ccnp笔记--ACL

《ccnp笔记--ACL》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、ACLStandard1-99标准的访问列表Extended100-199扩展的访问列表路由器对自己产生的包不作过滤Showipaccess-list注意在接口下调用ACL，不要破坏邻居关系和路由的传输Access-list100permitip2.2.2.20.0.0.0host3.3.3.3允许2访问3Access-list100permitospfanyany允许路由信息过去默认的deny语句No10在命名访问列表中去掉一条语句10permiticmphost2.2.2.2host3.3.3.3加入一条语句15permittcpanyanyICMP去的时候是ec

2、ho包，回来的时候是echo-reply包10permiticmphost2.2.2.2host3.3.3.3echo只允许echo包过去10permiticmphost2.2.2.2host3.3.3.3echo-reply只允许echo-reply包过去ACL可在VTY下调用，但只能用标准列表Access-list100permittcphost1.1.1.1host3.3.3.3eqtelnet只允许1.1.1.1能够telnet到3.3.3.3上去Access-list100permitospfanyanyAccess-list100permittcphost

3、1.1.1.1eqtelnethost3.3.3.3只允许1.1.1.1的23端口访问3.3.3.3的任意端口Linevty04Access-class10in在VTY接口下调用，作用同上, 但要注意只能用标准列表，不能用扩展列表，用扩展列表不起作用。Access-list10permit1.1.1.1telnet3.3.3.3/sourceinterfacelo0动态ACLdynamicACL思路：让主机先在网关服务器认证，才能出去在服务器上先允许主机登录网关服务器，通过认证后，动态生成一条允许主机通过的ACL1、usernameciscopasswordcisco

4、设主机名和密码2、ipaccess-listextendedwolf定义命名访问列表并在入口调用permittcphost12.1.1.2host12.1.1.1eqtelnet1、linevty04起用用户名和密码loginlocal2、ipaccess-listextenedewolfdynamicgzpermitiphostanyanydynamicgxtimeout5permitipanyany作用同上，注意这里的5分钟是绝对时间，表示你只能上5分钟3、linevty04在line下调用autocommandaccess-enablehosttimeout1这

5、里的1分钟是相对时间，只要在1分钟内有联系就不会断开，不加这一时间表示不超时R1#access-enablehosttimeout1在特权模式下调用EstablishACL允许ACK/RST=1的TCP报文通过，通常用于只允许内部的主机向外部发起TCP连接，不允许外部的主机向本网发起TCP连接Ipaccess-listextended1005permittcphost3.3.3.3eqtelnethost12.1.1.2establish注意这条语句的方向性，允许源的23端口访问我的任意端口，但ASK必须置位10denyipanyany注意在外网的入口上调用这一列表将

6、路由器模拟成主机Noiprouting关闭路由功能Ipdefault-gateway12.1.1.1指网关