ACL简单的配置

ACL实施配置指导ACL分类：第一类是：基本ACL1.标准ACL的编号范围：1-99和1300-1999；2.2.标准ACL只匹配源ip地址，3.ACL的匹配顺序为从上往下（ACE序号从小到大）匹配ACE条目，若匹配对应的ACE条目后，就执行该ACE条目的行为（允许/拒绝），不会再往下匹配其他ACE条目。

4.ACL最后隐含一体deny any的ACE条目，会拒绝所有流量。

若是禁止某网段访问，其他网段均放通，则应该在拒绝流量的ACE配置完成后，再加一条permit any的ACE条目，用来放行其他流量。

第二类是：扩展ACL1.扩展ACL的编号范围：100-199和2000-2699。

2.标准ACL只匹配源ip地址，扩展ACL可以匹配数据流的五大元素（源ip地址、目的ip地址、源端口、目的端口、协议号）3.ACL的匹配顺序为从上往下（ACE序号从小到大）匹配ACE条目，若匹配对应的ACE条目后，就执行该ACE条目的行为（允许/拒绝），不会再往下匹配其他ACE条目。

4.ACL最后隐含一体deny any的ACE条目，会拒绝所有流量。

若是禁止某网段访问，其他网段均放通，则应该在拒绝流量的ACE配置完成后，再加一条permit any的ACE条目，用来放行其他流量。

ACL规划：标准ACL总体规划如下:ACL范围编号用户备注1-99 管理设备访问控制1-99为通用ACL1300-1500 校内部门访问控制1300-1500为通用ACL1501-1700 校外连接访问控制1501-1700为通用ACL1701-1999 测试用户使用1801-1999 预留注释：通用ACL即是一类用户的接口都调用的ACL.扩展ACL总体规划如下：ACL范围编号用户备注100-199 管理设备访问控制100-199为通用ACL2000-2150 校内部门访问控制2000-2150为通用ACL2151-2300 校外连接访问控制2151-2300为通用ACL2301-2400 测试用户使用2400-2699 预留ACL规范：ACL命名规范：为了便于ACL的管理和检索，新增ACL命名规范需要统一制定规范，命名规范如下：公式：AAA_BB_N各字段含义如下：✓AAA：所属学校名称单字的首拼音大写，如西安工业大学则为XAGYDX；✓BB：区分不同的部门，如果为校内使用，则BB字段为XN。

ACL（访问控制列表）一、基本：1、基本ACL表2、扩展ACL表3、基于时间的ACL表4、动态ACL表二、ACL工作过程1、自上而下处理1)、如果有一个匹配的ACL，后面的ACL表不再检查2)、如果所有的ACL都不匹配，禁止所有的操作（隐含）特例，创建一个空的ACL表，然后应用这个空的ACL表，产生禁止所有的操作。

3）、后添加的ACL表，放在尾部4)、ALC表放置的原则：如果是基本ACL表，尽量放在目的端，如果是扩展ACL表，尽量放在源端5)、语句的位置：一般具体ACL表放在模糊的ACL表前6)、3P原则：每一个协议每一个接口每一个方向只有一个ACL表。

（多个ACL表会引起干扰）7)、应用ACL的方向，入站和出站，应用在接口上三、基本ACL表(不具体)1、定义命令：access-list <</span>编号> permit/denny 源IP地址 [子网掩码反码]应用命令：ip access-group <</span>编号> in/out 查看命令：sh access-lists1）、编号：1-99和1300-19992）、可以控制一台计算机或控制一段网络3）、host:表示一台计算机4)、any:表示任何计算机四、ACL配置步骤：1、定义ACL表2、应用ACL表五、路由器在默认的情况下，对所有数据都是开放，而防火墙在默认情况下，对所有数据都禁止。

六：判断是流入还是流出，看路由器的数据流向七：注意：如果在写禁止，小心默认禁止所有1.控制一台计算机(禁止)Access-list 1 deny 172.16.2.100Access-list 1 permit anyInterface f0/0Ip access-group 1 out (应用到端口)2、控制一段网络（禁止）Access-list 1 deny 172.16.2.0 0.0.0.255Access-list 1 permit anyInterface f0/0Ip access-group 1 out(应用到端口)3、控制一台计算机（允许）Access-list 1 permit 172.16.1.1004、控制一个网段（允许）Access-list 1 permit 172.16.1.0 0.0.0.255telnet服务配置：1)、使能密码2)、登录密码控制telnet服务应用端口命令：access-class <</span>编号> in/out 实例：只允许172.16.1.100能够使用telnet服务access-list 1 permit 172.16.1.100 Line vty 0 4Access-class 1 in实例：。

acl规则的配置命令-回复ACL（Access Control List）是一种网络安全性配置，用于控制网络设备的流量过滤和访问控制。

它可以根据不同的条件来限制特定的网络流量，并决定是否允许或拒绝该流量通过网络设备。

在本文中，我们将详细介绍如何配置ACL规则的命令。

配置ACL规则的命令可以在不同厂商的网络设备上有所不同。

本文将以思科（Cisco）网络设备为例，介绍如何配置ACL规则的命令。

首先，登录到思科网络设备的命令行界面。

这可以通过一个终端仿真软件（如TeraTerm、PuTTY等）连接到设备的控制台端口，或通过SSH远程连接到设备的IP地址来完成。

一旦成功登录到设备的命令行界面，可以使用以下命令来配置ACL规则：1. 创建一个命名的ACL：config tip access-list <ACL名称>这将进入全局配置模式，然后创建一个以指定名称命名的ACL。

该名称将用于区分不同的ACL规则。

2. 添加允许或拒绝的规则：permit deny <源地址> <源地址掩码> <目的地址> <目的地址掩码> <协议> <源端口> <目的端口>这个命令用于向ACL规则中添加一个允许或拒绝的规则。

可以根据需要指定源地址，目的地址，协议，源端口和目的端口。

例如，要允许从192.168.1.0/24网段访问到10.0.0.0/24网段的全部协议和端口，使用以下命令：permit ip 192.168.1.0 0.0.0.255 10.0.0.0 0.0.0.255使用`deny`关键字可以创建一个拒绝规则，例如：deny tcp any host 10.0.0.1 eq 80这将拒绝所有源地址的TCP流量访问目标地址为10.0.0.1的80端口。

3. 应用ACL规则到接口：interface <接口名称>ip access-group <ACL名称> {in out}这个命令用于将ACL规则应用到指定接口。

ACL配置实例拓扑图如下：实验一：标准访问控制列表1、设置访问控制列表1，禁止192、168、2、2这台主机访问192、168、1、0/24这个网段中得服务器，而192、168、2、0/24这个网段中得其它主机可以正常访问。

设置访问控制列表如下：R1(config)#access-list 1 deny host 192、168、2、2R1(config)#access-list 1 permit any将访问控制列表应用到接口F0/0得出站方向上R1(config)#int f0/0R1(config-if)#ip access-group 1 out2、设置访问控制列表2，只允许192、168、2、0/24这个网段中得主机可以访问外网，192、168、1、0/24这个网段得主机则不可以。

设置访问控制列表R1(config)#access-list 2 permit 192、168、2、0 0、0、0、255将访问控制列表应用到S0/0得出站方向上R1(config)#int serial 0/0R1(config-if)#ip access-group 2 out3、设置访问控制列表3，只允许192、168、2、3这台主机可以使用telnet连接R1。

4、查瞧访问控制列表2 match(es)这些信息显示就是过滤包得数据，可以使用clear access-list counters命令来清除。

5、查瞧配置在接口上得访问控制列表6、删除访问控制列表删除访问控制列表要从两个方面入手，一就是删除访问控制列表，二就是取消访问控制列表有接口上得应用。

R1(config)#no access-list 1R1(config)#int f0/0R1(config-if)#no ip access-group 1 out实验二：扩展访问控制列表扩展访问控制列表得语法：access-list [100-199] [permit/deny] 协议源IP 源IP反码目标IP 目标IP 反码条件[eq] [具体协议/端口号]1、在SERVER上搭建、DNS服务如下：2、测试从三台PC中就是否可以正常访问各种服务。

---------------------------------------------------------------最新资料推荐------------------------------------------------------交换机配置ACL基本配置交换机配置（三）ACL 基本配置 1，二层 ACL . 组网需求: 通过二层访问控制列表，实现在每天 8:00～18:00 时间段内对源 MAC 为 00e0-fc01-0101 目的 MAC 为 00e0-fc01-0303 报文的过滤。

该主机从 GigabitEthernet0/1 接入。

.配置步骤: (1)定义时间段 # 定义 8:00 至 18:00 的周期时间段。

[Quidway] time-range huawei 8:00 to 18:00 daily (2)定义源 MAC 为 00e0-fc01-0101 目的 MAC 为 00e0-fc01-0303 的 ACL # 进入基于名字的二层访问控制列表视图，命名为traffic-of-link。

[Quidway] acl name traffic-of-link link # 定义源 MAC 为00e0-fc01-0101 目的 MAC 为 00e0-fc01-0303 的流分类规则。

[Quidway-acl-link-traffic-of-link] rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress 00e0-fc01-0303 0-0-0 time-range huawei (3)激活 ACL。

# 将 traffic-of-link 的 ACL 激活。

[Quidway-GigabitEthernet0/1] packet-filter link-group traffic-of-link 2，三层 ACL a)基本访问控制列表配置案例 . 组网需求: 通过基本访问控制列表，实现在每天 8:00～18:00 时间段内对源 IP 为 10.1.1.1 主机发出报文的过滤。

ACL简单介绍与典型配置ACL（Access Control List）是一种网络安全措施，用于控制网络设备上的数据包流向，以实现对网络流量的精细控制。

ACL可以根据定义的规则决定是否允许或拒绝特定类型的流量通过网络设备。

ACL通常用于路由器、防火墙和交换机等网络设备上。

它可以根据各种因素，如源IP地址、目标IP地址、传输协议和端口号等，对数据包进行分类和过滤。

根据ACL的规则，设备可以决定允许或拒绝通过特定接口的数据包。

典型的ACL配置包括以下几个步骤：1.定义访问控制列表：首先需要定义一个ACL，指定要过滤的流量类型和规则。

ACL可以根据源IP地址、目标IP地址、传输协议和端口号等标准来定义。

2.配置ACL规则：ACL规则定义了允许或拒绝特定类型的流量通过网络设备。

规则可以基于源和目标IP地址、传输协议、端口号以及其他可用的规则。

例如，可以定义一个规则，只允许特定IP地址的流量通过。

3.应用ACL到接口：一旦ACL规则定义好，需要将ACL应用到特定的接口上。

这样，ACL将检查通过该接口的流量，并根据规则决定是否允许通过。

4.验证ACL配置：最后，需要验证ACL配置是否正常工作。

可以使用网络管理工具或命令行接口来检查ACL规则是否按预期工作。

ACL的配置可以根据具体的网络环境和需求进行调整。

以下是一些典型的ACL配置示例：1.限制对特定服务的访问：可以配置ACL规则，只允许特定IP地址的流量访问特定的服务。

例如，可以配置ACL规则，只允许公司内部IP 地址的流量访问内部文件服务器。

2.屏蔽恶意流量：可以配置ACL规则，拦截来自已知恶意IP地址的流量。

这样可以阻止潜在的网络攻击，保护网络安全。

3.限制流量传输：可以配置ACL规则，限制特定端口号上的传输量。

例如，可以限制一些服务器上的FTP流量，以确保带宽的合理使用。

4.配置访问控制策略：可以根据不同用户或用户组，配置不同的ACL 规则。

这样可以实现对不同用户的精细访问控制，确保网络安全。

访问控制列表的工作原理
1.分清数据流方向，在数据流经过路由器的入、出方向都
设置都生效的时候建议应用到入方向。

（入：先ACL后路由，出：先路由后ACL）
2.访问控制列表管理的是经过路由器的数据包（过路包）
3.匹配访问控制列表的顺序为：由上至下；由范围小至范
围大；默认拒绝剩下所有；如果第一条匹配，则不再往下检查列表；如果最后没有任何一条规则匹配，则路由器根据默认的规则将丢弃数据。

4.要撤销ACL 顺序建议：先撤销端口应用，再no掉相应
列表
5.标准ACL不能单独删除某一条，只能删除整个ACL组。

三、配置标准访问控制列表
1.创建ACL
Conf#access-list ID(1-99) permit/deny (源IP)
源IP反掩码
Conf#access-list 1 per
192.168.1.1 0.0.0.0
Conf#access-list 1 deny any
192.168.1.1 0.0.0.0=host 192.168.1.1
Any= 0.0.0.0 255.255.255.255
含义：标准acl 序号为1 允许192.168.1.1通行并拒
绝了剩余所有的流量通行
2.应用到端口上
Conf#int f0/0 (进入你要配置规则
的端口)
（Conf-if）#ip access-group 1 in
含义：在f0/0接口的入方向应用了ACL 1 规则。

实验三：路由器标准ACL配置一、实验目的:1. 路由器1.、路由器2、路由器3互连。

2. 配置标准ACL。

二、实验要求:拒绝PC2所在网段访问路由器R2，同时只允许主机PC3访问路由器R2 的Telnet 服务。

整个网络配置EIGRP保证IP的连通性。

三、实验步骤:1.首先在模拟器中构建出网络拓扑结构如下：2.分别配置路由器R1,R2,R3（同实验二）3.配置标准ACL，要求如下：整个网络配置EIGRP保证IP的连通性。

拒绝PC2所在网段访问路由器R2，同时只允许主机PC3访问路由器R2 的Telnet 服务。

路由协议EIGRP配置命令如下(eg:Router1)：Router#conf tRouter(config)#router eigrp 1Router(config-router)#net 192.168.3.0 0.0.0.255Router(config-router)#net 192.5.5.0 0.0.0.255Router(config-router)#net 201.100.11.0Router(config-router)#no autoRouter(config-router)#no auto-summaryRouter(config-router)# ^Z标准ACL配置命令如下(Router2):Router#conf tRouter(config)#access-list 1 deny 192.5.5.0 0.0.0.255 Router(config)#access-list 1 permit anyRouter(config)#int s0/0/1Router(config-if)#ip access-group 1 inRouter(config-if)#access-list 2 permit 223.8.151.3 Router(config)#line vty 0 4Router(config-line)#access-class 2 inRouter(config-line)#password ciscoRouter(config-line)#loginRouter(config-line)#^ZRouter#四、实验结果/调试1.Router2 ACL2.PC1网络主机3.PC2网络主机4.PC3网络主机五、实验小结通过这个实验，我进一步了解了对访问控制列表的理解，在同学的帮助下我对ip 地址以及rip协议相关的知识。

ACL原理及配置实例ACL是Access Control List的缩写，即访问控制列表，是网络设备上用来限制网络流量的一种功能。

ACL可以根据不同的条件对网络流量进行过滤和控制，以实现网络安全策略的目的。

ACL工作原理：ACL通过一个规则列表来决定对流量的处理方式，这个规则列表包含了匹配条件和动作两部分。

ACL会逐条匹配流量，并根据匹配结果执行相应的动作，通常包括允许、拒绝或者重定向到特定的目标地址。

ACL的规则列表按照优先级从高到低依次进行匹配，一旦匹配成功则不再进行后续的匹配。

因此，规则列表的顺序非常重要，应该将最常匹配的规则放在前面，这样可以提高ACL的效率。

ACL的配置实例：下面以思科路由器为例，演示ACL的配置过程。

1.创建一个ACL：首先，需要创建一个ACL用于定义规则列表。

ACL可以基于源地址、目标地址、源端口、目标端口、协议等条件进行过滤。

```Router(config)# ip access-list extended ACL_NAME```ACL_NAME是ACL的名称，可以自定义。

2.添加规则到ACL：在ACL中添加规则，来定义对网络流量的过滤行为。

每个规则都可以包含多个条件和一个动作。

```Router(config-ext-nacl)# permit/deny protocol source-address source-wildcarddestination-address destination-wildcard [operator [port]]```其中，protocol表示协议类型，可以是tcp、udp、icmp等；source-address和destination-address表示源地址和目标地址；source-wildcard和destination-wildcard表示源地址和目标地址的通配符掩码；operator表示具体的操作符，可以是eq、gt、lt、range等；port表示端口号或范围。

网络工程实践教程---实验指南第12章ACL12.1 ACL理论指导ACL是一种对网络通信流量的控制手段。

可以限制网络流量、提高网络性能。

在路由器端口处决定哪种类型的通信流量被转发或被阻塞。

ACL使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

ACL 是一系列permit 或deny 语句组成的顺序列表，应用于IP 地址或上层协议。

ACL 可以从数据提取以下信息，根据规则进行测试，然后决定是“允许”还是“拒绝”：●源IP 地址●目的IP 地址●ICMP 消息类型●TCP/UDP 源端口●TCP/UDP 目的端口当每个数据包经过接口时，都会与该接口上的ACL 中的语句从上到下一行一行进行比对，如果数据包报头与某条ACL 语句匹配，由匹配的语句决定是允许还是拒绝该数据包。

如果数据包报头与ACL 语句不匹配，那么将使用列表中的下一条语句测试数据包。

直到抵达列表末尾。

最后一条隐含的语句适用于不满足之前任何条件的所有数据包。

并会发出“拒绝”指令。

直接丢弃它们。

最后这条语句通常称为“隐式deny any 语句”或“拒绝所有流量”语句。

由于该语句的存在，所以ACL 中应该至少包含一条permit 语句，否则ACL 将阻止所有流量。

3P 原则：每种协议(per protocol)、每个方向(per direction)、每个接口(per interface) 配置一个ACL。

在适当的位置放置ACL 可以过滤掉不必要的流量，使网络更加高效。

一般原则：尽可能把扩展acl 放置在距离要被拒绝的通信流量近的地方。

标准ACL由于不能指定目的地址，所以它们应该尽可能放置在距离目的地最近的地方。

当要删除ACL时，首先在接口上输入no ip access-group 命令，然后输入全局命令no access-list 删除整个ACL。

acl（用户界面视图）命令配置和使用命令功能acl命令用来通过引用访问控制列表，对通过用户界面的登录进行限制。

undo acl命令用来取消通过用户界面的登录进行限制。

缺省情况下，不对通过用户界面的登录进行限制。

命令格式acl [ ipv6 ] { acl-number | acl-name } { inbound | outbound }undo acl [ ipv6 ] [ acl-number | acl-name] { inbound | outbound }参数说明参数ipv6acl-numberacl-nameinboundoutbound视图用户界面视图缺省级别3：管理级使用指南应用场景若需要对通过用户界面的登录进行限制，即对源IP、目的IP、源端口、目的端口、VPN实例和协议类型为TCP的报文进行控制，控制的动作是允许访问还是拒绝访问，可通过本命令实现。

前置条件执行本命令前，需要先执行acl（系统视图）命令和rule（基本ACL视图）或rule（高级ACL视图）命令成功配置访问控制列表。

若没有配置rule规则，执行本命令后，将不对通过用户界面的登录进行限制。

注意事项配置生效后，该用户界面的所有用户均受此ACL限制。

一个用户界面只能配置一个同类的ACL，即IPv4的inbound和outbound、IPv6的inbound和outbound共4类，每类最多只能配一个。

Console口界面不支持配置该命令。

使用实例# 在VTY0用户界面上，通过访问控制列表号限制Telnet登录其他设备。

<HUAWEI> system-view[HUAWEI] acl 3001[HUAWEI-acl-adv-3001] rule deny tcp destination-port eq telnet [HUAWEI-acl-adv-3001] quit[HUAWEI] user-interface vty 0[HUAWEI-ui-vty0] acl 3001 outbound# 在VTY0用户界面上，取消对Telnet登录其他设备的限制。

路由与交换--ACL基本命令及其实验配置1 ACL 的配置1.1 创建 ACL标准 ACLrouter(config)#access-list <ACL表号> {permit|deny}{<源IP|host><反掩码>|any} //表号1~99扩展 ACLrouter(config)#access-list <ACL表号> {permit|deny}{<协议名称>|<端⼝号>}{<源IP><反掩码>}{<⽬的IP><反掩码>}{<关系><协议名称>} //表号101~1991.2 应⽤ ACLrouter(config-if)#{协议栈} access-group <ACL表号> {in|out} //协议栈可以为IP或IPX2 ACL 上机实验2.1 ACL 配置举例 1router(config)#access-list 1 deny 10.0.0.10.0.0.0//ACL表号为1，丢弃10.0.0.1发出的数据包，相当于 deny host 10.0.0.1router(config)#access-list 1 permit anyrouter(config)#access-list 2 permit any //ACL表号为2，可以转发任意数据包router(config)#int s0/0router(config-if)#ip access-group 1in//该接⼝输⼊⽅向应⽤ACL列表组1，拒绝来⾃10.0.0.1的数据包router(config-if)#ip access-group 2out//该接⼝输出⽅向应⽤ACL列表组2，允许发出流经该路由器的所有数据包2.2 ACL 配置举例 2router(config)#access-list 101 deny tcp 172.16.0.00.0.255.255 host 192.168.1.1 eq telnet //不允许172.16.0.0⽹络的数据包telnet主机192.168.1.1router(config)#access-list 101 permit ip any any //允许转发其他任何数据包router(config)#int s0/0router(config-if)#ip access-group 101in2.3 ACL 配置举例 3限制只允许 192.168.2.2 访问 192.168.1.2 的 80 端⼝，192.168.3.2 访问 192.168.1.2 的 DNS。

acl的设置步骤和工作规则ACL（Access Control List）是一种用于控制网络设备访问权限的功能。

它可以根据设定的规则，限制特定IP地址或IP地址范围对网络资源的访问。

ACL的设置步骤和工作规则对于网络管理员来说非常重要，本文将对其进行详细介绍。

一、ACL的设置步骤1. 确定访问控制的需求：在设置ACL之前，首先需要确定网络中的哪些资源需要受到访问控制的限制。

这可以包括服务器、路由器、防火墙等网络设备。

2. 创建ACL规则：根据需求，创建ACL规则，确定哪些IP地址或IP地址范围可以访问特定的网络资源。

可以根据源IP地址、目的IP地址、协议类型、端口号等参数来定义规则。

可以使用数字表示法或名称表示法来表示IP地址范围。

3. 应用ACL规则：将创建好的ACL规则应用到相应的网络设备上。

这可以通过命令行界面或图形用户界面进行操作。

在应用ACL规则之前，需要确保网络设备已经启用了ACL功能。

4. 测试ACL规则：在应用ACL规则之后，需要进行测试以确保ACL规则能够正常工作。

可以尝试从受限制的IP地址访问网络资源，或者从允许访问的IP地址访问受限制的资源，以验证ACL规则的有效性。

5. 定期审查和更新ACL规则：ACL规则应该定期进行审查和更新，以适应网络环境的变化。

例如，当新增或删除了某些网络设备时，需要相应地更新ACL规则。

二、ACL的工作规则1. ACL规则的匹配顺序：当一个数据包到达网络设备时，ACL规则将按照特定的顺序进行匹配。

一般情况下，先匹配最具体的规则，然后再匹配更一般的规则。

如果有多个规则都匹配了同一个数据包，那么将根据匹配顺序的先后来确定应用哪个规则。

2. ACL规则的优先级：ACL规则可以设置优先级，以确保某些规则的应用顺序。

较高优先级的规则将会被先应用，而较低优先级的规则则会被忽略。

这可以用来处理特定的访问需求，例如允许特定IP 地址优先访问网络资源。

3. ACL规则的动作：ACL规则可以定义不同的动作，以控制数据包的处理方式。

ACL简单的配置ACL(Access Control List，访问控制列表)，简单说就是包过滤，根据数据包的报头中的ip地址、协议端口号等信息进行过滤。

利用ACL可以实现安全控制。

编号：1-99 or 1300-1999(standard IP)，100-199 or 2000-2699(Extended IP)。

ACL并不复杂，但在实际应用中的，要想恰当地应用ACL，必需要制定合理的策略。

一、实验配置拓扑图图一图二网络中的DNS服务器:192.168.1.2图三网络中的WWW服务器:192.168.1.3二、三个路由器的基本配置LuoShan#sh startup-configUsing 699 bytes!version 12.4no service password-encryption!hostname LuoShan!!enable password cisco!!!!username senya password 0 cisco!ip ssh version 1no ip domain-lookup!!interface FastEthernet0/0no ip addressduplex autospeed autoshutdown!interface FastEthernet0/1ip address 192.168.3.1 255.255.255.0 duplex autospeed auto!interface Serial0/3/0ip address 172.17.1.1 255.255.255.0 clock rate 56000!interface Serial0/3/1ip address 172.18.1.2 255.255.255.0 !interface Vlan1no ip addressshutdown!router eigrp 100network 192.168.3.0network 172.17.0.0network 172.18.0.0auto-summary!ip classless!!!!!line con 0line vty 0 4password ciscologin!!endHuangChuang#sh startup-configUsing 669 bytes!version 12.4no service password-encryption!hostname HuangChuang!!enable password cisco!!!!ip ssh version 1no ip domain-lookup!!interface FastEthernet0/0no ip addressduplex autospeed autoshutdown!interface FastEthernet0/1ip address 192.168.2.1 255.255.255.0 duplex autospeed auto!interface Serial0/3/0ip address 172.17.1.2 255.255.255.0 !interface Serial0/3/1ip address 172.16.1.1 255.255.255.0 clock rate 56000!interface Vlan1no ip addressshutdownrouter eigrp 100network 192.168.2.0network 172.17.0.0network 172.16.0.0auto-summary!ip classless!!!!!line con 0line vty 0 4password ciscologin!!endxixian#sh startup-configUsing 679 bytes!version 12.4service password-encryption!hostname xixian!!enable password 7 0822455D0A16 !!!!ip ssh version 1no ip domain-lookup!!interface FastEthernet0/0no ip addressduplex autospeed autoshutdowninterface FastEthernet0/1ip address 192.168.1.1 255.255.255.0duplex autospeed auto!interface Serial0/3/0ip address 172.18.1.1 255.255.255.0clock rate 56000!interface Serial0/3/1ip address 172.16.1.2 255.255.255.0!interface Vlan1no ip addressshutdown!router eigrp 100network 192.168.1.0network 172.18.0.0network 172.16.0.0auto-summary!ip classless!!!!!line con 0line vty 0 4password 7 0822455D0A16login!!end三、配置简单的ACL１、配置ACL限制远程登录到路由器的主机HuangChuang#conf tEnter configuration commands, one per line. End with CNTL/Z. HuangChuang(config)#access-list 1 permit host 192.168.2.2 ＼＼路由器HuangChuang只允许192.168.2.2远程登录(telnet)HuangChuang(config)#line vty 0 4HuangChuang(config-line)#access-class 1 inHuangChuang(config-line)#其它两个路由器配置相似。

交换机ACL原理及配置详解交换机ACL（Access Control List）是一种用于控制网络中数据流动的安全机制，它可以通过规则定义来确定允许或禁止一些特定的数据传输。

在交换机上配置ACL能够实现对网络流量进行过滤和限制，从而提高网络的安全性和性能。

ACL原理：ACL原理是基于“五元组”的匹配规则，包括：源IP地址、目的IP 地址、源端口号、目的端口号、传输协议。

通过对网络数据包的这些信息进行匹配，交换机可以根据ACL规则来决定是否允许该数据包通过。

ACL配置详解：1.创建一个ACL列表：在交换机上创建一个ACL列表，用于存储ACL规则。

```Switch(config)#ip access-list extended ACL_NAME```其中ACL_NAME是ACL列表的名称，可以根据实际情况进行命名。

2.添加ACL规则：向ACL列表中添加ACL规则，规定允许或禁止数据传输的条件。

```Switch(config-ext-nacl)#permit/deny protocol source_ipsource_port destination_ip destination_port```其中，protocol是要匹配的传输协议（如TCP或UDP），source_ip是源IP地址，source_port是源端口号，destination_ip是目的IP地址，destination_port是目的端口号。

可以通过多次输入以上命令来添加多个ACL规则。

3.应用ACL规则：将ACL列表应用到交换机的接口上，以实现对该接口上的数据传输进行过滤。

```Switch(config)#interface interface_type interface_numberSwitch(config-if)#ip access-group ACL_NAME {in ， out}```其中，interface_type是接口类型（如Ethernet或GigabitEthernet），interface_number是接口号，ACL_NAME是之前创建的ACL列表的名称，in表示进入该接口的数据流将被匹配ACL规则进行过滤，out表示从该接口发送的数据流将被匹配ACL规则进行过滤。