cisco 访问控制列表 配置命令及注释理解

cisco路由器配置ACL详解什么是ACL访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的;该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了;访问控制列表使用原则由于ACL涉及的配置命令很灵活,功能也很强大,所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置;在介绍例子前为大家将ACL设置原则罗列出来,方便各位读者更好的消化ACL知识;1、最小特权原则只给受控对象完成任务所必须的最小的权限;也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的;2、最靠近受控对象原则所有的层访问权限控制;也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句;3、默认丢弃原则在路由交换设备中默认最后一句为ACL中加入了DENYANYANY,也就是丢弃所有不符合条件的数据包;这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视;由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等;因此,要达到端到端的权限控制目的,需要和系统级及应用级的访问权限控制结合使用;分类：标准访问控制列表扩展访问控制列表基于名称的访问控制列表反向访问控制列表基于时间的访问控制列表标准访问列表：访问控制列表ACL分很多种,不同场合应用不同种类的ACL;其中最简单的就是标准访问控制列表,标准访问控制列表是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99来创建相应的ACL访问控制列表ACL分很多种,不同场合应用不同种类的ACL;其中最简单的就是标准访问控制列表,他是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99来创建相应的ACL;标准访问控制列表的格式：标准访问控制列表是最简单的ACL;它的具体格式如下：access-listACL号permit|denyhostip地址例如：access-list10denyhost当然我们也可以用网段来表示,对某个网段进行过滤;命令如下：0.0.00.0.0.255呢这是因为小提示：对于标准访问控制列表来说,默认的命令是HOST,也就是说access-list10deny标准访问控制列表实例一：环境介绍：我们采用如图所示的网络结构;实例1：路由器配置命令access-list1permithostaccess-list1denyany设置ACL,阻止其他一切IP地址进行通讯传输;inte1进入E1端口;ipaccess-group1 in将ACL1宣告;小提示：由于默认添加了DENYANY的语句在每个ACL中,所以上面的access-list1denyany这句命令可以省略;另外在路由器连接网络不多的情况下也可以在E0端口使用ipaccess-group1out命令来宣告,宣告结果和上面最后两句命令效果一样;标准访问控制列表实例二：配置任务：配置命令：access-list1denyhostaccess-list1permitany设置ACL,容许其他地址的计算机进行通讯inte1进入E1端口ipaccess-group1 in将ACL1宣告,同理可以进入E0端口后使用ipaccess-group1out来完成宣告;总结：标准ACL占用路由器资源很少,是一种最基本最简单的访问控制列表格式;应用比较广泛,经常在要求控制级别较低的情况下使用;如果要更加复杂的控制数据包的传输就需要使用扩展访问控制列表了,他可以满足我们到端口级的要求;扩展访问控制列表：上面我们提到的标准访问控制列表是基于IP地址进行过滤的,是最简单的ACL;那么如果我们希望将过滤细到端口怎么办呢或者希望对数据包的目的地址进行过滤;这时候就需要使用扩展访问控制列表了;使用扩展IP访问列表可以有效的容许用户访问物理LAN而并不容许他使用某个特定服务例如,FTP等;扩展访问控制列表使用的ACL号为100到199;扩展访问控制列表的格式：扩展访问控制列表是一种高级的ACL,配置命令的具体格式如下：access-listACL号permit|deny协议定义过滤源主机范围定义过滤源端口定义过滤目的主机访问定义过滤目的端口例如：access-list101denytcpanyhosteq这句命令是将所有主机访问这个地址网页服务TCP连接的数据包丢弃;小提示：同样在扩展访问控制列表中也可以定义过滤某个网段,当然和标准访问控制列表一样需要我们使用反向掩码定义IP地址后的子网掩码;扩展访问控制列表的实例：环境介绍：我们采用如图所示的网络结构;配置任务：路由器配置命令：0.0.0默认添加DENYANY的命令,所以ACL只写此一句即可;inte0进入E1端口ipaccess-group101out将ACL101宣告出去扩展ACL有一个最大的好处就是可以保护服务器,例如很多服务器为了更好的提供服务都是暴露在公网上的,如果所有端口都对外界开放,很容易招来黑客和病毒的攻击,通过扩展ACL可以将除了服务端口以外的其他端口都封锁掉,降低了被攻击的机率;如本例就是仅仅将80端口对外界开放;总结：扩展ACL功能很强大,他可以控制源IP,目的IP,源端口,目的端口等,能实现相当精细的控制,扩展ACL不仅读取IP包头的源地址/目的地址,还要读取第四层包头中的源端口和目的端口的IP;不过他存在一个缺点,那就是在没有硬件ACL加速的情况下,扩展ACL会消耗大量的路由器资源;所以当使用中低档路由器时应尽量减少扩展ACL的条目数,将其简化为标准ACL或将多条扩展ACL合一是最有效的方法;基于名称的访问控制列表不管是标准访问控制列表还是扩展访问控制列表都有一个弊端,那就是当设置好ACL的规则后发现其中的某条有问题,希望进行修改或删除的话只能将全部ACL信息都删除;也就是说修改一条或删除一条都会影响到整个ACL列表;这一个缺点影响了我们的工作,为我们带来了繁重的负担;不过我们可以用基于名称的访问控制列表来解决这个问题;一、基于名称的访问控制列表的格式：ipaccess-liststandard|extendedACL名称例如：ipaccess-liststandardsofter就建立了一个名为softer的标准访问控制列表;二、基于名称的访问控制列表的使用方法：当我们建立了一个基于名称的访问列表后就可以进入到这个ACL中进行配置了;例如我们添加三条ACL规则1.1.12.2.23.3.3如果我们发现第二条命令应该是2.2.2permitpermit总结：如果设置ACL的规则比较多的话,应该使用基于名称的访问控制列表进行管理,这样可以减轻很多后期维护的工作,方便我们随时进行调整ACL规则;反向访问控制列表：我们使用访问控制列表除了合理管理网络访问以外还有一个更重要的方面,那就是防范病毒,我们可以将平时常见病毒传播使用的端口进行过滤,将使用这些端口的数据包丢弃;这样就可以有效的防范病毒的攻击;不过即使再科学的访问控制列表规则也可能会因为未知病毒的传播而无效,毕竟未知病毒使用的端口是我们无法估计的,而且随着防范病毒数量的增多会造成访问控制列表规则过多,在一定程度上影响了网络访问的速度;这时我们可以使用反向控制列表来解决以上的问题;一、反向访问控制列表的用途反向访问控制列表属于ACL的一种高级应用;他可以有效的防范病毒;通过配置反向ACL可以保证AB两个网段的计算机互相PING,A可以PING通B而B不能PING通A;说得通俗些的话就是传输数据可以分为两个过程,首先是源主机向目的主机发送连接请求和数据,然后是目的主机在双方建立好连接后发送数据给源主机;反向ACL控制的就是上面提到的连接请求;二、反向访问控制列表的格式反向访问控制列表格式非常简单,只要在配置好的扩展访问列表最后加上established即可;我们还是通过实例为大家讲解;反向访问控制列表配置实例环境介绍：我们采用如图所示的网络结构;,我们通过反向ACL设置保护这些配置实例：路由器配置命令：0.0.0进入E1端口ipaccess-group101out将ACL101宣告出去小提示：通过上文配置的反向ACL会出现一个问题,那就是0.0.0这样根据“最靠近受控对象原则”基于时间的访问控制列表：上面我们介绍了标准ACL与扩展ACL,实际上我们只要掌握了这两种访问控制列表就可以应付大部分过滤网络数据包的要求了;不过实际工作中总会有人提出这样或那样的苛刻要求,这时我们还需要掌握一些关于ACL的高级技巧;基于时间的访问控制列表就属于高级技巧之一;一、基于时间的访问控制列表用途：可能公司会遇到这样的情况,要求上班时间不能上,下班可以上或者平时不能访问某网站只有到了周末可以;对于这种情况仅仅通过发布通知规定是不能彻底杜绝员工非法使用的问题的,这时基于时间的访问控制列表应运而生;二、基于时间的访问控制列表的格式：基于时间的访问控制列表由两部分组成,第一部分是定义时间段,第二部分是用扩展访问控制列表定义规则;这里我们主要讲解下定义时间段,具体格式如下：time-range时间段名称absolutestart小时：分钟日月年end小时：分钟日月年例如：time-rangesofterabsolutestart0:001may2005end12:001june2005意思是定义了一个时间段,名称为softer,并且设置了这个时间段的起始时间为2005年5月1日零点,结束时间为2005年6月1日中午12点;我们通过这个时间段和扩展ACL的规则结合就可以指定出针对自己公司时间段开放的基于时间的访问控制列表了;当然我们也可以定义工作日和周末,具体要使用periodic命令;我们将在下面的配置实例中为大家详细介绍;配置实例：要想使基于时间的ACL生效需要我们配置两方面的命令：1、定义时间段及时间范围;2、ACL自身的配置,即将详细的规则添加到ACL中;3、宣告ACL,将设置好的ACL添加到相应的端口中;环境介绍：我们采用如图所示的网络结构;配置任务：路由器配置命令：time-rangesofter定义时间段名称为softerperiodicweekend00:00to23:59定义具体时间范围,为每周周末6,日的0点到23点59分;当然可以使用periodicweekdays定义工作日或跟星期几定义具体的周几;0.0.0access-list101permitipanyany设置ACL,容许其他时间段和其他条件下的正常访问;inte1进入E1端口;ipaccess-group101out宣告ACL101;提供的FTP资源了,平时无法访问;访问控制列表流量记录网络管理员就是要能够合理的管理公司的网络,俗话说知己知彼方能百战百胜,所以有效的记录ACL 流量信息可以第一时间的了解网络流量和病毒的传播方式;下面这篇文章就为大家简单介绍下如何保存访问控制列表的流量信息,方法就是在扩展ACL规则最后加上LOG命令;实现方法：log为指定一个日志0.0.0在希望监测的扩展ACL最后加上LOG命令,这样就会把满足该条件的信息保存到指定的日志小提示：如果在扩展ACL最后加上log-input,则不仅会保存流量信息,还会将数据包通过的端口信息也进行保存;使用LOG记录了满足访问控制列表规则的数据流量就可以完整的查询公司网络哪个地方流量大,哪个地方有病毒了;简单的一句命令就完成了很多专业工具才能完成的工作;ACL百科名片访问控制列表AccessControlList,ACL是路由器和交换机接口的指令列表,用来控制端口进出的数据包;ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等;这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制;目录ACL介绍信息点间通信,内外网络的通信都是企业网络中必不可少的业务需求,但是为了保证内网的安全性,需要通过安全策略来保障非授权用户只能访问特定的网络资源,从而达到对访问进行控制的目的;简而言之,ACL可以过滤网络中的流量,控制访问的一种网络技术手段;ACL的定义也是基于每一种协议的;如果路由器接口配置成为支持三种协议IP、AppleTa lk以及IPX的情况,那么,用户必须定义三种ACL来分别控制这三种协议的数据包;1ACL的作用ACL可以限制网络流量、提高网络性能;例如,ACL可以根据数据包的协议,指定数据包的优先级;ACL提供对通信流量的控制手段;例如,ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量;ACL是提供网络安全访问的基本手段;ACL允许主机A访问人力资源网络,而拒绝主机B访问;ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞;例如,用户可以允许E-mail通信流量被路由,拒绝所有的Telnet通信流量;例如：某部门要求只能使用这个功能,就可以通过ACL实现；又例如,为了某部门的保密性,不允许其访问外网,也不允许外网访问它,就可以通过ACL实现;ACL的执行过程一个端口执行哪条ACL,这需要按照列表中的条件语句执行顺序来判断;如果一个数据包的报头跟表中某个条件判断语句相匹配,那么后面的语句就将被忽略,不再进行检查;数据包只有在跟第一个判断条件不匹配时,它才被交给ACL中的下一个条件判断语句进行比较;如果匹配假设为允许发送,则不管是第一条还是最后一条语句,数据都会立即发送到目的接口;如果所有的ACL判断语句都检测完毕,仍没有匹配的语句出口,则该数据包将视为被拒绝而被丢弃;这里要注意,ACL不能对本路由器产生的数据包进行控制;ACL的分类目前有两种主要的ACL:标准ACL和扩展ACL、通过命名、通过时间;标准的ACL使用1~99以及1300~1999之间的数字作为表号,扩展的ACL使用100~199以及2000~2699之间的数字作为表号;标准ACL可以阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇比如IP的所有通信流量;扩展ACL比标准ACL提供了更广泛的控制范围;例如,网络管理员如果希望做到“允许外来的Web通信流量通过,拒绝外来的FTP和Telnet等通信流量”,那么,他可以使用扩展ACL 来达到目的,标准ACL不能控制这么精确;在标准与中均要使用表号,而在命名访问控制列表中使用一个字母或数字组合的字符串来代替前面所使用的数字;使用命名访问控制列表可以用来删除某一条特定的控制条目,这样可以让我们在使用过程中方便地进行修改;在使用命名访问控制列表时,要求路由器的IOS 在以上的版本,并且不能以同一名字命名多个ACL,不同类型的ACL也不能使用相同的名字;随着网络的发展和用户要求的变化,从开始,思科CISCO路由器新增加了一种基于时间的访问列表;通过它,可以根据一天中的不同时间,或者根据一星期中的不同日期,或二者相结合来控制网络数据包的转发;这种基于时间的访问列表,就是在原来的标准访问列表和扩展访问列表中,加入有效的时间范围来更合理有效地控制网络;首先定义一个时间范围,然后在原来的各种访问列表的基础上应用它;基于时间访问列表的设计中,用time-range命令来指定时间范围的名称,然后用absolu te命令,或者一个或多个periodic命令来具体定义时间范围;2正确放置ACLACL通过过滤数据包并且丢弃不希望抵达目的地的数据包来控制通信流量;然而,网络能否有效地减少不必要的通信流量,这还要取决于网络管理员把ACL放置在哪个地方;假设在的一个运行TCP/IP协议的网络环境中,网络只想拒绝从RouterA的T0接口连接的网络到RouterD的E1接口连接的网络的访问,即禁止从网络1到网络2的访问;根据减少不必要通信流量的通行准则,网管员应该尽可能地把ACL放置在靠近被拒绝的通信流量的来源处,即RouterA上;如果网管员使用标准ACL来进行网络流量限制,因为标准A CL只能检查源IP地址,所以实际执行情况为：凡是检查到源IP地址和网络1匹配的数据包将会被丢掉,即网络1到网络2、网络3和网络4的访问都将被禁止;由此可见,这个ACL控制方法不能达到网管员的目的;同理,将ACL放在RouterB和RouterC上也存在同样的问题;只有将ACL放在连接目标网络的RouterD上E0接口,网络才能准确实现网管员的目标;由此可以得出一个结论:标准ACL要尽量靠近目的端;网管员如果使用扩展ACL来进行上述控制,则完全可以把ACL放在RouterA上,因为扩展ACL能控制源地址网络1,也能控制目的地址网络2,这样从网络1到网络2访问的数据包在R outerA上就被丢弃,不会传到RouterB、RouterC和RouterD上,从而减少不必要的网络流量;因此,我们可以得出另一个结论：扩展ACL要尽量靠近源端;ACL的主要的命令命令描述ac cess-list定义访问控制列表参数ipaccess-group指派一个访问控制列表到一个接口ipacc ess-listextended定义一个扩展访问控制列表Remark注释一个访问控制列表showipaccess -list显示已配置的访问控制列表定义ACL时所应遵循的规范1ACL的列表号指出了是那种协议的ACL;各种协议有自己的ACL,而每个协议的ACL又分为标准ACL和扩展ACL;这些ACL是通过ACL列表号区别的;如果在使用一种访问ACL时用错了列表号,那么就会出错误;2一个ACL的配置是每协议、每接口、每方向的;路由器的一个接口上每一种协议可以配置进方向和出方向两个ACL;也就是说,如果路由器上启用了IP和IPX两种协议栈,那么路由器的一个接口上可以配置IP、IPX两种协议,每种协议进出两个方向,共四个ACL;3ACL的语句顺序决定了对数据包的控制顺序;在ACL中各描述语句的放置顺序是很重要的;当路由器决定某一数据包是被转发还是被阻塞时,会按照各项描述语句在ACL中的顺序,根据各描述语句的判断条件,对数据报进行检查,一旦找到了某一匹配条件就结束比较过程,不再检查以后的其他条件判断语句;4最有限制性的语句应该放在ACL语句的首行;把最有限制性的语句放在ACL语句的首行或者语句中靠近前面的位置上,把“全部允许”或者“全部拒绝”这样的语句放在末行或接近末行,可以防止出现诸如本该拒绝放过的数据包被放过拒绝的情况;5新的表项只能被添加到ACL的末尾,这意味着不可能改变已有访问控制列表的功能;如果必须改变,只有先删除已存在的ACL,然后创建一个新ACL,将新ACL应用到相应的接口上;6在将ACL应用到接口之前,一定要先建立ACL;首先在全局模式下建立ACL,然后把它应用在接口的出方向或进方向上;在接口上应用一个不存在的ACL是不可能的;7ACL语句不能被逐条的删除,只能一次性删除整个ACL;8在ACL的最后,有一条隐含的“全部拒绝”的命令,所以在ACL里一定至少有一条“允许”的语句;9ACL只能过滤穿过路由器的数据流量,不能过滤由本路由器上发出的数据包;10在路由器选择进行以前,应用在接口进入方向的ACL起作用;11在路由器选择决定以后,应用在接口离开方向的ACL起作用;。

思科ACL访问控制列表常规配置操作详解本⽂实例讲述了思科ACL访问控制列表常规配置操作。

分享给⼤家供⼤家参考，具体如下：⼀、ACL概述ACL (Access Control List,访问控制列表）是⼀系列运⽤到路由器接⼝的指令列表。

这些指令告诉路由器接收哪些数据包、拒绝哪些数据包，接收或者拒绝根据⼀定的规则进⾏，如源地址、⽬标地址、端⼝号等。

ACL使得⽤户能够管理数据流，检测特定的数据包。

路由器将根据ACL中指定的条件，对经过路由器端⼝的数据包进⾏检査。

ACL可以基于所有的Routed Protocols (被路由协议，如IP、IPX等）对经过路由器的数据包进⾏过滤。

ACL在路由器的端⼝过滤数据流，决定是否转发或者阻⽌数据包。

ACL应该根据路由器的端⼝所允许的每个协议来制定，如果需要控制流经某个端⼝的所有数据流，就需要为该端⼝允许的每⼀个协议分别创建ACL。

例如，如果端⼝被配置为允许IP、AppleTalk和IPX协议的数据流，那么就需要创建⾄少3个ACL, 本⽂中仅讨论IP的访问控制列表。

针对IP协议，在路由器的每⼀个端⼝,可以创建两个ACL:—个⽤于过滤进⼊（inbound)端⼝的数据流，另⼀个⽤于过滤流出（outboimd)端⼝的数据流。

顺序执⾏：—个ACL列表中可以包含多个ACL指令，ACL指令的放置顺序很重要。

当路由器在决定是否转发或者阻⽌数据包的时候，Cisco的IOS软件，按照ACL中指令的顺序依次检査数据包是否满⾜某⼀个指令条件。

当检测到某个指令条件满⾜的时候，就执⾏该指令规定的动作，并且不会再检测后⾯的指令条件。

ACL作⽤： * 限制⽹络流量，提⾼⽹络性能。

* 提供数据流控制。

* 为⽹络访问提供基本的安全层。

⼆、ACL 类型1. 标准ACL: access-list-number编号1~99之间的整数，只针对源地址进⾏过滤。

2. 扩展ACL: access-list-number编号100~199之间的整数，可以同时使⽤源地址和⽬标地址作为过滤条件，还可以针对不同的协议、协议的特征、端⼝号、时间范围等过滤。

详解cisco访问控制列表ACL一：访问控制列表概述〃访问控制列表（ACL）是应用在路由器接口的指令列表。

这些指令列表用来告诉路由器哪些数据包可以通过，哪些数据包需要拒绝。

〃工作原理：它读取第三及第四层包头中的信息，如源地址、目的地址、源端口、目的端口等。

根据预先设定好的规则对包进行过滤，从而达到访问控制的目的。

〃实际应用：阻止某个网段访问服务器。

阻止A网段访问B网段，但B网段可以访问A网段。

禁止某些端口进入网络，可达到安全性。

二：标准ACL〃标准访问控制列表只检查被路由器路由的数据包的源地址。

若使用标准访问控制列表禁用某网段，则该网段下所有主机以及所有协议都被禁止。

如禁止了A网段，则A网段下所有的主机都不能访问服务器，而B网段下的主机却可以。

用1----99之间数字作为表号一般用于局域网，所以最好把标准ACL应用在离目的地址最近的地方。

〃标准ACL的配置：router（config）#access-list表号 deny(禁止)网段/IP地址反掩码********禁止某各网段或某个IProuter（config）#access-list表号 permit（允许） any注：默认情况下所有的网络被设置为禁止，所以应该放行其他的网段。

router（config）#interface 接口 ******进入想要应用此ACL的接口（因为访问控制列表只能应用在接口模式下）router（config-if）#ip access-group表号 out/in ***** 设置在此接口下为OUT或为IN其中router(config)#access-list 10 deny 192.168.0.10.0.0.0 =router(config)#access-list 10 deny host 192.168.0.1router(config)#access-list 10 deny 0.0.0.0255.255.255.255 =router(config)#access-list 10 deny anyrouter#show access-lists ******查看访问控制列表。

cisco命令大全解释、注释Dynamips作为一款十分优秀的Cisco路由器模拟软件，实验模拟效果远比Boson NetSim更加真实可信。

Boson NetSim是对IOS命令行的模拟，而Dynamips是通过在计算机中构建运行IOS的虚拟机来真正运行IOS实现对Cisco路由器的模拟。

收录最常用的Cisco命令分类如下:cisco命令大全1. switch配置命令(1)模式转换命令用户模式----特权模式,使用命令"enable"特权模式----全局配置模式,使用命令"config t"全局配置模式----接口模式,使用命令"interface+接口类型+接口号"全局配置模式----线控模式,使用命令"line+接口类型+接口号"注:用户模式:查看初始化的信息.特权模式:查看所有信息、调试、保存配置信息全局模式：配置所有信息、针对整个路由器或交换机的所有接口接口模式：针对某一个接口的配置线控模式：对路由器进行控制的接口配置（2）配置命令show running config 显示所有的配置show versin 显示版本号和寄存器值shut down 关闭接口no shutdown 打开接口ip add +ip地址配置IP地址secondary+IP地址为接口配置第二个IP地址show interface+接口类型+接口号查看接口管理性show controllers interface 查看接口是否有DCE电缆show history 查看历史记录show terminal 查看终端记录大小hostname+主机名配置路由器或交换机的标识config memory 修改保存在NVRAM中的启动配置exec timeout 0 0 设置控制台会话超时为0service password-encryptin 手工加密所有密码enable password +密码配置明文密码ena sec +密码配置密文密码line vty 0 4/15 进入telnet接口password +密码配置telnet密码line aux 0 进入AUX接口password +密码配置密码line con 0 进入CON接口password +密码配置密码bandwidth+数字配置带宽no ip address 删除已配置的IP地址show startup config 查看NVRAM中的配置信息copy run-config atartup config 保存信息到NVRAMwrite 保存信息到NVRAMerase startup-config 清除NVRAM中的配置信息show ip interface brief 查看接口的谪要信息banner motd # +信息+ # 配置路由器或交换机的描素信息description+信息配置接口听描素信息vlan database 进入VLAN数据库模式vlan +vlan号+ 名称创建VLANswitchport access vlan +vlan号为VLAN为配接口interface vlan +vlan号进入VLAN接口模式ip add +ip地址为VLAN配置管理IP地址vtp+service/tracsparent/client 配置SW的VTP工作模式vtp +domain+域名配置SW的VTP域名vtp +password +密码配置SW的密码switchport mode trunk 启用中继no vlan +vlan号删除VLANshow spamming-tree vlan +vlan号查看VLA怕生成树议2. 路由器配置命令ip route+非直连网段+子网掩码+下一跳地址配置静态/默认路由show ip route 查看路由表show protocols 显示出所有的被动路由协议和接口上哪些协议被设置show ip protocols 显示了被配置在路由器上的路由选择协议,同时给出了在路由选择协议中使用的定时器等信息router rip 激活RIP协议network +直连网段发布直连网段interface lookback 0 激活逻辑接口passive-interface +接口类型+接口号配置接口为被动模式debug ip +协议动态查看路由更新信息undebug all 关闭所有DEBUG信息router eigrp +as号激活EIGRP路由协议network +网段+子网掩码发布直连网段show ip eigrp neighbors 查看邻居表show ip eigrp topology 查看拓扑表show ip eigrp traffic 查看发送包数量router ospf +process-ID 激活OSPF协议network+直连网段+area+区域号发布直连网段show ip ospf 显示OSPF的进程号和ROUTER-IDencapsulation+封装格式更改封装格式no ip admain-lookup 关闭路由器的域名查找ip routing 在三层交换机上启用路由功能show user 查看SW的在线用户clear line +线路号清除线路3. 三层交换机配置命令配置一组二层端口configure terminal 进入配置状态nterface range {port-range} 进入组配置状态配置三层端口configure terminal 进入配置状态interface {{fastethernet | gigabitethernet} interface-id} | {vlan vlan-id} | {port-channel port-channel-number} 进入端口配置状态no switchport 把物理端口变成三层口ip address ip_address subnet_mask 配置IP地址和掩码no shutdown 激活端口例：Switch(config)# interface gigabitethernet0/2Switch(config-if)# no switchportSwitch(config-if)# ip addressSwitch(config-if)# no shutdown配置VLANconfigure terminal 进入配置状态vlan vlan-id 输入一个VLAN号, 然后进入vlan配态，可以输入一个新的VLAN号或旧的来进行修改。

访问控制列表ACLACL简介ACL（Access Control List）是一个常用的用于流量匹配的工具，ACL通过对数据包中的源IP、目标IP、协议、源端口、目标端口这5元素进行匹配，然后对匹配的数据执行相应的策略（转发、丢弃、NAT 转换、限速）1.对访问网络的流量进行过滤，实现网络的安全访问；2. 网络地址转换(NAT)；3. QOS服务质量；4. 策略路由。

策略：要求1.1和1.2可以访问财务部(1.1和1.2 是销售部经理),其他不允许访问财务。

一、标准ACL:匹配条件较少，只能通过源IP地址和时间段进行流量匹配，在一些需要进行简单匹配的环境中使用。

R(config)# access-list 编号策略源地址编号：标准ACL范围1--- 99策略：permit允许 | deny 拒绝源地址：要严格检查的地址（ IP+通配符掩码）通配符掩码--- 是用来限定特定的地址范围（反掩码）用0 表示严格匹配用1 表示不检查例：主机 172.16.1.1 通配符掩码 0.0.0.0 32位都要检查主网 172.16.0.0/16 通配符掩码0.0.255.255 检查16位子网 172.16.1.0/24 通配符掩码0.0.0.255 24位要检查任意的 0.0.0.0 通配符掩码255.255.255.255不检查主机 ---- host 172.16.1.1 任意 ---- any练习：192.168.1.64/28子网掩码：255.255.255.240子网号： 192.168.1.64/28 (剩余4个主机位，网络号是16的倍数)广播地址： 192.168.1.79 (下一个网络号-1)通配符掩码 0.0.0.15 (比较前28位)通配符掩码 = 255.255.255.255 - 子网掩码也称为反掩码将ACL与接口关联：R(config-if)#ip access-group 编号 {in|out}{in|out} 表明在哪个方向上的数据进行控制策略：要求1.1和1.2可以访问财务部(1.1和1.2 是销售部经理)，其他不允许访问财务部。

cisco访问控制列表acl所有配置命令详解Cisco 路由ACL（访问控制列表）的配置标准ACL Router(config)#access-list 1-99 permit/deny 192.168.1.1（源IP）0.0.0.255（反码）Router(config)#interface f0/0 Router(config-if)#ip access-group 1-99 out/in 扩展ACL Router(config)#access-list 100-199 permit/deny tcp （协议类型）192.168.1.1（源IP） 0.标准ACLRouter(config)#access-list 1-99 permit/deny 192.168.1.1（源IP） 0.0.0.255（反码）Router(config)#interface f0/0Router(config-if)#ip access-group 1-99 out/in扩展ACLRouter(config)#access-list 100-199 permit/deny tcp（协议类型） 192.168.1.1（源IP） 0.0.0.255（源IP反码） 172.16.0.1（目标IP） 0.0.255.255（目标IP反码） eq ftp/23 端口号Router(config)#interface f0/0Router(config-if)#ip access-group 100-199 out/in基于时间的ACL设定路由器的时间:#clock set {hh:mm:ss} {data} {month} {year}Router(config)#time-range wangxin （定义时间名称）以下有两种：1.absouluterRouter(config-time-range)#absouluter指定绝对时间范围start hh:mm end hh:mm Day（日） MONTH(月份） YEAR（年份）end hh:mm end hh:mm Day（日） MONTH(月份） YEAR（年份）如果省略start及其后面的时间，则表示与之相联系的permit或deny语句立即生效，并一直作用到end处的时间为止。

Router 命令行1、 enable （进入到Router# 模式下）2、 conf t （进入到Router(config)#模式下）3、 show （显示现在配置）4、 Router(config)#hostRouter(config)#hostname cisco2500cisco2500(config)#（改变名字）5、cisco2500(config)#enacisco2500(config)#enable passcisco2500(config)#enable password passwordcisco2500(config)#enable seccisco2500(config)#enable secret cisco（设置路由器密码；enable password 设置明文密码，enable secret 设置加密密码）6、cisco2500(config)#line concisco2500(config)#line console 0 （设定console 0 口）cisco2500(config-line)#logcisco2500(config-line)#loging （设定需要登录）cisco2500(config-line)#loging% login disabled on line 0,until 'password' is setcisco2500(config-line)#passcisco2500(config-line)#password cisco （设定登录密码为cisco）cisco2500(config-line)#exit （退出）7、cisco2500(config)#line vty 0 4 （所有的路由器的vty模式，缺省有5个vty端口打开，自动分配；一般同时配置）cisco2500(config-line)#loging （配置需要登录）% Login disabled on line 2, until 'password' is set% Login disabled on line 3, until 'password' is set% Login disabled on line 4, until 'password' is set% Login disabled on line 5, until 'password' is set% Login disabled on line 6, until 'password' is setcisco2500(config-line)#passcisco2500(config-line)#password cisco （设定密码为cisco）cisco2500(config-line)#exit8、cisco2500(config)#bann （配置触动警告提示信息）cisco2500(config)#bannner mocisco2500(config)#bannner motd || warnning !! Don't touch it !!cisco2500(config)#exit9、cisco2500#show run （查看刚才配置信息）cisco2500#show start （NVRAM信息）10、cisco2500#copy runcisco2500#copy running-config stcisco2500#copy running-config startup-configDestination filename [startup-config]?Building configuration!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11、!version 12.1service timestamps debug uptimeservice timestamps log uptimeno service password-encryption （去除该命令，对密码加密）!boot system flash （去除该命令）!cisco2500#conf tcisco2500(config)#no bootcisco2500(config)#no boot sycisco2500(config)#no boot sytem fcisco2500(config)#no boot sytem flcisco2500(config)#no boot sytem flashcisco2500(config)#servcisco2500(config)#service passcisco2500(config)#service password-encryption （加密密码命令）12、!interface BRI0no ip addressshutdownisdn x25 static-tei 0!cisco2500(config)#intcisco2500(config)#interface bricisco2500(config)#interface ?cisco2500(config)#interface bri ?<0-0> BRI interface numbercisco2500(config)#interface bri 0cisco2500(config-if)#no isdn xcisco2500(config-if)#no isdn x25 ?dchannel set this BRI to support x25 on the D channelstatic-tei specify a static TEI for x25 on the D channelcisco2500(config-if)#no isdn x25 stcisco2500(config-if)#no isdn x25 static-teiWarning:No ISDN switch-type defined. Cannot change a static TEI （无ISDN类型，不让删除，增加一个类型）cisco2500(config)#isdncisco2500(config)#isdn swcisco2500(config)#isdn switch- type bacisco2500(config)#isdn switch- type basic-cisco2500(config)#isdn switch- type basic-net3（全局模式下配置，则所有端口都会有影响）（接口模式下配置，则会使用自己的配置）13、cisco2500(config-line)＃e xec-timeout 0 5 （配置超时设定）cisco2500(config-line)＃e xec-timeout 0 014、cisco2500#conf tcisco2500(config)#line con 0cisco2500(config-line)#loggincisco2500(config-line)#loggin syncisco2500(config-line)#loggin synchronous （配置节省命令）cisco2500(config-line)#endcisco2500#15、cisco2500(config)#int serial 0 （两个serial口，选择一个）cisco2500(config-if)#clocisco2500(config-if)#clock rcisco2500(config-if)#clock rate 64000 （如果接了dce线就可以配置，如果接了dt 的线就不能配置）cisco2500(config-if)#bandcisco2500(config-if)#bandwidth 64 千字节每秒Kbitcisco2500(config-if)#no shut （启用端口）cisco2500(config-if)#no shutdowncisco2500(config-if)end （启用端口前先退出来，查看端口）cisco2500#show interfaces serial 0 （查看端口当前状态）cisco2500#conf tcisco2500(config)#int s0cisco2500(config-if)#ip add 192.168.12.1 255.255.255.0 （配置IP地址和子网掩码）cisco2500(config-if)#no shutcisco2500(config-if)#no shutdowncisco2500(config-if)#00:20:05:%LINK-3-UPDOWN: Interface Serial0, changed state to ......cisco2500(config-if)#endcisco2500#sh int s00:20:20: %SYS-5-CONFIG_I:Configured from console by consolecisco2500#sh int serial 0Serial0 is down, line protocol is down （不是管理性down掉）cisco2500#conf tcisco2500(config)#int e0cisco2500(config-if)#no shutdowncisco2500(config-if)#endcisco2500#00:21:09: %SYS-5-CONFIG_I: Configured form console by consolecisco2500#00:20:05:%LINK-3-UPDOWN: Interface Serial0, changed state to ......cisco2500#sh int e0Ethernet0 is up, line protocol is down （端口是UP，协议是down）cisco2500#conf tEnter configuration commands, one per line. End with CNTL/Zcisco2500(config)#int loop （配置虚拟端口）cisco2500(config)#int loopback 0cisco2500(config-if)#no shutcisco2500(config-if)#no shutdowncisco2500(config-if)#endcisco2500#sh int00:21:58: %SYS-5-CONFIG_I: Configured form console by consolecisco2500#sh int loopback00:21:59: %LINKPROTO-5-UPDOWN: Line protocol on Interface Loopback... te to upcisco2500#sh int loopback 016、Router#show interfaces serial 1Serial1 is up, line protocol is up（Carrier Detect）（Keepalives）（对电信号的判断）（链路两端的端口彼此之间互相协商、互相认证）Hardware is HD64570Description: 64Kb Line to San Josea、协议认证成功的前题是通道物理上是通的；Operational............Serial1 is up, line protocol is upConnection problem.....Serial1 is up, line protocol is downInterface problem......Serial1 is down, line protocol is down Disabled...............Serial1 is administratively down, line protocol is downa、整个工作是OK的，反应是第二层DataLink?的状态b、物理层OK，数据链路层有问题，协议配置错了；协议配置两边没有问题，但彼此间不能协调同步；同步时钟没有配置；c、排错目标放在物理层上，不能检测到链路上的载波，对方提供载波，回路通过对方行程的，广域网内；以太网回路是在本地内行程的；d、对方路由器的端口根本没有打开，如果检测不到电路反馈表示断开；CCNA05Router#show interface serial 0Router#show controller serial 0HD unit 0, idb = 0x121C04, driver structure at 0x12707Bbuffer size 1524 HD unit 0, V.35 DTE Cable...（主要看第二行或者第三行的中后部，是V.35还是V.24连接类型，是DTE还是DCE，DCE 需要配置？）网络环境的管理：1、设备本地的资源管理；2、互连3、启动过程Cisco网络邻居CDP协议Cisco Discovery Protocol 思科发现协议（工作在第二层的 Data Link，数据链路层的子层协议，网络支持SNAP，）特点：能发现邻居设备上层协议的特点（参数），邻居设备端口连接方式；对直连邻居有效；Summary infomation includes:--- Device identifilers 邻居的主机名--- Address list 邻居的上层地址--- Port identifier 双方端口的标记通过哪个端口连接到邻居的哪个端口--- Capabilities list 性能列表在网络中起什么作用--- Platform 硬件平台Router#show CDP ?路由器一起动其CDP就会自动缺省启动，如果要关闭所有CDP则使用：（在全局模式下）Router(config)#no CDP runRouter(config)#interface serial0Router(config-if)#no cdp enable （关掉某接口的CDP）网络拓扑结构：SwitchA <－－> RouterA <－－> RouterBRouter#show cdp neighborsCapability Codes:R - Router, T - Trans Bridge, B - Source Route BridgeS - Switch, H - Host, I - IGMP, r - RepeaterDevice ID Local Intrfce Holdtme Capability platform Port ID RouterB Ser 0 148 R 2522 Ser 1SwitchA0050BD855780 Eth 0 167 T S 1900 2Device ID : 设备名称，主机名Local Intrfce: A哪个端口连接Holdtme: 连接时间是多久Capability: 起到什么角色作用platform: 什么硬件平台Port ID: B用什么端口连接A查看详细信息：Router#show cdp entry *Router#show cdp neighbors detailRouter#show cdp traffic 作用：查CDP的进出流量Router#show cdp interface 作用：哪些端口启用了CDP协议作用：通过CDP能创建网络地图Using Telnet to Connect to Remote Devices1、如果远程主机没有配置vty密码或者enable密码，则不允许用Telnet登录2、超级终端能动态显示信息；需要使用telnet mon才能用vty端口得到提示信息 Router#show sessions看到本地有多少telnet信息出去，有几条会话，主动看到向外发出去的信息Router#show users有哪些人登录到本地路由器的列表Router#disconnect Closes the curret session opened by you 关闭本地发出的会话Router#clear line 11 Closes a session opended by a remote devices 关闭远程连接的会话Router#resume 1 继续某一个会话，主要用于路由器打开多条会话，进行切换 Ctrl+Shift+6 紧接敲“S”建Using the ping and trace Commands是否连通、时间Router#ping 10.1.10.1发五个数据包Router#trace 10.1.10.1从源到目的，所经过网关的数量，每次发三个数据包traceroute 1 2 3TTL 存在的时间第一批 TTL＝1 会自动减1第二批 TTL＝2第三批 TTL＝3缺省30次CCNA06 2006-10-11路由器启动IOS（操作系统）三大步骤，一、POST加电自检二、加载操作系统三、应用用户配置实际分为7小步完成：Router Power-On/Bootup Sequence1、Perform power-on self test (POST). 加电自检2、Load and run bootstrap code. 读取引导3、Find the Cisco IOS software. 寻找IOS软件4、Load the Cisco IOS software. 加载IOS软件，到内存5、Find the configuration. 寻找配置文件6、Load the configuration. 加载配置文件7、Run the configured Cisco IOS software. 运行IOS软件Router Internal Components（路由器的主要硬件组成）RAM NVRAM (Configuration Register) (不会掉电，加入微型电池供电) (只读存储器) ROM interfaces(可移动存储器)Flash CPUROM FunctionsROM 存放什么东西？ROM| |Bootstrap | POST |show version----------------------------|------------->Mini IOS | ROM |software | Monitor |file | |Bootstrap：固化的自动启动选项。

ACL(Access Control List，访问控制列表)技术从来都是一把双刃剑，网络应用与互联网的普及在大幅提高企业的生产经营效率的同时，也带来了诸如数据的安全性，员工利用互联网做与工作不相干事等负面影响。

如何将一个网络有效的管理起来，尽可能的降低网络所带来的负面影响就成了摆在网络管理员面前的一个重要课题。

A公司的某位可怜的网管目前就面临了一堆这样的问题。

A公司建设了一个企业网，并通过一台路由器接入到互联网。

在网络核心使用一台基于IOS的多层交换机，所有的二层交换机也为可管理的基于IOS的交换机，在公司内部使用了VLAN技术，按照功能的不同分为了6个VLAN。

分别是网络设备与网管 (VLAN1，10.1.1.0/24)、内部服务器(VLAN2)、Internet连接(VLAN3)、财务部（VLAN4）、市场部 (VLAN5)、研发部门（VLAN6），出口路由器上Fa0/0接公司内部网，通过s0/0连接到Internet。

每个网段的三层设备（也就是客户机上的缺省网关）地址都从高位向下分配，所有的其它节点地址均从低位向上分配。

自从网络建成后麻烦就一直没断过，一会儿有人试图登录网络设备要捣乱；一会儿领导又在抱怨说互联网开通后，员工成天就知道泡网；一会儿财务的人又说研发部门的员工看了不该看的数据。

这些抱怨都找这位可怜的网管，搞得他头都大了。

那有什么办法能够解决这些问题呢？答案就是使用网络层的访问限制控制技术――访问控制列表（下文简称ACL）。

那么，什么是ACL呢？ACL是种什么样的技术，它能做什么，又存在一些什么样的局限性呢？ACL的基本原理、功能与局限性网络中常说的ACL是Cisco IOS所提供的一种访问控制技术，初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机如2950之类也开始提供ACL的支持。

只不过支持的特性不是那么完善而已。

在其它厂商的路由器或多层交换机上也提供类似的技术，不过名称和配置方式都可能有细微的差别。