思科如何查看acl的配置

A. CISCO 三層交換機，如何查看一個ACL條目， 應用到那個地方了,除了 sh run這條命令，sh run 裡面看不到。

通常我們還是通過show run 或者 show run | include [關鍵字] 去查看相關命令，因為ACL調用的地方有很多，所以悄答還是需要一個個看 ，沒有什麼捷徑，只不過可以通過管道運算符「啟腔慧|」這樣去精確我們的查找結果，比如ip access-list extand 101
那麼 我們去show run | inculde 101
然後看是否有調用
然後在去show 介面配置，class-map配置，甚至是control-plane配置去查看調用的地圓野方

B. 思科Cisco路由器的ACL控制列表設置

1、根據問題1，需在在switch3上做acl，其PC3不能訪問伺服器192.168.3.3，命令如下：

switch3(config)#access-list 100 deny host 192.168.4.4 host 192.168.3.3 //拒絕網路192.168.4.4訪問伺服器192.168.3.3。

switch3(config)#access-list 100 peimit ip any any //允許其他主機訪問。

switch3(config) #interface f0/5

switch3(config-if) #ip access-group 100 in //在路由器f0/5介面入方向下調用此ACL 100。

2、根據問題2，PC0、PC1、PC2之間訪問關系，如下命令：

switch3(config) #access-list 101 deny host 192.168.1.2 host 202.135.147.33 //PC0禁止訪問外網

switch3(config) #access-list 101 peimit host 192.168.1.2 host 192.168.2.2 //PC0允許訪問PC2

switch3(config) #access-list 101 peimit host 192.168.1.3 host 192.168.2.2 //PC1允許訪問PC2

switch3(config) #access-list 102 deny 192.168.2.2 0.0.0.0.0 192.168.1.0 0.0.0.255 //PC2禁止訪問192.168.1.0網段

switch3(config) #interface f0/2

switch3(config-if) #ip access-group 101 in

switch3(config) #interface f0/3

switch3(config-if) #ip access-group 102 in //分別在switch3上調用acl 101和102。

3、根據問題3，acl分為標准acl和擴展acl，其標准acl訪問控制列表號為1-99，擴展acl訪問控制列表號為100-199，每條acl下又能創建多條規則，但一個介面下只能調用一條acl。

4、根據問題4，其192.168.1.0 0.0.0.255匹配的是192.168.1.0/24，表示的是192.168.1.0~192.168.1.255地址范圍，命令為：

switch3(config) #access-list 103 peimit ip 192.168.0.0 0.0.255.255 any //允許192.168.0.0/16地址訪問任何網路。

(2)思科如何查看acl的配置擴展閱讀：

ACL可以應用於多種場合，其中最為常見的應用情形如下：

1、過濾鄰居設備間傳遞的路由信息。

2、控制交換訪問，以此阻止非法訪問設備的行為，如對 Console介面、 Telnet或SSH訪問實施控制。

3、控制穿越網路設備的流量和網路訪問。

4、通過限制對路由器上某些服務的訪問來保護路由器，如HTP、SNMP和NIP等。

5、為DDR和 IPSeC VPN定義感興趣流。

6、能夠以多種方式在IOS中實現QoS(服務質量)特性。

7、在其他安全技術中的擴展應用，如TCP攔截和IOS防火牆。

C. CISCO交換機ACL配置方法

router#conf
t
router(config)#ip
access-list
extend
V1
router(config-acl)#permit
ip
any
host
192.167.0.2
router(config-acl)#permit
ip
any
host
192.167.0.3
router(config-acl)#deny
ip
any
any
router(config-acl)#ip
access-list
extend
V3
router(config-acl)#permit
ip
host
192.167.0.2
192.168.1.0
0.0.0.255
router(config-acl)#permit
ip
host
192.167.0.2
192.168.1.0
0.0.0.255
router(config-acl)#deny
ip
any
192.168.1.0
0.0.0.255
router(config-acl)#permit
ip
any
any
router(config-acl)#interface
vlan1
router(config-inf)#ip
access-group
V1
in
router(config-inf)#interface
vlan3
router(config-inf)#ip
access-group
V3
in
以上配置效果：VLAN1隻能訪問192.167.0.2和.3這兩個地址，其他地址均無法訪問；VLAN3能訪問除192.168.1.0/24這個網段外所有地址（0.2和0.3兩個地址可以訪問192.168.1.0/24這個網段）。
如果要使VLAN1能夠訪問其他地址V1就這樣定義：
router(config)#ip
access-list
extend
V1
router(config-acl)#permit
ip
any
host
192.167.0.2
router(config-acl)#permit
ip
any
host
192.167.0.3
router(config-acl)#deny
ip
any
192.168.1.0
0.0.0.255
router(config-acl)#permit
ip
any
any

D. cisco路由器如何配置標准訪問控制列表 ACL

標准ACL配置

提問：如何只允許埠下的用戶只能訪問特定的伺服器網段？

回答：

步驟一：定義ACL

S5750#conf t ----進入全局配置模式

S5750(config)#ip access-list standard 1 ----定義標准ACL

S5750(config-std-nacl)#permit 192.168.1.0 0.0.0.255

----允許訪問伺服器資源

S5750(config-std-nacl)#deny any ----拒絕訪問其他任何資源

S5750(config-std-nacl)#exit ----退出標准ACL配置模式

步驟二：將ACL應用到介面上

S5750(config)#interface GigabitEthernet 0/1 ----進入所需應用的埠

S5750(config-if)#ip access-group 1 in ----將標准ACL應用到埠in方向

注釋：

1. S1900系列、S20系列交換機不支持基於硬體的ACL。

2. 實際配置時需注意，在交換機每個ACL末尾都隱含著一條「拒絕所有數據流」的語句。

3. 以上所有配置，均以銳捷網路S5750-24GT/12SFP 軟體版本10.2（2）為例。

其他說明，其詳見各產品的配置手冊《訪問控制列表配置》一節。

E. 思科防火牆如何查看所有的acl

直接按回車鍵或者空格鍵繼續翻頁啊 或者可以導出到TXT