交换机访问控制列表cisco

① 如何在CISCO3560 路由器里面设置或者取消访问控制列表

要具体删某一条而不是整个acl
ip access-list extended(standard) *
no *
删整条
no access-list *(就算写的是详细条目,也是删到整个ACL,路由器上就这样)

如果该设备还没投入生产（处于试验或调试阶段）可以将现有配置备份一份，然后做想要的修改，如果不行就恢复原来的配置。
取消一条配置用no 后面加上配置就好了（no掉它），

② 配置思科三层交换机，访问控制列表的时候，下面八句话是什么意思啊谢谢

先解释103.
第一句和第三句分别允许[任何人向DHCP客户端通信]和[从DHCP客户端向任何人通信]。
DHCP客户端一般就是自动获取地址的主机。
这两个允许就允许了自动获取地址的过程。
eq bootpc就是端口 68.是udp协议。

#103是访问控制列表的编号
#permit是允许，也可以是deny
#udp指的是udp协议，还可以写tcp，ip（这是思科特殊的地方，尽管ip跟tcp，udp不是一个层次的）。
#any指的是任何地址，也可以写具体地址。前一个any是源后一个是目的地址。
#eq代表端口号，eq bootpc = eq 68两者都可以写。在配置里面不管怎么写显示前者。
#默认最后一个隐藏的语句access-list 103 deny ip any any就是说除以上允许外其他全部拒绝（访问控制列表是一条一条从上往下匹配的）

第二句和第四句分别允许[任何人向tftp客户端/服务器通信]和反过来。
因为tftp客户和服务器端都用一个69端口。也是udp协议

104.类似。

103和104是两个独立的访问控制列表。看谁调用了。

③ 谁能介绍cisco三层交换机中的访问控制列表的配置命令

access-list 100 deny ip 192.168.13.0 0.0.0.255 192.168.14.0 0.0.0.255

access-list 100 deny icmp 192.168.13.0 0.0.0.255 192.168.15.0 0.0.0.255

access-list 100 permit ip any any

interface Vlan13

ip address 192.168.13.1 255.255.255.0

ip access-group 100 out

以上配置是禁止192.168.13.0网段访问192.168.14.0网段，禁止192.168.13.0网段ping192.168.15.0网段，其它网段之间可以互访。
你可以参照一下

④ CISCO交换机ACL配置方法

router#conf
t
router(config)#ip
access-list
extend
V1
router(config-acl)#permit
ip
any
host
192.167.0.2
router(config-acl)#permit
ip
any
host
192.167.0.3
router(config-acl)#deny
ip
any
any
router(config-acl)#ip
access-list
extend
V3
router(config-acl)#permit
ip
host
192.167.0.2
192.168.1.0
0.0.0.255
router(config-acl)#permit
ip
host
192.167.0.2
192.168.1.0
0.0.0.255
router(config-acl)#deny
ip
any
192.168.1.0
0.0.0.255
router(config-acl)#permit
ip
any
any
router(config-acl)#interface
vlan1
router(config-inf)#ip
access-group
V1
in
router(config-inf)#interface
vlan3
router(config-inf)#ip
access-group
V3
in
以上配置效果：VLAN1只能访问192.167.0.2和.3这两个地址，其他地址均无法访问；VLAN3能访问除192.168.1.0/24这个网段外所有地址（0.2和0.3两个地址可以访问192.168.1.0/24这个网段）。
如果要使VLAN1能够访问其他地址V1就这样定义：
router(config)#ip
access-list
extend
V1
router(config-acl)#permit
ip
any
host
192.167.0.2
router(config-acl)#permit
ip
any
host
192.167.0.3
router(config-acl)#deny
ip
any
192.168.1.0
0.0.0.255
router(config-acl)#permit
ip
any
any

⑤ 思科Cisco路由器的ACL控制列表设置

1、首先在电脑上点击打开Cisco软件。准备两个PC，一个server和三个路由器，并连接。

⑥ cisco路由器如何配置标准访问控制列表 ACL

标准ACL配置

提问：如何只允许端口下的用户只能访问特定的服务器网段？

回答：

步骤一：定义ACL

S5750#conf t ----进入全局配置模式

S5750(config)#ip access-list standard 1 ----定义标准ACL

S5750(config-std-nacl)#permit 192.168.1.0 0.0.0.255

----允许访问服务器资源

S5750(config-std-nacl)#deny any ----拒绝访问其他任何资源

S5750(config-std-nacl)#exit ----退出标准ACL配置模式

步骤二：将ACL应用到接口上

S5750(config)#interface GigabitEthernet 0/1 ----进入所需应用的端口

S5750(config-if)#ip access-group 1 in ----将标准ACL应用到端口in方向

注释：

1. S1900系列、S20系列交换机不支持基于硬件的ACL。

2. 实际配置时需注意，在交换机每个ACL末尾都隐含着一条“拒绝所有数据流”的语句。

3. 以上所有配置，均以锐捷网络S5750-24GT/12SFP 软件版本10.2（2）为例。

其他说明，其详见各产品的配置手册《访问控制列表配置》一节。

⑦ 关于Cisco C2950-24交换机的访问控制列表问题

如要做ARP绑定，直接
Switch(config)#arp 192.168.4.100 0800.46c9.176c ARPA就可以了
你说的ACL的ARP是为了防止ARP攻击的
IOS 全局命令：
ip dhcp snooping vlan 100,200
no ip dhcp snooping information option
ip dhcp snooping
ip arp inspection vlan 100,200 /* 定义对哪些 VLAN 进行 ARP 报文检测
ip arp inspection log-buffer entries 20 /*在arp log buffer中存的日志
ip arp inspection log-buffer logs 0 interval 86400 /*送到log日志的数量
ip arp inspection validate src-mac dst-mac ip

IOS 接口命令：
ip dhcp snooping trust
ip arp inspection trust /* 定义哪些接口是信任接口，通常是网络设备接口， TRUNK 接口等
/*对于下连端口，可以设置每秒的arp报文数量和dhcp数据报文的数量，超过会被errdisable
ip arp inspection limit rate 1000
arp timeout 2
ip dhcp snooping limit rate 1000

对于没有使用 DHCP 设备可以采用下面办法：
arp access-list static-arp
permit ip host 10.66.227.5 mac host 0009.6b88.d387
ip arp inspection filter static-arp vlan 201

如果只有VLAN 1，并且网关的地址是1.1.1.1

如下设置是否可以防止ARP攻击

配置ARP报文过滤，不允许终端接入端口ARP宣告网关IP地址
Switch(config)# arp access-list gateway
Switch(config-arp-acl)# deny ip host 1.1.1.1 mac any
Switch(config-arp-acl)# permit ip any
Switch(config-arp-acl)# exit
Switch(config)# ip arp inspection filter gateway vlan 1
Switch(config)# interface gigabitethernet1/0/1 (所有终端接入端口)
Switch(config-if)# no ip arp inspection trust

选自http://bbs.net130.com/archive/index.php/t-169710.html
推荐http://www.net130.com/CMS/Pub/Tech/tech_zh/2005_10_11_55674_3.htm

⑧ 思科交换机访问控制列表问题

?没看懂，你这3台PC网关都完全不同，如何访问？
要访问必须在同一网关，你的网关如下：
主机0：网关1
主机2：网关3
主机1：网关2
纯属是路也不同，道也不同，完全互不干涉

⑨ 关于cisco 交换机配置访问控制列表的问题。内详！

你这不是自找麻烦么，VLAN本身就可以定义对象，你现在还要在你的VLAN里再去定义的特定的对象。
你直接多分几个VLAN，把你想要控制的终端划到对应的VLAN中，再做ACL不是方便多了。

⑩ 在思科三层交换机上怎麽用访问控制列表限制一个VLAN访问另一个VLAN

操作如下：

访问控制要求vlan10和 vlan20之间不能访问，但都能访问vlan30

通过vlan之间的acl方式实现：

1、配置VLAN。

Switch(config)# vlan 10 // 创建vlan 10

Switch(config-vlan)# vlan 20

Switch(config-vlan)# vlan 30

Switch(config-vlan)# int vlan 10

Switch(config-if)# ip address 192.168.10.1 255.255.255.0 // 配置vlan10虚端口IP

Switch(config-if)# int vlan 20

Switch(config-if)# ip address 192.168.20.1 255.255.255.0

Switch(config-if)# int vlan 30

Switch(config-if)# ip address 192.168.30.1 255.255.255.0

2、配置ACL 。

Switch(config)# access-list 101 permit ip 192.168.10.0

Switch(config)# access-list 102 permit ip 192.168.20.0

3、应用ACL至VLAN端口。

Switch(config)# int vlan 10

Switch(config-if)# ip access-group 101 in

Switch(config)# int vlan 20

Switch(config-if)# ip access-group 102 in