思科访问控制列表配置

A. Cisco 1841 设置ACL 访问控制列表

你好，
同意一楼所说的，一个接口一个方向针对一个协议只能绑定一个ACL。
此外，就算一个接口在一个方向可以配两个ACL，路由器是从上往下读的，你的ACL133最后一句是"permit ip any any"，那么ACL134的限制自然也没用了！

结合你的需求，写了一个样例，希望对你有所参考
2801a#config t
Enter configuration commands, one per line. End with CNTL/Z.

2801a(config)#ip access-list extended Acl_In
//建立访问控制列表，命名为"Acl_In"，这里"In"是指针对路由器的内网接口fa0/1口数据流方向是“入”，这样命名仅为了方便记忆
2801a(config-ext-nacl)#permit ip host 192.168.0.8 host 10.10.10.10
2801a(config-ext-nacl)#permit ip host 192.168.0.8 218.199.40.0 0.0.0.255
2801a(config-ext-nacl)#permit ip host 192.168.0.8 202.96.170.0 0.0.0.255
2801a(config-ext-nacl)#permit ip host 192.168.0.8 202.96.140.0 0.0.0.255
2801a(config-ext-nacl)#permit ip host 192.168.0.8 219.133.0.0 0.0.255.255
2801a(config-ext-nacl)#permit ip host 192.168.0.8 61.144.238.0 0.0.0.255
2801a(config-ext-nacl)#permit ip host 192.168.0.8 202.104.129.0 0.0.0.255
2801a(config-ext-nacl)#permit ip host 192.168.0.8 61.141.0.0 0.0.255.255
2801a(config-ext-nacl)#deny ip host 192.168.0.8 any
2801a(config-ext-nacl)#permit ip host 192.168.1.22 host 10.10.10.10
2801a(config-ext-nacl)#permit ip host 192.168.1.22 218.199.40.0 0.0.0.255
2801a(config-ext-nacl)#permit ip host 192.168.1.22 202.96.170.0 0.0.0.255
2801a(config-ext-nacl)#permit ip host 192.168.1.22 202.96.140.0 0.0.0.255
2801a(config-ext-nacl)#permit ip host 192.168.1.22 219.133.0.0 0.0.255.255
2801a(config-ext-nacl)#permit ip host 192.168.1.22 61.144.238.0 0.0.0.255
2801a(config-ext-nacl)#permit ip host 192.168.1.22 202.104.129.0 0.0.0.255
2801a(config-ext-nacl)#permit ip host 192.168.1.22 61.141.0.0 0.0.255.255
2801a(config-ext-nacl)#deny ip host 192.168.1.22 any
2801a(config-ext-nacl)#permit ip any any
2801a(config-ext-nacl)#exit
2801a(config)#int fa0/1
2801a(config-if)#ip access-group Acl_In in //端口应用ACL，注意方向是"in"，因为这个口是连接你内网的，你限制的数据流是从内网发到路由器的
2801a(config-if)#
2801a#show run （查看配置，以下只列出了相关配置）
Building configuration...
（省略无关内容）
!
interface FastEthernet0/1
ip address X.X.X.X X.X.X.X
ip access-group Acl_In in
plex auto
speed auto
!
ip access-list extended Acl_In
permit ip host 192.168.0.8 host 10.10.10.10
permit ip host 192.168.0.8 218.199.40.0 0.0.0.255
permit ip host 192.168.0.8 202.96.170.0 0.0.0.255
permit ip host 192.168.0.8 202.96.140.0 0.0.0.255
permit ip host 192.168.0.8 219.133.0.0 0.0.255.255
permit ip host 192.168.0.8 61.144.238.0 0.0.0.255
permit ip host 192.168.0.8 202.104.129.0 0.0.0.255
permit ip host 192.168.0.8 61.141.0.0 0.0.255.255
deny ip host 192.168.0.8 any
permit ip host 192.168.1.22 host 10.10.10.10
permit ip host 192.168.1.22 218.199.40.0 0.0.0.255
permit ip host 192.168.1.22 202.96.170.0 0.0.0.255
permit ip host 192.168.1.22 202.96.140.0 0.0.0.255
permit ip host 192.168.1.22 219.133.0.0 0.0.255.255
permit ip host 192.168.1.22 61.144.238.0 0.0.0.255
permit ip host 192.168.1.22 202.104.129.0 0.0.0.255
permit ip host 192.168.1.22 61.141.0.0 0.0.255.255
deny ip host 192.168.1.22 any
permit ip any any
!
end

以上，供参考。有问题，M我一起探讨。

B. 在思科三层交换机上怎麽用访问控制列表限制一个VLAN访问另一个VLAN

操作如下：

访问控制要求vlan10和 vlan20之间不能访问，但都能访问vlan30

通过vlan之间的acl方式实现：

1、配置VLAN。

Switch(config)# vlan 10 // 创建vlan 10

Switch(config-vlan)# vlan 20

Switch(config-vlan)# vlan 30

Switch(config-vlan)# int vlan 10

Switch(config-if)# ip address 192.168.10.1 255.255.255.0 // 配置vlan10虚端口IP

Switch(config-if)# int vlan 20

Switch(config-if)# ip address 192.168.20.1 255.255.255.0

Switch(config-if)# int vlan 30

Switch(config-if)# ip address 192.168.30.1 255.255.255.0

2、配置ACL 。

Switch(config)# access-list 101 permit ip 192.168.10.0

Switch(config)# access-list 102 permit ip 192.168.20.0

3、应用ACL至VLAN端口。

Switch(config)# int vlan 10

Switch(config-if)# ip access-group 101 in

Switch(config)# int vlan 20

Switch(config-if)# ip access-group 102 in

C. 思科路由器ACL访问控制列表问题

理解的有问题，acl列表挂在哪个接口其实无所谓，主要是in和out的区别在于一个能不能进路由器，一个能不能出路由器而已，你挂在e1接口用out，控制的是流量自左向右能不能出的问题，而流量自右向左是完全没有影响的，根据你的语句来看，允许所有的源用www端口访问172.16.4.13这个主机是你控制的内容，后面列表自动执行deny ip any any，那么你的172.16.3.0不能ping 172.16.4.0很正常，因为执行规则是必须要完全匹配，不完全匹配会看列表的下一项，你允许的只是所有人访问172.16.4.13并且还得是用www端口才可以，缺一不可，否则就会执行那条deny any any的表项了，所以你用3.0去ping 4.0其他的主机会不通就是因为这个

建议你这样写

access-list 101 per tcp any 172.16.4.13 0.0.0.0 eq www
access-list 101 deny ip any 172.16.4.13 0.0.0.0
access-list 101 per ip any any

这样的话，只能用www去访问172.16.4.13，其他方式都不可以，并且你要访问其他的流量也会放行，最终强调，acl是必须完全匹配才会执行，执行后列表后面的表项一概忽略，但如果不匹配则会看列表的下一项

希望能帮到你

D. cisco路由器如何配置标准访问控制列表 ACL

标准ACL配置

提问：如何只允许端口下的用户只能访问特定的服务器网段？

回答：

步骤一：定义ACL

S5750#conf t ----进入全局配置模式

S5750(config)#ip access-list standard 1 ----定义标准ACL

S5750(config-std-nacl)#permit 192.168.1.0 0.0.0.255

----允许访问服务器资源

S5750(config-std-nacl)#deny any ----拒绝访问其他任何资源

S5750(config-std-nacl)#exit ----退出标准ACL配置模式

步骤二：将ACL应用到接口上

S5750(config)#interface GigabitEthernet 0/1 ----进入所需应用的端口

S5750(config-if)#ip access-group 1 in ----将标准ACL应用到端口in方向

注释：

1. S1900系列、S20系列交换机不支持基于硬件的ACL。

2. 实际配置时需注意，在交换机每个ACL末尾都隐含着一条“拒绝所有数据流”的语句。

3. 以上所有配置，均以锐捷网络S5750-24GT/12SFP 软件版本10.2（2）为例。

其他说明，其详见各产品的配置手册《访问控制列表配置》一节。

E. 思科ACL访问控制列表设置。

你方向搞反了
SW1的配置一般是阻止VLAN10对any的访问
而阻止VLAN20访问any应该在SW2上deny

sw1 //阻止VLAN10对20的访问，但是不能阻止20对10的访问。如果需要双向阻止，要在两边都deny本地的网段
access-list 10 deny 192.168.10.0 0.0.0.255
access-list 10 permit any

interface Vlan10
ip access-group 10 in

F. 如何配置Cisco路由器ACL访问控制列的实际案例

第一阶段实验：配置实验环境，网络能正常通信
R1的配置：

复制代码
代码如下:
R1>en
R1#conf t
R1（config）#int f0/0
R1（config-if）#ip addr 10.0.0.1 255.255.255.252R1（config-if）#no shut
R1（config-if）#int loopback 0
R1（config-if）#ip addr 123.0.1.1 255.255.255.0R1（config-if）#int loopback 1
R1（config-if）#ip addr 1.1.1.1 255.255.255.255R1（config-if）#exit
R1（config）#ip route 192.168.0.0 255.255.0.0 10.0.0.2R1（config）#username benet password testR1（config）#line vty 0 4
R1（config-line）#login local

SW1的配置：

复制代码
代码如下:
SW1>en
SW1#vlan data
SW1（vlan）#vlan 2
SW1（vlan）#vlan 3
SW1（vlan）#vlan 4
SW1（vlan）#vlan 100
SW1（vlan）#exit
SW1#conf t
SW1（config）#int f0/1
SW1（config-if）#no switchport
SW1（config-if）#ip addr 10.0.0.2 255.255.255.252SW1（config-if）#no shut
SW1（config-if）#exit
SW1（config）#ip route 0.0.0.0 0.0.0.0 10.0.0.1SW1（config）#int range f0/14 - 15
SW1（config-if-range）#switchport trunk encapsulation dot1qSW1（config-if-range）#switchport mode trunkSW1（config-if-range）#no shut
SW1（config-if-range）#exit
SW1（config）#int vlan 2
SW1（config-if）#ip addr 192.168.2.1 255.255.255.0SW1（config-if）#no shut
SW1（config-if）#int vlan 3
SW1（config-if）#ip addr 192.168.3.1 255.255.255.0SW1（config-if）#no shut
SW1（config-if）#int vlan 4
SW1（config-if）#ip addr 192.168.4.1 255.255.255.0SW1（config-if）#no shut
SW1（config-if）#int vlan 100
SW1（config-if）#ip addr 192.168.100.1 255.255.255.0SW1（config-if）#no shut
SW1（config-if）#exit
SW1（config）#ip routing
SW1（config）#int vlan 1
SW1（config-if）#ip addr 192.168.0.1 255.255.255.0SW1（config-if）#no shut
SW1（config-if）#exit
SW1（config）#username benet password testSW1（config）#line vty 0 4

SW1（config-line）#login local

SW2的配置：

复制代码
代码如下:
SW2>en
SW2#vlan data
SW2（vlan）#vlan 2
SW2（vlan）#vlan 3
SW2（vlan）#vlan 4
SW2（vlan）#exit
SW2#conf t
SW2（config）#int f0/15
SW2（config-if）#switchport mode trunk
SW2（config-if）#no shut
SW2（config-if）#exit
SW2（config）#int f0/1
SW2（config-if）#switchport mode access
SW2（config-if）#switchport access vlan 2SW2（config-if）#no shut
SW2（config-if）#int f0/2
SW2（config-if）#switchport mode access
SW2（config-if）#switchport access vlan 3SW2（config-if）#no shut
SW2（config-if）#int f0/3
SW2（config-if）#switchport mode access
SW2（config-if）#switchport access vlan 4SW2（config-if）#no shut
SW2（config-if）#int vlan 1
SW2（config-if）#ip addr 192.168.0.2 255.255.255.0SW2（config-if）#no shut
SW2（config-if）#exit
SW2（config）#ip default-gateway 192.168.0.1SW2（config）#no ip routing
SW2（config）#username benet password testSW2（config）#line vty 0 4
SW2（config-line）#login local

SW3的配置：

复制代码
代码如下:
SW3>en
SW3#vlan data
SW3（vlan）#vlan 100
SW3（vlan）#exit
SW3#conf t
SW3（config）#int f0/15
SW3（config-if）#switchport mode trunk
SW3（config-if）#no shut
SW3（config-if）#int f0/1
SW3（config-if）#switchport mode access
SW3（config-if）#switchport access vlan 100SW3（config-if）#no shut
SW3（config-if）#int vlan 1
SW3（config-if）#ip addr 192.168.0.3 255.255.255.0SW3（config-if）#no shut
SW3（config-if）#exit
SW3（config）#ip default-gateway 192.168.0.1SW3（config）#no ip routing
SW3（config）#username benet password testSW3（config）#line vty 0 4
SW3（config-line）#login local

网络管理区主机PC1（这里用路由器模拟）

复制代码
代码如下:
R5>en
R5#conf t
R5（config）#int f0/0
R5（config-if）#ip addr 192.168.2.2 255.255.255.0R5（config-if）#no shut
R5（config-if）#exit
R5（config）#ip route 0.0.0.0 0.0.0.0 192.168.2.1

财务部主机PC2配置IP:
IP地址：192.168.3.2 网关：192.168.3.1
信息安全员主机PC3配置IP:
IP地址：192.168.4.2 网关：192.168.4.1
服务器主机配置IP:
IP地址：192.168.100.2 网关：192.168.100.1第一阶段实验验证测试：
所有部门之间的主机均能互相通信并能访问服务器和外网（测试方法：用PING命令）
在所有主机上均能远程管理路由器和所有交换机。（在PC主机上用telnet命令）
第二阶段实验：配置ACL实现公司要求
1、只有网络管理区的主机才能远程管理路由器和交换机R1的配置：

复制代码
代码如下:
R1#conf t
R1（config）#access-list 1 permit 192.168.2.0 0.0.0.255R1（config）#line vty 0 4
R1（config-line）#access-class 1 in

SW1的配置

复制代码
代码如下:
SW1#conf t
SW1（config）#access-list 1 permit 192.168.2.0 0.0.0.255SW1（config）#line vty 0 4
SW1（config-line）#access-class 1 in

SW2的配置

复制代码
代码如下:
SW2#conf t
SW2（config）#access-list 1 permit 192.168.2.0 0.0.0.255SW2（config）#line vty 0 4
SW2（config-line）#access-class 1 in

SW3的配置

复制代码
代码如下:
SW3#conf t
SW3（config）#access-list 1 permit 192.168.2.0 0.0.0.255SW3（config）#line vty 0 4
SW3（config-line）#access-class 1 in

验证：在PC1可以远程TELNET管理路由器和交换机，但在其他主机则被拒绝telnet
2、内网主机都可以访问服务器，但是只有网络管理员才能通过telnet、ssh和远程桌面登录服务器，外网只能访问服务器80端口。
在SW1三层交换机上配置扩展ACL
3、192.168.3.0/24网段主机可以访问服务器，可以访问网络管理员网段，但不能访问其他部门网段，也不能访问外网。
在SW1三层交换机上配置扩展ACL
4、192.168.4.0/24网段主机可以访问服务器，可以访问管理员网段，但不能访问其他部门网段，可以访问外网。
在SW1三层交换机上配置扩展ACL
以上就是通过实际案例来告诉大家如何配置Cisco路由器ACL访问控制列

G. 思科路由器基础配置命令

思科路由器基础配置命令
一、

1.router(config)#router rip 启动rip进程

2.router(conifg-router)#network 172.17.0.0指定rip协议的主网络

3.router(config-router)#passive-interface f0/1把f0/1配置成passive端口

4.router(config-router)#neighbor 172.17.12.67 以单波方式通告rip更新给路由器

5.router(config-if)#ip address 192.168.83.244 255.255.255.0 主ip地址

router(config-if)#ip address 10.33.55.1 255.255.255.0 secondary辅助ip地址

二、

1.router(config-router)#version 2将rip配置成版本2

2.router(config-ip)#ip rip send version 1只发rip 1数据包

router(config-ip)#ip rip receive version 2只接收rip 2数据包

3.router(config-router)#no auto-summary 关闭汇总功能

4.router(config-if)#no ip split-horizon关闭水平分割

5.router#show ip ospf database router 192.168.30.10显示路由器LSA通告

router#show ip ospf database network 192.168.17.18显示网络LSA通告

router#show ip ospf database summary 172.16.121.0显示网络汇总LSA通告

router#show ip ospf database asbr-summary显示ASBR汇总LSA通告

router#show ip ospf database external 10.83.10.0显示自主系统外部LSA通告

router#show ip ospf database nssa-external显示NSSA外部LSA通告

三、

1.router(config)#router ospf 10配置ospf进程id

2.router(config)#interface loopback0

router(config-if)#ip address 192.168.10.1 255.255.255.0配置loopback0接口

3.router(config-router)#area 1 stub 配置stub区域

4.router(config-router)#area 1 stub no-summary配置totally stubby区域

5.router(config-router)#area 1 nssa配置nssa区域

6.router(config-router)#area 25 range 172.16.0.0 255.240.0.0 配置地址汇总

7.router(config-router)#area 100 virtual-link 192.168.100.33 配置虚链路

四、

1.router(config)#standby 172 ip 172.16.10.254加入备份组172 指定虚拟IP 地址

2.router(config-if)#standby 47 priority 150配置HSRP的优先级150

3.router(config-if)#standby 47 preempt 配置HSRP的占先权

4.router(config-if)#standby 47 ip time 2 9 2表示HELLO时间，9表示保持时间

5.router(config)#interface s0

6.router(config-if)#standby 47 track s0 100配置跟踪端口s0并在端口down时减少100

7.router#show standby brief 查看HSRP的状态

8.router#no debuge all关闭调试功能

五、

1.router(config-if)#ip access-group 1 in 访问列表的入

router(config-if)#ip access-group 1 out访问列表的出

2.router(config)#access-list 1 premit 192.168.10.0 0.0.0.255 允许192.168.10.0的网段通过

router(config)#access-list 1 deny 192.168.10.0 2.0.0.255 拒绝192.168.10.2的主机通过

3.router(config)#access-list 1 premit any ;any表示0.0.0.0 255.255.255.255

router(config)#access-list 1 premit host 172.30.16.29 ;host表示0.0.0.0

4.router(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21拒绝来自172.16.4.0去往172.16.3.0的FTP流量

5.router(config)#ip access-list extended cisco创建名为cisco的命名访问控制列表

六、静态地址转换

1.配置外部端口的IP地址

Router(config)#interface s0

Router(config-if)#ip address 61.159.62.129 255.255.255.248

2.配置内部端口的IP地址

Router(config)#interface e0

Router(config-if)#ip address 192.168.100.1 255.255.255.0

3.静态地址转换

Router(config)#ip nat inside source static 192.168.100.2 61.159.62.130

4.在内部和外部端口上启用NAT

Router(config)#interafce s0

Router(config-if)#ip nat outside

Router(config)#interafce e0

Router(config-if)#ip nat inside

七、动态NAT配置

1.配置外部端口的IP地址

Router(config)#interface s0

Router(config-if)#ip address 61.159.62.129 255.255.255.248

2.配置内部端口的IP地址

Router(config)#interface e0

Router(config-if)#ip address 192.168.100.1 255.255.255.0

3.定义内部网络允许访问外部网络

Router(config)#access-list 1 permit 192.168.100.0 0.0.0.255

4.定义合法的IP地址池

Router(config)#ip nat pool chen 61.159.62.129 61.159.62.190 netmask 255.255.255.248

5.实现网络地址转换

Router(config)#ip nat inside source list 1 pool chen

6.在内部和外部端口上启用NAT

Router(config)#interafce s0

Router(config-if)#ip nat outside

Router(config)#interafce e0

Router(config-if)#ip nat inside

八、PAT的配置

1.配置外部端口的IP地址

Router(config)#interface s0

Router(config-if)#ip address 61.159.62.129 255.255.255.248

2.配置内部端口的IP地址

Router(config)#interface e0

Router(config-if)#ip address 192.168.100.1 255.255.255.0

3.定义内部网络允许访问外部网络

Router(config)#access-list 1 permit 192.168.100.0 0.0.0.255

4.定义合法的IP地址池

Router(config)#ip nat pool chen 61.159.62.129 61.159.62.190 netmask 255.255.255.248

5.实现复用IP地址转换

Router(config)#ip nat inside source list 1 pool chen overload

6.在内部和外部端口上启用NAT

Router(config)#interafce s0

Router(config-if)#ip nat outside

Router(config)#interafce e0

Router(config-if)#ip nat inside

H. 思科模拟中ACL怎么配置

访问控制列表简称为ACL,访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定 义好的规则对包进行过滤，从而达到访问控制的目的。该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提供ACL的 支持了。
访问控制列表的原理：
1、对路由器接口来说有两个方向：
入：已经到达路由器接口的数据包，但是还没有被路由器处理。
出：已经 经过路由器的处理，正要离开路由器接口的数据包
2、匹配顺序为："自上而下，依次匹配"。默认为拒绝
3、访问控制列表的类型：
标准访问控制列表：一般应用在out出站接口。建议配置在离目标端最近的路由上
扩展访问控制列表：配置在离源端最近的路由上，一般应用在入站in方向
命名访问控制列表：允许在标准和扩展访问列表中使用名称代替表号
4、访问控制列表使用原则
（1）、最小特权原则
只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集，只满足部分条件的是不容许通过规则的。
（2）、默认丢弃原则
在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。这一点要特别注意，虽然我们可以修改这个默认，但未改前一定要引起重视。
（3）、最靠近受控对象原则
所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的，只要发现符合条件了就立刻转发，而不继续检测下面的ACL语句。
由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法 识别到应用内部的权限级别等。因此，要达到端到端的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。

I. 谁能介绍cisco三层交换机中的访问控制列表的配置命令

access-list 100 deny ip 192.168.13.0 0.0.0.255 192.168.14.0 0.0.0.255

access-list 100 deny icmp 192.168.13.0 0.0.0.255 192.168.15.0 0.0.0.255

access-list 100 permit ip any any

interface Vlan13

ip address 192.168.13.1 255.255.255.0

ip access-group 100 out

以上配置是禁止192.168.13.0网段访问192.168.14.0网段，禁止192.168.13.0网段ping192.168.15.0网段，其它网段之间可以互访。
你可以参照一下

J. CISCO交换机ACL配置方法

CISCO交换机ACL配置方法如下：
标准访问列表配置实例：
R1(config)#access-list 10 deny 192.168.2.0 0.0.0.255
R1(config)#access-list 10 permit any
R1(config)#int fa0/0.1
R1(config-subif)#ip access-group 10 out
标准访问列表
访问控制列表ACL分很多种，不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表，标准访问控制列表是通过使用IP包中的源IP地址进行过滤，使用访问控制列表号1到99来创建相应的ACL。

它的具体格式：
access-list access-list-number [permit | deny ] [sourceaddress][wildcard-mask]
access-list-number 为1-99 或者 1300-1999之间的数字，这个是访问列表号。
访问控制列表简称为ACL，访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提供ACL的支持了。