中国领先的IT技术网站
51CTO旗下网站
cisco路由器配置ACL详解
基本的路由器配置已经无法满足用户的需求，本文从基本概念，使用原则，基本事件和流量统计等方面详细的介绍了ACL的配置过程。
作者：来源：IT168| 11:35
本文从ACL的基本概念，使用原则，访问的时间等方面详细的讲述了配置ACL的操作步骤。
如果有人说路由交换设备主要就是路由和交换的功能，仅仅在路由交换数据包时应用的话他一定是个门外汉。
如果仅仅为了交换数据包我们使用普通的HUB就能胜任，如果只是使用路由功能我们完全可以选择一台WINDOWS服务器来做远程路由访问配置。
实际上路由器和交换机还有一个用途，那就是网络管理，学会通过硬件设备来方便有效的管理网络是每个网络管理员必须掌握的技能。今天我们就为大家简单介绍访问控制列表在CISCO路由交换设备上的配置方法与命令。
什么是ACL？
访问控制列表简称为ACL，访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提供ACL的支持了。
访问控制列表使用原则
由于ACL涉及的配置命令很灵活，功能也很强大，所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。在介绍例子前为大家将ACL设置原则罗列出来，方便各位读者更好的消化ACL知识。
标准访问列表：
访问控制列表ACL分很多种，不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表，标准访问控制列表是通过使用IP包中的源IP地址进行过滤，使用的访问控制列表号1到99来创建相应的ACL
&& 标准访问控制列表的格式
&& 标准访问控制列表实例一
&& 标准访问控制列表实例二
扩展访问控制列表：
上面我们提到的标准访问控制列表是基于IP地址进行过滤的，是最简单的ACL。那么如果我们希望将过滤细到端口怎么办呢？或者希望对数据包的目的地址进行过滤。这时候就需要使用扩展访问控制列表了。使用扩展IP访问列表可以有效的容许用户访问物理LAN而并不容许他使用某个特定服务（例如WWW，FTP等）。扩展访问控制列表使用的ACL号为100到199。
&& 扩展访问控制列表的格式
&& 扩展访问控制列表实例
基于名称的访问控制列表
不管是标准访问控制列表还是扩展访问控制列表都有一个弊端，那就是当设置好ACL的规则后发现其中的某条有问题，希望进行修改或删除的话只能将全部ACL信息都删除。也就是说修改一条或删除一条都会影响到整个ACL列表。这一个缺点影响了我们的工作，为我们带来了繁重的负担。不过我们可以用基于名称的访问控制列表来解决这个问题。
&& 基于名称的访问控制列表
反向访问控制列表：
我们使用访问控制列表除了合理管理网络访问以外还有一个更重要的方面，那就是防范病毒，我们可以将平时常见病毒传播使用的端口进行过滤，将使用这些端口的数据包丢弃。这样就可以有效的防范病毒的攻击。
不过即使再科学的访问控制列表规则也可能会因为未知病毒的传播而无效，毕竟未知病毒使用的端口是我们无法估计的，而且随着防范病毒数量的增多会造成访问控制列表规则过多，在一定程度上影响了网络访问的速度。这时我们可以使用反向控制列表来解决以上的问题。
&& 反向访问控制列表的用途及格式
&& 反向访问控制列表配置实例
基于时间的访问控制列表：
上面我们介绍了标准ACL与扩展ACL，实际上我们数量掌握了这两种访问控制列表就可以应付大部分过滤网络数据包的要求了。不过实际工作中总会有人提出这样或那样的苛刻要求，这时我们还需要掌握一些关于ACL的高级技巧。基于时间的访问控制列表就属于高级技巧之一。
&& 基于时间的访问控制列表
&& 基于时间的访问控制列表配置实例
访问控制列表流量记录
网络管理员就是要能够合理的管理公司的网络，俗话说知己知彼方能百战百胜，所以有效的记录ACL流量信息可以第一时间的了解网络流量和病毒的传播方式。下面这篇文章就为大家简单介绍下如何保存访问控制列表的流量信息，方法就是在扩展ACL规则最后加上LOG命令。
&& 访问控制列表流量的记录
【编辑推荐】
【责任编辑： TEL：（010）】
大家都在看猜你喜欢
头条头条热点热点热点
24H热文一周话题本月最赞
讲师：51310人学习过
讲师：30927人学习过
讲师：161166人学习过
精选博文论坛热帖下载排行
Visual C++ 6.0是Microsoft公司的Visual Studio开发组件中最强大的编程工具，利用它可以开发出高性能的应用程序。本书由浅入深，从基础到实...
订阅51CTO邮刊查看:3217|回复：11
小微企业IT帮！我们没有什么不同~ ...
请教一下关于ACL的问题。
tointernet不能应用到某一个VALN里吧&&它的作用是让所有的VLAN可以上网。
那它怎么应用嗯？
本帖最后由 贵在坚持 于
16:17 编辑
小微企业IT帮！我们没有什么不同~ ...
这是一个三层的交换。
现在我要禁止vlan1的PC与VLAN8的PC通信。该怎么做？
ACL的应用在这里是基于VLAN的吗？
我现在急需知道怎么做。公司的需求。
本帖最后由 贵在坚持 于
15:58 编辑
小微企业IT帮！我们没有什么不同~ ...
希望大神教教我关于ACL的实际应用问题，我只是会配置，不是很懂原理。
ACL的端口应用是in还是out& &都是什么情况？
我看我导出的那些ACL也不是很懂。单条命令知道意思。
外网不说，局域网都应该可以上网才是，三层上是一个华为路由。
以tointernet和vlan1这两个ACL表为例，
他们里面应该怎么去控制下面的VLAN&&PC呢？
本帖最后由 贵在坚持 于
16:04 编辑
假如VLAN1网段192.168.1.0 VLAN8网段192.168.8.0 拒绝两者之间通信
deny ip 192.168.1.0 0.0.0.255 192.168.8.0 0.0.0.255
permit ip 192.168.1.0 0.0.0.255 any
把这个acl应用到vlan1 就可以了 in方向
初级工程师
引用:原帖由 贵在坚持 于
15:51 发表
这是一个三层的交换。
现在我要禁止vlan1的PC与VLAN8的PC通信。该怎么做？
ACL的应用在这里是基于VLAN的吗？
我现在急需知道怎么做。公司的需求。 比如禁止VLAN1和VLAN2通讯
access-list 111 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 111 permit ip any any
int vlan 1
ip access-group 111 in
假设VLAN的网段是192.168.1.0&&VLAN2的网段是192.168.2.0
初级工程师
没跟上节奏啊。
小微企业IT帮！我们没有什么不同~ ...
引用:原帖由 xiximissyou 于
16:54 发表
没跟上节奏啊。 好吧 好吧 我错了。但是tointernet这个ACL的作用是什么？
初级工程师
引用:原帖由 贵在坚持 于
17:15 发表
好吧 好吧 我错了。但是tointernet这个ACL的作用是什么？ 允许192.168.2.0/3.0/11.0/12.0访问任何网络
以及禁止任何小于2000端口的数据包
小微企业IT帮！我们没有什么不同~ ...
引用:原帖由 xiximissyou 于
09:49 发表
允许192.168.2.0/3.0/11.0/12.0访问任何网络
以及禁止任何小于2000端口的数据包 它应用在哪里？哪个口或者VLAN呢？in还是out？
初级工程师
引用:原帖由 贵在坚持 于
11:20 发表
它应用在哪里？哪个口或者VLAN呢？in还是out？ 按照你上面的配置 看不出应用在哪里，哪个VLAN、方向
小微企业IT帮！我们没有什么不同~ ...
引用:原帖由 xiximissyou 于
18:24 发表
按照你上面的配置 看不出应用在哪里，哪个VLAN、方向 好吧，我接到这里：君，已阅读到文档的结尾了呢~~
cisco思科。经典vlan .acl等3层交换机配置实力。图解, 命令。
扫扫二维码，随身浏览文档
手机或平板扫扫即可继续访问
cisco思科。经典vlan .acl等3层交换机配置实力。图解, 命令。
举报该文档为侵权文档。
举报该文档含有违规或不良信息。
反馈该文档无法正常浏览。
举报该文档为重复文档。
推荐理由：
将文档分享至：
分享完整地址
文档地址：
粘贴到BBS或博客
flash地址：
支持嵌入FLASH地址的网站使用
html代码：
&embed src='/DocinViewer--144.swf' width='100%' height='600' type=application/x-shockwave-flash ALLOWFULLSCREEN='true' ALLOWSCRIPTACCESS='always'&&/embed&
450px*300px480px*400px650px*490px
支持嵌入HTML代码的网站使用
您的内容已经提交成功
您所提交的内容需要审核后才能发布，请您等待！
3秒自动关闭窗口cisco路由器配置ACL详解_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
cisco路由器配置ACL详解
&&cisco路由器配置ACL详解
阅读已结束，下载文档到电脑
想免费下载本文？
定制HR最喜欢的简历
下载文档到电脑，方便使用
还剩6页未读，继续阅读
定制HR最喜欢的简历
你可能喜欢相关文章推荐
【实验名称】在路由器上配置标准ACL
【实验目的】
掌握路由器上标准ACL的规则及配置。
【实验任务】
实现网段间互访的安全控制。
【实验原理】
（1）标准访问控制列表（ACL）
来源：http://blog.csdn.net/xrt95050/article/details/5595615
Linux文件属性、权限设置
文件属性和权限
[root@d...
访问控制列表简称为ACL,访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定 义好的规则对包进行过滤，从而达到访问控制的目的。该技术...
ACL(Access Control List，访问控制列表)
技术从来都是一把双刃剑，网络应用与互联网的普及在大幅提高企业的生产经营效率的同时，也带来了诸如数据的安全性，员工利用互联网做与工作...
访问控制列表（Access Control List
ACL）的含义和作用就不讲了，自行百度
一 .ACL讲解
ACL分标准访问控制列表（Standard ACL）和拓展访问控制列表（Exte...
配置ACL禁止192.168.3.0/24网段的icmp协议数据包通向与192.168.1.0/24网段
配置ACL禁止特点的协议端口通讯：
禁止192.168.2.10...
他的最新文章
讲师：Array
讲师：李志伟
他的热门文章
您举报文章：
举报原因：
原文地址：
原因补充：
(最多只允许输入30个字)