访问控制列表(ACL)配置

ACL（访问控制列表）一、基本：1、基本ACL表2、扩展ACL表3、基于时间的ACL表4、动态ACL表二、ACL工作过程1、自上而下处理1)、如果有一个匹配的ACL，后面的ACL表不再检查2)、如果所有的ACL都不匹配，禁止所有的操作（隐含）特例，创建一个空的ACL表，然后应用这个空的ACL表，产生禁止所有的操作。3）、后添加的ACL表，放在尾部4)、ALC表放置的原则：如果是基本ACL表，尽量放在目的端，如果是扩展ACL表，尽量放在源端5)、语句的位置：一般具体ACL表放在模糊的ACL表前6)、3P原则：每一个协议每一个接口每一个方向只有一个ACL表。（多个ACL表会引起干扰）7)、应用ACL的方向，入站和出站，应用在接口上三、基本ACL表(不具体)1、定义命令：access-list/span编号permit/denny源IP地址[子网掩码反码]应用命令：ipaccess-group/span编号in/out查看命令：shaccess-lists1）、编号：1-99和1300-19992）、可以控制一台计算机或控制一段网络3）、host:表示一台计算机4)、any:表示任何计算机四、ACL配置步骤：1、定义ACL表2、应用ACL表五、路由器在默认的情况下，对所有数据都是开放，而防火墙在默认情况下，对所有数据都禁止。六：判断是流入还是流出，看路由器的数据流向七：注意：如果在写禁止，小心默认禁止所有1.控制一台计算机(禁止)Access-list1deny172.16.2.100Access-list1permitanyInterfacef0/0Ipaccess-group1out(应用到端口)2、控制一段网络（禁止）Access-list1deny172.16.2.00.0.0.255Access-list1permitanyInterfacef0/0Ipaccess-group1out(应用到端口)3、控制一台计算机（允许）Access-list1permit172.16.1.1004、控制一个网段（允许）Access-list1permit172.16.1.00.0.0.255telnet服务配置：1)、使能密码2)、登录密码控制telnet服务应用端口命令：access-class/span编号in/out实例：只允许172.16.1.100能够使用telnet服务access-list1permit172.16.1.100Linevty04Access-class1in实例：