思科访问列表

‘壹’ 思科配置路由器扩展访问控制列表 acl

在路由右侧的接口做ACL方向为OUT，限制UDP协议，源网络学员，目标网络老师，端口号用服务器FTP端口号，默认是21，然后第二条写permit
any
any
就可以了

‘贰’ 思科路由器ACL访问控制列表问题

理解的有问题，acl列表挂在哪个接口其实无所谓，主要是in和out的区别在于一个能不能进路由器，一个能不能出路由器而已，你挂在e1接口用out，控制的是流量自左向右能不能出的问题，而流量自右向左是完全没有影响的，根据你的语句来看，允许所有的源用www端口访问172.16.4.13这个主机是你控制的内容，后面列表自动执行deny ip any any，那么你的172.16.3.0不能ping 172.16.4.0很正常，因为执行规则是必须要完全匹配，不完全匹配会看列表的下一项，你允许的只是所有人访问172.16.4.13并且还得是用www端口才可以，缺一不可，否则就会执行那条deny any any的表项了，所以你用3.0去ping 4.0其他的主机会不通就是因为这个

建议你这样写

access-list 101 per tcp any 172.16.4.13 0.0.0.0 eq www
access-list 101 deny ip any 172.16.4.13 0.0.0.0
access-list 101 per ip any any

这样的话，只能用www去访问172.16.4.13，其他方式都不可以，并且你要访问其他的流量也会放行，最终强调，acl是必须完全匹配才会执行，执行后列表后面的表项一概忽略，但如果不匹配则会看列表的下一项

希望能帮到你

‘叁’ 思科的基本访问控制列表和扩展访问列表的区别：

1：permit
ip
192.168.18.0
0.0.0.3
any
这条acl，允许192.168.18.1－192.168.18.3这个地址段的的主机出去。包含了permit
tcp
host
192.168.18.3
any
eq
www这条acl，所以18.1
18.2
18.3
都可以访问。
2：按从上到下执行的原则，
deny
tcp
any
any这条acl已经拒绝所有了，所以后边的
permit
ip
192.168.18.0
0.0.0.3
any不会再执行，一般把deny
any
any放在最后。

‘肆’ 思科路由器访问控制列表

log Log matches against this entry
log-input Log matches against this entry, including input interface

ACL的log参数和log-input参数区别

00:05:47:%SEC-6-IPACCESSLOGDP:list inputlog permitted icmp 10.1.1.10 -> 10.1.1.61 (0/0), 1

log-input生成的log ,包含接口信息和MAC地址

00:04:21:%SEC-6-IPACCESSLOGDP:list inputlog permitted icmp 10.1.1.10 (Vlan1 0001.42ef. a400) -> 10.1.1.61 (0/0), 1 packet

‘伍’ 思科访问控制列表的配置！！！急！急！急！

你好，这个双方都不能访问时正常的，原因很简单。你做的acl太大了，你做的是deny了整个IP协议其实你这个财务不能访问人事的主要原因不是不能去，而是不能回
你想想172.16.20.0访问172.16.10.0的时候，发过去的包源地址是20.0.；目的地址是10.0但是回来的时候源目会做调换，这个时候源地址就变成了10.0目的地址就变成了20.0这时候就又匹配了你的那个访问控制列表的deny条目。所以你从财务到人事的数据包属于又去无回。我不知道这样说你能不能理解。
解决方法：你现在要不然限定人事到财务的特定协议比如说HTTP TELNET FTP等，但是这不是最好的方法，因为很难知道他们在访问过程中都是用了什么协议
所以我觉得最好的方式是你去做带状态的访问控制列表，比如说自反访问控制列表或是CBAC个人建议是做CBAC当然我现在不知道你的设备到底是不是cisco的。如果不是cisco的或是还有什么不明白可以给我发邮件

‘陆’ 思科访问控制列表的问题

1：permit ip 192.168.18.0 0.0.0.3 any 这条acl，允许192.168.18.1－192.168.18.3这个地址段的的主机出去。包含了permit tcp host 192.168.18.3 any eq www这条acl，所以18.1 18.2 18.3 都可以访问。

2：按从上到下执行的原则， deny tcp any any这条acl已经拒绝所有了，所以后边的 permit ip 192.168.18.0 0.0.0.3 any不会再执行，一般把deny any any放在最后。

‘柒’ 思科交换机访问控制列表问题

?没看懂，你这3台PC网关都完全不同，如何访问？
要访问必须在同一网关，你的网关如下：
主机0：网关1
主机2：网关3
主机1：网关2
纯属是路也不同，道也不同，完全互不干涉

‘捌’ 思科Cisco路由器的ACL控制列表设置

1、首先在电脑上点击打开Cisco软件。准备两个PC，一个server和三个路由器，并连接。

‘玖’ Cisco 路由器上设置访问控制列表

您好！当将ACL1应用于接口E0上的时候，可完成在接口E0上允许172.16.0.0这个B类网络的流量通过的功能，同时也允许了172.16.4.13这个IP流量通过，应选择B。

理由：首先，permit代表允许通过，因此应选择A或者B中的一个。然后考虑ACL的执行顺序是从上往下执行，一个包只要遇到一条匹配的ACL语句后就会停止后续语句的执行,所以只能选择B。

写ACL时，一定要遵循最为精确匹配的ACL语句一定要写在最前面的原则，只有这样才能保证不会出现像本题中第二条这样无用的ACL语句。

供参考。

‘拾’ 思科路由动态访问控制列表配置

第一条是创建一个编号120的扩展ACL，拒绝所有主机远程访问192.168.202.1
第二条是创建一个动态ACL 超时时间是120秒，允许所有
第三条是进入s0/0口
第四条是，在S0/0口入向调用ACL120，即对所有从这一接口进入路由器的流量进行过滤
第五条是在此接口封装PPP，就是封装点到点协议
第六条是开启认证和记账功能
第七条是将认证密钥的值设为 aaa
第八条是退回上一层
第九条是进入vty设置，即设置远程访问
第十条是说明远程登录的时候通过RADIUS来认证，认证通过则允许
第十一条是动态ACL的一条命令，就是通过认证之后执行什么动作
全部下来就是所有主机想直接telnet 192.168.202.1时，流量经过路由器A的S0/0口进入时，就直接被过滤掉。但是如果先远程登录一下路由器A，并且通过验证（即输入密码aaa）之后，路由器A就会允许这台设备telnet访问192.168.202.1，持续时间120秒。
全手打，完全自己的理解，望采纳。