'''创建标准ACL及新增条目'''
en
conf t
access-list1#创立标准ACL表1
access-list1 permit/deny 源IP或源网段 反子网掩码 #每条命令均需要表明针对哪个表#反子网掩码:将正子网掩码按位取反,例如正子网掩码255.255.255.0对应反子网掩码为0.0.0.255#反子网掩码的作用:用来匹配,与0对应的需要严格匹配,与1对应的忽略。
access-list1 deny 10.1.1.10.0.255.255#表示拒绝所有源IP为10.1.x.x的数据包
access-list1 deny 10.1.0.00.0.255.255#含义与上一行,更方便理解
access-list1 deny 10.1.1.1255.255.255.255#表示拒绝所有源IP为x.x.x.x的数据包
access-list1 deny any#含义与上一行,更方便理解
access-list1 deny host 10.1.1.1#表示拒绝源IP地址为10.1.1.1的数据包
access-list1 permit any#表示允许所有数据包通行'''查看表'''
en
show ip access-list1#查看表1,如果不指定表号,则查看所有ACL表。'''删除表'''
en
conf t
no access-list1#删除表,需要指定表号。'''编辑完ACL表后,需要将ACL表应用于哪个接口哪个反向'''
en
conf t
int f0/0
ip access-group 1in/out #in或out二选一
exit
en
conf t
acc 1 deny host 10.1.1.1#创建标准ACL表1并编写规则
acc 1 permit any
acc 100 deny ip host 10.1.1.120.1.1.00.0.0.255#创建扩展ACL表100并编写规则
acc 100 permit ip anyany#希望内网的人都可以访问网站服务器、外网都不能访问网站服务器#创建命名ACL表,其中ex表示扩展、stan表示标准。#该命令会进入扩展ACL表配置模式,不用每一句均以 access+表号 开头
ip access-list extended/standard 自定义表名
ip access-list ex kongzhi-80-oa
#允许内网192.168网段访问主机10.1.1.1的tcp80端口。
permit tcp 192.168.0.00.0.255.255 host 10.1.1.1 eq 80#允许内网172.16网段访问主机10.1.1.1的tcp80端口。
permit tcp 172.16.0.00.0.255.255 host 10.1.1.1 eq 80#禁止内网192.168网段访问主机10.1.1.1的ip协议
deny ip 192.168.0.00.0.255.255 host 10.1.1.0
exit
#查看所有表
do sh ip acc
#再次进入命名ACL表,进行条目调整
ip access-list ex kongzhi-80-oa
#删除该表中表号为20的条目
no 20#插入条目,先写条目序号15 permit tcp 172.16.0.00.0.255.255 host 10.1.1.1 eq 80#查看所有表
do sh ip acc
#利用命名ACL的方式修改扩展ACL
ip access-list ex 100