Cisco交换机ACL的配置

最新推荐文章于 2025-07-15 19:54:29 发布
最新推荐文章于 2025-07-15 19:54:29 发布
阅读量1.5w 收藏 54
点赞数 11
CC 4.0 BY-SA版权
分类专栏: 网络运维 文章标签: 计算机网络 ACL Sisco
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Poetic_Vienna/article/details/45206465
本文详细介绍了访问控制列表(ACL)的概念及应用,包括标准ACL与扩展ACL的区别与配置方法,并通过实例演示如何实现精确的流量控制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

访问控制列表(Access Control List   ACL)的含义和作用就不讲了,自行百度

一 .ACL讲解

ACL分标准访问控制列表(Standard ACL)和拓展访问控制列表(Extended ACL),如下

① 标准ACL(访问控制列表号1—99或1300—1999)
只过滤源地址,允许或禁止整个TCP/IP协议族
一般配置在靠近流量目的地的接口
配置方法如下:
router(config)#access-list 1 permit 172.16.0.0 0.0.255.255
router(config)#access list 1 deny any //系统隐含条件(implicit deny any)
router(config)#interface F0/0
router(config-if)#ip access-group 1 in
router(config-if)#exit
router(config)#interface F0/1
router(config-if)#ip access-group 1 out
router(config-if)#no ip access-group 1 out //在端口上卸除ACL绑定


值得注意的是要改变ACL列表条件只能删除整个表:
router(config)#no access-list 1


②拓展ACL(访问控制列表标号100-199或2000-2600)
过滤源或目的地址,允许或拒绝一个具体的协议和端口号
一般放在靠近流量源头处
用到端口号时常用的英文缩写   it gt eq neq(<、>、=、≠)
常见熟知端口号:
20 文件传输协议(FTP)数据通道
21 文件传输协议(FTP)控制通道
23 远程登录(Telnet)
25 简单邮件传输协议(SMTP)
53 域名服务系统(DNS)
69 普通文件传输协议(TFTP)
80 超文本传输协议(HTTP)
例1:
router(config)#access-list 101 deny ip 172.16.4.0 0.0.0.255 host 10.8.1.128
router(config)#access-list 101 permit ip 172.16.4.0 0.0.0.255 10.8.0.0 0.0.255.255
router(config)#access-list 101 deny ip any any //系统隐含条件(implicit denyall)
router(config)#interface s0
router(config-if)#ip access-group 101 out
router(config)#access-list 102 deny ip 172.16.3.0 0.0.0.255 host 172.16.4.10 eq 21
router(config)#access-list 102 deny ip 172.16.3.0 0.0.0.255 host 172.16.4.10 eq 20
router(config)#interface f0/0
router(config-if)#ip access-group 102 out


例2:
允许192.168.10.10 ping 172.16.1.1,禁止反向测试:
router(config)#access-list 199 deny icmp host 192.168.10.10 host 172.16.1.1 echo
router(config)#access-list 199 deny icmp host 192.168.10.10 host 172.16.1.1 echo reply
router(config)#access-list 199 permit ip any any

③命名IP ACL(Cisco IOS v11.2以后支持)
例:
router(config)#access-list standard acl_1 //注明standard还是extended控制列表,名字可使用大多数字符
router(config-std-nac)#permit 172.18.0.0 0.0.255.255 log
router(config-std-nac)#no permit 172.18.0.0 0.0.255.255 log //no 命令移去特定语句
router(config)#interface f0/0
router(config-if)#ip access-group acl_1 out




④查看ACL列表
router(config)# show ip interface e0 //查看接口ACL绑定情况
router(config)# show accesslists //监视ACL内容
router(config)#show access-list [acl表号]】

二.实例


拓扑图如下(路由配置用的是RIP),其中DNS服务器中有两条记录:

ns.shzu.edu.cn 2.2.2.200

ftp.shzu.edu.cn 2.2.2.100


实验要求:

①1.1.1.0/24网段中的所有节点能ping通2.2.2.0/24网段中的DNS服务器,而无法ping通其他节点

②2.2.2.0/24网段中的节点不能访问Internet(即不能ping 通R2之后的节点)


实验过程

①配置R1


②配置R2


③测试



至此实验结束,ACL配置过程中其他值得注意的一些地方总结如下:

访问控制列表的顺序决定被检验的顺序,特殊规则放在最前面(如针对某个主机)
每个列表至少有一个允许语句
每个接口,每个协议,每个方向上只能绑定一个ACL列表





cisco实现ACL配置
yunfeng
06-17 1万+
1. 什么是ACL 大家先看下面这张图: 当给路由器R1和路由器R2均配好路由选择协议之后 PC1可以ping通PC3 PC2也可以ping通PC3 那如果我现在不想让PC2去ping通PC3咋办,那就是去实现ACL(可以在路由器R2上去实现,也可以在路由器R1上,我下边在R2上实现) 2. 给各个路由器配置端口IP和路由协议 配置路由器R1: int f0/0 ip add 192.168.1.1 255.255.255.0 no shut int e1/0 ip add 192
思科 Cisco Packet Tracer 标准ACL配置
weixin_51736147的博客
12-01 6247
ACL基本配置 访问控制列表(Access Control List,ACL)是路由器和交换机接口的指令列表,用来控制进出的数据包。 2811路由器的fa接口只有两个,可以选择插入模块以增加接口或者换路由器,也可以使用其他连接方式与RTB连接。这里永强君采用添加模块的方式来演示。 PC1: IP地址 192.168.1.2 子网掩码 255.255.255.0 网关地址 192.168.1.1 PC2: IP地址 192.168.2.2 子网掩码 255.255.255.0 网关地址 1
Cisco交换机高级访问控制配置学习(ACL
02-25
应用实例:个人收集的关于交换机ACL的使用实例!
运维系列&网路设备系列【仅供参考】:CISCO路由器的ACL的各项设置
weixin_54626591的博客
06-21 828
CISCO路由器的ACL的各项设置
交换机ACL配置实战
weixin_33895604的博客
07-10 592
网络的飞速发展,使得大量的高端设备进入到局域网用户中,如何发挥这些设备的应有功能,节约重复投资,也是当前网络建设中的问题之一。本文通过对联想三层交换机(3508GF)的ACL功能开发应用,来探讨信息网络安全中利用交换机的访问控制列表(ACL)来构建计算机网络安全体系的一种方法。   在通常的网络管理中,我们都希望允许一些连接的访问,而禁止另一些连接的访问,但许多安全工具缺乏网...
思科CISCO ACL配置详解
2301_81615088的博客
06-18 1374
简称为ACL,访问控制列表使用包过滤技术,在上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定 义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的 支持了。入:已经到达路由器接口的数据包,但是还没有被路由器处理。出:已经 经过路由器的处理,正要离开路由器接口的数据包(1)、最小特权原则只给受控对象完成任务所必须的最小的权限。
思科ACL访问控制列表配置命令教程
2301_76845656的博客
05-25 9899
访问控制列表ACL概念访问控制列表简称为ACL,访问控制列表使用包过滤技术,在上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定 义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的 支持了。入:已经到达路由器接口的数据包,但是还没有被路由器处理。出:已经 经过路由器的处理,正要离开路由器接口的数据包标准访问控制列表:一般应用在out出站接口。建议配置在离目标端最近的路由上。
Cisco VLAN ACL配置
allway2的博客
06-02 5453
反掩码就是通配符掩码 , 通过标记0和1告诉设备应该匹配到哪位。在反掩码中,相应位为1的地址在比较中忽略,为0的必须被检查。IP地址与反掩码都是32位的数 由于跟子网掩码刚好相反,所以也叫反掩码。路由器使用的通配符掩码与源或目标地址一起来分辨匹配的地址范围,它与子网掩码不同。它不像子网掩码告诉路由器IP地址是属于哪个子网(网段),通配符掩码告诉路由器为了判断出匹配,它需要检查IP地址中的多少位。例如:255.255.255.0 反掩码(wildcard-mask)就是0.0.0.255。
思科 ——ACL实战配置命令
城下深蓝的博客
04-19 7331
思科 ——ACL实战配置命令
思科网络中如何配置标准ACL协议
2201_75693008的博客
03-09 6880
根据每台PC机所处的位置配置地址,这里可以统一给他们的地址为.1 / .2(每个IP网段共有254个地址是可以分配给PC机的,分别是第1~254,IP地址中的第一个地址.0是网络地址(保留地址),IP网段的最后一个地址.255是广播地址(保留地址)这样做是为了确保只有主机位为奇数的IP地址(即最后一位为1的IP地址)被允许通过ACL,而主机位为偶数的IP地址(即最后一位为0的IP地址)被拒绝。(创建一个标准ACLACL编号为1),表示只允许主机位为192.168.2.1的主机通过ACL
思科交换机基础--11三层交换机ACL配置
L_O_V_E8023的博客
09-10 1万+
思科三层交换机ACL配置 说明:ACL 主要是应用在路由器上,但现在三层交换机在大中型企业中的应用越来越广泛,三层交换机因拥有路由器的功能而逐渐代替路由器。 ACL 访问控制列表是构建安全规范的网络不可缺少的,但在三层交换机配置ACL 却不为一些刚进企业的初级网络管理维护人员所知。在这里我介绍一下在三层交换机配置 ACL 的试验过程。 如图所示分别配置四台pc机的ip。 switch0配置 switch1配置 三层交换机配置 在第三层,输入:ip routing 开启路由功能。 测试连
思科交换机访问控制列表ACL
01-04
详细描述交换机访问控制列表配置,使得对交换机访问控制列表有个明确的了解
Cisco 路由器ACL配置详解
12-02
给大家分享下: Cisco 路由器ACL配置详解,很详细,对大家应该有帮助
网络设备管理||路由器ACL|标准ACL/扩展ACL/命名ACL的命令配置思科路由器】
ingorenge的博客
10-22 3768
思科路由器ACL配置
思科三层交换机配置ACL(访问控制列表)的步骤讲解
热门推荐
WFlySky的博客
11-23 2万+
ACL访问控制列表是构建安全规范的网络不可缺少的,但在三层交换机配置ACL却不为一些刚进企业的初级网络管理维护人员所知。下面介绍一下在三层交换机配置ACL的试验过程。 三层交换机配置本地Vlan 实现下层接入层交换机不同Vlan互通。 PC1 192.168.20.10 VLAN 192.168.20.1 PC2 192.168.30.20 VLAN 192.168.30.1 PC3 192.168.40.30 VLAN 192.168.40.1 PC4 192.168.50.40 VLAN 192
Cisco ACL 配置实验
最新发布
m0_75251738的博客
07-15 718
本文介绍了在三层交换机配置ACL(访问控制列表)实现VLAN间通信控制的方法。通过传统和命名两种方式,分别演示了标准ACL和扩展ACL配置步骤,包括拒绝特定IP段、DHCP、DNS、HTTP和Telnet服务的实例。标准ACL基于源IP分类,扩展ACL支持五元组(源/目的IP、协议、端口)更精细控制。命名ACL支持按序号增删规则,而传统ACL需整体删除。配置结果显示,ACL能有效控制VLAN间服务的访问权限,为网络安全管理提供了灵活的实现手段。
Cisco Packet Tracer中思科模拟器标准访问控制列表的配置ACL
Cisco Packet Tracer 思科模拟器知识分享
09-12 6751
本篇文章主要讲解的是思科模拟器中标准访问控制列表ACL配置,每个步骤都有详细的配置步骤以及说明和解析,希望对你有帮助。
Cisco配置命令ACL
sniperliter的博客
11-16 1万+
文章目录路由器配置命令:扩展acl:上述配可以浏览网页,但是不能ping通是因为:ACL书写注意:自定义ACLACL应用到出入口上:自定义的扩展ACL中一条写错了怎么改?想在自定义扩展ACL中增加一个条目:例如11 路由器配置命令: 扩展acl: access-list 100 permit tcp(协议) any(源地址) host(目标地址:单一主机名) 70.1.1.100 eq(gt 大于 lt 小于 neq 不等于) 80 do show access # 显示ACL i
交换机acl配置
05-22
### Cisco 交换机 ACL 配置方法与示例 #### 基本概念 访问控制列表 (Access Control List, ACL) 是一种用于过滤网络流量的安全机制。它可以通过定义规则来允许或拒绝特定类型的流量,从而增强网络安全性和可控性。CiscoACL 支持两种主要类型:标准 ACL 和扩展 ACL。 --- #### 标准 ACL 配置 标准 ACL 主要基于源 IP 地址进行匹配。以下是配置命名标准 ACL 的具体步骤: 1. **删除旧的 ACL(如果存在)** 使用 `no` 命令清除现有的 ACL。 ```bash Router(config)# no access-list 1 ``` 2. **创建命名标准 ACL** 定义一个新的命名标准 ACL 并指定规则。 ```bash Router(config)# ip access-list standard NAME_OF_ACL Router(config-std-nacl)# permit SOURCE_IP MASK Router(config-std-nacl)# deny ANY_SOURCE ``` 示例: ```bash Router(config)# ip access-list standard ALLOW_192 Router(config-std-nacl)# permit 192.168.1.0 0.0.0.255 Router(config-std-nacl)# deny any ``` 3. **将 ACL 应用接口** 进入目标接口并绑定 ACL 到入口或出口方向。 ```bash Router(config-if)# interface INTERFACE_NAME Router(config-if)# ip access-group NAME_OF_ACL {in | out} ``` 示例: ```bash Router(config-if)# interface FastEthernet0/0 Router(config-if)# ip access-group ALLOW_192 out ``` 以上过程展示了如何在 Cisco 路由器上配置一个简单的命名标准 ACL[^2]。 --- #### 扩展 ACL 配置 扩展 ACL 不仅可以根据源地址还可以根据目的地址、协议类型以及端口号等更复杂的条件进行匹配。 1. **创建扩展 ACL** 创建扩展 ACL 并添加规则。 ```bash Router(config)# ip access-list extended NAME_OF_ACL Router(config-ext-nacl)# permit PROTOCOL SOURCE_IP MASK DESTINATION_IP MASK [OPERATOR PORT_NUMBER] Router(config-ext-nacl)# deny PROTOCOL ANY_ANYWHERE ``` 示例: ```bash Router(config)# ip access-list extended SECURE_HTTP Router(config-ext-nacl)# permit tcp host 192.168.1.1 eq www any Router(config-ext-nacl)# deny tcp any any eq telnet Router(config-ext-nacl)# permit ip any any ``` 2. **应用扩展 ACL** 同样需要将其绑定至某个接口的方向。 ```bash Router(config-if)# ip access-group NAME_OF_ACL {in | out} ``` 示例: ```bash Router(config-if)# interface GigabitEthernet0/1 Router(config-if)# ip access-group SECURE_HTTP in ``` 此部分描述了扩展 ACL 的灵活性及其应用场景[^2]。 --- #### 华为对比示例 为了更好地理解不同厂商之间的差异,以下是一个华为设备上的简单 ACL 配置实例: 1. **创建基本 ACL** ```bash [Huawei] acl number 2001 [Huawei-acl-basic-2001] rule permit source 192.168.2.1 0 [Huawei-acl-basic-2001] rule deny source any ``` 2. **应用 ACL接口** ```bash [Huawei]interface GigabitEthernet 0/0/1 [Huawei-GigabitEthernet0/0/1] undo traffic-filter inbound [Huawei-GigabitEthernet0/0/1] traffic-filter inbound acl 2001 ``` 尽管语法有所不同,但功能逻辑相似[^5]。 --- #### 注意事项 - ACL 的顺序非常重要,默认情况下会按照输入顺序依次执行规则。 - 如果未显式声明最后一条规则,则默认隐含有一条 “deny all” 规则。 - 推荐尽量减少复杂度,在满足业务需求的前提下优化规则数量。 ---
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值