❶ 路由器的访问控制列表(ACL)的作用是( )
全是错误的,acl是定义,以上都可以作到,但它只是条件,还需相应命令使用它。
❷ ACL(访问控制列表)的分类和作用
IP访问控制列表的分类
标准IP访问控制列表
当我们要想阻止来自某一网络的所有通信流量,或者充许来自某一特定网络的所有通信流量,或者想要拒绝某一协议簇的所有通信流量时,可以使用标准访问控制列表来实现这一目标。标准访问控制列表检查路由的数据包的源地址,从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。
扩展IP访问控制列表
扩展访问控制列表既检查数据包的源地址,也检查数据包的目的地址,还检查数据包的特定协议类型、端口号等。扩展访问控制列表更具有灵活性和可扩充性,即可以对同一地址允许使用某些协议通信流量通过,而拒绝使用其他协议的流量通过。
命名访问控制列表
在标准与扩展访问控制列表中均要使用表号,而在命名访问控制列表中使用一个字母或数字组合的字符串来代替前面所使用的数字。使用命名访问控制列表可以用来删除某一条特定的控制条目,这样可以让我们在使用过程中方便地进行修改。
在使用命名访问控制列表时,要求路由器的IOS在11.2以上的版本,并且不能以同一名字命名多个ACL,不同类型的ACL也不能使用相同的名字。
❸ cisco 访问控制列表ACL怎么写
非常简单的需求:
vlan 3的网段的子网掩码,我就当做是255.255.255.0了,具体的根据你自己的情况修改
access-list 100 permit ip 10.0.0.0 0.0.0.255 192.168.2.0 0.0.0.255//////这条允许vlan3只能访问vlan2,如果你不需要vlan3能出外网,那么这样一条就够了,但是如果你需要vlan3不同访问其他几个vlan的同时,还要能出外网,那么下面的4条一定要加!!!!
access-list 100 deny ip 10.0.0.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 100 deny ip 10.0.0.0 0.0.0.255 192.168.4.0 0.0.0.255
access-list 100 deny ip 10.0.0.0 0.0.0.255 192.168.5.0 0.0.0.255
access-list 100 permit ip any any
int vlan 3/////进入vlan3的SVI接口
ip access-group 100 in/////把acl调用到流量入方向
access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255////这条允许vlan2只能访问vlan1,剩下几条与上面同理
access-list 101 deny ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 101 deny ip 192.168.2.0 0.0.0.255 192.168.4.0 0.0.0.255
access-list 101 deny ip 192.168.2.0 0.0.0.255 192.168.5.0 0.0.0.255
access-list 101 permit ip any any
int vlan 2
ip access-group 101 in/////与上面的同理
剩下的几个vlan默认即可,就能达到需求了
你的描述需求里有一条:“vlan1,vlan4,vlan5不能访问vlan3”
但是我要告诉你vlan1,vlan4,vlan5不能访问vlan3的同时,也都不能访问vlan2
因为你的需求里有一句“vlan2只能访问vlan1”。
所以根据逻辑来说,你的需求应该是:vlan1,vlan4,vlan5不能访问vlan3和vlan2
这样会比较严谨
另外,在你写的时候建议使用命名访问控制列表(ip access-list ),这样看起来能更直观的描述每条ACL和对应的流量限制!
纯手打,不懂还可以继续问