路由器上acl怎么配置

1. cisco路由器如何配置标准访问控制列表 ACL

标准ACL配置

提问：如何只允许端口下的用户只能访问特定的服务器网段？

回答：

步骤一：定义ACL

S5750#conf t ----进入全局配置模式

S5750(config)#ip access-list standard 1 ----定义标准ACL

S5750(config-std-nacl)#permit 192.168.1.0 0.0.0.255

----允许访问服务器资源

S5750(config-std-nacl)#deny any ----拒绝访问其他任何资源

S5750(config-std-nacl)#exit ----退出标准ACL配置模式

步骤二：将ACL应用到接口上

S5750(config)#interface GigabitEthernet 0/1 ----进入所需应用的端口

S5750(config-if)#ip access-group 1 in ----将标准ACL应用到端口in方向

注释：

1. S1900系列、S20系列交换机不支持基于硬件的ACL。

2. 实际配置时需注意，在交换机每个ACL末尾都隐含着一条“拒绝所有数据流”的语句。

3. 以上所有配置，均以锐捷网络S5750-24GT/12SFP 软件版本10.2（2）为例。

其他说明，其详见各产品的配置手册《访问控制列表配置》一节。

2. 怎样配置路由器的ACL命名访问控制列表

1.配置标准命名ACL：其中name就是要配置ACL名称，一般使用英文字母及数字组成
步骤一：配置标准命名ACL
Router(config)# ip access-list standard name
步骤二：在命名的ACL配置模式下输入相应的语句
Router(config-std-nacl)# deny | permit source-ip-addres wildcard-mask [log]
步骤三：将ACL列表应用到相应接口的相应方向
Router(config-if)# IP access-group acl-name {in|out}
2.配置扩展命名ACL:其中name就是要配置ACL名称，一般使用英文字母及数字组成
步骤一：配置扩展命名ACL
Router(config)# ip access-list extended name
步骤二：在命名的ACL配置模式下输入相应的语句
Router(config-ext-nacl)# deny | permit protocol | protocol-keyword source-ip wildcard-mask destination-ip wildcard-mask [operator operand][established]
步骤三：将ACL列表应用到相应接口的相应方向
Router(config-if)# IP access-group acl-name {in|out}

3. 思科Cisco路由器的ACL控制列表设置

1、根据问题1，需在在switch3上做acl，其PC3不能访问服务器192.168.3.3，命令如下：

switch3(config)#access-list 100 deny host 192.168.4.4 host 192.168.3.3 //拒绝网络192.168.4.4访问服务器192.168.3.3。

switch3(config)#access-list 100 peimit ip any any //允许其他主机访问。

switch3(config) #interface f0/5

switch3(config-if) #ip access-group 100 in //在路由器f0/5接口入方向下调用此ACL 100。

2、根据问题2，PC0、PC1、PC2之间访问关系，如下命令：

switch3(config) #access-list 101 deny host 192.168.1.2 host 202.135.147.33 //PC0禁止访问外网

switch3(config) #access-list 101 peimit host 192.168.1.2 host 192.168.2.2 //PC0允许访问PC2

switch3(config) #access-list 101 peimit host 192.168.1.3 host 192.168.2.2 //PC1允许访问PC2

switch3(config) #access-list 102 deny 192.168.2.2 0.0.0.0.0 192.168.1.0 0.0.0.255 //PC2禁止访问192.168.1.0网段

switch3(config) #interface f0/2

switch3(config-if) #ip access-group 101 in

switch3(config) #interface f0/3

switch3(config-if) #ip access-group 102 in //分别在switch3上调用acl 101和102。

3、根据问题3，acl分为标准acl和扩展acl，其标准acl访问控制列表号为1-99，扩展acl访问控制列表号为100-199，每条acl下又能创建多条规则，但一个接口下只能调用一条acl。

4、根据问题4，其192.168.1.0 0.0.0.255匹配的是192.168.1.0/24，表示的是192.168.1.0~192.168.1.255地址范围，命令为：

switch3(config) #access-list 103 peimit ip 192.168.0.0 0.0.255.255 any //允许192.168.0.0/16地址访问任何网络。

(3)路由器上acl怎么配置扩展阅读：

ACL可以应用于多种场合，其中最为常见的应用情形如下：

1、过滤邻居设备间传递的路由信息。

2、控制交换访问，以此阻止非法访问设备的行为，如对 Console接口、 Telnet或SSH访问实施控制。

3、控制穿越网络设备的流量和网络访问。

4、通过限制对路由器上某些服务的访问来保护路由器，如HTP、SNMP和NIP等。

5、为DDR和 IPSeC VPN定义感兴趣流。

6、能够以多种方式在IOS中实现QoS(服务质量)特性。

7、在其他安全技术中的扩展应用，如TCP拦截和IOS防火墙。

4. 路由器IP访问列表怎么设置

IP Access-list：IP访问列表或访问控制列表，简称IP ACL
ACL就是对经过网络设备的数据包根据一定的规则进行数据包的过滤
访问控制列表的作用
内网布署安全策略，保证内网安全权限的资源访问

内网访问外网时，进行安全的数据过滤

防止常见病毒、木马、攻击对用户的破坏
ACL一般配置步骤
1、定义规则（哪些数据允许通过，哪些数据不允许通过）；
2、将规则应用在路由器（或三层交换机）的接口上。

两种类型：
标准ACL（standard IP ACL）
扩展ACL （extended IP ACL）
IP标准访问列表的配置
1、定义标准ACL
编号的标准访问列表（路由器和三层交换机支持）Router(config)#access-list <1-99> {permit|deny} 源地址 [反掩码]
命名的标准访问列表（路由器、三层交换机和二层交换机支持）

2、应用ACL到接口
Router(config-if)#ip access-group <1-99> { in | out }
3、命名的标准访问列表（路由器、三层交换机）
switch(config)# ip access-list standard < name >
switch(config-std-nacl)#{permit|deny} 源地址 [反掩码]
switch(config-if)#ip access-group name { in | out }
IP扩展访问列表的配置
1.定义扩展的ACL：
编号的扩展ACL （路由器和三层交换机支持）
Router(config)#access-list <100-199> { permit /deny }
协议 源地址 反掩码 [源端口] 目的地址 反掩码 [ 目的端口 ]
命名的扩展ACL （路由器、三层交换机和二层交换机支持）
switch(config)# ip access-list extended {name}
switch(config)#{ permit /deny } 协议 源地址 反掩码 [源端口] 目的地址 反掩码 [ 目的端口 ]
2.应用ACL到接口：
Router(config-if)#ip access-group <100-199> { in | out }
switch(config-if)#ip access-group name { in | out }
基于时间的访问控制列表
通过基于时间的定时访问控制列表，定义在什么时间允许或拒绝数据包。
只不过在配置ACL之前定义一个时间范围。然后再通过引用这个时间范围来对网络中的流量进行科学合理的限制。
对于不同的时间段实施不同的访问控制规则
在原有ACL的基础上应用时间段
任何类型的ACL都可以应用时间段
基于时间的列表的配置
校正路由器时钟
在全局模式
Clock set hh:mm:ss date month year 设置路由器的当前时间
Clock up_calender 保存设置
配置时间段
时间段
绝对时间段（absolute）
周期时间段（periodic）
混合时间段：先绝对，后周期
Router(config)# time-range time-range-name 给时间段取名，配置ACL时通过名字引用
配置绝对时间
Router(config-time-range)# absolute { start time date [ end time date ] | end time date }
start time date：表示时间段的起始时间。time表示时间，格式为“hh:mm”。date表示日期，格式为“日 月 年”
end time date：表示时间段的结束时间，格式与起始时间相同
示例：absolute start 08:00 1 Jan 2007 end 10:00 1 Feb 2008
配置周期时间
Router(config-time-range)# periodic day-of-the-week hh:mm to [ day-of-the-week ] hh:mm
periodic { weekdays | weekend | daily } hh:mm to hh:mm
取值 说明
Monday 星期一
Tuesday 星期二
Wednesday 星期三
Thursday 星期四
Friday 星期五
Saturday 星期六
Sunday 星期日
Daily 每天
Weekdays 平时（星期一至五）
Weekend 周末（星期六至日）

示例：periodic weekdays 09:00 to 18:00
3、关联ACL与时间段，应用时间段
在ACL规则中使用time-range参数引用时间段
只有配置了time-range的规则才会在指定的时间段内生效，其它未引用时间段的规则将不受影响
access-list 101 permit ip any any time-range time-range-name

验证访问列表和time-range接口配置
Router# show access-lists ！显示所有访问列表配置
Router#show time-range ! 显示time-range接口配置

注：1、一个访问列表多条过滤规则
按规则来进行匹配。
规则匹配原则：
从头到尾，至顶向下的匹配方式
匹配成功，则马上使用该规则的“允许/拒绝……”
一切未被允许的就是禁止的。定义访问控制列表规则时，最终的缺省规则是拒绝所有数据包通过，即deny any any
显示全部的访问列表
Router#show access-lists
显示指定的访问列表
Router#show access-lists <1-199>
显示接口的访问列表应用
Router#show ip interface 接口名称 接口编号
一个端口在一个方向上只能应用一组ACL。

锐捷全系列交换机可针对物理接口和SVI接口应用ACL。
针对物理接口，只能配置入栈应用(In)；
针对SVI（虚拟VLAN）接口，可以配置入栈（In）和出栈（Out）应用。

访问列表的缺省规则是：拒绝所有。
对于标准ACL，应尽量将ACL设置在离目标网络最近的接口，以尽可能扩大源网络的访问范围。
对于扩展ACL，应尽量将ACL设置在离源网络最近的接口，以尽可能减少网络中的无效数据流。

5. 计算机网络路由器ACL配置

这个问题可以用扩展ACL完成。
假如vlan 10的IP地址为：192.168.10.0/24；
vlan 20的IP地址为：192.168.20.0/24；
vlan 30的IP地址为：192.168.30.0/24；
PC6的IP地址为6.6.6.6/24；
Server0的学地址为1.1.1.1/24；

定义扩展ACL：
access 100 permit ip host 6.6.6.6 any //让PC6访问vlan
access 100 permit ip host 1.1.1.1 any //让server访问vlan，题目没说，此行也可省略
//最后默认拒绝其余所有流量
然后将ACL 100分别应用在R0内网接口的每个子接口上，直接应用在物理接口上是没有用的。这样就可实现Vlan间不能互相访问，但PC6(和Server)可以访问VLAN了。

再定义一个扩展ACL：
access 111 deny ip 192.168.10.0 0.0.0.255 any //vlan不能访问外网
/*******
这里的any也可写成host 6.6.6.6、host 1.1.1.1，分两行写，你懂的。
写成host形式，vlan只是不能访问PC和Server，其他的还是可以访问的。
********/
access 111 deny ip 192.168.20.0 0.0.0.255 any
access 111 deny ip 192.168.30.0 0.0.0.255 any
access 111 permit ip any any
然后将ACL 111应用在R0的Wan接口就行了。

关于PC6和Server之间通信，没有说，可以什么都不配置。

6. 华为AR路由在防火墙策略中如何配置高级ACL实现访问控制

1、打开华为AR路由器的系统设置。
2、选择恢复在防火墙策略状态。
3、在系统预装时，可以删除路由器中的其他文件，继续选择配置高级ACL实现访问控制。