router有3个LAN的连接1个Internet的连接.现在,销售部的用户不允许访问金融部的用户,但是允许他们访问市场部和Internet连接.配置如下:

　　Router(config)#access-list 10 deny 172.16.40.0 0.0.0.255
　　Router(config)#access-list 10 permit any

　　注意隐含的deny any,所以末尾这里我们要加上permit any,any等同于0.0.0.0 255.255.255.255.接下来把ACL应用在接口上,之前说过了尽可能的把IP标准ACL放置在离目标地址近的地方,所以使用ip access-group命令把ACL 10放在E1接口,方向为出,即out.如下:

　　Router(config)#int e1
　　Router(config-if)#ip access-group 10 out

　　Controlling VTY(Telnet) Access

　　使用IP标准ACL来控制VTY线路的访问.配置步骤如下:
　　1.创建个IP标准ACL来允许某些主机可以telnet
　　2.使用access-class命令来应用ACL到VTY线路上

　　实例如下:
　　Router(config)#access-list 50 permit 172.16.10.3
　　Router(config)#line vty 0 4
　　Router(config-line)#access-class 50 in
　　如上,进入VTY线路模式,应用ACL,方向为进来,即in.因为默认隐含的deny any,所以上面的例子,只允许IP地址为172.16.10.3的主机telnet到router上

　　Extended Access Lists

　　扩展ACL:命令是access-list [ACL号] [permit/deny] [协议] [源地址] [目标地址] [操作符] [端口] [log].ACL号的范围是100到199和2000到2699;协议为TCP,UDP等,操作符号有eq(表等于),gt(大于),lt(小于)和neq(非等于)等等;log为可选,表示符合这个ACL,就记录下这些日志

　　来看1个配置扩展ACL的实例:

　　假如要拒telnet和FTP到绝位于金融部的主机172.16.30.5,配置如下:
　　Router(config)#access-list 110 deny tcp any host 172.16.30.5 eq 21
　　Router(config)#access-list 110 deny tcp any host 172.16.30.5 eq 23
　　Router(config)#access-list 110 permit ip any any
　　记住默认隐含的deny all.应用到E1接口,注意方向为out,如下:
　　Router(config)#int e1
　　Router(config-if)#ip access-group 110 out
Named Access Lists

　　命名访问列表是创建标准和扩展访问列表的另外1种方法.它允许你使用命名的方法来创建和应用标准或者扩展访问列表.使用ip access-list命令来创建,如下:

　　Router(config)#ip access-list ?
　　extended Extended Acc
　　logging Control access list logging
　　standard Standard Access List
　　Router(config)#ip access-list standard ?
　　<1-99> Standard IP access-list number
　　WORD Access-list name
　　Router(config)#ip access-list standard BlockSales
　　Router(config-std-nacl)#?
　　Standard Access List configuration commands:
　　default Set a command to its defaults
　　deny Specify packets to reject
　　exit Exit from access-list configuration mode
　　no Negate a command or set its default
　　permit Specify packets to forward
　　Router(config-std-nacl)#deny 172.16.40.0 0.0.0.255
　　Router(config-std-nacl)#permit any
　　Router(config-std-nacl)#exit
　　Router(config)#^Z
　　Router#sh run
　　(略)
　　!
　　ip access-list standard BlockSales
　　deny 172.16.40.0 0.0.0.255
　　permit any
　　!
　　(略)

　　接下来应用到接口上,如下:
　　Router(config)#int 1
　　Router(config-if)#ip access-group BlockSales out
　　Router(config-if)#^Z
　　Router#

　　Monitoring Access Lists

　　一些验证ACL的命令,如下:
　　1.show access-list:显示router上配置了的所有的ACL信息,但是不显示哪个接口应用了哪个ACL的信息
　　2.show access-list [number]:显示具体第几号ACL信息,也不显示哪个接口应用了这个ACL
　　3.show ip interface:只显示IP访问列表信息
　　4.show ip interface:显示所有接口的信息和配置的ACL信息
　　5.show ip interface [接口号]:显示具体某个接口的信息和配置的ACL信息
　　6.show running-config:显示DRAM信息和ACL信息,以及接口对ACL的应用信息.

相关新闻

最新评论共有 0 位网友发表了评论

发表评论

评论内容：不能超过250字，需审核，请自觉遵守互联网相关政策法规。

用户名： 密码： 验证码： 匿名? 注册

热评文章

·悬挂阿里妈妈会否被百度惩罚
·阿里妈妈是否是中小站长的救世主?
·搜搜问问抢不了百度知道的饭碗
·网络的成功在于与传统商业的联姻
·Google绿色专家质疑黑色背景网页节省资源
·我的网络，我的团队:专访李文明
·网聚力量矜持是道专访聚吧站长欠情
·色•戒•网络：均在欲望中纠缠
·访谈录 非主流巴士网站长球球快跑
·站长访谈：天道酬勤 青春有梦
·草根站长团队建设浅析
·随爱而行 专访湛蓝城堡三位女管理员
·评论：博客实名黯然退场 网络管制宜有反思
·百度新闻频道改版十天 流量止跌反弹翻了一
·爆笑 阿里就这样把亿告征服！

最新图文

• 
  做就做自己喜欢的
• 
  什么样的网上简历最“抢
• 
  一个女站长的网络历程
• 
  盘点"非主流"的发展史

站长学院　　网页设计 建站教程 图形图象 网络编程

Photoshop CS3

不用Photoshop

DIV+CSS的开发方式 听听另外的
虚拟主机建站动易里快速生成的
VBScript特效代码 满屏幕乱跑
牛气！一个菜鸟站长的超强网站
创建、维护一个个人博客的“投
让网站流量稳步飙升的秘籍
网站推广的基本思想

地区性网站经营方法及误区 因多添加一段代码而惹的祸－－ 怎么让10天的新网站,有100个外

• 
  Photoshop简单几步快速
• 
  Photoshop参数预设与图
• 
  Photoshop简单几步打造
• 
  无价：Photoshop制作一

新闻线索

如果你有站长界人事变动、重组并购、变革技术出现，以及产品投诉等重要新闻线索，请告诉我们，我们会给予特别关注。
0631-3653338
站长中国编辑部
站长中国24小时新闻热线： 13256307008