4.9、访问控制列表ACL
访问控制列表ACL技术材料
说明:标准FTP协议使用了两个端口,21用于建立 FTP连接,20用于数据传输。
学习研究
26
说明:
例1的配置将会极大限制局域网和外网间的应用,它会 拒绝除Web和Ftp外的所有应用(包括ICMP、DNS、电 子邮件等),也会拒绝那些没有使用标准端口的Web和 Ftp应用。
在实际应用中,我们通常只对那些可能有害的访问作出 拒绝限制,或者限制用户访问某些有害的站点或服务。
8.1 ACL概述
利用ACL可以对经过路由器的数据包按照设定的规则进 行过滤,使数据包有选择的通过路由器,起到防火墙的 作用。
访问控制列表(ACL)由一组规则组成,在规则中定义允许 或拒绝通过路由器的条件。
ACL过滤的依据主要包括源地址、目的地址、上层协议 等。
ACL有两种:标准访问控制列表、扩展访问控制列表。
制)
学习研究
Байду номын сангаас
2
ACL的工作过程
访问控制列表(ACL) 由多条判断语句组成。每条语句给 出一个条件和处理方式(通过或拒绝)。
路由器对收到的数据包按照判断语句的书写次序进行检 查,当遇到相匹配的条件时,就按照指定的处理方式进 行处理。
ACL中各语句的书写次序非常重要,如果一个数据包和 某判断语句的条件相匹配时,该数据包的匹配过程就结 束了,剩下的条件语句被忽略。
标准访问控制列表:1~99。
扩展访问控制列表:100~199。
同一个ACL中各语句的表学习号研相究 同。
4
处理方式:取值有permit(允许)和deny(拒绝)两 种。当数据包与该语句的条件相匹配时,用给定的处 理方式进行处理。
条件:每条ACL语句只能定义一个条件。
例:
access-list 1 permit 10.0.0.0 0.255.255.255
访问控制列表ACL
以下命令:
router(config)#access-list+ACL编号+permit|deny+测试条件 // 创建ACL并向其中添加一条命令语句。
为了使用ACL的安全特性,我们最起码要在边界路由器上使用ACL。
当路游戏配置了ACL时,如果通过了验证,路由器就将其进行转发,如果没有通过验证路由器就将其丢弃
当创建了ACL后,可以将其绑定到路由器的入口或者出口,分别可以成为入栈ACL和出栈ACL
4.注意事项:
一 因为ACL包含了一条隐含语句:拒绝所有,因此使用ACL要小心,至少ACL中要有一条允许语句,否则所有数据都将被ACL拒绝。
二 为网络访问提供基本的安全层。ACL可以限定或减少路由更新的内容,这些限定,可以用于限制关于某个特定网络的信息传播到整个网络。假如不在路由器上配置ACL,所有流经路由器的数据包都允许进入网络的所有部分。
三 决定转发或阻止哪些类型的数据流。例如可以允许数据的email的数据流,而阻止telnet的数据流。
172.16.144.0
ip地址 172.16.10010000.0
翻转掩码 0.0.00001111.255
可用的网络 172.16.10010001.0 =172.16.145.0
8.标准ACL配置
例子:
er(config)#access-list 1 permit 191.5.34.0 0.0.0.255
router(config)#access-list 1 permit 128.88.0.0 0.0.0.255
访问控制列表ACL
扩展ACL应用2: 拒绝telnet流量通过E0
❖ 第一步,创建拒绝来自172.16.4.0、去往 172.16.3.0、telnet流量的ACL
Router(config)#interface fastethernet 0/0 Router(config-if)#ip access-group 101 out
命名的访问控制列表2-1
❖ 标准ACL和扩展ACL中可以使用一个字母数字组 合的字符串(名字)代替来表示ACL的表号
❖ 命名IP访问列表允许从指定的访问列表删除单个 条目
拒绝 Icmp消息
允许 转发数据包
扩展访问控制列表4-4
端口号
20 21 23 25 42 53 69 80
关键字
FTP TELNET SMTP NAMESERVER DOMAIN TFTP WWW
描述
(文件传输协议)FTP(数据) (文件传输协议)FTP 终端连接 简单邮件传输协议 主机名字服务器 域名服务器(DNS) 普通文件传输协议(TFTP) 万维网
扩展访问控制列表的配置3-2
操作符及语法 eq portnumber gt portnumber lt portnumber neq portnumber
意义 等于端口号 portnumber 大于端口号portnumber 小于端口号portnumber 不等于端口号portnumber
扩展访问控制列表操作符的含义
Router(config)#interface fastethernet 0/0 Router(config-if)#ip access-group cisco out
访问控制列表(ACL)配置
ACL(访问控制列表)一、基本:1、基本ACL表2、扩展ACL表3、基于时间的ACL表4、动态ACL表二、ACL工作过程1、自上而下处理1)、如果有一个匹配的ACL,后面的ACL表不再检查2)、如果所有的ACL都不匹配,禁止所有的操作(隐含)特例,创建一个空的ACL表,然后应用这个空的ACL表,产生禁止所有的操作。
3)、后添加的ACL表,放在尾部4)、ALC表放置的原则:如果是基本ACL表,尽量放在目的端,如果是扩展ACL表,尽量放在源端5)、语句的位置:一般具体ACL表放在模糊的ACL表前6)、3P原则:每一个协议每一个接口每一个方向只有一个ACL表。
(多个ACL表会引起干扰)7)、应用ACL的方向,入站和出站,应用在接口上三、基本ACL表(不具体)1、定义命令:access-list <</span>编号> permit/denny 源IP地址 [子网掩码反码]应用命令:ip access-group <</span>编号> in/out 查看命令:sh access-lists1)、编号:1-99和1300-19992)、可以控制一台计算机或控制一段网络3)、host:表示一台计算机4)、any:表示任何计算机四、ACL配置步骤:1、定义ACL表2、应用ACL表五、路由器在默认的情况下,对所有数据都是开放,而防火墙在默认情况下,对所有数据都禁止。
六:判断是流入还是流出,看路由器的数据流向七:注意:如果在写禁止,小心默认禁止所有1.控制一台计算机(禁止)Access-list 1 deny 172.16.2.100Access-list 1 permit anyInterface f0/0Ip access-group 1 out (应用到端口)2、控制一段网络(禁止)Access-list 1 deny 172.16.2.0 0.0.0.255Access-list 1 permit anyInterface f0/0Ip access-group 1 out(应用到端口)3、控制一台计算机(允许)Access-list 1 permit 172.16.1.1004、控制一个网段(允许)Access-list 1 permit 172.16.1.0 0.0.0.255telnet服务配置:1)、使能密码2)、登录密码控制telnet服务应用端口命令:access-class <</span>编号> in/out 实例:只允许172.16.1.100能够使用telnet服务access-list 1 permit 172.16.1.100 Line vty 0 4Access-class 1 in实例:。
acl访问控制列表规则
acl访问控制列表规则ACL(Access Control List)访问控制列表是网络设备中一种非常重要的安全机制,用于控制网络流量的进出。
ACL规则是一组用于过滤网络流量的条件和动作。
本文将介绍ACL规则的概述、常见的ACL规则类型、ACL规则的格式以及编写ACL规则时需要考虑的一些关键因素。
ACL规则概述:ACL是一种在网络设备中实现流量过滤和网络访问控制的方法。
它根据预先定义的规则,对网络流量的源IP地址、目标IP地址、端口号等进行匹配,然后根据匹配结果决定是否允许流量通过。
通过配置ACL规则,网络管理员可以控制哪些流量可以进入网络,哪些流量可以离开网络,以增加网络的安全性和性能。
常见的ACL规则类型:1. 标准ACL规则:基于源IP地址来过滤流量,仅可以控制流量的进入。
2. 扩展ACL规则:可以基于源IP地址、目标IP地址、协议、端口号等多个条件来过滤流量,可以控制流量的进入和离开。
3. 命名ACL规则:可以给ACL规则设置名称,方便管理和维护。
ACL规则格式:ACL规则的格式通常包括以下几个部分:1. 序号:每条ACL规则都有一个唯一的序号,用于确定规则的优先级。
序号从1开始,按照递增的顺序执行规则。
2. 条件:ACL规则的条件部分描述了要匹配的流量的属性。
常见的条件包括源IP地址、目标IP地址、协议、端口号等。
3. 动作:ACL规则的动作部分描述了匹配条件后执行的操作。
常见的动作包括拒绝(Deny)和允许(Permit)。
编写ACL规则的关键因素:1. 流量方向:明确规定ACL规则是用于控制流量的进入还是离开。
2. 条件的选择:根据实际需求选择合适的条件,例如源IP地址、目标IP地址、协议、端口号等。
3. 规则的顺序:根据实际需求合理排序ACL规则,确保执行的顺序正确。
4. 规则的优先级:根据ACL规则的序号确定规则的优先级,越小的序号优先级越高。
5. 记录和审查:记录ACL规则的变更和审查规则的有效性是一个重要的管理步骤。
访问控制列表ACL的配置与使用
访问控制列表ACL的配置与使用访问控制列表,即Access Control List,以下简称ACL,是路由器、交换机等网络设备上最常用的功能之一。
可以说大多数的网络协议都跟ACL有着千丝万缕的联系,所以要弄清楚ACL的用法非常重要。
实际上,ACL的本质就是用于描述一个IP数据包、以太网数据帧若干特征的集合。
然后根据这些集合去匹配网络中的流量(由大量数据包组成),同时根据策略来“允许”或者“禁止”。
ACL的基本原理:1、ACL由若干条件,并按照一定的顺序而成,同时每个条件都对应了一个策略:允许或者禁止。
2、收到一个数据帧之后,ACL会按照从上到下的顺序逐一匹配:●一个条件不匹配就查看下一个;●任意一个条件匹配后就按照指定的策略执行,并跳出匹配;●所有条件都不匹配时,默认禁止,即deny。
根据条件描述的不同,我们通常可以将IP ACL分为基本型和扩展型两种。
其中基本型只能就数据包的源ip地址进行匹配;而扩展型ACL就可以对源IP、目的IP、协议号(判断tcp/udp/icmp等)、源端口号、目的端口号、QoS 参数(tos、precedence)等参数来进行定义,同时在匹配时,还可以根据路由器系统时间(time-range)来变化、还可以选择是否生成日志(log)等,功能非常强大。
显然标准型ACL功能非常简单,而扩展型ACL功能非常强大;但是功能越强大,匹配的越详细,对于路由器等网络设备的性能要求越高,或者对于网速的拖慢越明显。
组网时需要酌情使用。
不过有一点,两种类型的ACL在原理上是完全一致的。
标准型ACL只能匹配源IP地址,在实际操作中,有三种匹配方式:1、any,任意地址2、<net><mask>,指定ip网段3、src_range,指定ip地址范围配置模板:ip access-list standard <name> //建立一个标准型的ACL,名字自定{permit | deny} any{permit | deny} <network> <net-mask>{permit | deny} src_range <start-ip> <end-ip>例1:我们需要设置某局域网中只有192.168.1.0网段的用户能够上网(理论上有254个用户),那么应该是ip access-list standard testpermit 192.168.1.0 255.255.255.0deny any(隐含生效,无需配置)例2:我们需要设置某局域网中只有192.168.1.2~192.168.1.80的用户能够上网(理论上有79个用户),本网段的其他用户无法上网,那么应该是ip access-list standard testpermit src_range 192.168.1.2 192.168.1.80deny any(隐含生效)例3:我们需要让某局域网中只有192.168.1.0网段用户上网,但是192.168.1.33这个ip地址的用户要禁止(财务禁止上网)(理论上有253个用户),那么应该是ip access-list standard testdeny 192.168.1.33 255.255.255.255permit 192.168.1.0 255.255.255.0deny any(隐含生效)注意:例3中,要表示单个主机的话,掩码必须是4个255,即32位掩码;同时所有的例子中,各个条目的先后顺序不能搞错,想想看为什么?扩展型ACL可匹配的条目比较多,前面已经说过,但世纪上最常用的项目也就是源、目的IP,源、目的端口号,以及ip协议号(种类)这5种,这5种就可以用来满足绝大多数的应用。
访问控制列表(ACL)的配置
目录
• ACL的基本概念 • ACL的配置步骤 • ACL的常见应用场景 • ACL配置的注意事项 • ACL的发展趋势与未来展望 • 案例分析
01 ACL的基本概念
定义与作用
定义
访问控制列表(ACL)是一种安全机制 ,用于对网络设备的数据包进行过滤 ,以控制对网络资源的访问。
网络设备访问控制
路由器访问控制
通过ACL配置,可以限制对路由器特定端口的访问,保护路 由器免受非法访问和恶意攻击。
交换机端口访问控制
在交换机上配置ACL,可以限制特定MAC地址或IP地址的计算 机访问特定的端口,防止未经授权的设备接入网络。
服务器资源保护
文件服务器保护
通过ACL配置,可以限制用户对服务器上特定文件夹或文件的访问,确保敏感数据不被非法获取或篡 改。
规则的冗余与冲突
要点一
总结词
避免规则的冗余和冲突是ACL配置的重要考虑因素。
要点二
详细描述
在配置ACL时,需要避免规则的冗余和冲突。冗余的规则 会增加配置的复杂性和维护成本,而冲突的规则会导致数 据包的处理结果不确定。为了避免冗余和冲突,需要对每 一条规则进行仔细的审查和测试,确保其作用明确且不会 与其他规则产生冲突。同时,可以采用一些工具和技术来 检测和解决规则的冗余和冲突问题。
05 ACL的发展趋势与未来展 望
ACL技术的演进
传统ACL
基于端口和IP地址的访问控制,适用于简单的网络环 境。
扩展ACL
增加了协议和端口的匹配,能够实现更精细的访问控 制。
基于上下文的ACL
结合网络流量的上下文信息,实现更智能的访问控制。
ACL在云计算中的应用
01
访问控制列表(ACL)
• interface ethernet 1 :作用到E1口。
• ip access-group 1 out:ip access-group 1 与access-list
1 配对使用。 “out”表示为输出时测试。
© 1999, Cisco Systems, Inc.
ICND—10-7
目的端口号。
© 1999, Cisco Systems, Inc.
ICND—10-14
ACL表的号码
ACL表类型
IP Standard Extended Named
号码范围
1-99 100-199, 1300-1999, 2000-2699 Name (Cisco IOS 11.2 以上)
© 1999, Cisco Systems, Inc.
ICND—10-9
两种类型的ACL表
E0 进入的分组
ACL表处理 源地址 允许?
输出分组 S0
(1) 标准型(粗粒度的安全检查)
– 在过滤时只检查IP数据包的源地址。
– 基本上允许或拒绝整个协议组(比如 TCP/IP或IPX/SPX)。
© 1999, Cisco Systems, Inc.
ICND—10-10
标准型 IP ACL表的号码
ACL表类型
IP Standard
号码范围
1- 99
标准型 IP ACL表 (号码为1 到 99) 测试 的是源地址。
© 1999, Cisco Systems, Inc.
允许
ICND—10-17
4. 使用通配符检测IP地址
128 64 32 16
000 0 001 1 000 0 111 1 111 1
ACL访问控制列表配置.
ACL的使用ACL的处理过程:1.它是判断语句,只有两种结果,要么是拒绝(deny),要么是允许(permit)2.语句顺序按照由上而下的顺序处理列表中的语句3.语句排序处理时,不匹配规则就一直向下查找,一旦某条语句匹配,后续语句不再处理。
4.隐含拒绝如果所有语句执行完毕没有匹配条目默认丢弃数据包,在控制列表的末尾有一条默认拒绝所有的语句,是隐藏的(deny)要点:1.ACL能执行两个操作:允许或拒绝。
语句自上而下执行。
一旦发现匹配,后续语句就不再进行处理一因此先后顺序很重要。
如果没有找到匹配,ACL末尾不可见的隐含拒绝语句将丢弃分组。
一个ACL应该至少有一条permit语句;否则所有流量都会丢弃,因为每个ACL末尾都有隐藏的隐含拒绝语句。
2.如果在语句结尾增加denyany的话可以看到拒绝记录3.CiscoACL有两种类型一种是标准另一种是扩展,使用方式习惯不同也有两种方式一种是编号方式,另一种是命名方式。
示例:编号方式标准的ACL使用1~99以及1300~1999之间的数字作为表号,扩展的ACL使用100~199以及2000~2699之间的数字作为表号一、标准(标准ACL可以阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇(比如IP)的所有通信流量。
)允许172.17.31.222通过,其他主机禁止Cisco-3750(config)#access-list1(策略编号)(1-99、1300-1999)permithost172.17.31.222 禁止172.17.31.222通过,其他主机允许Cisco-3750(config)#access-list1denyhost172.17.31.222Cisco-3750(config)#access-list1permitany允许172.17.31.0/24通过,其他主机禁止Cisco-3750(config)#access-list1permit172.17.31.00.0.0.254(反码255.255.255.255减去子网掩码,如172.17.31.0/24的255.255.255.255—255.255.255.0=0.0.0.255)禁止172.17.31.0/24通过,其他主机允许Cisco-3750(config)#access-list1deny172.17.31.00.0.0.254Cisco-3750(config)#access-list1permitany二、扩展(扩展ACL比标准ACL提供了更广泛的控制范围。
访问控制列表(acl)实验报告
访问控制列表(acl)实验报告访问控制列表(ACL)实验报告引言访问控制列表(ACL)是网络安全中常用的一种技术,它可以帮助网络管理员控制用户或者系统对资源的访问权限。
为了更好地了解ACL的工作原理和应用,我们进行了一系列的实验,并撰写了本报告,以总结实验结果并分享我们的经验。
实验目的本次实验的目的是探索ACL的基本概念、配置方法和应用场景,通过实际操作来加深对ACL的理解,并验证ACL在网络安全中的重要性和作用。
实验内容我们首先学习了ACL的基本概念和分类,包括标准ACL和扩展ACL。
接着,我们使用网络模拟软件搭建了一个简单的网络环境,并在路由器上配置了ACL,限制了不同用户对特定资源的访问权限。
我们还进行了一些模拟攻击和防御的实验,比如尝试绕过ACL进行非法访问,以及通过ACL阻止恶意访问。
实验结果通过实验,我们深入了解了ACL的配置方法和工作原理。
我们发现,ACL可以有效地限制用户或系统对网络资源的访问,提高了网络的安全性。
同时,ACL也能够帮助网络管理员更好地管理网络流量和资源利用,提高网络的性能和效率。
实验结论ACL是网络安全中一种重要的访问控制技术,它能够有效地保护网络资源不受未经授权的访问和攻击。
通过本次实验,我们更加深入地了解了ACL的工作原理和应用,认识到ACL在网络安全中的重要性。
我们将继续学习和探索ACL的更多应用场景,并将ACL技术应用到实际的网络安全实践中,保护网络资源的安全和完整性。
总结通过本次实验,我们对ACL有了更深入的了解,并且掌握了ACL的基本配置方法和应用技巧。
我们相信ACL将在未来的网络安全中发挥越来越重要的作用,我们将继续学习和研究ACL技术,为网络安全做出更大的贡献。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ACL配置任务序列 配置任务序列
1. 配置access-list
– (1) 配置数字标准IP 访问列表 – (2) 配置数字扩展IP 访问列表 – (3) 配置命名标准IP 访问列表
a) 创建一个命名标准IP 访问列表 b) 指定多条permit 或deny 规则表项 c) 退出访问表配置模式
– – – – ip access-list(三层以上信息) mac access-list(二层信息) mac-ip access-list(二层以上信息) 当前只支持ip access-list,其余两种将在以后提供.
根据配置的复杂程度:
– 标准(standard)和扩展(extended),扩展方式可以指定更加细 致过滤信息.
ACL配置任务序列 配置任务序列
2. 配置包过滤功能
– (1)全局打开包过滤功能 – (2)配置默认动作(default action)
3. 配置时间范围功能
– (1) 创建时间范围名称 – (2) 配置周期性时段 – (3) 配置绝对性时段
4. 将accessl-list 绑定到特定端口的特定方 向 5. 清空指定接口的包过滤统计信息
access-list <num> {deny | permit} icmp {{<sIpAddr> <sMask>} | any-source | {host-source <sIpAddr>}} {{<dIpAddr> <dMask>} | any-destination | {hostdestination <dIpAddr>}} [<icmp-type> [<icmp-code>]] [precedence <prec>] [tos <tos>] access-list <num> {deny | permit} igmp {{<sIpAddr> <sMask>} | any-source | {host-source <sIpAddr>}} {{<dIpAddr> <dMask>} | any-destination | {hostdestination <dIpAddr>}} [<igmp-type>] [precedence <prec>] [tos <tos>] access-list <num> {deny | permit} tcp {{<sIpAddr> <sMask>} | any-source | {host-source <sIpAddr>}} [sPort <sPort>] {{<dIpAddr> <dMask>} | anydestination | {host-destination <dIpAddr>}} [dPort <dPort>] [ack | fin | psh | rst | syn | urg] [precedence <prec>] [tos <tos>] access-list <num> {deny | permit} udp {{<sIpAddr> <sMask>} | any-source | {host-source <sIpAddr>}} [sPort <sPort>] {{<dIpAddr> <dMask>} | anydestination | {host-destination <dIpAddr>}} [dPort <dPort>] [precedence <prec>] [tos <tos>] access-list <num> {deny | permit} {eigrp | gre | igrp | ipinip | ip | <int>} {{<sIpAddr> <sMask>} | any-source | {host-source <sIpAddr>}} {{<dIpAddr> <dMask>} | any-destination | {host-destination <dIpAddr>}} [precedence <prec>] [tos <tos>] no access-list <num> 创建一条icmp数字扩展IP访 问规则;如果此编号数字 扩展访问列表不存在则创 建此访问列表. 创建一条igmp数字扩展IP访 问规则;如果此编号数字 扩展访问列表不存在则创 建此访问列表. 创建一条tcp数字扩展IP访 问规则;如果此编号数字 扩展访问列表不存在则创 建此访问列表. 创建一条udp数字扩展IP访 问规则;如果此编号数字 扩展访问列表不存在则创 建此访问列表. 创建一条匹配其他特定IP协 议或所有IP协议的数字扩展 IP访问规则;如果此编号数 字扩展访问列表不存在则 创建此访问列表. 删除一条数字扩展IP访问列 表.
a) 创建一个命名扩展MAC 访问列表 b) 指定多条permit 或deny 规则表项 c) 退出MAC 访问表配置模式
– (8) 配置数字扩展MAC-IP 访问列表 – (9) 配置命名扩展MAC-IP 访问列表
a) 创建一个命名扩展MAC-IP 访问列表 b) 指定多条permit 或deny 规则表项 c) 退出MAC-IP 访问表配置模式
Access-list动作及全局默认动作 动作及全局默认动作
Access-list动作及默认动作分为两种:允许通过 (permit)或拒绝通过(deny).具体有如下:
– 在一个access-list内,可以有多条规则(rule).对数 据包的过滤从第一条规则(rule)开始,直到匹配到一 条规则(rule),其后的规则(rule)不再进行匹配. – 全局默认动作只对端口入口方向的IP包有效.对入口的 非IP数据包以及出口的所有数据包,其默认转发动作均 为允许通过(permit). – 只有在包过滤功能打开且端口上没有绑定任何的ACL或 不匹配任何绑定的ACL时才会匹配入口的全局的默认动 作.
访问控制列表ACL
访问控制列表
配置任务列表: 创建一个命名标准IP 访问列表(最后隐含 默认是允许): 配置包过滤功能:
– (1)全局打开包过滤功能 – (2)配置默认动作(default action)
将accessl-list 绑定到特定端口的特定方向;
ACL配置
ACL介绍 介绍 ACL (Access Control Lists)是交换机实现的一种 数据包过滤机制,通过允许或拒绝特定的数据包 进出网络,交换机可以对网络访问进行控制,有 效保证网络的安全运行.用户可以基于报文中的 特定信息制定一组规则(rule),每条规则都描 rule 述了对匹配一定信息的数据包所采取的动作:允 许通过(permit)或拒绝通过(deny).用户可 以把这些规则应用到特定交换机端口的入口或出 口方向,这样特定端口上特定方向的数据流就必 须依照指定的ACL规则进出交换机.
– (4) 配置命名扩展IP 访问列表
a) 创建一个命名扩展IP 访问列表 b) 指定多条permit 或deny 规则表项 permit deny c) 退出访问表配置模式
– (5) 配置数字标准MAC 访问列表 – (6) 配置数字扩展MAC 访问列表 – (7) 配置命名扩展MAC 访问列表
退出命名标准IP访问列表配置模式
– Exit
创建一个命名扩展IP访问列表 创建一个命名扩展 访问列表
创建一个命名扩展 访问列表 创建一个命名扩展IP访问列表
– ip access extended <name> – no ip access extended <name>
指定多条 指定多条permit或deny 规则 或
– 见下页
退出命名扩展 访问列表配置模式 退出命名扩展IP访问列表配置模式
– Exit
指定多条permit或deny 规则 或 指定多条
[no] {deny | permit} icmp {{<sIpAddr> <sMask>} | any-source | {host-source <sIpAddr>}} {{<dIpAddr> <dMask>} | anydestination | {host-destination <dIpAddr>}} [<icmp-type> [<icmp-code>]] [precedence <prec>] [tos <tos>] [no] {deny | permit} igmp {{<sIpAddr> <sMask>} | any-source | {host-source <sIpAddr>}} {{<dIpAddr> <dMask>} | anydestination | {host-destination <dIpAddr>}} [<igmp-type>] [precedence <prec>] [tos <tos>] [no] {deny | permit} tcp {{<sIpAddr> <sMask>} | any-source | {host-source <sIpAddr>}} [sPort <sPort>] {{<dIpAddr> <dMask>} | any-destination | {host-destination <dIpAddr>}} [dPort <dPort>] [ack | fin | psh | rst | syn | urg] [precedence <prec>] [tos <tos>] [no] {deny | permit} udp {{<sIpAddr> <sMask>} | any-source | {host-source <sIpAddr>}} [sPort <sPort>] {{<dIpAddr> <dMask>} | any-destination | {host-destination <dIpAddr>}} [dPort <dPort>] [precedence <prec>] [tos <tos>] [no] {deny | permit} {eigrp | gre | igrp | ipinip | ip | <int>} {{<sIpAddr> <sMask>} | any-source | {host-source <sIpAddr>}} {{<dIpAddr> <dMask>} | any-destination | {host-destination <dIpAddr>}} [precedence <prec>] [tos <tos>] 创建一条icmp命名扩展IP访问规则 (rule);本命令的no操作为删除此命 名扩展IP访问规则(rule). 创建一条igmp命名扩展IP访问规则 (rule);本命令的no操作为删除此命 名扩展IP访问规则(rule).