如何配置acl介面應用

『壹』 h3c如何配置acl命令

基本ACL配置（2000-2999）
1．進入2000號的基本訪問控制列表視圖
[H3C-GigabitEthernet1/0/1] acl number 2000
2．定義訪問規則過濾10.1.1.2主機發出的報文
[H3C-acl-basic-2000] rule 1 deny source 10.1.1.2 0 time-range Huawei
3．在介面上應用2000號ACL
[H3C-acl-basic-2000] interface GigabitEthernet1/0/1
[H3C-GigabitEthernet1/0/1] packet-filter inbound ip-group 2000
[H3C-GigabitEthernet1/0/1] quit
高級ACL配置（3000-3999）
1．進入3000號的高級訪問控制列表視圖
[H3C] acl number 3000
2．定義訪問規則禁止源10.1.2.0與源10.1.1.0之間互訪
[H3C-acl-adv-3000]rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
3．定義訪問規則禁止 在上班時間8:00至18:00訪問工資查詢伺服器（129.110.1.2）
[H3C-acl-adv-3000] rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time-range Huawei
[H3C-acl-adv-3000] quit
4．在介面上用3000號ACL
[H3C-acl-adv-3000] interface GigabitEthernet1/0/2
[H3C-GigabitEthernet1/0/2] packet-filter inbound ip-group 3000
二層ACL配置（4000-4999）
1．進入4000號的二層訪問控制列表視圖
[H3C] acl number 4000
2．定義訪問規則過濾源MAC為00e0-fc01-0101的報文
[H3C-acl-ethernetframe-4000] rule 1 deny source 00e0-fc01-0101 ffff-ffff-ffff time-range Huawei
3．在介面上應用4000號ACL
[H3C-acl-ethernetframe-4000] interface GigabitEthernet1/0/4
[H3C-GigabitEthernet1/0/4] packet-filter inbound link-group 4000

『貳』 計算機網路路由器ACL配置

這個問題可以用擴展ACL完成。
假如vlan 10的IP地址為：192.168.10.0/24；
vlan 20的IP地址為：192.168.20.0/24；
vlan 30的IP地址為：192.168.30.0/24；
PC6的IP地址為6.6.6.6/24；
Server0的學地址為1.1.1.1/24；

定義擴展ACL：
access 100 permit ip host 6.6.6.6 any //讓PC6訪問vlan
access 100 permit ip host 1.1.1.1 any //讓server訪問vlan，題目沒說，此行也可省略
//最後默認拒絕其餘所有流量
然後將ACL 100分別應用在R0內網介面的每個子介面上，直接應用在物理介面上是沒有用的。這樣就可實現Vlan間不能互相訪問，但PC6(和Server)可以訪問VLAN了。

再定義一個擴展ACL：
access 111 deny ip 192.168.10.0 0.0.0.255 any //vlan不能訪問外網
/*******
這里的any也可寫成host 6.6.6.6、host 1.1.1.1，分兩行寫，你懂的。
寫成host形式，vlan只是不能訪問PC和Server，其他的還是可以訪問的。
********/
access 111 deny ip 192.168.20.0 0.0.0.255 any
access 111 deny ip 192.168.30.0 0.0.0.255 any
access 111 permit ip any any
然後將ACL 111應用在R0的Wan介面就行了。

關於PC6和Server之間通信，沒有說，可以什麼都不配置。

『叄』 華三二層acl設置

回答不草率，我仔細驗證後，下面的配置才行。第一次回答的我給刪了
我這個是在三層交換上面配置的
如下：採用如下的思路配置二層ACL：
1、配置ACL。
2、配置流分類。
3、配置流行為。
4、配置流策略。
5、在介面上應用流策略。
操作步驟：
1、配置ACL。
acl 4000
rule 5 deny source-mac 3496-72a9-c20e
quit
2、配置流分類tc1
traffic classifier tc1
if-match acl 4000
quit
3、配置流行為。tb1
traffic behavior tb1
deny
traffic behavior tb1
4、配置流策略。將流分類tc1與流行為tb1關聯
traffic policy tp1
classifier tc1 behavior tb1
quit
5、在介面上應用流策略。
interface gigabitethernet 0/0/22
traffic-policy tp1 inbound
quit
若你需要增加或者修改主機只需要在acl4000裡面修改即可。
剛剛我使用ensp測試了下，這個控制流分類的方法是可以的。 用心回答，望採納！

『肆』 思科模擬中ACL怎麼配置

訪問控制列表簡稱為ACL,訪問控制列表使用包過濾技術，在路由器上讀取第三層及第四層包頭中的信息如源地址，目的地址，源埠，目的埠等，根據預先定 義好的規則對包進行過濾，從而達到訪問控制的目的。該技術初期僅在路由器上支持，近些年來已經擴展到三層交換機，部分最新的二層交換機也開始提供ACL的 支持了。
訪問控制列表的原理：
1、對路由器介面來說有兩個方向：
入：已經到達路由器介面的數據包，但是還沒有被路由器處理。
出：已經 經過路由器的處理，正要離開路由器介面的數據包
2、匹配順序為："自上而下，依次匹配"。默認為拒絕
3、訪問控制列表的類型：
標准訪問控制列表：一般應用在out出站介面。建議配置在離目標端最近的路由上
擴展訪問控制列表：配置在離源端最近的路由上，一般應用在入站in方向
命名訪問控制列表：允許在標准和擴展訪問列表中使用名稱代替表號
4、訪問控制列表使用原則
（1）、最小特權原則
只給受控對象完成任務所必須的最小的許可權。也就是說被控制的總規則是各個規則的交集，只滿足部分條件的是不容許通過規則的。
（2）、默認丟棄原則
在CISCO路由交換設備中默認最後一句為ACL中加入了DENY ANY ANY,也就是丟棄所有不符合條件的數據包。這一點要特別注意，雖然我們可以修改這個默認，但未改前一定要引起重視。
（3）、最靠近受控對象原則
所有的網路層訪問許可權控制。也就是說在檢查規則時是採用自上而下在ACL中一條條檢測的，只要發現符合條件了就立刻轉發，而不繼續檢測下面的ACL語句。
由於ACL是使用包過濾技術來實現的，過濾的依據又僅僅只是第三層和第四層包頭中的部分信息，這種技術具有一些固有的局限性，如無法識別到具體的人，無法 識別到應用內部的許可權級別等。因此，要達到端到端的許可權控制目的，需要和系統級及應用級的訪問許可權控制結合使用。

『伍』 msr20-10e怎麼給介面添加acl應用

方法/步驟

• 1

  首先打開思科模擬器軟體，找出兩台2811類的路由器，3台交換機和4台電腦，讓它們有序的排列起來，如下圖所示：

  

『陸』 acl配置問題（銳捷三層交換機）

步驟一：創建vlan10、vlan20、vlan30

S5750#conf ----進入全局配置模式

S5750(config)#vlan 10 ----創建VLAN10

S5750(config-vlan)#exit ----退出VLAN配置模式

S5750(config)#vlan 20 ----創建VLAN20

S5750(config-vlan)#exit ----退出VLAN配置模式

S5750(config)#vlan 30 ----創建VLAN30

S5750(config-vlan)#exit ----退出VLAN配置模式
步驟二：將埠加入各自vlan

S5750(config)# interface range gigabitEthernet 0/1-5

----進入gigabitEthernet 0/1-5號埠

S5750(config-if-range)#switchport access vlan 10

----將埠加劃分進vlan10

S5750(config-if-range)#exit ----退出埠配置模式

S5750(config)# interface range gigabitEthernet 0/6-10

----進入gigabitEthernet 0/6-10號埠

S5750(config-if-range)#switchport access vlan 20

----將埠加劃分進vlan20

S5750(config-if-range)#exit ----退出埠配置模式

S5750(config)# interface range gigabitEthernet 0/11-15

----進入gigabitEthernet 0/11-15號埠

S5750(config-if-range)#switchport access vlan 30

----將埠加劃分進vlan30

S5750(config-if-range)#exit ----退出埠配置模式

步驟三：配置vlan10、vlan20、vlan30的網關IP地址

S5750(config)#interface vlan 10 ----創建vlan10的SVI介面

S5750(config-if)#ip address 192.168.10.1 255.255.255.0

----配置VLAN10的網關

S5750(config-if)#exit ----退出埠配置模式

S5750(config)#interface vlan 20 ----創建vlan10的SVI介面

S5750(config-if)#ip address 192.168.20.1 255.255.255.0

----配置VLAN10的網關

S5750(config-if)#exit ----退出埠配置模式

S5750(config)#interface vlan 30 ----創建vlan10的SVI介面

S5750(config-if)#ip address 192.168.30.1 255.255.255.0

----配置VLAN10的網關

S5750(config-if)#exit ----退出埠配置模式

步驟四：創建ACL，使vlan20能訪問vlan10，而vlan30不能訪問vlan10

S5750(config)#ip access-list extended deny30 ----定義擴展ACL

S5750(config-ext-nacl)#deny ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255

----拒絕vlan30的用戶訪問vlan10資源

S5750(config-ext-nacl)#permit ip any any

----允許vlan30的用戶訪問其他任何資源

S5750(config-ext-nacl)#exit ----退出擴展ACL配置模式

步驟五：將ACL應用到vlan30的SVI口in方向

S5750(config)#interface vlan 30 ----創建vlan30的SVI介面

S5750(config-if)#ip access-group deny30 in

----將擴展ACL應用到vlan30的SVI介面下

『柒』 怎樣配置路由器的ACL命名訪問控制列表

1.配置標准命名ACL：其中name就是要配置ACL名稱，一般使用英文字母及數字組成
步驟一：配置標准命名ACL
Router(config)# ip access-list standard name
步驟二：在命名的ACL配置模式下輸入相應的語句
Router(config-std-nacl)# deny | permit source-ip-addres wildcard-mask [log]
步驟三：將ACL列表應用到相應介面的相應方向
Router(config-if)# IP access-group acl-name {in|out}
2.配置擴展命名ACL:其中name就是要配置ACL名稱，一般使用英文字母及數字組成
步驟一：配置擴展命名ACL
Router(config)# ip access-list extended name
步驟二：在命名的ACL配置模式下輸入相應的語句
Router(config-ext-nacl)# deny | permit protocol | protocol-keyword source-ip wildcard-mask destination-ip wildcard-mask [operator operand][established]
步驟三：將ACL列表應用到相應介面的相應方向
Router(config-if)# IP access-group acl-name {in|out}

『捌』 思科Cisco路由器的ACL控制列表設置

1、首先在電腦上點擊打開Cisco軟體。准備兩個PC，一個server和三個路由器，並連接。

『玖』 求助 華為 交換機 ACL配置

可以參考下:

華為交換機常用命令：

1、display current-configuration 顯示當前配置

2、display interface GigabitEthernet 1/1/4 顯示介面信息

3、display packet-filter interface GigabitEthernet 1/1/4 顯示介面acl應用信息

4、display acl all 顯示所有acl設置 3900系列交換機

5、display acl config all 顯示所有acl設置 6500系列交換機

6、display arp 10.78.4.1 顯示該ip地址的mac地址，所接交換機的埠位置

7、display cpu顯示cpu信息

8、system-view 進入系統圖（配置交換機），等於config t 命令

9、acl number 5000 在system-view命令後使用，進入acl配置狀態

10、rule 0 deny 0806 ffff 24 0a4e0401 f 40 在上面的命令後使用，，acl 配置例子

11、rule 1 permit 0806 ffff 24 000fe218ded7 f 34 //在上面的命令後使用，acl配置例子

12、interface GigabitEthernet 1/0/9 //在system-view命令後使用，進入介面配置狀態

13、[86ZX-S6503-GigabitEthernet1/0/9]qos //在上面的命令後使用，進入介面qos配置

14、[86ZX-S6503-qosb-GigabitEthernet1/0/9]packet-filter inbound user-group 5000 //在上面的命令後使用

，在介面上應用進站的acl

15、[Build4-2_S3928TP-GigabitEthernet1/1/4]packet-filter outbound user-group 5001 //在介面上應用出站

的acl

16、undo acl number 5000 //取消acl number 5000 的設置

17、ip route-static 0.0.0.0 0.0.0.0 10.78.1.1 preference 60 //設置路由

18、reset counters interface Ethernet 1/0/14 //重置介面信息

19、save //保存設置

20、quit //退出