标准ACL和扩展ACL

1、5.2.3 标准标准ACL和扩展和扩展ACL深圳职业技术学院深圳职业技术学院梁广民（梁广民（CCIE#14496）国家精品课程国家精品课程国家精品资源共享课程国家精品资源共享课程教育部网络技术专业教学资源库课程教育部网络技术专业教学资源库课程“十二五十二五”职业教育国家规划教材职业教育国家规划教材2Cisco ACLs的类型的类型有两类有两类 Cisco ACLs, 标准和扩展标准和扩展. 标准标准 ACLs:标准标准 ACL 根据源根据源 IP 地址允许或拒绝流量地址允许或拒绝流量. 扩展扩展 ACLs:扩展扩展 ACL 根据多种属性允许或拒绝流量根据多种属性允许或拒绝流量.使用使用 ACL

2、 时主要涉及以下两项任务时主要涉及以下两项任务:1.通过指定访问列表编号或名称以及访问条件来创建访问列表通过指定访问列表编号或名称以及访问条件来创建访问列表.2.将将 ACL 应用到接口或终端线路应用到接口或终端线路.3编编号号ACL和命名和命名ACL4输入条件语句输入条件语句注意注意: 应该将最频繁使用的应该将最频繁使用的 ACL 条目放在列表顶部条目放在列表顶部. 您必须在您必须在 ACL 中至少包含一条中至少包含一条 permit 语句，语句，否则所有流量都会被阻止否则所有流量都会被阻止.图中的两个图中的两个 ACL（101 和和 102）具有相同的效果）具有相同的效果. 5配置标准配置

3、标准 ACLRouter(config)#access-list access-list-number deny/permit remark source source-wildcard log配置标准配置标准 ACL 之后，可以使用之后，可以使用 ip access-group 命令将其关联到接口命令将其关联到接口: Router(config-if)#ip access-group access-list-number | access-list-name in | out6标准标准 ACL配置举例配置举例7将标准将标准 ACLs 应用到线路应用到线路使用使用 ACL 控制控制 VTY 访

4、问：访问：access-class 命令的语法是命令的语法是:access-class access-list-number in vrf-also | out8创建标准命名创建标准命名 ACLs1.进入全局配置模式，使用进入全局配置模式，使用 ip access-list 命令创建命名命令创建命名 ACL。ACL 名称是字母数字，必须唯一而且不能以数字开头名称是字母数字，必须唯一而且不能以数字开头.2.在命名在命名 ACL 配置模式下，使用配置模式下，使用 permit 或或 deny 语句指定一语句指定一个或多个条件，以确定数据包应该转发还是丢弃个或多个条件，以确定数据包应该转发还是丢弃.

5、3. 应用应用ACL若以若以ACL规定的表号范围的数字命名，则自动转为表号命名方式规定的表号范围的数字命名，则自动转为表号命名方式9监控和检验监控和检验 ACLsshow access-lists10编辑编辑命名命名 ACLs命名命名 IP ACL 允许您删除指定允许您删除指定 ACL 中的具体条目中的具体条目. 可以使用序列号将语句插入命名可以使用序列号将语句插入命名 ACL 中的任何位置。中的任何位置。 11扩展扩展 ACLs为了更加精确地控制流量过滤，可以使用编号在为了更加精确地控制流量过滤，可以使用编号在 100 到到 199 之间以及之间以及 2000 到到 2699 之之间的扩展间

6、的扩展 ACL（最多可使用（最多可使用 800 个扩展个扩展 ACL）。可以对扩展）。可以对扩展 ACL 命名命名. 12配置扩展配置扩展 ACLs配置扩展配置扩展 ACL 的操作步骤与配置标准的操作步骤与配置标准 ACL 的步骤相同的步骤相同 首先创建扩展首先创建扩展 ACL，然后在接口上，然后在接口上应用应用它它. 13配置扩展配置扩展 ACLs14创建命名扩展创建命名扩展 ACLs1.进入全局配置模式，使用进入全局配置模式，使用 ip access-list extendedname 命令创建命名命令创建命名 ACL. 2.在命名在命名 ACL 配置模式中，指定您望允许或配置模式中，指定

7、您望允许或拒绝的条件拒绝的条件.3.应用应用ACL. 4.返回特权执行模式，并使用返回特权执行模式，并使用 show access-lists number | name 命令检验命令检验 ACL.15每个每个 ACL 都应该放置在最能发挥作用的位置。基本的规则是：都应该放置在最能发挥作用的位置。基本的规则是： 将扩展将扩展 ACL 尽可能靠近要拒绝流量的源。这样，才能在不需要的流量尽可能靠近要拒绝流量的源。这样，才能在不需要的流量流经网络之前将其过滤掉流经网络之前将其过滤掉. 因为标准因为标准 ACL 不会指定目的地址，所以其位置应该尽可能靠近目的地不会指定目的地址，所以其位置应该尽可能靠近目的地. E0E0E1S0S1S0S1E0E0放置放置ACL位置位置16ACL 3P原则原则 每种协议一个 ACL - 要控制接口上的流量，必须为接口上启用的每种协议定义相应的 ACL。 每个方向一个 ACL - 一个 ACL 只能控制接口上一个方向的流量。要控制入站流量和出站流量，必须分别定义两个 ACL。 每个接口一个 ACL - 一个 ACL 只能控制一个接口（例如 GigabitEthernet 0/0）上的流量。17标准标准ACL与扩展与扩展ACL比较比较标准（标准（Standard）扩展（扩展（Extend