訪問控制列表的編號

Ⅰ 配置思科三層交換機，訪問控制列表的時候，下面八句話是什麼意思啊謝謝

先解釋103.
第一句和第三句分別允許[任何人向DHCP客戶端通信]和[從DHCP客戶端向任何人通信]。
DHCP客戶端一般就是自動獲取地址的主機。
這兩個允許就允許了自動獲取地址的過程。
eq bootpc就是埠 68.是udp協議。

#103是訪問控制列表的編號
#permit是允許，也可以是deny
#udp指的是udp協議，還可以寫tcp，ip（這是思科特殊的地方，盡管ip跟tcp，udp不是一個層次的）。
#any指的是任何地址，也可以寫具體地址。前一個any是源後一個是目的地址。
#eq代表埠號，eq bootpc = eq 68兩者都可以寫。在配置裡面不管怎麼寫顯示前者。
#默認最後一個隱藏的語句access-list 103 deny ip any any就是說除以上允許外其他全部拒絕（訪問控制列表是一條一條從上往下匹配的）

第二句和第四句分別允許[任何人向tftp客戶端/伺服器通信]和反過來。
因為tftp客戶和伺服器端都用一個69埠。也是udp協議

104.類似。

103和104是兩個獨立的訪問控制列表。看誰調用了。

Ⅱ 什麼是訪問控制列表

下面是對幾種訪問控制列表的簡要總結。
●標准IP訪問控制列表
一個標准IP訪問控制列表匹配IP包中的源地址或源地址中的一部分，可對匹配的包採取拒絕或允許兩個操作。編號范圍是從1到99的訪問控制列表是標准IP訪問控制列表。
●擴展IP訪問控制列表
擴展IP訪問控制列表比標准IP訪問控制列表具有更多的匹配項，包括協議類型、源地址、目的地址、源埠、目的埠、建立連接的和IP優先順序等。編號范圍是從100到199的訪問控制列表是擴展IP訪問控制列表。
●命名的IP訪問控制列表
所謂命名的IP訪問控制列表是以列表名代替列表編號來定義IP訪問控制列表，同樣包括標准和擴展兩種列表，定義過濾的語句與編號方式中相似。
●標准IPX訪問控制列表
標准IPX訪問控制列表的編號范圍是800-899，它檢查IPX源網路號和目的網路號，同樣可以檢查源地址和目的地址的節點號部分。
●擴展IPX訪問控制列表
擴展IPX訪問控制列表在標准IPX訪問控制列表的基礎上，增加了對IPX報頭中以下幾個宇段的檢查，它們是協議類型、源Socket、目標Socket。擴展IPX訪問控制列表的編號范圍是900-999。
●命名的IPX訪問控制列表
與命名的IP訪問控制列表一樣，命名的IPX訪問控制列表是使用列表名取代列表編號。從而方便定義和引用列表，同樣有標准和擴展之分。

Ⅲ 路由器的訪問控制列表是怎樣設置的

訪問控制列表是一種包過濾技術，分為標准訪問控制列表（編號為1到99）和擴展訪問控制列表（編號為100到199）兩類。標准訪問控制列表主要是對源地址的控制，適用於所有的協議。
以Cisco2600路由器為例，假設允許192.168.1.0網段內的所有機器通過路由器出去，那麼設置如下：access-list 1 permit 192.168.1.0 0.0.0.255interface serial 0ip access-group 1 out其中，0.0.0.255為該網段的通配符掩碼。非標准訪問控制列表可以實現對源地址和目的地址的雙重控制，還可以只針對某一協議作控制。以Cisco路由器為例，假設拒絕192.16.1.0網段內的所有機器通過80埠從路由器訪問新浪網站，操作如下：access-list 101 deny tcp 192.168.1.0 0.0.0.255 www.sina.com.cn eq 80access-list 101 permit any anyinterface serial 1ip access-group 101 out

Ⅳ 華為 ACL訪問控制列表 （高級ACL為例）

Access Control List訪問控制列表–ACL

ACL是由一個或多個用於報文過濾的規則組成的規則集合，通過在不同功能上的應用 可 達到不同的應用效果。
路由器和交換機介面的指令列表，用來控制埠進出的數據包，配合各種應用（NAT、route police 前綴列表等）實現對應的效果。

匹配特定數據，實現對數據的控制（deny–拒絕，permit–放行）
實現網路訪問控制，Qos留策略，路由信息過濾，策略路由等諸多方面。

（1）：按照ACL過濾的報文類型和功能劃分

基本acl（2000-2999）：只能匹配源ip地址。
高級acl（3000-3999）：可以匹配源ip、目標ip、源埠、目標埠等三層和四層的欄位。

① 介面ACL（編號1000-----19999）
② 基本ACL（編號2000-----2999）
③ 高級ACL（編號3000-----3999）
④ 二層ACL（編號4000-----4999）
⑤ 自定義ACL（編號5000----5999）

（2）：按照命名方式劃分

① 數字型ACL（創建ACL是編號）
② 命名型ACL（給所創建的ACL賦予一個名稱）

定義ACL語句--------》介面/應用掛載-------》介面收到流量匹配ACL語句----------》數據命中ACL後執行語句動作。

（1）：一個ACL可以由多條「deny | permit」語句組成，每一條語句描述了一條規則
permit–放行，允許，抓取/匹配
deny----拒絕，過濾。

（2）：設備收到數據流量後，會逐條匹配ACL規則，看其是否匹配。
如果不匹配，則匹配下一條。一旦找到一條匹配的規則，則執行規則中定義的動作（permit或者deny）並且不再匹配後續的語句。
如果找不到匹配的規則，則設備不對報文進行任何處理（即默認執行prmit any any，放行所有）

注意： ACL中定義的這些規則可能存在重復或矛盾的地方。規則的匹配順序決定了規則的優先順序，ACL通過設置規則的優先順序來處理規則之間重復或矛盾的情形

配置順序和自動排序

（1）配置順序：

配置順序按ACL規則編號（rule-id）從小到大的順序進行匹配。
設備會在創建ACL的過程中自動為每一條規則分配一個編號（rule-id），規則編號決定了規則被匹配的順序(ARG3系列路由器默認規則編號的步長是5)。

（2）自動排序：

自動排序使用「深度優先」的原則進行匹配，即根據規則的精確度排序，匹配條件（如協議類型，源目的IP地址范圍等）限制越嚴格越精確。
若「深度優先」的順序相同，則匹配該規則時按照規則編號從小到大排列。

rule

（1） 一個ACL內可以有一條或者多條規則，每條規則都有自己的編號，在一個ACL每條語句的規則編號時唯一的，每條編號代表一個ACL語句和動作。
（2） ACL的規則編號（rule id）默認自動生成，也可以手動指定，一般我們通過手動插入新的rule 來調整ACL的匹配規則。
（3）默認每條規則號的從0開始，增長規則為步進5（通過step命令修改步進號）

Ⅳ 訪問控制列表有哪幾種類型,分別在哪個位置

分類

1、標准IP訪問列表

一個標准IP訪問控制列表匹配IP包中的源地址或源地址中的一部分，可對匹配的包採取拒絕或允許兩個操作。編號范圍是從1到99的訪問控制列表是標准IP訪問控制列表。

2、擴展IP訪問

擴展IP訪問控制列表比標准IP訪問控制列表具有更多的匹配項，包括協議類型、源地址、目的地址、源埠、目的埠、建立連接的和IP優先順序等。編號范圍是從100到199的訪問控制列表是擴展IP訪問控制列表。

3、命名的IP訪問

所謂命名的IP訪問控制列表是以列表名代替列表編號來定義IP訪問控制列表，同樣包括標准和擴展兩種列表，定義過濾的語句與編號方式中相似。

4、標准IPX訪問

標准IPX訪問控制列表的編號范圍是800-899，它檢查IPX源網路號和目的網路號，同樣可以檢查源地址和目的地址的節點號部分。

5、擴展IPX訪問

擴展IPX訪問控制列表在標准IPX訪問控制列表的基礎上，增加了對IPX報頭中以下幾個欄位的檢查，它們是協議類型、源Socket、目標Socket。擴展IPX訪問控制列表的編號范圍是900-999。

6、命名的IPX訪問

與命名的IP訪問控制列表一樣，命名的IPX訪問控制列表是使用列表名取代列表編號。從而方便定義和引用列表，同樣有標准和擴展之分。

(5)訪問控制列表的編號擴展閱讀

訪問控制列表的使用

ACL的使用分為兩步：

(1)創建訪問控制列表ACL，根據實際需要設置對應的條件項；

(2)將ACL應用到路由器指定介面的指定方向(in/out)上。

在ACL的配置與使用中需要注意以下事項：

(1)ACL是自頂向下順序進行處理，一旦匹配成功，就會進行處理，且不再比對以後的語句，所以ACL中語句的順序很重要。應當將最嚴格的語句放在最上面，最不嚴格的語句放在底部。

(2)當所有語句沒有匹配成功時，會丟棄分組。這也稱為ACL隱性拒絕。

(3)每個介面在每個方向上，只能應用一個ACL。

(4)標准ACL應該部署在距離分組的目的網路近的位置，擴展ACL應該部署在距離分組發送者近的位置。