，按照ACL中指令的顺序依次检査数据包是否满⾜某⼀个指令条件。

当检测到某个指令条件满⾜的时候，就执⾏该指令规定的动作，并且不会再检测后⾯的指令条件。

ACL作⽤： * 限制⽹络流量，提⾼⽹络性能。

* 提供数据流控制。

* 为⽹络访问提供基本的安全层。

⼆、ACL 类型1. 标准ACL: access-list-number编号1~99之间的整数，只针对源地址进⾏过滤。

2. 扩展ACL: access-list-number编号100~199之间的整数，可以同时使⽤源地址和⽬标地址作为过滤条件，还可以针对不同的协议、协议的特征、端⼝号、时间范围等过滤。

Cisco路由器配置ACL详解之基于时间的访问控制列表
基于时间的访问控制列表：
上⾯我们介绍了标准ACL与扩展ACL，实际上我们数量掌握了这两种访问控制列表就可以应付⼤部分过滤⽹络数据包的要求了。

不过实际⼯作中总会有⼈提出这样或那样的苛刻要求，这时我们还需要掌握⼀些关于ACL的⾼级技巧。

基于时间的访问控制列表就属于⾼级技巧之⼀。

⼀、基于时间的访问控制列表⽤途：
可能公司会遇到这样的情况，要求上班时间不能上QQ，下班可以上或者平时不能访问某⽹站只有到了周末可以。

对于这种情况仅仅通过发布通知规定是不能彻底杜绝员⼯⾮法使⽤的问题的，这时基于时间的访问控制列表应运⽽⽣。

⼆、基于时间的访问控制列表的格式：
基于时间的访问控制列表由两部分组成，第⼀部分是定义时间段，第⼆部分是⽤扩展访问控制列表定义规则。

这⾥我们主要讲解下定义时间段，具体格式如下：
time-range时间段名称
absolute start [⼩时：分钟] [⽇⽉年] [end] [⼩时：分钟] [⽇⽉年]
例如：time-range softer
absolute start 0:00 1 may 2005 end 12:00 1 june 2005
意思是定义了⼀个时间段，名称为softer，并且设置了这个时间段的起始时间为2005年5⽉1⽇零点,结束时间为2005年6⽉1⽇中午12点。

我们通过这个时间段和扩展ACL的规则结合就可以指定出针对⾃⼰公司时间段开放的基于时间的访问控制列表了。

当然我们也可以定义⼯作⽇和周末，具体要使⽤periodic命令。

我们将在下⾯的配置实例中为⼤家详细介绍。

详解cisco访问控制列表ACL一：访问控制列表概述〃访问控制列表（ACL）是应用在路由器接口的指令列表。

这些指令列表用来告诉路由器哪些数据包可以通过，哪些数据包需要拒绝。

〃工作原理：它读取第三及第四层包头中的信息，如源地址、目的地址、源端口、目的端口等。

根据预先设定好的规则对包进行过滤，从而达到访问控制的目的。

〃实际应用：阻止某个网段访问服务器。

阻止A网段访问B网段，但B网段可以访问A网段。

禁止某些端口进入网络，可达到安全性。

二：标准ACL〃标准访问控制列表只检查被路由器路由的数据包的源地址。

若使用标准访问控制列表禁用某网段，则该网段下所有主机以及所有协议都被禁止。

如禁止了A网段，则A网段下所有的主机都不能访问服务器，而B网段下的主机却可以。

用1----99之间数字作为表号一般用于局域网，所以最好把标准ACL应用在离目的地址最近的地方。

〃标准ACL的配置：router（config）#access-list表号 deny(禁止)网段/IP地址反掩码********禁止某各网段或某个IProuter（config）#access-list表号 permit（允许） any注：默认情况下所有的网络被设置为禁止，所以应该放行其他的网段。

router（config）#interface 接口 ******进入想要应用此ACL的接口（因为访问控制列表只能应用在接口模式下）router（config-if）#ip access-group表号 out/in ***** 设置在此接口下为OUT或为IN其中router(config)#access-list 10 deny 192.168.0.10.0.0.0 =router(config)#access-list 10 deny host 192.168.0.1router(config)#access-list 10 deny 0.0.0.0255.255.255.255 =router(config)#access-list 10 deny anyrouter#show access-lists ******查看访问控制列表。

思科配置(NAT和ACL)实操1、看懂下面代码；2、把红色的重点代码写一遍R1(config)#interface f0/0R1(config-if)#no shutdownR1(config-if)#R1(config-if)#ip add 192.168.40.1 255.255.255.0R1(config-if)#exitR1(config)#interface f0/1R1(config-if)#no shutdownR1(config-if)#ip add 200.168.10.1 255.255.255.0R1(config-if)#R1(config-if)#exitR1(config)#router rip 动态路由配置R1(config-router)#network 192.168.40.0R1(config-router)#network 200.168.10.0R1(config-router)#exitR1(config)#line vty 0 4R1(config-line)#password 123R1(config-line)#loginR1(config-line)#exitR1(config)#enable password 123R1(config)#ip access-list extended NOtelnet 禁止外网远程登录R1(config-ext-nacl)#denyR1(config-ext-nacl)#deny tcp any any eq 23R1(config-ext-nacl)#permit ip any anyR1(config-ext-nacl)#exitR1(config)#interface f0/1R1(config-if)#ip access-group NOtelnet inR1(config)#ip nat inside source static 192.168.10.10 88.88.88.88 静态NATR1(config)#ip nat inside source static 192.168.10.20 99.99.99.99R1(config)#R1(config)#access-list 10 permit 192.168.30.0 0.0.0.255 动态NATR1(config)#ip nat pool XXB 110.110.110.110 110.110.110.210 netmask 255.255.255.0 R1(config)#ip nat inside source list 10 pool XXBR1(config)#R1(config)#access-list 20 permit 192.168.20.0 0.0.0.255 PATR1(config)#ip nat pool RSB 58.58.58.58 58.58.58.58 netmask 255.255.255.0R1(config)#ip nat inside source list 20 pool RSB overloadR1(config)#R1(config)#interface f0/0R1(config-if)#ip nat insideR1(config-if)#exitR1(config)#interface f0/1R1(config-if)#ip nat outside三层交换机（SW-3）代码如下：Switch>Switch>enSwitch#conf tSwitch(config)#hostname SW-3SW-3(config)#SW-3(config)#interface range f0/1-4SW-3(config-if-range)#no switchportSW-3(config-if-range)#SW-3(config-if-range)#exitSW-3(config)#SW-3(config)#interface f0/1SW-3(config-if)#ip address 192.168.10.1 255.255.255.0 SW-3(config-if)#exitSW-3(config)#interface f0/2SW-3(config-if)#ip address 192.168.20.1 255.255.255.0 SW-3(config-if)#exitSW-3(config)#interface f0/3SW-3(config-if)#ip address 192.168.30.1 255.255.255.0 SW-3(config-if)#exitSW-3(config)#interface f0/4SW-3(config-if)#ip address 192.168.40.2 255.255.255.0 SW-3(config-if)#exitSW-3(config)#ip routingSW-3(config)#router ripSW-3(config-router)#network 192.168.10.0SW-3(config-router)#network 192.168.20.0SW-3(config-router)#network 192.168.30.0SW-3(config-router)#network 192.168.40.0SW-3(config-router)#exitSW-3(config)#SW-3(config)#ip access-list extended JFACL 信息部员工可以访问机房，人事部员不能访问机房SW-3(config-ext-nacl)#permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255SW-3(config-ext-nacl)#deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255SW-3(config-ext-nacl)#permit ip any anySW-3(config-ext-nacl)#exit、信息部员工不能访问外网，但可以访问机房；4、人事部员可以访问外网，但不能访问机房；SW-3(config)#interface f0/1SW-3(config-if)#ip access-group JFACL outSW-3(config-if)#exitSW-3(config)#SW-3(config)#ip access-list extended WWACL 人事部和信息部经理可以访问外网，信息部不能访问外网SW-3(config-ext-nacl)#permit ip 192.168.20.0 0.0.0.255 200.168.10.0 0.0.0.255SW-3(config-ext-nacl)#permit ip host 192.168.30.20 200.168.10.0 0.0.0.255SW-3(config-ext-nacl)#deny ip 192.168.30.0 0.0.0.255 200.168.10.0 0.0.0.255 SW-3(config-ext-nacl)#permit ip any anySW-3(config-ext-nacl)#exitSW-3(config)#SW-3(config)#interface f0/4SW-3(config-if)#ip access-group WWACL out。

访问控制列表ACLACL简介ACL（Access Control List）是一个常用的用于流量匹配的工具，ACL通过对数据包中的源IP、目标IP、协议、源端口、目标端口这5元素进行匹配，然后对匹配的数据执行相应的策略（转发、丢弃、NAT 转换、限速）1.对访问网络的流量进行过滤，实现网络的安全访问；2. 网络地址转换(NAT)；3. QOS服务质量；4. 策略路由。

策略：要求1.1和1.2可以访问财务部(1.1和1.2 是销售部经理),其他不允许访问财务。

一、标准ACL:匹配条件较少，只能通过源IP地址和时间段进行流量匹配，在一些需要进行简单匹配的环境中使用。

R(config)# access-list 编号策略源地址编号：标准ACL范围1--- 99策略：permit允许 | deny 拒绝源地址：要严格检查的地址（ IP+通配符掩码）通配符掩码--- 是用来限定特定的地址范围（反掩码）用0 表示严格匹配用1 表示不检查例：主机 172.16.1.1 通配符掩码 0.0.0.0 32位都要检查主网 172.16.0.0/16 通配符掩码0.0.255.255 检查16位子网 172.16.1.0/24 通配符掩码0.0.0.255 24位要检查任意的 0.0.0.0 通配符掩码255.255.255.255不检查主机 ---- host 172.16.1.1 任意 ---- any练习：192.168.1.64/28子网掩码：255.255.255.240子网号： 192.168.1.64/28 (剩余4个主机位，网络号是16的倍数)广播地址： 192.168.1.79 (下一个网络号-1)通配符掩码 0.0.0.15 (比较前28位)通配符掩码 = 255.255.255.255 - 子网掩码也称为反掩码将ACL与接口关联：R(config-if)#ip access-group 编号 {in|out}{in|out} 表明在哪个方向上的数据进行控制策略：要求1.1和1.2可以访问财务部(1.1和1.2 是销售部经理)，其他不允许访问财务部。

路由器配置ACL详解如果有人说路由交换设备主要就是路由和交换的功能，仅仅在路由交换数据包时应用的话他一定是个门外汉。

如果仅仅为了交换数据包我们使用普通的HUB就能胜任，如果只是使用路由功能我们完全可以选择一台WINDOWS服务器来做远程路由访问配置。

实际上路由器和交换机还有一个用途，那就是网络管理，学会通过硬件设备来方便有效的管理网络是每个网络管理员必须掌握的技能。

今天我们就为大家简单介绍访问控制列表在CISCO路由交换设备上的配置方法与命令。

什么是ACL？访问控制列表简称为ACL，访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提供ACL的支持了。

访问控制列表使用原则由于ACL涉及的配置命令很灵活，功能也很强大，所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。

在介绍例子前为大家将ACL设置原则罗列出来，方便各位读者更好的消化ACL知识。

1、最小特权原则只给受控对象完成任务所必须的最小的权限。

也就是说被控制的总规则是各个规则的交集，只满足部分条件的是不容许通过规则的。

2、最靠近受控对象原则所有的网络层访问权限控制。

也就是说在检查规则时是采用自上而下在ACL中一条条检测的，只要发现符合条件了就立刻转发，而不继续检测下面的ACL语句。

3、默认丢弃原则在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY，也就是丢弃所有不符合条件的数据包。

这一点要特别注意，虽然我们可以修改这个默认，但未改前一定要引起重视。

由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。

cisco路由器配置ACL详解ACL（Access Control List）是一种在Cisco路由器上配置的安全控制功能，用于控制网络流量的进出。

通过使用ACL，管理员可以根据特定的源地质、目标地质、端口号等条件来限制网络流量的传输。

本文将详细介绍如何在Cisco路由器上配置ACL。

第一章：ACL概述1.1 什么是ACL1.2 ACL的作用和用途1.3 ACL的优点和限制第二章：ACL配置方法2.1 基于标准访问列表（Standard Access List）的配置步骤2.2 基于扩展访问列表（Extended Access List）的配置步骤2.3 应用ACL到接口的配置步骤第三章：标准访问列表（Standard Access List）3.1 标准访问列表的介绍3.2 标准访问列表的配置示例3.3 标准访问列表的注意事项第四章：扩展访问列表（Extended Access List） 4.1 扩展访问列表的介绍4.2 扩展访问列表的配置示例4.3 扩展访问列表的注意事项第五章：应用ACL到接口5.1 应用ACL到入站（Inbound）接口的配置步骤 5.2 应用ACL到出站（Outbound）接口的配置步骤 5.3 应用ACL到VLAN接口的配置步骤第六章：法律名词及注释6.1 法律名词1的定义及注释6.2 法律名词2的定义及注释6.3 法律名词3的定义及注释附件：1、示例配置文件12、示例配置文件2请注意：文档中描述的配置选项和命令可能因不同的cisco路由器型号和软件版本而有所不同，具体的配置步骤应根据您的路由器型号和软件版本进行调整。

本文档涉及附件：（请根据实际情况列出涉及的附件）本文所涉及的法律名词及注释：（请根据实际情况列出相关法律名词及其注释）。