思科acl控制端口(acl端口控制命令)

理解的有问题，acl列表挂在哪个接口其实无所谓，主要是in和out的区别在于一个能不能进路由器，一个能不能出路由器而已，你挂在e1接口用out，控制的是流量自左向右能不能出的问题，而流量自右向左是完全没有影响的，根据你的语句来看，允许所有的源用www端口访问172.16.4.13这个主机是你控制的内容，后面列表自动执行deny ip any any，那么你的172.16.3.0不能ping 172.16.4.0很正常，因为执行规则是必须要完全匹配，不完全匹配会看列表的下一项，你允许的只是所有人访问172.16.4.13并且还得是用www端口才可以，缺一不可，否则就会执行那条deny any any的表项了，所以你用3.0去ping 4.0其他的主机会不通就是因为这个 建议你这样写access-list 101 per tcp any 172.16.4.13 0.0.0.0 eq wwwaccess-list 101 deny ip any 172.16.4.13 0.0.0.0access-list 101 per ip any any这样的话，只能用www去访问172.16.4.13，其他方式都不可以，并且你要访问其他的流量也会放行，最终强调，acl是必须完全匹配才会执行，执行后列表后面的表项一概忽略，但如果不匹配则会看列表的下一项 希望能帮到你

先设置你的交换机的IP，设置VLAN 1的IP为192.168.1.254，然后设置的PC的IP为192.168.1.1255.255.255.0网关为254，把PC接入到交换机，能PING到VLAN1的IP192.168.1.254，然后在交换机WEB界面设置好允许TELNET登录，然后从你的PC上，在命令行模式下TELNET交换机的VLAN1的192.168.1.254，输入你的用户名和密码，enable进入特权模式，在特权模式下输入Switch-2960(config)#defaultintfacefastEthernet0/3回车，就可以把端口恢复成默认设置如果你觉得担心VLAN的信息没有，有两种方案A.在做defaultintface以前，先在CLI的特权模式下shrunintfa0/3把fa0/3下的配置复制出来，保存在文本中，在文本中把VLAN的信息删除，等defaultintface后再把文本信息在特权模式下复制进去就OK了B.在特权模式下intfa0/3进入接口模式，直接noipaccess-groupSecWiz_Fa0_3_in_ipin 就OK了
HX-2960-08(config-if)# no ip access-group SecWiz_Fa0_3_in_ip in 此条命令删除Fa0/3上的的 SecWiz_Fa0_3_in_ip这条策略 ，但是交换机上还会存在这条策略 HX-2960-08（config）# no ip access-list Extended SecWiz_Fa0_3_in_ip此命令删除该交换机上SecWiz_Fa0_3_in_ip 这条策略你可以依次完成上面两条命令 不好意思，我看错了， 以为是路由器..

第一阶段实验：配置实验环境，网络能正常通信 R1的配置：复制代码代码如下:R1>enR1#conf tR1（config）#int f0/0R1（config-if）#ip addr 10.0.0.1 255.255.255.252R1（config-if）#no shutR1（config-if）#int loopback 0R1（config-if）#ip addr 123.0.1.1 255.255.255.0R1（config-if）#int loopback 1R1（config-if）#ip addr 1.1.1.1 255.255.255.255R1（config-if）#exitR1（config）#ip route 192.168.0.0 255.255.0.0 10.0.0.2R1（config）#username benet password testR1（config）#line vty 0 4R1（config-line）#login localSW1的配置：复制代码代码如下:SW1>enSW1#vlan dataSW1（vlan）#vlan 2SW1（vlan）#vlan 3SW1（vlan）#vlan 4SW1（vlan）#vlan 100SW1（vlan）#exitSW1#conf tSW1（config）#int f0/1SW1（config-if）#no switchportSW1（config-if）#ip addr 10.0.0.2 255.255.255.252SW1（config-if）#no shutSW1（config-if）#exitSW1（config）#ip route 0.0.0.0 0.0.0.0 10.0.0.1SW1（config）#int range f0/14 - 15SW1（config-if-range）#switchport trunk encapsulation dot1qSW1（config-if-range）#switchport mode trunkSW1（config-if-range）#no shutSW1（config-if-range）#exitSW1（config）#int vlan 2SW1（config-if）#ip addr 192.168.2.1 255.255.255.0SW1（config-if）#no shutSW1（config-if）#int vlan 3SW1（config-if）#ip addr 192.168.3.1 255.255.255.0SW1（config-if）#no shutSW1（config-if）#int vlan 4SW1（config-if）#ip addr 192.168.4.1 255.255.255.0SW1（config-if）#no shutSW1（config-if）#int vlan 100SW1（config-if）#ip addr 192.168.100.1 255.255.255.0SW1（config-if）#no shutSW1（config-if）#exitSW1（config）#ip routingSW1（config）#int vlan 1SW1（config-if）#ip addr 192.168.0.1 255.255.255.0SW1（config-if）#no shutSW1（config-if）#exitSW1（config）#username benet password testSW1（config）#line vty 0 4SW1（config-line）#login localSW2的配置：复制代码代码如下:SW2>enSW2#vlan dataSW2（vlan）#vlan 2SW2（vlan）#vlan 3SW2（vlan）#vlan 4SW2（vlan）#exitSW2#conf tSW2（config）#int f0/15SW2（config-if）#switchport mode trunkSW2（config-if）#no shutSW2（config-if）#exitSW2（config）#int f0/1SW2（config-if）#switchport mode accessSW2（config-if）#switchport access vlan 2SW2（config-if）#no shutSW2（config-if）#int f0/2SW2（config-if）#switchport mode accessSW2（config-if）#switchport access vlan 3SW2（config-if）#no shutSW2（config-if）#int f0/3SW2（config-if）#switchport mode accessSW2（config-if）#switchport access vlan 4SW2（config-if）#no shutSW2（config-if）#int vlan 1SW2（config-if）#ip addr 192.168.0.2 255.255.255.0SW2（config-if）#no shutSW2（config-if）#exitSW2（config）#ip default-gateway 192.168.0.1SW2（config）#no ip routingSW2（config）#username benet password testSW2（config）#line vty 0 4SW2（config-line）#login localSW3的配置：复制代码代码如下:SW3>enSW3#vlan dataSW3（vlan）#vlan 100SW3（vlan）#exitSW3#conf tSW3（config）#int f0/15SW3（config-if）#switchport mode trunkSW3（config-if）#no shutSW3（config-if）#int f0/1SW3（config-if）#switchport mode accessSW3（config-if）#switchport access vlan 100SW3（config-if）#no shutSW3（config-if）#int vlan 1SW3（config-if）#ip addr 192.168.0.3 255.255.255.0SW3（config-if）#no shutSW3（config-if）#exitSW3（config）#ip default-gateway 192.168.0.1SW3（config）#no ip routingSW3（config）#username benet password testSW3（config）#line vty 0 4SW3（config-line）#login local网络管理区主机PC1（这里用路由器模拟）复制代码代码如下:R5>enR5#conf tR5（config）#int f0/0R5（config-if）#ip addr 192.168.2.2 255.255.255.0R5（config-if）#no shutR5（config-if）#exitR5（config）#ip route 0.0.0.0 0.0.0.0 192.168.2.1财务部主机PC2配置IP:IP地址：192.168.3.2 网关：192.168.3.1信息安全员主机PC3配置IP:IP地址：192.168.4.2 网关：192.168.4.1服务器主机配置IP:IP地址：192.168.100.2 网关：192.168.100.1第一阶段实验验证测试：所有部门之间的主机均能互相通信并能访问服务器和外网（测试方法：用PING命令）在所有主机上均能远程管理路由器和所有交换机。（在PC主机上用telnet命令）第二阶段实验：配置ACL实现公司要求1、只有网络管理区的主机才能远程管理路由器和交换机R1的配置：复制代码代码如下:R1#conf tR1（config）#access-list 1 permit 192.168.2.0 0.0.0.255R1（config）#line vty 0 4R1（config-line）#access-class 1 inSW1的配置复制代码代码如下:SW1#conf tSW1（config）#access-list 1 permit 192.168.2.0 0.0.0.255SW1（config）#line vty 0 4SW1（config-line）#access-class 1 inSW2的配置复制代码代码如下:SW2#conf tSW2（config）#access-list 1 permit 192.168.2.0 0.0.0.255SW2（config）#line vty 0 4SW2（config-line）#access-class 1 inSW3的配置复制代码代码如下:SW3#conf tSW3（config）#access-list 1 permit 192.168.2.0 0.0.0.255SW3（config）#line vty 0 4SW3（config-line）#access-class 1 in验证：在PC1可以远程TELNET管理路由器和交换机，但在其他主机则被拒绝telnet2、内网主机都可以访问服务器，但是只有网络管理员才能通过telnet、ssh和远程桌面登录服务器，外网只能访问服务器80端口。在SW1三层交换机上配置扩展ACL3、192.168.3.0/24网段主机可以访问服务器，可以访问网络管理员网段，但不能访问其他部门网段，也不能访问外网。在SW1三层交换机上配置扩展ACL4、192.168.4.0/24网段主机可以访问服务器，可以访问管理员网段，但不能访问其他部门网段，可以访问外网。在SW1三层交换机上配置扩展ACL 以上就是通过实际案例来告诉大家如何配置Cisco路由器ACL访问控制列
访问控制列表ACL（Access Control List）是由一条或多条规则组成的集合。所谓规则，是指描述报文匹配条件的判断语句，这些条件可以是报文的源地址、目的地址、端口号等。 ACL本质上是一种报文过滤器，规则是过滤器的滤芯。设备基于这些规则进行报文匹配，可以过滤出特定的报文，并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。基于ACL规则定义方式，可以将ACL分为基本ACL、高级ACL、二层ACL等种类。高级ACL根据源IP地址、目的地址、IP协议类型、TCP源/目的端口、UDP源/目的端口号、分片信息和生效时间段等信息来定义规则，对IPv4报文进行过滤。与基本ACL相比，高级ACL提供了更准确、丰富、灵活的规则定义方法。例如，当希望同时根据源IP地址和目的IP地址对报文进行过滤时，则需要配置高级ACL。就是将高级ACL应用在流策略模块，使设备可以对外网用户访问内网中服务器的报文进行过滤，达到限制外网用户访问该服务器权限的目的。配置步骤如下1.配置高级ACL和基于ACL的流分类，使设备可以基于ACL，对用户访问服务器的报文进行过滤，从而禁止外网用户访问该服务器。2.配置流行为，允许匹配上ACL的permit规则的报文通过。 3. 配置并应用流策略，使ACL和流行为生效。

你好： 首先，第一个错误点是，你这是三层交换机，你要想开启DHCP，要在接口转换成三层口，但是！你这个题，明显是要在interface vlan x 里面开启ip helper-address xxxxx.第二个在路由器的左边的接口开启ACL功能，使用：access-list 100 deny ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255access-list 100 deny ip 192.168.1.0 0.0.0.255 192.168.5.0 0.0.0.255access-list 100 deny ip 192.168.2.0 0.0.0.255 192.168.4.0 0.0.0.255access-list 100 deny ip 192.168.2.0 0.0.0.255 192.168.5.0 0.0.0.255access-list 100 permit ip any anyinterface fx/xip access-group 100 in 谢谢

使用扩展ACL就可以： Router(config)#ip access-list extend TEXT//定义名字为TEXT的ACLRouter(config-acl)#permit tcp (udp) 源IP 反掩码 [eq 端口号] 目的IP 反掩码 eq 端口号//定义ACL的条目，允许特定访问端口号Router(config)#int f0/0（接口号）Router(config-if)#ip access-group TEXT in(out)//接口调用名字为TEXT的ACL1、例子，在接口F0/0上允许任何IP访问TCP端口80（HTTP端口），其余均过滤ip access-list extend per_HTTPpermit tcp any any eq httpdeny ip any anyexitint f0/0ip access-group per_HTTP in2、例，在接口F0/0阻止1.1.1.1访问到2.2.2.2的tcp和udp139端口其余流量均放行：access-list 199 deny tcp host 1.1.1.1 host 2.2.2.2 eq 139 //ACL另一种做法access-list 199 deny udp host 1.1.1.1 host 2.2.2.2 eq 139access-list 199 permit any any//ACL默认隐式deny any anyint f0/0 ip access-group 199 in