CISCO ACL访问控制列表配置

最近在弄网络互联的课程设计，需要使用cisco的模拟器进行设计，

 

在局域网设计时，要考虑到局域网的安全问题，最首先考虑到的是acl（访问控制列表）的设置，

 

因为这能很有效的控制不同网段的访问，并且能在一定程度上阻止非法网段的访问，

 

acl必须要做能处理第三层的设备上运行，所以一般会在路由器上进行配置，

 

不过三层交换机也具备路由功能，所以也能在三层交换机上配置，

 

配置过程如下：（以下只是标准acl 1-99的配置，并没有配置扩展acl 100-199，

文章中有错误的地方请多多包涵，在写博客时没有认真检查）

 

1、进入特权模式；

 

2、输入  access-list   (1-99)   deny(or permit)   (IP)  (wildcard mask)

如： access-list   6   deny   192.168.10.0   0.0.0.255

 

3、值得注意的是可以对同一个access-list（这里是6）多加入别的规则，

 

并且规则按顺序匹配，匹配到最后，系统默认是拒绝所有，所以记得最后加上允许条件，

 

如：access-list   6   permit   any

 

4、在运用acl时，必须与一个固定接口绑定使用，

 

如在路由器f0/1接口设置此acl规则：

 

ip  access-group  6  out(or  in)

 

这里值得注意的是out与in的设置，很容易弄不清楚的地方是怎么才是out或怎么才算是in，

 

刚开始我也有些糊涂，不过经高人指点大概清楚了，

 

就拿f0/1这个接口来举例，数据从这个端口流入算in，从这个端口流出算out……

 

自己感觉解释了和没解释一样，不过这绝对是最迷惑初学者的地方，如果你是初学者的话可以自己思考一下再试一试，

 

你会发现原来这句话里的内容很有意思；

 

5、三层交换机配置acl需要注意一些问题：

 

三层交换机默认没有开启路由功能，需要进入相应接口后使用no switchport命令开启路由接口，

 

然后这个接口就和路由器的接口一样进行配置了，

 

还有一种情况就是不想将交换端口配置为路由端口，但又想应用acl规则，

 

这时就需要设置一个虚拟的vlan接口，在让这个接口与这个vlan关联起来，若为trunk口则会与所有vlan接口关联，

 

要设置vlan接口，首先要创建相应的vlan，然后使用命令：interface vlan (1-n) 进入接口模式，

 

最后其设置与设置路由器acl的设置相同。