access-list(访问控制列表的配置)

2024年6月1日发(作者：)

access-list（访问控制列表的配置）

示例：

编号方式

标准的ACL使用 1 ~ 99 以及1300~1999之间的数字作为表号，

扩展的ACL使用100 ~ 199以及2000~2699之间的数字作为表号

一、标准（标准ACL可以阻止来自某一网络的所有通信流量，或

者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比

如IP）的所有通信流量。）

◆允许172.17.31.222通过，其他主机禁止

Cisco-3750(config)#access-list 1（策略编号）（1-99、1300-

1999）permit host 172.17.31.222◆禁止172.17.31.222通过,其他主

机允许

Cisco-3750(config)#access-list 1 deny host 172.17.31.222

Cisco-3750(config)#access-list 1 permit any

◆允许172.17.31.0/24通过,其他主机禁止

Cisco-3750(config)#access-list 1 permit 172.17.31.0

0.0.0.254（反码255.255.255.255减去子网掩码，如172.17.31.0/24

的255.255.255.255—255.255.255.0=0.0.0.255）

◆禁止172.17.31.0/24通过,其他主机允许

Cisco-3750(config)#access-list 1 deny 172.17.31.0 0.0.0.254

Cisco-3750(config)#access-list 1 permit any

二、扩展（扩展ACL比标准ACL提供了更广泛的控制范围。例如，

网络管理员如果希望做到“允许外来的Web通信流量通过，拒绝外来

的FTP和Telnet等通信流量”，那么，他可以使用扩展ACL来达到目

的，标准ACL不能控制这么精确。）

◆允许172.17.31.222访问任何主机80端口，其他主机禁止

Cisco-3750(config)#access-list 100 permit tcp host

172.17.31.222（源）any（目标）eq www ◆允许所有主机访问

172.17.31.222主机telnet（23）端口其他禁止

Cisco-3750(config)#access-list 100（100-199、2000-2699）

permit tcp any host 172.17.31.222 eq 23

接口应用（入方向）（所有ACL只有应用到接口上才能起作用）

Cisco-3750(config)#int g1/0/1

Cisco-3750(config-if)#ip access-group 1 in（出方向out）

命名方式

一、标准

◆建立标准ACL命名为test、允许172.17.31.222通过，禁止

172.17.31.223通过，其他主机禁止

Cisco-3750(config)#ip access-list standard test

Cisco-3750(config-std-nacl)#permit host 172.17.31.222

Cisco-3750(config-std-nacl)#deny host 172.17.31.223

◆建立标准ACL命名为test、禁止172.17.31.223通过，允许其

他所有主机。

Cisco-3750(config)#ip access-list standard test

Cisco-3750(config-std-nacl)#deny host 172.17.31.223

Cisco-3750(config-std-nacl)#permit any

二、扩展

◆建立扩展ACL命名为test1，允许172.17.31.222访问所有主机

80端口，其他所有主机禁

Cisco-3750(config)#ip access-list extended test1

Cisco-3750(config-ext-nacl)#permit tcp host 172.17.31.222

any eq www

◆建立扩展ACL命名为test1，禁止所有主机访问172.17.31.222

主机telnet（23）端口，但允许访问其他端口

Cisco-3750(config)#ip access-list extended test1

Cisco-3750(config-ext-nacl)#deny

172.17.31.222 eq 23

Cisco-3750(config-ext-nacl)#permit tcp any any

接口应用（入方向）（所有ACL只有应用到接口上才能起作用）

tcp any host

Cisco-3750(config)#int g1/0/1

Cisco-3750(config-if)#ip access-group test in（出方向out）

接口应用原则

标准ACL，的应用靠近目标地址

扩展ACL，的应用靠近源地址