思科如何查看acl的配置

A. CISCO 三层交换机，如何查看一个ACL条目， 应用到那个地方了,除了 sh run这条命令，sh run 里面看不到。

通常我们还是通过show run 或者 show run | include [关键字] 去查看相关命令，因为ACL调用的地方有很多，所以悄答还是需要一个个看 ，没有什么捷径，只不过可以通过管道运算符“启腔慧|”这样去精确我们的查找结果，比如ip access-list extand 101
那么 我们去show run | inculde 101
然后看是否有调用
然后在去show 接口配置，class-map配置，甚至是control-plane配置去查看调用的地圆野方

B. 思科Cisco路由器的ACL控制列表设置

1、根据问题1，需在在switch3上做acl，其PC3不能访问服务器192.168.3.3，命令如下：

switch3(config)#access-list 100 deny host 192.168.4.4 host 192.168.3.3 //拒绝网络192.168.4.4访问服务器192.168.3.3。

switch3(config)#access-list 100 peimit ip any any //允许其他主机访问。

switch3(config) #interface f0/5

switch3(config-if) #ip access-group 100 in //在路由器f0/5接口入方向下调用此ACL 100。

2、根据问题2，PC0、PC1、PC2之间访问关系，如下命令：

switch3(config) #access-list 101 deny host 192.168.1.2 host 202.135.147.33 //PC0禁止访问外网

switch3(config) #access-list 101 peimit host 192.168.1.2 host 192.168.2.2 //PC0允许访问PC2

switch3(config) #access-list 101 peimit host 192.168.1.3 host 192.168.2.2 //PC1允许访问PC2

switch3(config) #access-list 102 deny 192.168.2.2 0.0.0.0.0 192.168.1.0 0.0.0.255 //PC2禁止访问192.168.1.0网段

switch3(config) #interface f0/2

switch3(config-if) #ip access-group 101 in

switch3(config) #interface f0/3

switch3(config-if) #ip access-group 102 in //分别在switch3上调用acl 101和102。

3、根据问题3，acl分为标准acl和扩展acl，其标准acl访问控制列表号为1-99，扩展acl访问控制列表号为100-199，每条acl下又能创建多条规则，但一个接口下只能调用一条acl。

4、根据问题4，其192.168.1.0 0.0.0.255匹配的是192.168.1.0/24，表示的是192.168.1.0~192.168.1.255地址范围，命令为：

switch3(config) #access-list 103 peimit ip 192.168.0.0 0.0.255.255 any //允许192.168.0.0/16地址访问任何网络。

(2)思科如何查看acl的配置扩展阅读：

ACL可以应用于多种场合，其中最为常见的应用情形如下：

1、过滤邻居设备间传递的路由信息。

2、控制交换访问，以此阻止非法访问设备的行为，如对 Console接口、 Telnet或SSH访问实施控制。

3、控制穿越网络设备的流量和网络访问。

4、通过限制对路由器上某些服务的访问来保护路由器，如HTP、SNMP和NIP等。

5、为DDR和 IPSeC VPN定义感兴趣流。

6、能够以多种方式在IOS中实现QoS(服务质量)特性。

7、在其他安全技术中的扩展应用，如TCP拦截和IOS防火墙。

C. CISCO交换机ACL配置方法

router#conf
t
router(config)#ip
access-list
extend
V1
router(config-acl)#permit
ip
any
host
192.167.0.2
router(config-acl)#permit
ip
any
host
192.167.0.3
router(config-acl)#deny
ip
any
any
router(config-acl)#ip
access-list
extend
V3
router(config-acl)#permit
ip
host
192.167.0.2
192.168.1.0
0.0.0.255
router(config-acl)#permit
ip
host
192.167.0.2
192.168.1.0
0.0.0.255
router(config-acl)#deny
ip
any
192.168.1.0
0.0.0.255
router(config-acl)#permit
ip
any
any
router(config-acl)#interface
vlan1
router(config-inf)#ip
access-group
V1
in
router(config-inf)#interface
vlan3
router(config-inf)#ip
access-group
V3
in
以上配置效果：VLAN1只能访问192.167.0.2和.3这两个地址，其他地址均无法访问；VLAN3能访问除192.168.1.0/24这个网段外所有地址（0.2和0.3两个地址可以访问192.168.1.0/24这个网段）。
如果要使VLAN1能够访问其他地址V1就这样定义：
router(config)#ip
access-list
extend
V1
router(config-acl)#permit
ip
any
host
192.167.0.2
router(config-acl)#permit
ip
any
host
192.167.0.3
router(config-acl)#deny
ip
any
192.168.1.0
0.0.0.255
router(config-acl)#permit
ip
any
any

D. cisco路由器如何配置标准访问控制列表 ACL

标准ACL配置

提问：如何只允许端口下的用户只能访问特定的服务器网段？

回答：

步骤一：定义ACL

S5750#conf t ----进入全局配置模式

S5750(config)#ip access-list standard 1 ----定义标准ACL

S5750(config-std-nacl)#permit 192.168.1.0 0.0.0.255

----允许访问服务器资源

S5750(config-std-nacl)#deny any ----拒绝访问其他任何资源

S5750(config-std-nacl)#exit ----退出标准ACL配置模式

步骤二：将ACL应用到接口上

S5750(config)#interface GigabitEthernet 0/1 ----进入所需应用的端口

S5750(config-if)#ip access-group 1 in ----将标准ACL应用到端口in方向

注释：

1. S1900系列、S20系列交换机不支持基于硬件的ACL。

2. 实际配置时需注意，在交换机每个ACL末尾都隐含着一条“拒绝所有数据流”的语句。

3. 以上所有配置，均以锐捷网络S5750-24GT/12SFP 软件版本10.2（2）为例。

其他说明，其详见各产品的配置手册《访问控制列表配置》一节。

E. 思科防火墙如何查看所有的acl

直接按回车键或者空格键继续翻页啊 或者可以导出到TXT