關於cisco三層交換機ACL配置問題

2021-05-05 07:34:21 字數 5494 閱讀 6175

1樓:

deny 是拒絕通訊的ip,子網掩碼, permit是允許通訊的ip,ip,子網掩碼,在進(in)和出(out)方向,不允許255.255.255.

0.0 255.255.

224.0 255.255.

254.0 ,三個子網內的主機對外通訊。

2樓:匿名使用者

access-list in extended permit ip any inte***ce inside

access-list out extended permit ip any inte***ce outside

access-list in extended deny ip any 0.0.0.0 255.255.0.0

access-list in extended deny ip any 0.0.0.0 255.255.224.0

access-list in extended deny ip any 0.0.0.0 255.255.254.0

access-list out extended deny ip any 0.0.0.0 255.255.0.0

access-list out extended deny ip any 0.0.0.0 255.255.224.0

access-list out extended deny ip any 0.0.0.0 255.255.254.0

cisco愛好者,瞎琢磨的,看看對嗎?呵呵。

3樓:匿名使用者

0.0.0.0 255.255.0.0這不符合邏輯

在acl裡,是反轉掩碼

比如拒絕192.168.0.0/16的寫法是這樣的:

deny ip any 192.168.0.0 0.0.255.255

反推到你的語句裡的ip地址就成這樣了:

0.0.0.0/0.0.255.255,這是個嘛啊??我沒見過啊。我也不理解。

你最好明確你的需求,舉例說,在acl-in裡拒絕三個子網進入路由器,分別是:

192.168.1.0/25,172.16.0.0/16,10.0.0.0/8

其他全允許,寫法有兩種:

第一種,acl命名

ip access-list ext in

deny ip 192.168.1.0 0.0.0.127 any

deny ip 172.16.0.0 0.0.255.255 any

deny ip 10.0.0.0 0.255.255.255 any

permit ip any any

第二種:acl編號,100-199是ext acl的編號

access-list 123 deny ip 192.168.1.0 0.0.0.127 any

access-list 123 deny ip 172.16.0.0 0.0.255.255 any

access-list 123 deny ip 10.0.0.0 0.255.255.255 any

access-list 123 permit ip any any

cisco訪問列表預設策略就是拒絕所有,所以就不用再寫全拒絕的命令了。

訪問列表寫完了,繫結到埠生效。

acl是鎖頭,路由器是大門。你買了100把鎖頭,只有鎖在大門上那把才是有用的。

4樓:匿名使用者

你說這些控制列表能用?你怎麼試出來的?

如你的第一句:

deny ip any 0.0.0.

0 255.255.0.

0推算過來是 拒絕ip 所有 到 0.0.0.

0 0.0.255.

255 有這樣的掩碼結構嗎? 真沒見過

5樓:匿名使用者

應該使用反掩碼吧。

ip access-list extended in

deny ip any 0.0.0.0 255.255.0.0

deny ip any 0.0.0.0 255.255.224.0

deny ip any 0.0.0.0 255.255.254.0

permit ip any any

是說要拒絕任何到0.0.0.0/16的ip協議的流量,允許其他不被匹配的流量放行

ip access-list extended out

deny ip 0.0.0.0 255.255.0.0 any

deny ip 0.0.0.0 255.255.224.0 any

deny ip 0.0.0.0 255.255.254.0 any

permit ip any any

是說要拒絕0.0.0.0/16的地址到任何地方的ip協議的流量,允許其他不被匹配的流量放行

流量經過裝置才能起到過濾的作用。

cisco三層交換機配置acl問題。

6樓:

留下郵箱 給你發過去

配置好了

switch#show run

building configuration...

current configuration : 1398 bytes

!version 12.2

no service timestamps log datetime msec

no service timestamps debug datetime msec

no service password-encryption

!hostname switch!!

!!!!

!!!!

!!!!

!!!!

inte***ce fastethernet0/1

switchport access vlan 10

!inte***ce fastethernet0/2

switchport access vlan 20

!inte***ce fastethernet0/3

switchport access vlan 20

!inte***ce fastethernet0/4

!inte***ce fastethernet0/5

!inte***ce fastethernet0/6

!inte***ce fastethernet0/7

!inte***ce fastethernet0/8

!inte***ce fastethernet0/9

!inte***ce fastethernet0/10

!inte***ce fastethernet0/11

!inte***ce fastethernet0/12

!inte***ce fastethernet0/13

!inte***ce fastethernet0/14

!inte***ce fastethernet0/15

!inte***ce fastethernet0/16

!inte***ce fastethernet0/17

!inte***ce fastethernet0/18

!inte***ce fastethernet0/19

!inte***ce fastethernet0/20

!inte***ce fastethernet0/21

!inte***ce fastethernet0/22

!inte***ce fastethernet0/23

!inte***ce fastethernet0/24

!inte***ce gigabitethernet0/1

!inte***ce gigabitethernet0/2

!inte***ce vlan1

no ip address

shutdown

!inte***ce vlan10

ip address 192.168.10.1 255.255.255.0

ip access-group 100 in

!inte***ce vlan20

ip address 192.168.20.1 255.255.255.0

!ip classless!!

access-list 100 permit ip 192.168.10.

0 0.0.0.

255 host 192.168.20.

20 //訪問控制

access-list 100 deny ip 192.168.10.

0 0.0.0.

255 host 192.168.20.

10 //訪問控制!!

!!!line con 0

line vty 0 4

login!!

!end

思科三層交換機acl配置問題

7樓:匿名使用者

你好!需要配置自反acl

我已經做過實驗了。如下命令可行:

ip access-list extended finance_in

permit ip 192.168.40.0 0.0.0.255 host 192.168.10.2

permit ip 192.168.40.0 0.0.0.255 host 192.168.20.2

permit ip 192.168.40.0 0.0.0.255 any reflect f_permit

ip access-list extended finance_out

permit ip host 192.168.10.2 192.168.40.0 0.0.0.255

permit ip host 192.168.20.2 192.168.40.0 0.0.0.255

evaluate f_permit

exit

int vlan 40

ip access-group finance_in in

ip access-group finance_out out

實現你如上所有效果,另外財務部可以訪問任意網段,但是任意網段不可能訪問財務部,除了主機192.168.10.2 和192.168.20.2可訪問財務部。

cisco c4506三層交換機acl配置問題

8樓:匿名使用者

acl的查詢規則是從上到下,一組acl語句裡面必須有一個允許語句。預設為拒絕所有。

cisco交換機的acl配置問題,求大神指點了

9樓:匿名使用者

交換機的埠復都是二層埠,制只識別mac地址,而acl是基bai於ip地址du的,三層上面的,只zhi能繫結在svi介面上。dao

交換機上的acl的作用是對管理該裝置的主機進行限制,部署方式應該是這樣的:

int vlan 1

ip add 172.16.21.254 255.255.255.0no shut

ip access-group test1 in

CISCO三層交換機配置中dnsserver

在cisco三層交換機裡配置dhcp服務,如要對pool中的dns資訊進行配置,就使用dns server命令。不同三層交換機,所支援的dns數量不同,你所說的dns server 10.177.1.9 218.85.157.99是支援備用dns設定的,10.177.1.9是主用dns伺服器地址,2...

關於思科三層交換機,思科三層交換機配置命令

假設vlan12 網段 192.168.12.0 16 access list 101 permit ip 192.168.12.0 0.0 host 192.168.16.105 access list 101 permit ip 192.168.12.0 0.0 host 192.168.16....

cisco3560三層交換機vlan之間routing之後可以互訪

你這屬於單向訪問,可以寫如下的 aclswitch config access list 100 permit tcp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 established switch config access list 100 perm...