路由器上acl怎麼配置

1. cisco路由器如何配置標准訪問控制列表 ACL

標准ACL配置

提問：如何只允許埠下的用戶只能訪問特定的伺服器網段？

回答：

步驟一：定義ACL

S5750#conf t ----進入全局配置模式

S5750(config)#ip access-list standard 1 ----定義標准ACL

S5750(config-std-nacl)#permit 192.168.1.0 0.0.0.255

----允許訪問伺服器資源

S5750(config-std-nacl)#deny any ----拒絕訪問其他任何資源

S5750(config-std-nacl)#exit ----退出標准ACL配置模式

步驟二：將ACL應用到介面上

S5750(config)#interface GigabitEthernet 0/1 ----進入所需應用的埠

S5750(config-if)#ip access-group 1 in ----將標准ACL應用到埠in方向

注釋：

1. S1900系列、S20系列交換機不支持基於硬體的ACL。

2. 實際配置時需注意，在交換機每個ACL末尾都隱含著一條「拒絕所有數據流」的語句。

3. 以上所有配置，均以銳捷網路S5750-24GT/12SFP 軟體版本10.2（2）為例。

其他說明，其詳見各產品的配置手冊《訪問控制列表配置》一節。

2. 怎樣配置路由器的ACL命名訪問控制列表

1.配置標准命名ACL：其中name就是要配置ACL名稱，一般使用英文字母及數字組成
步驟一：配置標准命名ACL
Router(config)# ip access-list standard name
步驟二：在命名的ACL配置模式下輸入相應的語句
Router(config-std-nacl)# deny | permit source-ip-addres wildcard-mask [log]
步驟三：將ACL列表應用到相應介面的相應方向
Router(config-if)# IP access-group acl-name {in|out}
2.配置擴展命名ACL:其中name就是要配置ACL名稱，一般使用英文字母及數字組成
步驟一：配置擴展命名ACL
Router(config)# ip access-list extended name
步驟二：在命名的ACL配置模式下輸入相應的語句
Router(config-ext-nacl)# deny | permit protocol | protocol-keyword source-ip wildcard-mask destination-ip wildcard-mask [operator operand][established]
步驟三：將ACL列表應用到相應介面的相應方向
Router(config-if)# IP access-group acl-name {in|out}

3. 思科Cisco路由器的ACL控制列表設置

1、根據問題1，需在在switch3上做acl，其PC3不能訪問伺服器192.168.3.3，命令如下：

switch3(config)#access-list 100 deny host 192.168.4.4 host 192.168.3.3 //拒絕網路192.168.4.4訪問伺服器192.168.3.3。

switch3(config)#access-list 100 peimit ip any any //允許其他主機訪問。

switch3(config) #interface f0/5

switch3(config-if) #ip access-group 100 in //在路由器f0/5介面入方向下調用此ACL 100。

2、根據問題2，PC0、PC1、PC2之間訪問關系，如下命令：

switch3(config) #access-list 101 deny host 192.168.1.2 host 202.135.147.33 //PC0禁止訪問外網

switch3(config) #access-list 101 peimit host 192.168.1.2 host 192.168.2.2 //PC0允許訪問PC2

switch3(config) #access-list 101 peimit host 192.168.1.3 host 192.168.2.2 //PC1允許訪問PC2

switch3(config) #access-list 102 deny 192.168.2.2 0.0.0.0.0 192.168.1.0 0.0.0.255 //PC2禁止訪問192.168.1.0網段

switch3(config) #interface f0/2

switch3(config-if) #ip access-group 101 in

switch3(config) #interface f0/3

switch3(config-if) #ip access-group 102 in //分別在switch3上調用acl 101和102。

3、根據問題3，acl分為標准acl和擴展acl，其標准acl訪問控制列表號為1-99，擴展acl訪問控制列表號為100-199，每條acl下又能創建多條規則，但一個介面下只能調用一條acl。

4、根據問題4，其192.168.1.0 0.0.0.255匹配的是192.168.1.0/24，表示的是192.168.1.0~192.168.1.255地址范圍，命令為：

switch3(config) #access-list 103 peimit ip 192.168.0.0 0.0.255.255 any //允許192.168.0.0/16地址訪問任何網路。

(3)路由器上acl怎麼配置擴展閱讀：

ACL可以應用於多種場合，其中最為常見的應用情形如下：

1、過濾鄰居設備間傳遞的路由信息。

2、控制交換訪問，以此阻止非法訪問設備的行為，如對 Console介面、 Telnet或SSH訪問實施控制。

3、控制穿越網路設備的流量和網路訪問。

4、通過限制對路由器上某些服務的訪問來保護路由器，如HTP、SNMP和NIP等。

5、為DDR和 IPSeC VPN定義感興趣流。

6、能夠以多種方式在IOS中實現QoS(服務質量)特性。

7、在其他安全技術中的擴展應用，如TCP攔截和IOS防火牆。

4. 路由器IP訪問列表怎麼設置

IP Access-list：IP訪問列表或訪問控制列表，簡稱IP ACL
ACL就是對經過網路設備的數據包根據一定的規則進行數據包的過濾
訪問控制列表的作用
內網布署安全策略，保證內網安全許可權的資源訪問

內網訪問外網時，進行安全的數據過濾

防止常見病毒、木馬、攻擊對用戶的破壞
ACL一般配置步驟
1、定義規則（哪些數據允許通過，哪些數據不允許通過）；
2、將規則應用在路由器（或三層交換機）的介面上。

兩種類型：
標准ACL（standard IP ACL）
擴展ACL （extended IP ACL）
IP標准訪問列表的配置
1、定義標准ACL
編號的標准訪問列表（路由器和三層交換機支持）Router(config)#access-list <1-99> {permit|deny} 源地址 [反掩碼]
命名的標准訪問列表（路由器、三層交換機和二層交換機支持）

2、應用ACL到介面
Router(config-if)#ip access-group <1-99> { in | out }
3、命名的標准訪問列表（路由器、三層交換機）
switch(config)# ip access-list standard < name >
switch(config-std-nacl)#{permit|deny} 源地址 [反掩碼]
switch(config-if)#ip access-group name { in | out }
IP擴展訪問列表的配置
1.定義擴展的ACL：
編號的擴展ACL （路由器和三層交換機支持）
Router(config)#access-list <100-199> { permit /deny }
協議 源地址 反掩碼 [源埠] 目的地址 反掩碼 [ 目的埠 ]
命名的擴展ACL （路由器、三層交換機和二層交換機支持）
switch(config)# ip access-list extended {name}
switch(config)#{ permit /deny } 協議 源地址 反掩碼 [源埠] 目的地址 反掩碼 [ 目的埠 ]
2.應用ACL到介面：
Router(config-if)#ip access-group <100-199> { in | out }
switch(config-if)#ip access-group name { in | out }
基於時間的訪問控制列表
通過基於時間的定時訪問控制列表，定義在什麼時間允許或拒絕數據包。
只不過在配置ACL之前定義一個時間范圍。然後再通過引用這個時間范圍來對網路中的流量進行科學合理的限制。
對於不同的時間段實施不同的訪問控制規則
在原有ACL的基礎上應用時間段
任何類型的ACL都可以應用時間段
基於時間的列表的配置
校正路由器時鍾
在全局模式
Clock set hh:mm:ss date month year 設置路由器的當前時間
Clock up_calender 保存設置
配置時間段
時間段
絕對時間段（absolute）
周期時間段（periodic）
混合時間段：先絕對，後周期
Router(config)# time-range time-range-name 給時間段取名，配置ACL時通過名字引用
配置絕對時間
Router(config-time-range)# absolute { start time date [ end time date ] | end time date }
start time date：表示時間段的起始時間。time表示時間，格式為「hh:mm」。date表示日期，格式為「日 月 年」
end time date：表示時間段的結束時間，格式與起始時間相同
示例：absolute start 08:00 1 Jan 2007 end 10:00 1 Feb 2008
配置周期時間
Router(config-time-range)# periodic day-of-the-week hh:mm to [ day-of-the-week ] hh:mm
periodic { weekdays | weekend | daily } hh:mm to hh:mm
取值 說明
Monday 星期一
Tuesday 星期二
Wednesday 星期三
Thursday 星期四
Friday 星期五
Saturday 星期六
Sunday 星期日
Daily 每天
Weekdays 平時（星期一至五）
Weekend 周末（星期六至日）

示例：periodic weekdays 09:00 to 18:00
3、關聯ACL與時間段，應用時間段
在ACL規則中使用time-range參數引用時間段
只有配置了time-range的規則才會在指定的時間段內生效，其它未引用時間段的規則將不受影響
access-list 101 permit ip any any time-range time-range-name

驗證訪問列表和time-range介面配置
Router# show access-lists ！顯示所有訪問列表配置
Router#show time-range ! 顯示time-range介面配置

註：1、一個訪問列表多條過濾規則
按規則來進行匹配。
規則匹配原則：
從頭到尾，至頂向下的匹配方式
匹配成功，則馬上使用該規則的「允許/拒絕……」
一切未被允許的就是禁止的。定義訪問控制列表規則時，最終的預設規則是拒絕所有數據包通過，即deny any any
顯示全部的訪問列表
Router#show access-lists
顯示指定的訪問列表
Router#show access-lists <1-199>
顯示介面的訪問列表應用
Router#show ip interface 介面名稱 介面編號
一個埠在一個方向上只能應用一組ACL。

銳捷全系列交換機可針對物理介面和SVI介面應用ACL。
針對物理介面，只能配置入棧應用(In)；
針對SVI（虛擬VLAN）介面，可以配置入棧（In）和出棧（Out）應用。

訪問列表的預設規則是：拒絕所有。
對於標准ACL，應盡量將ACL設置在離目標網路最近的介面，以盡可能擴大源網路的訪問范圍。
對於擴展ACL，應盡量將ACL設置在離源網路最近的介面，以盡可能減少網路中的無效數據流。

5. 計算機網路路由器ACL配置

這個問題可以用擴展ACL完成。
假如vlan 10的IP地址為：192.168.10.0/24；
vlan 20的IP地址為：192.168.20.0/24；
vlan 30的IP地址為：192.168.30.0/24；
PC6的IP地址為6.6.6.6/24；
Server0的學地址為1.1.1.1/24；

定義擴展ACL：
access 100 permit ip host 6.6.6.6 any //讓PC6訪問vlan
access 100 permit ip host 1.1.1.1 any //讓server訪問vlan，題目沒說，此行也可省略
//最後默認拒絕其餘所有流量
然後將ACL 100分別應用在R0內網介面的每個子介面上，直接應用在物理介面上是沒有用的。這樣就可實現Vlan間不能互相訪問，但PC6(和Server)可以訪問VLAN了。

再定義一個擴展ACL：
access 111 deny ip 192.168.10.0 0.0.0.255 any //vlan不能訪問外網
/*******
這里的any也可寫成host 6.6.6.6、host 1.1.1.1，分兩行寫，你懂的。
寫成host形式，vlan只是不能訪問PC和Server，其他的還是可以訪問的。
********/
access 111 deny ip 192.168.20.0 0.0.0.255 any
access 111 deny ip 192.168.30.0 0.0.0.255 any
access 111 permit ip any any
然後將ACL 111應用在R0的Wan介面就行了。

關於PC6和Server之間通信，沒有說，可以什麼都不配置。

6. 華為AR路由在防火牆策略中如何配置高級ACL實現訪問控制

1、打開華為AR路由器的系統設置。
2、選擇恢復在防火牆策略狀態。
3、在系統預裝時，可以刪除路由器中的其他文件，繼續選擇配置高級ACL實現訪問控制。