思科訪問列表

『壹』 思科配置路由器擴展訪問控制列表 acl

在路由右側的介面做ACL方向為OUT，限制UDP協議，源網路學員，目標網路老師，埠號用伺服器FTP埠號，默認是21，然後第二條寫permit
any
any
就可以了

『貳』 思科路由器ACL訪問控制列表問題

理解的有問題，acl列表掛在哪個介面其實無所謂，主要是in和out的區別在於一個能不能進路由器，一個能不能出路由器而已，你掛在e1介面用out，控制的是流量自左向右能不能出的問題，而流量自右向左是完全沒有影響的，根據你的語句來看，允許所有的源用www埠訪問172.16.4.13這個主機是你控制的內容，後面列表自動執行deny ip any any，那麼你的172.16.3.0不能ping 172.16.4.0很正常，因為執行規則是必須要完全匹配，不完全匹配會看列表的下一項，你允許的只是所有人訪問172.16.4.13並且還得是用www埠才可以，缺一不可，否則就會執行那條deny any any的表項了，所以你用3.0去ping 4.0其他的主機會不通就是因為這個

建議你這樣寫

access-list 101 per tcp any 172.16.4.13 0.0.0.0 eq www
access-list 101 deny ip any 172.16.4.13 0.0.0.0
access-list 101 per ip any any

這樣的話，只能用www去訪問172.16.4.13，其他方式都不可以，並且你要訪問其他的流量也會放行，最終強調，acl是必須完全匹配才會執行，執行後列表後面的表項一概忽略，但如果不匹配則會看列表的下一項

希望能幫到你

『叄』 思科的基本訪問控制列表和擴展訪問列表的區別：

1：permit
ip
192.168.18.0
0.0.0.3
any
這條acl，允許192.168.18.1－192.168.18.3這個地址段的的主機出去。包含了permit
tcp
host
192.168.18.3
any
eq
www這條acl，所以18.1
18.2
18.3
都可以訪問。
2：按從上到下執行的原則，
deny
tcp
any
any這條acl已經拒絕所有了，所以後邊的
permit
ip
192.168.18.0
0.0.0.3
any不會再執行，一般把deny
any
any放在最後。

『肆』 思科路由器訪問控制列表

log Log matches against this entry
log-input Log matches against this entry, including input interface

ACL的log參數和log-input參數區別

00:05:47:%SEC-6-IPACCESSLOGDP:list inputlog permitted icmp 10.1.1.10 -> 10.1.1.61 (0/0), 1

log-input生成的log ,包含介面信息和MAC地址

00:04:21:%SEC-6-IPACCESSLOGDP:list inputlog permitted icmp 10.1.1.10 (Vlan1 0001.42ef. a400) -> 10.1.1.61 (0/0), 1 packet

『伍』 思科訪問控制列表的配置！！！急！急！急！

你好，這個雙方都不能訪問時正常的，原因很簡單。你做的acl太大了，你做的是deny了整個IP協議其實你這個財務不能訪問人事的主要原因不是不能去，而是不能回
你想想172.16.20.0訪問172.16.10.0的時候，發過去的包源地址是20.0.；目的地址是10.0但是回來的時候源目會做調換，這個時候源地址就變成了10.0目的地址就變成了20.0這時候就又匹配了你的那個訪問控制列表的deny條目。所以你從財務到人事的數據包屬於又去無回。我不知道這樣說你能不能理解。
解決方法：你現在要不然限定人事到財務的特定協議比如說HTTP TELNET FTP等，但是這不是最好的方法，因為很難知道他們在訪問過程中都是用了什麼協議
所以我覺得最好的方式是你去做帶狀態的訪問控制列表，比如說自反訪問控制列表或是CBAC個人建議是做CBAC當然我現在不知道你的設備到底是不是cisco的。如果不是cisco的或是還有什麼不明白可以給我發郵件

『陸』 思科訪問控制列表的問題

1：permit ip 192.168.18.0 0.0.0.3 any 這條acl，允許192.168.18.1－192.168.18.3這個地址段的的主機出去。包含了permit tcp host 192.168.18.3 any eq www這條acl，所以18.1 18.2 18.3 都可以訪問。

2：按從上到下執行的原則， deny tcp any any這條acl已經拒絕所有了，所以後邊的 permit ip 192.168.18.0 0.0.0.3 any不會再執行，一般把deny any any放在最後。

『柒』 思科交換機訪問控制列表問題

?沒看懂，你這3台PC網關都完全不同，如何訪問？
要訪問必須在同一網關，你的網關如下：
主機0：網關1
主機2：網關3
主機1：網關2
純屬是路也不同，道也不同，完全互不幹涉

『捌』 思科Cisco路由器的ACL控制列表設置

1、首先在電腦上點擊打開Cisco軟體。准備兩個PC，一個server和三個路由器，並連接。

『玖』 Cisco 路由器上設置訪問控制列表

您好！當將ACL1應用於介面E0上的時候，可完成在介面E0上允許172.16.0.0這個B類網路的流量通過的功能，同時也允許了172.16.4.13這個IP流量通過，應選擇B。

理由：首先，permit代表允許通過，因此應選擇A或者B中的一個。然後考慮ACL的執行順序是從上往下執行，一個包只要遇到一條匹配的ACL語句後就會停止後續語句的執行,所以只能選擇B。

寫ACL時，一定要遵循最為精確匹配的ACL語句一定要寫在最前面的原則，只有這樣才能保證不會出現像本題中第二條這樣無用的ACL語句。

供參考。

『拾』 思科路由動態訪問控制列表配置

第一條是創建一個編號120的擴展ACL，拒絕所有主機遠程訪問192.168.202.1
第二條是創建一個動態ACL 超時時間是120秒，允許所有
第三條是進入s0/0口
第四條是，在S0/0口入向調用ACL120，即對所有從這一介面進入路由器的流量進行過濾
第五條是在此介面封裝PPP，就是封裝點到點協議
第六條是開啟認證和記賬功能
第七條是將認證密鑰的值設為 aaa
第八條是退回上一層
第九條是進入vty設置，即設置遠程訪問
第十條是說明遠程登錄的時候通過RADIUS來認證，認證通過則允許
第十一條是動態ACL的一條命令，就是通過認證之後執行什麼動作
全部下來就是所有主機想直接telnet 192.168.202.1時，流量經過路由器A的S0/0口進入時，就直接被過濾掉。但是如果先遠程登錄一下路由器A，並且通過驗證（即輸入密碼aaa）之後，路由器A就會允許這台設備telnet訪問192.168.202.1，持續時間120秒。
全手打，完全自己的理解，望採納。