(config)#inte***ce 《介面名》
(config-if)#description
(config-if)#bandwidth 10000000《單位kbps>
(config-if)#ip address
(config-if)#pos framing sdh (幀格式sdh 或者 sonet)
(config-if)#no ip directed broadcast
(config-if)#pos flag s1s0 2 (s1s0 2 對應sdh, s1s0 0 對應sonet)
(config-if)#no shutdown
(config-if)#exit
acl分為標準和非標準兩種型別,標準acl只能根據分組中的源ip進行過濾,而擴充套件acl過濾選項還包括目的位址、上層協議以及協議資訊。
當乙個分組經過時,路由器自頂向下逐個處理acl語句,如果第乙個語句與分組不相關,則處理下乙個語句,知道找到相關的acl語句,按照deny或者permit進行處理。如果自頂向下沒有發現匹配的語句,則整個分組將會被丟棄。整個規則總結如下:
1》一旦發現匹配的語句,就不再處理列表中其他的語句。
2》語句的排列順序很重要
3》如果整個列表中沒有匹配的語句,則分組被丟棄。
***出於安全性考慮,acl的預設動作是拒絕,即沒有匹配項時分組被丟棄。
acl型別acl編號範圍
ip標準1~99,1300~1999
標準vines1~99
ip擴充套件100~199,2000~2699
******
命令格式
標準(config)#access-list 1-99|1300-1999 permit|deny source_ip_address [wildcard_mask] [log]
擴充套件(config)#access-list 100-199|2000-2699 permit|deny protocol source_address source_wildcard_mask [protocol_information] destination_address destination_wildcard_mask [protocol_information] [log]
(config)#access-list 100-199|2000-2699 permit|deny tcp|udp source_address source_wildcard_mask [operator source _port_#] destination_address destination_wildcard_mask [operaor destination _port_ #]
*operator操作符
lt 小於 gt大於 eq等於 neg不等於 range指定範圍
標準acl
(config)#access-list 1 permit 192.168.1.1
(config)#access-list 1deny 192.168.1.2
(config)#access-list 1 permit 192.168.1.0 0.0.0.255
(config)#access-list deny any
(config)#inte***ce serial 0
(config-if)#ip access-group 1 in
第乙個語句說明允許源位址為192.168.1.1的分組通過,如果分組不匹配,則檢查下一條語句。後面不加萬用字元掩碼,意味著完全匹配。
第二條表明拒絕主機192.168.1.2發出的分組通過
第三條表明允許子網192.168.1.0/24發出的分組通過,如果分組不匹配則檢查下一條
第四條預設拒絕所有分組,可以不加。
最後兩條啟用acl命令
整個列表可以改寫如下:
(config)#access-list 1 deny 192.168.1.2
(config)#access-list 1 permit 192.168.1.0 0.0.0.255
(config)#inte***ce serial 0
(config-if)#ip access-group 1 in
可以提高路由器的工作效率
擴充套件acl
(config)#access-list 100 permit tcp any 192.16.0.0 0.0.255.255 establish log
(config)#access-list 100 permit udp and host 172.16.1.1 eq dns log
(config)#access-list 100 permit tcp 172.17.0.0 0.0.255.255 host 172.16.1.2 eq telnet log
(config)#access-list 100 permit icmp any 172.16.0.0 0.0.255.255 echo-reply log
(config)#access-list 100 deny ip any any
(config)#inte***ce ethernet 0
(config-if)#ip access-group 100 in
(config)#access-list 1 permit 192.168.1.0 0.0.0.255
(config)#access-list 100-199|2000-2699
(config)#access-list 100-199|2000-2699
(config)#access-list 100-199|2000-2699
思科路由器
請問廣大誰有思科模擬器的使用教程請分享下,謝謝 你好!這是你第一次使用markdown編輯器所展示的歡迎頁。如果你想學習如何使用markdown編輯器,可以仔細閱讀這篇文章,了解一下markdown的基本語法知識。全新的介面設計,將會帶來全新的寫作體驗 在創作中心設定你喜愛的 高亮樣式,markdo...
思科Cisco路由器硬體故障的一些現象
一 如何區別新老rpr單板 新rpr都是sfp可插拔光模組的單板,老rpr都是固定光模組的單板,使用d程式設計客棧isplay device pic status檢視,新rpr單板型別為irpr,老rpr單板型別rpr。二 拔插某塊lpu導致其他lpu板復位 當網板介面沒有關閉,而直接拔出單板時,會...
思科路由器的基本配置
第一 配置外網介面ip位址 easytouch config int f0 0 easytouch config if ip add 58.56.152.100 255.255.255.252 easytouch config if no sh 第二 配置內網介面ip位址 easytouch con...