02 ACL配置和故障排除

02 ACL配置和故障排除

1、标准编号IPv4 ACL的配置

1）标准 ACL 命令的完整语法如下：

Router(config)#access-list access-list-number {deny | permit} remark source [source-wildcard] [log]

此命令的 no 形式可删除标准 ACL。

remark 关键字用于记录信息，使访问列表更易于理解。每条注释限制在 100 个字符以内。

2）将标准ACL应用于物理接口：

Router(config-if)#ip access-group {access-list-number | access-list-name} {in | out}

2、使用 ACL 控制 VTY 访问：

access-class 命令的语法是：

Router(config)#line vty 0 4

Router(config-line)#access-class access-list-number {in [vrf-also] | out}

3、扩展编号IPv4 ACL的配置

1）扩展ACL的语法结构：

Router(config)#access-list access-list-number {deny | permit | remark} protocol

source

source-wildcard

[operator

port-number]

destination

destination-wildcard [operator port-number] [established]

2）将扩展ACL应用到接口

Router(config-if)#ip access-group {access-list-number | access-list-name} {in | out}

4、命名IP ACL的配置

1）创建标准的命名IP ACL

步骤 1. 进入全局配置模式，使用 ip access-list 命令创建命名 ACL。ACL 名称是字母数字，必须唯一而且不能以数字开头。

步骤 2. 在命名 ACL 配置模式下，使用 permit 或 deny 语句指定一个或多个条件，以确定数据包应该转发还是丢弃。

步骤 3：应用到接口

Router(config-if)#ip access-group { access-list-name} {in | out}

2）创建命名扩展IP ACL

步骤 1. 进入全局配置模式，使用 ip access-list extended name 命令创建命名 ACL。

步骤 2. 在命名 ACL 配置模式中，指定您希望允许或拒绝的条件。

步骤 3. 返回特权执行模式，并使用 show access-lists [number | name] 命令检验 ACL。

步骤 4. 将命名扩展IP ACL应用到接口

步骤 5（可选）建议您使用 copy running-config startup-config 命令将条目保存在配置文件中。

5、使用remark命令注释ACL语句

6、监控ACL语句

Router#show access-list {access-list number | name}

7、检查ACL

Router#show ip interface [接口]

8、排除ACL的常见错误