❶ 路由器的訪問控制列表(ACL)的作用是( )
全是錯誤的,acl是定義,以上都可以作到,但它只是條件,還需相應命令使用它。
❷ ACL(訪問控制列表)的分類和作用
IP訪問控制列表的分類
標准IP訪問控制列表
當我們要想阻止來自某一網路的所有通信流量,或者充許來自某一特定網路的所有通信流量,或者想要拒絕某一協議簇的所有通信流量時,可以使用標准訪問控制列表來實現這一目標。標准訪問控制列表檢查路由的數據包的源地址,從而允許或拒絕基於網路、子網或主機的IP地址的所有通信流量通過路由器的出口。
擴展IP訪問控制列表
擴展訪問控制列表既檢查數據包的源地址,也檢查數據包的目的地址,還檢查數據包的特定協議類型、埠號等。擴展訪問控制列表更具有靈活性和可擴充性,即可以對同一地址允許使用某些協議通信流量通過,而拒絕使用其他協議的流量通過。
命名訪問控制列表
在標准與擴展訪問控制列表中均要使用表號,而在命名訪問控制列表中使用一個字母或數字組合的字元串來代替前面所使用的數字。使用命名訪問控制列表可以用來刪除某一條特定的控制條目,這樣可以讓我們在使用過程中方便地進行修改。
在使用命名訪問控制列表時,要求路由器的IOS在11.2以上的版本,並且不能以同一名字命名多個ACL,不同類型的ACL也不能使用相同的名字。
❸ cisco 訪問控制列表ACL怎麼寫
非常簡單的需求:
vlan 3的網段的子網掩碼,我就當做是255.255.255.0了,具體的根據你自己的情況修改
access-list 100 permit ip 10.0.0.0 0.0.0.255 192.168.2.0 0.0.0.255//////這條允許vlan3隻能訪問vlan2,如果你不需要vlan3能出外網,那麼這樣一條就夠了,但是如果你需要vlan3不同訪問其他幾個vlan的同時,還要能出外網,那麼下面的4條一定要加!!!!
access-list 100 deny ip 10.0.0.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 100 deny ip 10.0.0.0 0.0.0.255 192.168.4.0 0.0.0.255
access-list 100 deny ip 10.0.0.0 0.0.0.255 192.168.5.0 0.0.0.255
access-list 100 permit ip any any
int vlan 3/////進入vlan3的SVI介面
ip access-group 100 in/////把acl調用到流量入方向
access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255////這條允許vlan2隻能訪問vlan1,剩下幾條與上面同理
access-list 101 deny ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 101 deny ip 192.168.2.0 0.0.0.255 192.168.4.0 0.0.0.255
access-list 101 deny ip 192.168.2.0 0.0.0.255 192.168.5.0 0.0.0.255
access-list 101 permit ip any any
int vlan 2
ip access-group 101 in/////與上面的同理
剩下的幾個vlan默認即可,就能達到需求了
你的描述需求里有一條:「vlan1,vlan4,vlan5不能訪問vlan3」
但是我要告訴你vlan1,vlan4,vlan5不能訪問vlan3的同時,也都不能訪問vlan2
因為你的需求里有一句「vlan2隻能訪問vlan1」。
所以根據邏輯來說,你的需求應該是:vlan1,vlan4,vlan5不能訪問vlan3和vlan2
這樣會比較嚴謹
另外,在你寫的時候建議使用命名訪問控制列表(ip access-list ),這樣看起來能更直觀的描述每條ACL和對應的流量限制!
純手打,不懂還可以繼續問