思科訪問控制列表配置

A. Cisco 1841 設置ACL 訪問控制列表

你好，
同意一樓所說的，一個介面一個方向針對一個協議只能綁定一個ACL。
此外，就算一個介面在一個方向可以配兩個ACL，路由器是從上往下讀的，你的ACL133最後一句是"permit ip any any"，那麼ACL134的限制自然也沒用了！

結合你的需求，寫了一個樣例，希望對你有所參考
2801a#config t
Enter configuration commands, one per line. End with CNTL/Z.

2801a(config)#ip access-list extended Acl_In
//建立訪問控制列表，命名為"Acl_In"，這里"In"是指針對路由器的內網介面fa0/1口數據流方向是「入」，這樣命名僅為了方便記憶
2801a(config-ext-nacl)#permit ip host 192.168.0.8 host 10.10.10.10
2801a(config-ext-nacl)#permit ip host 192.168.0.8 218.199.40.0 0.0.0.255
2801a(config-ext-nacl)#permit ip host 192.168.0.8 202.96.170.0 0.0.0.255
2801a(config-ext-nacl)#permit ip host 192.168.0.8 202.96.140.0 0.0.0.255
2801a(config-ext-nacl)#permit ip host 192.168.0.8 219.133.0.0 0.0.255.255
2801a(config-ext-nacl)#permit ip host 192.168.0.8 61.144.238.0 0.0.0.255
2801a(config-ext-nacl)#permit ip host 192.168.0.8 202.104.129.0 0.0.0.255
2801a(config-ext-nacl)#permit ip host 192.168.0.8 61.141.0.0 0.0.255.255
2801a(config-ext-nacl)#deny ip host 192.168.0.8 any
2801a(config-ext-nacl)#permit ip host 192.168.1.22 host 10.10.10.10
2801a(config-ext-nacl)#permit ip host 192.168.1.22 218.199.40.0 0.0.0.255
2801a(config-ext-nacl)#permit ip host 192.168.1.22 202.96.170.0 0.0.0.255
2801a(config-ext-nacl)#permit ip host 192.168.1.22 202.96.140.0 0.0.0.255
2801a(config-ext-nacl)#permit ip host 192.168.1.22 219.133.0.0 0.0.255.255
2801a(config-ext-nacl)#permit ip host 192.168.1.22 61.144.238.0 0.0.0.255
2801a(config-ext-nacl)#permit ip host 192.168.1.22 202.104.129.0 0.0.0.255
2801a(config-ext-nacl)#permit ip host 192.168.1.22 61.141.0.0 0.0.255.255
2801a(config-ext-nacl)#deny ip host 192.168.1.22 any
2801a(config-ext-nacl)#permit ip any any
2801a(config-ext-nacl)#exit
2801a(config)#int fa0/1
2801a(config-if)#ip access-group Acl_In in //埠應用ACL，注意方向是"in"，因為這個口是連接你內網的，你限制的數據流是從內網發到路由器的
2801a(config-if)#
2801a#show run （查看配置，以下只列出了相關配置）
Building configuration...
（省略無關內容）
!
interface FastEthernet0/1
ip address X.X.X.X X.X.X.X
ip access-group Acl_In in
plex auto
speed auto
!
ip access-list extended Acl_In
permit ip host 192.168.0.8 host 10.10.10.10
permit ip host 192.168.0.8 218.199.40.0 0.0.0.255
permit ip host 192.168.0.8 202.96.170.0 0.0.0.255
permit ip host 192.168.0.8 202.96.140.0 0.0.0.255
permit ip host 192.168.0.8 219.133.0.0 0.0.255.255
permit ip host 192.168.0.8 61.144.238.0 0.0.0.255
permit ip host 192.168.0.8 202.104.129.0 0.0.0.255
permit ip host 192.168.0.8 61.141.0.0 0.0.255.255
deny ip host 192.168.0.8 any
permit ip host 192.168.1.22 host 10.10.10.10
permit ip host 192.168.1.22 218.199.40.0 0.0.0.255
permit ip host 192.168.1.22 202.96.170.0 0.0.0.255
permit ip host 192.168.1.22 202.96.140.0 0.0.0.255
permit ip host 192.168.1.22 219.133.0.0 0.0.255.255
permit ip host 192.168.1.22 61.144.238.0 0.0.0.255
permit ip host 192.168.1.22 202.104.129.0 0.0.0.255
permit ip host 192.168.1.22 61.141.0.0 0.0.255.255
deny ip host 192.168.1.22 any
permit ip any any
!
end

以上，供參考。有問題，M我一起探討。

B. 在思科三層交換機上怎麽用訪問控制列表限制一個VLAN訪問另一個VLAN

操作如下：

訪問控制要求vlan10和 vlan20之間不能訪問，但都能訪問vlan30

通過vlan之間的acl方式實現：

1、配置VLAN。

Switch(config)# vlan 10 // 創建vlan 10

Switch(config-vlan)# vlan 20

Switch(config-vlan)# vlan 30

Switch(config-vlan)# int vlan 10

Switch(config-if)# ip address 192.168.10.1 255.255.255.0 // 配置vlan10虛埠IP

Switch(config-if)# int vlan 20

Switch(config-if)# ip address 192.168.20.1 255.255.255.0

Switch(config-if)# int vlan 30

Switch(config-if)# ip address 192.168.30.1 255.255.255.0

2、配置ACL 。

Switch(config)# access-list 101 permit ip 192.168.10.0

Switch(config)# access-list 102 permit ip 192.168.20.0

3、應用ACL至VLAN埠。

Switch(config)# int vlan 10

Switch(config-if)# ip access-group 101 in

Switch(config)# int vlan 20

Switch(config-if)# ip access-group 102 in

C. 思科路由器ACL訪問控制列表問題

理解的有問題，acl列表掛在哪個介面其實無所謂，主要是in和out的區別在於一個能不能進路由器，一個能不能出路由器而已，你掛在e1介面用out，控制的是流量自左向右能不能出的問題，而流量自右向左是完全沒有影響的，根據你的語句來看，允許所有的源用www埠訪問172.16.4.13這個主機是你控制的內容，後面列表自動執行deny ip any any，那麼你的172.16.3.0不能ping 172.16.4.0很正常，因為執行規則是必須要完全匹配，不完全匹配會看列表的下一項，你允許的只是所有人訪問172.16.4.13並且還得是用www埠才可以，缺一不可，否則就會執行那條deny any any的表項了，所以你用3.0去ping 4.0其他的主機會不通就是因為這個

建議你這樣寫

access-list 101 per tcp any 172.16.4.13 0.0.0.0 eq www
access-list 101 deny ip any 172.16.4.13 0.0.0.0
access-list 101 per ip any any

這樣的話，只能用www去訪問172.16.4.13，其他方式都不可以，並且你要訪問其他的流量也會放行，最終強調，acl是必須完全匹配才會執行，執行後列表後面的表項一概忽略，但如果不匹配則會看列表的下一項

希望能幫到你

D. cisco路由器如何配置標准訪問控制列表 ACL

標准ACL配置

提問：如何只允許埠下的用戶只能訪問特定的伺服器網段？

回答：

步驟一：定義ACL

S5750#conf t ----進入全局配置模式

S5750(config)#ip access-list standard 1 ----定義標准ACL

S5750(config-std-nacl)#permit 192.168.1.0 0.0.0.255

----允許訪問伺服器資源

S5750(config-std-nacl)#deny any ----拒絕訪問其他任何資源

S5750(config-std-nacl)#exit ----退出標准ACL配置模式

步驟二：將ACL應用到介面上

S5750(config)#interface GigabitEthernet 0/1 ----進入所需應用的埠

S5750(config-if)#ip access-group 1 in ----將標准ACL應用到埠in方向

注釋：

1. S1900系列、S20系列交換機不支持基於硬體的ACL。

2. 實際配置時需注意，在交換機每個ACL末尾都隱含著一條「拒絕所有數據流」的語句。

3. 以上所有配置，均以銳捷網路S5750-24GT/12SFP 軟體版本10.2（2）為例。

其他說明，其詳見各產品的配置手冊《訪問控制列表配置》一節。

E. 思科ACL訪問控制列表設置。

你方向搞反了
SW1的配置一般是阻止VLAN10對any的訪問
而阻止VLAN20訪問any應該在SW2上deny

sw1 //阻止VLAN10對20的訪問，但是不能阻止20對10的訪問。如果需要雙向阻止，要在兩邊都deny本地的網段
access-list 10 deny 192.168.10.0 0.0.0.255
access-list 10 permit any

interface Vlan10
ip access-group 10 in

F. 如何配置Cisco路由器ACL訪問控制列的實際案例

第一階段實驗：配置實驗環境，網路能正常通信
R1的配置：

復制代碼
代碼如下:
R1>en
R1#conf t
R1（config）#int f0/0
R1（config-if）#ip addr 10.0.0.1 255.255.255.252R1（config-if）#no shut
R1（config-if）#int loopback 0
R1（config-if）#ip addr 123.0.1.1 255.255.255.0R1（config-if）#int loopback 1
R1（config-if）#ip addr 1.1.1.1 255.255.255.255R1（config-if）#exit
R1（config）#ip route 192.168.0.0 255.255.0.0 10.0.0.2R1（config）#username benet password testR1（config）#line vty 0 4
R1（config-line）#login local

SW1的配置：

復制代碼
代碼如下:
SW1>en
SW1#vlan data
SW1（vlan）#vlan 2
SW1（vlan）#vlan 3
SW1（vlan）#vlan 4
SW1（vlan）#vlan 100
SW1（vlan）#exit
SW1#conf t
SW1（config）#int f0/1
SW1（config-if）#no switchport
SW1（config-if）#ip addr 10.0.0.2 255.255.255.252SW1（config-if）#no shut
SW1（config-if）#exit
SW1（config）#ip route 0.0.0.0 0.0.0.0 10.0.0.1SW1（config）#int range f0/14 - 15
SW1（config-if-range）#switchport trunk encapsulation dot1qSW1（config-if-range）#switchport mode trunkSW1（config-if-range）#no shut
SW1（config-if-range）#exit
SW1（config）#int vlan 2
SW1（config-if）#ip addr 192.168.2.1 255.255.255.0SW1（config-if）#no shut
SW1（config-if）#int vlan 3
SW1（config-if）#ip addr 192.168.3.1 255.255.255.0SW1（config-if）#no shut
SW1（config-if）#int vlan 4
SW1（config-if）#ip addr 192.168.4.1 255.255.255.0SW1（config-if）#no shut
SW1（config-if）#int vlan 100
SW1（config-if）#ip addr 192.168.100.1 255.255.255.0SW1（config-if）#no shut
SW1（config-if）#exit
SW1（config）#ip routing
SW1（config）#int vlan 1
SW1（config-if）#ip addr 192.168.0.1 255.255.255.0SW1（config-if）#no shut
SW1（config-if）#exit
SW1（config）#username benet password testSW1（config）#line vty 0 4

SW1（config-line）#login local

SW2的配置：

復制代碼
代碼如下:
SW2>en
SW2#vlan data
SW2（vlan）#vlan 2
SW2（vlan）#vlan 3
SW2（vlan）#vlan 4
SW2（vlan）#exit
SW2#conf t
SW2（config）#int f0/15
SW2（config-if）#switchport mode trunk
SW2（config-if）#no shut
SW2（config-if）#exit
SW2（config）#int f0/1
SW2（config-if）#switchport mode access
SW2（config-if）#switchport access vlan 2SW2（config-if）#no shut
SW2（config-if）#int f0/2
SW2（config-if）#switchport mode access
SW2（config-if）#switchport access vlan 3SW2（config-if）#no shut
SW2（config-if）#int f0/3
SW2（config-if）#switchport mode access
SW2（config-if）#switchport access vlan 4SW2（config-if）#no shut
SW2（config-if）#int vlan 1
SW2（config-if）#ip addr 192.168.0.2 255.255.255.0SW2（config-if）#no shut
SW2（config-if）#exit
SW2（config）#ip default-gateway 192.168.0.1SW2（config）#no ip routing
SW2（config）#username benet password testSW2（config）#line vty 0 4
SW2（config-line）#login local

SW3的配置：

復制代碼
代碼如下:
SW3>en
SW3#vlan data
SW3（vlan）#vlan 100
SW3（vlan）#exit
SW3#conf t
SW3（config）#int f0/15
SW3（config-if）#switchport mode trunk
SW3（config-if）#no shut
SW3（config-if）#int f0/1
SW3（config-if）#switchport mode access
SW3（config-if）#switchport access vlan 100SW3（config-if）#no shut
SW3（config-if）#int vlan 1
SW3（config-if）#ip addr 192.168.0.3 255.255.255.0SW3（config-if）#no shut
SW3（config-if）#exit
SW3（config）#ip default-gateway 192.168.0.1SW3（config）#no ip routing
SW3（config）#username benet password testSW3（config）#line vty 0 4
SW3（config-line）#login local

網路管理區主機PC1（這里用路由器模擬）

復制代碼
代碼如下:
R5>en
R5#conf t
R5（config）#int f0/0
R5（config-if）#ip addr 192.168.2.2 255.255.255.0R5（config-if）#no shut
R5（config-if）#exit
R5（config）#ip route 0.0.0.0 0.0.0.0 192.168.2.1

財務部主機PC2配置IP:
IP地址：192.168.3.2 網關：192.168.3.1
信息安全員主機PC3配置IP:
IP地址：192.168.4.2 網關：192.168.4.1
伺服器主機配置IP:
IP地址：192.168.100.2 網關：192.168.100.1第一階段實驗驗證測試：
所有部門之間的主機均能互相通信並能訪問伺服器和外網（測試方法：用PING命令）
在所有主機上均能遠程管理路由器和所有交換機。（在PC主機上用telnet命令）
第二階段實驗：配置ACL實現公司要求
1、只有網路管理區的主機才能遠程管理路由器和交換機R1的配置：

復制代碼
代碼如下:
R1#conf t
R1（config）#access-list 1 permit 192.168.2.0 0.0.0.255R1（config）#line vty 0 4
R1（config-line）#access-class 1 in

SW1的配置

復制代碼
代碼如下:
SW1#conf t
SW1（config）#access-list 1 permit 192.168.2.0 0.0.0.255SW1（config）#line vty 0 4
SW1（config-line）#access-class 1 in

SW2的配置

復制代碼
代碼如下:
SW2#conf t
SW2（config）#access-list 1 permit 192.168.2.0 0.0.0.255SW2（config）#line vty 0 4
SW2（config-line）#access-class 1 in

SW3的配置

復制代碼
代碼如下:
SW3#conf t
SW3（config）#access-list 1 permit 192.168.2.0 0.0.0.255SW3（config）#line vty 0 4
SW3（config-line）#access-class 1 in

驗證：在PC1可以遠程TELNET管理路由器和交換機，但在其他主機則被拒絕telnet
2、內網主機都可以訪問伺服器，但是只有網路管理員才能通過telnet、ssh和遠程桌面登錄伺服器，外網只能訪問伺服器80埠。
在SW1三層交換機上配置擴展ACL
3、192.168.3.0/24網段主機可以訪問伺服器，可以訪問網路管理員網段，但不能訪問其他部門網段，也不能訪問外網。
在SW1三層交換機上配置擴展ACL
4、192.168.4.0/24網段主機可以訪問伺服器，可以訪問管理員網段，但不能訪問其他部門網段，可以訪問外網。
在SW1三層交換機上配置擴展ACL
以上就是通過實際案例來告訴大家如何配置Cisco路由器ACL訪問控制列

G. 思科路由器基礎配置命令

思科路由器基礎配置命令
一、

1.router(config)#router rip 啟動rip進程

2.router(conifg-router)#network 172.17.0.0指定rip協議的主網路

3.router(config-router)#passive-interface f0/1把f0/1配置成passive埠

4.router(config-router)#neighbor 172.17.12.67 以單波方式通告rip更新給路由器

5.router(config-if)#ip address 192.168.83.244 255.255.255.0 主ip地址

router(config-if)#ip address 10.33.55.1 255.255.255.0 secondary輔助ip地址

二、

1.router(config-router)#version 2將rip配置成版本2

2.router(config-ip)#ip rip send version 1隻發rip 1數據包

router(config-ip)#ip rip receive version 2隻接收rip 2數據包

3.router(config-router)#no auto-summary 關閉匯總功能

4.router(config-if)#no ip split-horizon關閉水平分割

5.router#show ip ospf database router 192.168.30.10顯示路由器LSA通告

router#show ip ospf database network 192.168.17.18顯示網路LSA通告

router#show ip ospf database summary 172.16.121.0顯示網路匯總LSA通告

router#show ip ospf database asbr-summary顯示ASBR匯總LSA通告

router#show ip ospf database external 10.83.10.0顯示自主系統外部LSA通告

router#show ip ospf database nssa-external顯示NSSA外部LSA通告

三、

1.router(config)#router ospf 10配置ospf進程id

2.router(config)#interface loopback0

router(config-if)#ip address 192.168.10.1 255.255.255.0配置loopback0介面

3.router(config-router)#area 1 stub 配置stub區域

4.router(config-router)#area 1 stub no-summary配置totally stubby區域

5.router(config-router)#area 1 nssa配置nssa區域

6.router(config-router)#area 25 range 172.16.0.0 255.240.0.0 配置地址匯總

7.router(config-router)#area 100 virtual-link 192.168.100.33 配置虛鏈路

四、

1.router(config)#standby 172 ip 172.16.10.254加入備份組172 指定虛擬IP 地址

2.router(config-if)#standby 47 priority 150配置HSRP的優先順序150

3.router(config-if)#standby 47 preempt 配置HSRP的佔先權

4.router(config-if)#standby 47 ip time 2 9 2表示HELLO時間，9表示保持時間

5.router(config)#interface s0

6.router(config-if)#standby 47 track s0 100配置跟蹤埠s0並在埠down時減少100

7.router#show standby brief 查看HSRP的狀態

8.router#no debuge all關閉調試功能

五、

1.router(config-if)#ip access-group 1 in 訪問列表的入

router(config-if)#ip access-group 1 out訪問列表的出

2.router(config)#access-list 1 premit 192.168.10.0 0.0.0.255 允許192.168.10.0的網段通過

router(config)#access-list 1 deny 192.168.10.0 2.0.0.255 拒絕192.168.10.2的主機通過

3.router(config)#access-list 1 premit any ;any表示0.0.0.0 255.255.255.255

router(config)#access-list 1 premit host 172.30.16.29 ;host表示0.0.0.0

4.router(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21拒絕來自172.16.4.0去往172.16.3.0的FTP流量

5.router(config)#ip access-list extended cisco創建名為cisco的命名訪問控制列表

六、靜態地址轉換

1.配置外部埠的IP地址

Router(config)#interface s0

Router(config-if)#ip address 61.159.62.129 255.255.255.248

2.配置內部埠的IP地址

Router(config)#interface e0

Router(config-if)#ip address 192.168.100.1 255.255.255.0

3.靜態地址轉換

Router(config)#ip nat inside source static 192.168.100.2 61.159.62.130

4.在內部和外部埠上啟用NAT

Router(config)#interafce s0

Router(config-if)#ip nat outside

Router(config)#interafce e0

Router(config-if)#ip nat inside

七、動態NAT配置

1.配置外部埠的IP地址

Router(config)#interface s0

Router(config-if)#ip address 61.159.62.129 255.255.255.248

2.配置內部埠的IP地址

Router(config)#interface e0

Router(config-if)#ip address 192.168.100.1 255.255.255.0

3.定義內部網路允許訪問外部網路

Router(config)#access-list 1 permit 192.168.100.0 0.0.0.255

4.定義合法的IP地址池

Router(config)#ip nat pool chen 61.159.62.129 61.159.62.190 netmask 255.255.255.248

5.實現網路地址轉換

Router(config)#ip nat inside source list 1 pool chen

6.在內部和外部埠上啟用NAT

Router(config)#interafce s0

Router(config-if)#ip nat outside

Router(config)#interafce e0

Router(config-if)#ip nat inside

八、PAT的配置

1.配置外部埠的IP地址

Router(config)#interface s0

Router(config-if)#ip address 61.159.62.129 255.255.255.248

2.配置內部埠的IP地址

Router(config)#interface e0

Router(config-if)#ip address 192.168.100.1 255.255.255.0

3.定義內部網路允許訪問外部網路

Router(config)#access-list 1 permit 192.168.100.0 0.0.0.255

4.定義合法的IP地址池

Router(config)#ip nat pool chen 61.159.62.129 61.159.62.190 netmask 255.255.255.248

5.實現復用IP地址轉換

Router(config)#ip nat inside source list 1 pool chen overload

6.在內部和外部埠上啟用NAT

Router(config)#interafce s0

Router(config-if)#ip nat outside

Router(config)#interafce e0

Router(config-if)#ip nat inside

H. 思科模擬中ACL怎麼配置

訪問控制列表簡稱為ACL,訪問控制列表使用包過濾技術，在路由器上讀取第三層及第四層包頭中的信息如源地址，目的地址，源埠，目的埠等，根據預先定 義好的規則對包進行過濾，從而達到訪問控制的目的。該技術初期僅在路由器上支持，近些年來已經擴展到三層交換機，部分最新的二層交換機也開始提供ACL的 支持了。
訪問控制列表的原理：
1、對路由器介面來說有兩個方向：
入：已經到達路由器介面的數據包，但是還沒有被路由器處理。
出：已經 經過路由器的處理，正要離開路由器介面的數據包
2、匹配順序為："自上而下，依次匹配"。默認為拒絕
3、訪問控制列表的類型：
標准訪問控制列表：一般應用在out出站介面。建議配置在離目標端最近的路由上
擴展訪問控制列表：配置在離源端最近的路由上，一般應用在入站in方向
命名訪問控制列表：允許在標准和擴展訪問列表中使用名稱代替表號
4、訪問控制列表使用原則
（1）、最小特權原則
只給受控對象完成任務所必須的最小的許可權。也就是說被控制的總規則是各個規則的交集，只滿足部分條件的是不容許通過規則的。
（2）、默認丟棄原則
在CISCO路由交換設備中默認最後一句為ACL中加入了DENY ANY ANY,也就是丟棄所有不符合條件的數據包。這一點要特別注意，雖然我們可以修改這個默認，但未改前一定要引起重視。
（3）、最靠近受控對象原則
所有的網路層訪問許可權控制。也就是說在檢查規則時是採用自上而下在ACL中一條條檢測的，只要發現符合條件了就立刻轉發，而不繼續檢測下面的ACL語句。
由於ACL是使用包過濾技術來實現的，過濾的依據又僅僅只是第三層和第四層包頭中的部分信息，這種技術具有一些固有的局限性，如無法識別到具體的人，無法 識別到應用內部的許可權級別等。因此，要達到端到端的許可權控制目的，需要和系統級及應用級的訪問許可權控制結合使用。

I. 誰能介紹cisco三層交換機中的訪問控制列表的配置命令

access-list 100 deny ip 192.168.13.0 0.0.0.255 192.168.14.0 0.0.0.255

access-list 100 deny icmp 192.168.13.0 0.0.0.255 192.168.15.0 0.0.0.255

access-list 100 permit ip any any

interface Vlan13

ip address 192.168.13.1 255.255.255.0

ip access-group 100 out

以上配置是禁止192.168.13.0網段訪問192.168.14.0網段，禁止192.168.13.0網段ping192.168.15.0網段，其它網段之間可以互訪。
你可以參照一下

J. CISCO交換機ACL配置方法

CISCO交換機ACL配置方法如下：
標准訪問列表配置實例：
R1(config)#access-list 10 deny 192.168.2.0 0.0.0.255
R1(config)#access-list 10 permit any
R1(config)#int fa0/0.1
R1(config-subif)#ip access-group 10 out
標准訪問列表
訪問控制列表ACL分很多種，不同場合應用不同種類的ACL。其中最簡單的就是標准訪問控制列表，標准訪問控制列表是通過使用IP包中的源IP地址進行過濾，使用訪問控制列表號1到99來創建相應的ACL。

它的具體格式：
access-list access-list-number [permit | deny ] [sourceaddress][wildcard-mask]
access-list-number 為1-99 或者 1300-1999之間的數字，這個是訪問列表號。
訪問控制列表簡稱為ACL，訪問控制列表使用包過濾技術，在路由器上讀取第三層及第四層包頭中的信息如源地址，目的地址，源埠，目的埠等，根據預先定義好的規則對包進行過濾，從而達到訪問控制的目的。該技術初期僅在路由器上支持，近些年來已經擴展到三層交換機，部分最新的二層交換機也開始提供ACL的支持了。