网络访问控制列表ACL（读懂这篇就基本够了，后面有配置案例） - ROMIN - 博客园

Tags

Top Highlights

• 1、标准ACL 配置要点：  1） ACL默认最后有一条deny any，故允许（permit）的ACL应该写在上面。若是禁止某网段访问，其他网段均放通，则应该在最后加一条permit any。  2）标准的ACL只匹配源IP地址（不写掩码只是匹配单个ip，可以写掩码）；  3）标准的ACL号是从1-99和1300-1999；  4）如果是单个IP地址，可写为access-list 1 permit host 192.168.1.1   2、扩展ACL 三、配置要点：    1）扩展ACL可匹配源地址、目的地址、IP协议，tcp、udp、icmp、igmp待协议； 如要允许所有目的端口是tcp80端口的流量：access-list 100 per tcp any any eq 80    2）扩展ACL号为100-199和2000-2699   3、标准命名ACL 配置要点和标准acl基本一致，就是多了可以删除特定规则；   4、扩展命名ACL 配置要点和标准acl基本一致，就是多了可以删除特定规则，配置起来更加灵活；

• access-list 是用数字来定义 acl （标准ACL和扩展ACL） ip access-list 是用名字来定义 acl（标准命名ACL和扩展命名ACL）

• 2、扩展ACL配置案例 （1）配置扩展ACL，允许192.168.2.1访问5.5.5.5，在IN方向测试 access-list 100 permit ip host 192.168.2.1 host 5.5.5.5 interface Ethernet0/0 ip access-group 100 in 因为扩展ACL可以指定源地址，目的地址，就可以做的更细的匹配，比如这个acl就指定只有192.168.2.1才可以访问5.5.5.5；所以结果就是PC2（192.168.2.1）可以通5.5.5.5，不通4.4.4.4；PC1（192.168.3.1）都不通4.4.4.4和5.5.5.5

• （1）配置拓展命名ACL，允许192.168.3.0/24网段ping4.4.4.4，允许192.168.2.0/24网段访问5.5.5.5，应用在IN的方向 ip access-list extended extendtest1 50 permit icmp 192.168.3.0 0.0.0.255 host 4.4.4.4 60 permit ip 192.168.2.0 0.0.0.255 host 5.5.5.5 interface Ethernet0/0 ip access-group extendtest1 in