思科Cisco路由器的ACL控制列表设置

1、根据问题1，需在在switch3上做acl，其PC3不能访问服务器192.168.3.3，命令如下：

switch3(config)#access-list 100 deny host 192.168.4.4 host 192.168.3.3  //拒绝网络192.168.4.4访问服务器192.168.3.3。 

switch3(config)#access-list 100 peimit ip any any   //允许其他主机访问。

switch3(config) #interface f0/5

switch3(config-if) #ip access-group 100 in     //在路由器f0/5接口入方向下调用此ACL 100。

2、根据问题2，PC0、PC1、PC2之间访问关系，如下命令：

switch3(config) #access-list 101 deny host 192.168.1.2 host 202.135.147.33  //PC0禁止访问外网

switch3(config) #access-list 101 peimit host 192.168.1.2 host 192.168.2.2   //PC0允许访问PC2

switch3(config) #access-list 101 peimit host 192.168.1.3 host 192.168.2.2   //PC1允许访问PC2

switch3(config) #access-list 102 deny 192.168.2.2 0.0.0.0.0 192.168.1.0 0.0.0.255  //PC2禁止访问192.168.1.0网段

switch3(config) #interface f0/2

switch3(config-if) #ip access-group 101 in

switch3(config) #interface f0/3

switch3(config-if) #ip access-group 102 in   //分别在switch3上调用acl 101和102。

3、根据问题3，acl分为标准acl和扩展acl，其标准acl访问控制列表号为1-99，扩展acl访问控制列表号为100-199，每条acl下又能创建多条规则，但一个接口下只能调用一条acl。

4、根据问题4，其192.168.1.0 0.0.0.255匹配的是192.168.1.0/24，表示的是192.168.1.0~192.168.1.255地址范围，命令为：

switch3(config) #access-list 103 peimit ip 192.168.0.0 0.0.255.255 any   //允许192.168.0.0/16地址访问任何网络。

扩展资料：

ACL可以应用于多种场合，其中最为常见的应用情形如下：

1、过滤邻居设备间传递的路由信息。

2、控制交换访问，以此阻止非法访问设备的行为，如对 Console接口、 Telnet或SSH访问实施控制。

3、控制穿越网络设备的流量和网络访问。

4、通过限制对路由器上某些服务的访问来保护路由器，如HTP、SNMP和NIP等。

5、为DDR和 IPSeC VPN定义感兴趣流。

6、能够以多种方式在IOS中实现QoS(服务质量)特性。

7、在其他安全技术中的扩展应用，如TCP拦截和IOS防火墙。

如果你在服务器接口的in方向加策略，那就错了，因为服务器在反馈服务请求的时候，它是不会用FTP的端口回复的，而是随机端口；正确的做法是在连接服务器端口的out方向加策略允许其他网段访问该服务器的FTP端口，华为的命令不熟，大体意思是这样的，你自己翻翻资料吧

in方向是不行的，因为in方向是指从服务器发出的数据包，这样，它的端口号不是ftp的20、21，而是一个随机的端口号，如果华为的交换机只有in方向的访问控制列表的话，你可以把列表放在交换机上联接口的in方向上。

---