当前位置:文档之家 › ACL控制列表笔记

ACL控制列表笔记

  • 格式:doc
  • 大小:30.00 KB
  • 文档页数:3

下载文档原格式

  / 3

合集下载

三层交换机访问控制列表ACL的配置

三层交换机访问控制列表ACL的配置

ACL未来的发展趋势
01 02
动态ACL
随着云计算和虚拟化技术的发展,网络流量和安全威胁呈现出动态变化 的特点,动态ACL可以根据网络状态实时调整访问控制策略,提高网络 安全防护的实时性和准确性。
智能ACL
通过引入人工智能和机器学习技术,智能ACL可以根据历史数据和行为 模式自动识别和防御未知威胁,提高网络安全防护的智能化水平。
三层交换机访问控制列表 ACL的配置
目录
• ACL概述 • 三层交换机与ACL配置 • 配置实例 • ACL常见问题及解决方案 • 总结与展望
01
ACL概述
ACL的定义
访问控制列表(ACL)是一种用于实 现网络访问控制的安全机制,它可以 根据预先设定的条件对数据包进行过 滤,从而允许或拒绝数据包的传输。
ACL可以应用于三层交换机,实 现对网络流量的访问控制和过滤。
通过配置ACL,可以限制网络访 问权限,保护敏感资源不被非法
访问。
ACL可以与三层交换机的路由功 能结合使用,实现更加灵活和高效的网Biblioteka 控制。三层交换机ACL配置步骤
登录三层交换机,进入系 统视图。
将ACL应用到相应的接口 上,实现数据包的过滤和 控制。
03
融合ACL
随着网络安全威胁的不断演变,单一的ACL策略已经难以满足安全需求,
融合ACL可以将多种安全策略进行有机融合,形成多层次、全方位的安
全防护体系,提高网络的整体安全性。
感谢您的观看
THANKS
ACL性能问题
总结词
ACL的配置不当可能导致设备性能下降,影响网络的整体性能。
详细描述
ACL的配置涉及到对数据包的匹配和转发,如果配置不当,可能会导致设备处理数据包的速度变慢, 甚至出现丢包现象。为提高设备性能,应合理规划ACL规则,尽量减少不必要的匹配操作,并考虑使 用硬件加速技术来提高数据包的处理速度。

acl访问控制列表实验报告

acl访问控制列表实验报告

acl访问控制列表实验报告ACL访问控制列表实验报告摘要:本实验报告旨在介绍ACL访问控制列表的基本概念和原理,并通过实验验证ACL在网络安全中的作用。

通过实验,我们验证了ACL对网络流量的控制和过滤功能,以及其在网络安全中的重要性。

引言:在网络安全中,访问控制是一项重要的措施,用于保护网络资源免受未经授权的访问和攻击。

ACL访问控制列表是一种常用的访问控制技术,它可以根据预先设定的规则来控制网络流量的访问权限,从而有效地保护网络安全。

实验目的:本实验旨在通过实际操作,验证ACL访问控制列表对网络流量的控制和过滤功能,以及其在网络安全中的重要性。

实验环境:本次实验使用了一台路由器和多台主机组成的简单局域网环境。

我们将在路由器上配置ACL规则,来控制主机之间的通信权限。

实验步骤:1. 配置ACL规则:在路由器上,我们通过命令行界面配置了多条ACL规则,包括允许和拒绝某些主机之间的通信。

2. 实验验证:通过在主机之间进行ping测试和HTTP访问测试,验证ACL规则对网络流量的控制和过滤功能。

实验结果:通过实验验证,我们发现ACL访问控制列表可以有效地控制和过滤网络流量。

通过配置ACL规则,我们成功地限制了某些主机之间的通信,同时允许了其他主机之间的通信。

这表明ACL在网络安全中起着重要的作用,可以有效地保护网络资源免受未经授权的访问和攻击。

结论:ACL访问控制列表是一种重要的访问控制技术,可以有效地控制和过滤网络流量,保护网络安全。

通过本次实验,我们验证了ACL在网络安全中的重要性,以及其对网络流量的控制和过滤功能。

我们希望通过这次实验,增强对ACL技术的理解,提高网络安全意识,为网络安全工作提供参考和借鉴。

轻松学习理解ACL访问控制列表

轻松学习理解ACL访问控制列表

轻松学习理解ACL访问控制列表任何网络系统在创造价值的同时,对安全性也有很高的要求。

ACL(网络层访问控制列表)其实可以帮助企业实现网络安全策略,可以说ACL是一个很不错的解决工具或方案。

那什么是ACL呢?为了帮助企业网络运维人员深入理解ACL,可以根据以下几点看透ACL本质。

一、从名称解析ACLACL:Acess Control List,即访问控制列表。

这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制。

信息点间通信,内外网络的通信都是企业网络中必不可少的业务需求,但是为了保证内网的安全性,需要通过安全策略来保障非授权用户只能访问特定的网络资源,从而达到对访问进行控制的目的。

简而言之,ACL可以过滤网络中的流量,控制访问的一种网络技术手段。

二、看透ACL的本质通常,很多企业都在使用NAT技术进行地址转换,而NAT技术中就包含了ACL的应用。

通过ACL,我们可以控制哪些私有地址能上外网(公网),哪些不能。

然后把这些过滤好的数据,进行NAT 转换。

另外,企业也需要对服务器的资源访问进行控制,通过ACL过滤出哪些用户不能访问,哪些用户能访问。

从实际应用中,我们看到ACL能够区分不同的数据流。

这也意味着ACL的本质其实是一种流量分类技术,它是人为定义的一组或几组规则,目的是通过网络设备对数据流分类,以便执行用户规定的动作。

换句话说,ACL本身不能直接达到访问控制的目的,它间接辅助特定的用户策略,达到人们所需效果的一种技术手段。

在笔者看来,ACL是一种辅助型的技术或者说是工具。

三、玩转基本的ACL拓扑描述:某企业有100个信息点,分属五个部门。

用一台二层交换机和一台路由器作为网络层设备;局域网内部有一台OA服务器。

组网需求:五个部门分属5个VLAN,VLAN间不能互通。

要求所有终端都可以上公网,并访问OA服务器。

也就是说,有两个需求:1、5个部门的终端不能互相通讯2、5个部门都要求能够访问OA SERVER和公网。

访问控制列表(ACL)总结配置与应用

访问控制列表(ACL)总结配置与应用
2、 删除建立的标准 ACL
Router(config)#no access-list access-list-number 注意:对于扩展 ACL 来说,不能删除单条 ACL 语法,只能删除整个 ACL,这 意味着如果要改变一条或多条 ACL 语句,必须删除整个 ACL,然后输入所要的 ACL。
5
标准 ACL 配置实例
如图:要求配置标准 ACL 实现禁止主机 PC1 访问主机 PC2,而允许其他所有流量
3
1、 分析哪个接口应用标准 ACL
应用在入站还是出站接口。 路由器对进入的数据包先检查入访问控制列表,对允许传输的数据包才查询路由
表,而对于外出的数据包先查询路由表,确定目标后才查看出访问控制列表。因此应该 尽量把访问控制列表应用入站方向,因为它比应用到出站接口效率更高:将要丢弃的数 据包在路由器进行路由表查询处理之前就拒绝掉。 应用在哪台路由器上。
R1#show access-lists
Extended IP access list 101 10 permit tcp host 192.168.1.2 host 192.168.4.2 eq www 20 deny ip host 192.168.1.2 host 192.168.4.2
6
R1#show running-config
由于标准 ACL 只能根据源地址过滤数据包,如果应用在路由器 R1 或 R2 的入站 接口,那 PC1 不仅不能访问 PC2,而且不能访问 192.168.4.0,二应用在 R3 的入接口 接可以实现。
2、 配置标准 ACL 并应用到接口上
R3(config)#access-list 1 deny host 192.168.1.2 R3(config)#access-list 1 permit any R3(config)#interface fastEthernet0/0 R3(config-if)#ip access-group 1 in

ACL访问控制列表

ACL访问控制列表

ACL访问控制列表访问控制列表(ACL)ACL 是一系列 permit 或 deny 语句组成的顺序列表,应用于地址或上层协议。

ACL 在控制进出网络的流量方面相当有用。

数据包过滤数据包过滤有时也称为静态数据包过滤,它通过分析传入和传出的数据包以及根据既定标准传递或阻止数据包来控制对网络的访问。

数据包过滤路由器根据源和目的 IP 地址、源端口和目的端口以及数据包的协议,利用规则来决定是应该允许还是拒绝流量。

ACLACL 中的语句从上到下一行一行进行比对,以便发现符合该传入数据包的模式。

下面是一些使用 ACL 的指导原则:●在位于内部网络和外部网络(例如 Internet)交界处的防火墙路由器上使用 ACL。

●在位于网络两个部分交界处的路由器上使用 ACL,以控制进出内部网络特定部分的流量。

●在位于网络边界的边界路由器上配置 ACL。

这样可以在内外部网络之间,或网络中受控度较低的区域与敏感区域之间起到基本的缓冲作用。

●为边界路由器接口上配置的每种网络协议配置 ACL。

您可以在接口上配置 ACL 来过滤入站流量、出站流量或两者。

3P 原则●每种协议一个 ACL 要控制接口上的流量,必须为接口上启用的每种协议定义相应的 ACL。

●每个方向一个 ACL 一个 ACL 只能控制接口上一个方向的流量。

要控制入站流量和出站流量,必须分别定义两个 ACL。

●每个接口一个 ACL 一个 ACL 只能控制一个接口(例如快速以太网 0/0)上的流量。

(ACL数目=协议*方向*接口数)ACL 执行以下任务:●限制网络流量以提高网络性能。

●提供流量控制●提供基本的网络访问安全性。

●决定在路由器接口上转发或阻止哪些类型的流量。

●控制客户端可以访问网络中的哪些区域。

●屏蔽主机以允许或拒绝对网络服务的访问。

ACL工作原理ACL出站流程ACL及路由器上的路由和 ACL 过程ACL的分类Cisco ACL 有两种类型:标准 ACL 和扩展 ACL。

如何设置网络防火墙的访问控制列表(ACL)?

如何设置网络防火墙的访问控制列表(ACL)?

网络防火墙是保护网络安全的重要工具,它通过设置访问控制列表(ACL)来限制网络流量,防止未经授权的访问和攻击。

本文将从什么是ACL、为何需要ACL以及如何设置ACL三个方面来讨论如何设置网络防火墙的访问控制列表。

一、什么是ACL访问控制列表(ACL)是一种网络安全策略,用于控制网络流量的流动。

它通过规定哪些网络流量可以通过网络防火墙进入网络或离开网络,从而保护网络的安全。

ACL可以基于多个因素进行限制,例如源IP地址、目标IP地址、协议类型、源端口号、目标端口号等。

二、为何需要ACL1.控制访问权限:ACL可以限制特定IP地址或IP地址范围的访问权限,从而保护网络资源免受未经授权的访问。

2.防止网络攻击:ACL可以阻止恶意流量和入侵尝试,有效减少网络攻击的风险。

3.提高网络性能:通过限制特定流量的访问权限,可以减少网络拥堵和带宽占用,提高网络的响应速度和性能。

三、如何设置ACL1.了解网络拓扑:在设置ACL之前,需要全面了解网络拓扑结构和网络设备的配置。

确定哪些设备需要受ACL控制,并了解它们之间的通信需求。

2.确定ACL的目标:在设置ACL之前,需要明确ACL的目标和限制范围。

例如,限制特定IP地址或IP地址范围的访问权限,限制特定协议或端口号的流量等。

3.编写ACL规则:根据确定的目标和限制范围,编写ACL规则。

ACL规则应包括源IP地址、目标IP地址、协议类型、源端口号、目标端口号等信息。

根据具体需求,可以编写多条规则,实现更精细的访问限制。

4.优化ACL规则:编写ACL规则后,需要对规则进行优化。

避免使用过于宽泛的规则,可以根据实际需求进行调整和优化。

同时,还需要将最常用的规则放在前面,以提高访问控制的效率。

5.配置ACL规则:配置ACL规则时,需要将规则应用到网络设备上。

根据网络设备的型号和配置界面,选择合适的方式进行配置。

通常可以通过命令行界面或图形界面来进行配置。

6.测试和监控ACL:在配置ACL后,需要进行测试和监控。

控制列表ACL配置


ACL实用案例反向ACL防范病毒攻击(1)
172.16.3.0 非172.16.0.0网段 172.16.4.0
Fei_2/1
S0 Fei_1/1
172.16.4.13
● 需求:
● 172.16.4.0/24网段是服务器,为了保证服务器的安全,需要防止172.16.3.0/24对该 网段的攻击
● 172.16.3.0/24还要能够使用服务器提供的www服务
PC_B
ACL配置显示
R2#show acl extended acl 101 rule 1 deny tcp 10.2.23.2 0.0.0.0 any eq telnet rule 2 deny tcp 10.2.23.2 0.0.0.0 any eq ftp rule 3 permit ip any any
ip access-group 101 out
ACL实用案例使用ACL防止病毒攻击
● 常见的病毒都是利用系统的一些端口入侵系统的,只要禁 用了这些端口就能有效地防范此类病毒。如蠕虫病毒通过 入侵UDP1434端口。
acl extended number 101 rule 1 deny udp any any eq 1434
IP access-list-number 范围 1-99 或 100-199
ACL号码范围
IP ACL 类型 Standard Extended
号码范围
1-99 100-199
标准ACL (1 to 99) 根据源IP地址对数据包进行控制 扩展ACL (100 to 199) 判别依据包括 源/目的地址, 协议类型, 源/目的端口号
主机 网段 any
● 隐含的拒绝所有的条目 除非最后有明确的允许语句,否则最终拒绝所有流量,所以ACL中必须有允许 条目存在,否则一切流量被拒绝

ACL访问控制列表

ACL访问控制列表Acl通常有两种,一种为标准的,一种有扩展的。

H3C标准ACL的序号为2000-2999扩展的ACL序号为3000-3999[RT1]firewall enable --开启防火墙功能[RT1]acl num 2000 --写标准的ACL。

(2000-2999)[RT1-acl-basic-2000]rule 0 deny source 1.1.1.0 0.0.0.255 --匹配源地址[RT1-GigabitEthernet0/0/0]firewall packet-filter 2000 inbound --在入接口调用[RT2]ip route-static 0.0.0.0 0.0.0.0 12.1.1.1 --加个默认路由,保证包能回来。

接下来我们更改ACL的写法,达到同样的目的!首先将firewall默认的最后一条语句改为deny.[RT1]firewall default deny[RT1]acl num 2000[RT1-acl-basic-2000]rule permit source 2.2.2.10 0[RT1-acl-basic-2000]int g0/0/2[RT1-GigabitEthernet0/0/2]firewall packet-filter 2000 outbound因为acl的匹配原则为从上到下依次匹配,匹配到了就执行选项,deny或者是permit。

在ACL,最后有一条隐含的语句。

默认是permit any。

可以更改!下面写ACL,要求达到PC2可以Ping通R2。

但是R2不能Ping通PC2。

这个就需要运行扩展的ACL。

[RT1]acl number 3000[RT1-acl-adv-3000]rule 0 deny icmp icmp-type echo source 12.1.1.2 0 destination 2.2.2.10 0 [RT1-acl-adv-3000]int g0/0/2[RT1-GigabitEthernet0/0/2]firewall packet-filter 3000 inbound验证一下实验结果;要求,R1可以telnet到R3上,但是R1不能够Ping通R3。

ACL访问控制列表


或 HTTP。
ACL 工作原理

入站 ACL 传入数据包经过处理之后才会被路由到出站接口。 入站 ACL 非常高效,如果数据包被丢弃,则节省了执行路由查 找的开销。当测试表明应允许该数据包后,路由器才会处理路 由工作.
ACL 工作原理

出站 ACL 传入数据包路由到出站接口后, 由出站 ACL 进行处理.
编辑编号 ACLs

对 ACL 添加注释:
创见标准命名 ACLs
图中显示了创建标准命名 ACL 的步骤. Step 1.进入全局配置模式,使用 ip access-list 命令创建命名 ACL。ACL 名 称是字母数字,必须唯一而且不能以数字 开头. Step 2.在命名 ACL 配置模式下,使用 permit 或 deny 语句指定一个或多个条件, 以确定数据包应该转发还是丢弃. Step 3. 使用 end 命令返回特权执行模式.
主机. 您希望本地网络中的主机子网能够访问受防火墙保护的远程网络上的主机.
自反 ACLs

什么是自反ACLs?
此类 ACL 使路由器能动态管理会话流量.
路由器检查出站流量,当发现新的连接时,
便会在临时 ACL 中添加条目以允许应答流量 进入. 自反 ACL 仅包含临时条目.
自反 ACL 还可用于不含 ACK 或 RST 位的 UDP 和 ICMP. 自反 ACL 仅可在扩展命名 IP ACL 中定义.
源 IP 地址
目的 IP 地址 ICMP 消息类型

ACL 也可以提取上层信息并根据规则对其进行测试。 上层信息包括:
TCP/UDP 源端口
TCP/UDP 目的端口
数据包过滤

访问控制列表acl实验报告

访问控制列表acl实验报告访问控制列表(ACL)实验报告引言:访问控制列表(ACL)是一种用于网络设备和操作系统中的安全机制,用于限制用户或进程对资源的访问权限。

通过ACL,管理员可以精确地控制谁可以访问特定的资源,以及访问的方式和权限。

本实验报告将介绍ACL的基本概念、实验目的、实验环境、实验步骤和实验结果,并对实验过程中遇到的问题和解决方案进行讨论。

一、ACL的基本概念ACL是一种由许多规则组成的表格,每个规则都包含一个或多个条件和一个动作。

条件可以基于源IP地址、目标IP地址、源端口、目标端口、协议类型等进行匹配。

动作可以是允许或拒绝访问。

ACL通常应用于网络设备(如路由器和交换机)或操作系统的防火墙功能,用于过滤和控制进出网络的流量。

二、实验目的本实验的目的是通过配置和测试ACL,了解ACL的工作原理、应用场景和配置方法。

通过实验,我们可以深入理解ACL对网络安全的重要性,以及如何使用ACL来保护网络资源免受未经授权的访问。

三、实验环境本实验使用了一台配置了Cisco IOS操作系统的路由器作为实验设备。

路由器上有多个接口,分别连接到不同的网络。

我们将通过配置ACL来控制不同网络之间的通信流量。

四、实验步骤1. 配置ACL规则:首先,我们需要确定要保护的资源和规定访问权限。

根据实验需求,我们可以创建多个ACL规则,每个规则对应一个特定的访问需求。

例如,我们可以创建一个规则,允许内部网络的用户访问外部网络的HTTP服务,但禁止访问其他协议。

通过配置源IP地址、目标IP地址和协议类型等条件,我们可以精确地定义ACL规则。

2. 应用ACL规则:一旦我们创建了ACL规则,就需要将其应用到适当的接口或设备上。

在路由器上,我们可以将ACL规则应用到特定的接口,以控制从该接口进出的流量。

通过配置入站和出站的ACL规则,我们可以限制流量的方向和访问权限。

3. 测试ACL效果:配置完成后,我们需要测试ACL的效果,确保ACL规则能够正确地过滤和控制流量。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

ACL控制列表的应用盐城师范学院物理系卢东祥正确使用和配置访问列表是一个路由器至关重要的部分,贡献出有效率的和优化你的网络,访问列表给网络管理带来了贯穿网络的巨大交通流动控制,管理人员可以数据包流收集基本统计,和安全政策可以被实现,敏感的设备可以被保护,让未经许可访问不能访问到它。

访问列表能使用或者拒绝数据包在路由器之间的移动,许可或者拒绝Telnet(VTY)在路由器之间访问,和建立dial-on demand(DDR), 有意义交通,触发拨号到一个远程位置。

access-list访问列表是十分重要条件列表,它控制访问。

强大的工具控制访问在网段之间,它过滤不需要的数据包和实现安全政策,随着访问列表,网络管理人员将有更大的力量去加强几乎任何发明出来的访问政策,IP 和IPX Access-lists 工件得非常类拟,他都比较过滤的数据包,分类,一旦Access-lists建立起来,他们可以应用到内范围和外范围网络交通在任何接口,应用Access-lists将致使路由器去分析每一的穿过接口的数据包在指定方向和行为根据。

下面是一些当Access-lists开始比较数据包的遵循的重要的规则,它总是按顺序比较Access-lists的每一条线看,从线1,线2,线3.它比较Access-lists的线直到匹配为止,,一旦数据包匹配Access-lists,它会遵循,并且比较不再发生暗示的拒绝将在Access-lists的底部。

它的意思是如果一个数据包不有匹配任何Access-lists的线,它将被丢弃,每一个规则都有某些强大的含义当Access-lists过滤IP和IX数据包的时候。

有两类Access-lists类型使用IP和IPX:standard Access-lists: 只过滤网络来源IP地址,基本上许可或者拒绝全部的协议,IPX standards可以过滤来源和目标IPX地址extended access list:它检查来源和目标IP地址,网络层报头的协议段,和传输层报头端口编号,IPX extended Access List 使用来源和目标IPX地址,网络层报头的协议段,和传输层报头socket 编号一旦你建立了一个Access-lists,你应用它到一个inbound or outbound list 接口inbound Access-lists: 数据包路由到outbound接口之前,先通过Access-lists处理。

outbound Access-lists:数据包路由到outbound接口然后处理它通过Access-lists。

仍有一些Access-lists方针当建立和实现Access-lists在一个路由器时我们应该遵循,你可以只分配一个Access-lists到一个接口,一个协议,或者一个方向,这个意思是你只能有一个inbound Access-lists和一个ountbound Access-lists在一个接口组织你Access-lists以便更多的明确的测试在Access-lists的顶端,在任何时候一个新的Lists加到Access-lists将被放在list的底部你不能移动Access-lists里面的line,如果你想移动它你将移动全部的list, 最好在编辑它之前拷贝Access-lists到一个正文编辑。

它只例外情况当使用名字Access-lists。

除非你在到达Access-lists的结束之前获得许可,所有的数据包将会丢弃,否则你只有关闭接口了。

建立一个Access-lists和应用它他到一个接口,任何Access-lists 到接口的将无法应用如果没有一个Access-lists呈递。

Access-lists是设计应用到过滤通过路由器交通,所以他们只会过滤到路由器的数据包而不会过滤来自路由器的数据包。

把IP standard Access-lists 尽量放在接近目标的地方把IP extended Access-lists尽量放在接近来源的地方standard IP access-lists这使用来源IP地址,你使用Access-lists编号1-99建立一个standard IP Access-listsRouter(config)# access-list 10 deny ..........现在有三个选择可供使用,你可以使用任何命令去许可或者拒绝任何主机或者网络,你可以使用一个IP地址去指定或者匹配一个明确的网络或者IP主机,你可以使用host命令去只指定一个明确的的主机Router(config)# access-list 10 deny host 202.202.202.111Router(config)# access-list 10 deny 202.202.202.111也可以Router(config)# access-list 10 deny any 也可以用下面的Router(config)# access-list 10 deny 0.0.0.0 255.255.255.255不过也有另一个方法来指定一个主机,你可以使用通配符,去指定一个网络或者一个子网,你没有选择但可以使用通配符在Access-listsWildcards它是Access-lists指定使用一个主机,网络,或者一部分网络,你需要了解block sizes。

block sizes是使用来指定一个地址范围,下面显示某些不同的block sizes可供使用。

64 32 16 8 4当你需要指定一个地址范围时,你选择最接近最大的的block size,如果你需要指定34 networks. 你需要64,如果你要指定18 主机,你需要32,202.202.8.0 到202.202.15.015-8=77最接近8所以是202.202.202.8.0所以是0.0.7.255 从0-7就是8的原因standard IP Access List examplerouter(config)#access-list 10 deny 172.16.40.0 0.0.0.255router(config)#access-list 10 permit any=0.0.0.0 255.255.255.255访问列表设完,下面是应用到接口router(config)#int e0router(config-if)# ip access-group 10 out以上结果是所有从ethernet 0的接,来自172.16.40.0的数据将被停止extended ip Access List在标准IP访问列表里,注意到你该如果阻止全部来自某处的子网, 如果你想他们只能获得访问几个服务器该如何做呢?在标准的访问列表里,你不能允许用户只用网络的一部份,不过扩展IP访问列表可能解决这个问题,它允许你选择你的IP来源和目标地址,还有可以选择端口号码。

router(config)#access-list 110 deny ?tcp ...........ip ..................在这里你要选择访问列表类型,这是非常重要的,你一定要明白如果你想使用应用程序过滤,你必须选择一个允许你通IOS模式的网络协议项目,实例1,如果你要过滤telnet或者ftp,你必须选择TCP,如果你选择IP,你将不能离开网络层,这样你就不能允许任何更高层的过滤。

router(config)#access-list 110 deny tcp any host 172.16.30.2 eq 23 ftp这样你就防止所有的数据包通过FTP经过23端口到172.16.30.2但这样其实你会拒绝所有的通信,因为访问列表里找不到的将全部被拒绝,所以你要router(config)#access-list 110 permit ip any anyrouter(config-if)# ip access-group 110 inmonitoring ip access-listsshow access-list : 显示所有,但看不到访问列表接到哪一种接口show access-list 110: 显示110的所有,但看不到访问列表接到哪一种接口show ip access-list: 只显示路由器的IP访问列表show ip interface: 显示哪一个接口设置哪一种访问列表show run: 显示所有访问列表和接口IPX access-listsIPX standard: 过滤来源,目标,主机,网络号码(800-899)ipx extended: 过滤来源,目标,主机,网络号码, socket number(900-999)ipx sap filter:控制SAP交通(100-1099)IPX standard: router(config)#access-list 810 permit 20 40router(config)#int e0router(config-if)#ipx access-group 810 outipx extended access-list number permit/deny protocol source socket destination socket ipx SAP: access-list number permit/deny source service typeaccess-list 1010 permit -1(=any) 4 sales(=sap server name)router(config-if)#ipx input-sap-filter(从项目中停止所有的SAP更新)router(config-if)#ipx output-sap-filter(停止某些SAP传出定期的60秒SAP更新)verity ipx access listrouter#sh ipx introuter#sh ipx access。