标签：网段 list 192.168 列表 access 访问 流量 ACL

ACL控制访问列表

 

---

一、ACL访问控制列表概述

访问控制力列表（Access Control Table List）是最常用的网络流量限制技术，通过该技术可以为路由器或者交换机的接口配置一些控制命令，用来控制接口的进出数据包。配置ACL主要有两步，首先要指定访问条件，需要创建列表编号（1-99，100-199）或者名称；然后在指定的列表编号或者名称内添加流量筛选条件（ip地址、路由、协议），并指定是允许（permit）还是拒绝(deny)。

访问控制列表根据筛选条件不同，一般可以分两种。一种是标准访问控制列表，一种是扩展访问列表。其中标准访问控制列表只可以限定源地址的流量，通常使用1-99的列表编号；扩展访问控制列表可以针对源地址、目标地址、传输层协议、源端口、目标端口等进行流量控制，通常使用100-199的列表编号。

---

二、ACL访问控制列表的语句结构

acl列表基本结构：

access-list + 编号 + permit/deny + ip/tcp + 源地址 +（目标地址）+ eq + ftp/www

---

三、标准ACL语法

1.access-list接源ip地址，格式：access-list+编号+permit+host+源地址

举例(1)：access-list 1 permit host 192.168.2.1          //允许主机地址192.168.2.1的流量通过

2.access-list接源网段，格式：access-list+编号+permit+源网段+源网段的反掩码

举例(2)：access-list 1 permit 192.168.1.0 0.0.0.255      //允许192.168.1.0 0/24网段地址的流量通过

3.拒绝某个源地址/网段流量通过，然后再允许所有流量通过

（1）access-list 1 deny host 192.168.1.2      //拒绝源地址192.168.1.2的流量通过

access-list 1 deny permit any                //允许除192.168.1.2其他所有的流量通过（注：any表示所有主机）

 （2）access-list 2 deny 192.168.3.0 0.0.0.255   //拒绝192.168.3.0 0/24网段地址的流量通过

access-list 2 deny permit any                //允许除192.168.3.0 0/24网段其他所有的流量通过（注：any表示所有主机）

---

四、删除ACL访问控制列表

no access-list 1    //删除表号为1的规则

---

五、控制访问列表ACL在路由器或交换机接口上的应用

1.int f0/1/vlan 20                    //进入接口f0/1配置或vlan 20配置

2.ip access-list 1 in/out         //把表号1的规则应用到入口（in）或出口（out）方向

3.ip access-group 101 in/out     //把表号101的规则应用到入口（in）或出口（out）方向

---

六、扩展ACL的配置语法

1.允许一个网段访问另一个网段，拒绝其他所有流量通过

（1）access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255         //创建一个表号为101的ACL，规则为允许192.168.1.0 0/24的网段访问192.168.1.2.0 0/24网段的流量通过

（2）access-list 101 deny ip any                                   //除了（1）的流量，拒绝其他所有流量通过

2.拒绝一个网段访问目标地址21端口的流量通过，允许其他所有流量通过

（1）access-list 102 deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq 21          //拒绝192.168.1.0 0/24网段访问主机192.168.2.2，端口号为21的流量通过

（2）access-list 102 permit ip any any            //允许除了（1）的所有流量通过

---

七、定时访问控制列表配置

time-range telnettime                         //定义时间范围

periodic weekday 08:00 to 18:00      //定制周期执行时间为工作日的08:00 —— 18:00

periodic weekend 08:00 to 12:00      //定制周期性执行时间为周末的08:00——18:00

exit

access-list 104 deny ip 192.168.3.0 0.0.0.255 any       //禁止表号104的192.168.3.0 0/24的流量

access-list 104 permit any any time-range telnettime    //应用访问控制时间，定义流量筛选条件

int f0/6

ip access-group 104 out                             //在接口F0/6的出方向应用acl104的规则

标签：网段,list,192.168,列表,access,访问,流量,ACL
来源： https://blog.csdn.net/istrangeboy/article/details/115771616

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。