如何編寫與私有 IP 位址匹配的標準 ACL 5

你不明白你是什麼製造商，所以我就以華為例。

1. 執行system-view命令，進入系統檢視。

2. 構建基礎ACL。 它可以通過數字或名稱建立。

執行acl命令（2000 2999 隨心所欲寫入）建立數字基本ACL，進入基本ACL檢視。

執行acl命令（取名）建立命名基礎ACL，進入基礎ACL檢視。

3. 執行命令規則 5（預設步長為 5） deny permit（deny allow） source（如果要匹配網段，需要編寫反掩碼）。

請注意，建立訪問控制列表後，必須將其應用於介面才能生效。 ACL 控制的物件是進出介面的流量。

標準訪問列表只能寫入位址或預設子網，需要擴充套件訪問列表 access-list 111 deny ip anyaccess-list 111 deny ip anyaccess-list 111 deny ip anyaccess-list 111 permit ip any any

因為只有源頭可以匹配。

最好將其放置在接入交換機的方向。

如果放在核心方向，就會有一些無用的流量。 這也要看計畫，流量不是那麼多。

只有 ISP 端的 www 被允許訪問 Intranet，其他一切都被拒絕。 本文還說明，內網中的每個人都可以相互訪問此伺服器，簡單，直接在 Mawson Lakes 上寫入 ACL 來捕獲訪問目標 IP 位址的流量，其他所有流量都被拒絕。

關於任何：

any 代表所有位址。

host 代表完全匹配，即子網掩碼是。

主機位於 IP 的前面。

示例 = 主機

關於第3條：

因為一旦啟用了 ACL 列表。

在列表的末尾，預設情況下會有一條隱藏訊息。

也就是說，除了您的許可證內容外，其他所有內容都將被拒絕。

因此，您必須用許可證覆蓋最後乙個拒絕任何

關於110：

這個數字可以自己寫，但必須是 100-199 之間的數字。 因為你使用的是協議的控制，所以你使用的是篩選源位址和目標位址的控制。

ACL 列表有 2 種型別。

1.標準的 ACL：list 編號是介於 1 和 99 之間的數字，它僅過濾源位址。 只檢查它來自哪裡，不要通過。

2.擴充套件的 acl：list 編號是介於 100 和 199 之間的數字，它基於對上埠的檢查。

檢查上層的應用資料。 例如，可以允許或拒絕對協議的訪問。 協議埠被拒絕。

還可以過濾源位址和目標位址。 在本問題中，110 使用擴充套件 ACL 來過濾源位址和目標位址）。檢查你從哪裡來，你不能去哪裡。

讓我們看一下 acl 命令的格式。

標準ACL：

access-list [列表編號] deny permit [源位址 IP] [子網掩碼]。

擴充套件 ACL：

access-list [列表編號] deny permit [protocol] [source address] [source subnet mask] [destination address] [destination subnet mask] [destination port]。

關於此配置說明：

access-list 110 deny ip host any

擴充套件列表 110....具有源位址的主機不允許通過 IP 協議訪問任何其他主機。

access-list 110 deny ip any host

擴充套件列表 110....不允許其他主機通過 IP 協議訪問具有目標位址的主機。

access-list 110 permit ip any any

除上述兩個外，其他主機還可以使用 IP 協議自由通訊。

匹配位址為

從您的列表來看，這些位址是位址，而不是網段。

access-list 1 deny hostaccess-list 1 允許 router1 的內部閘道器協議程序下 s1 0 中的任何分發列表 1

access-list 1 deny hostaccess-list 1 permit any on router2 distribute-list 1 in s1 0

PKT發一看，私信聯絡

很簡單的要求：

我將 VLAN 3 網段的子網掩碼視為 yes，並根據您自己的情況進行修改。

access-list 100 允許 IP 只允許 VLAN3 訪問 VLAN2，如果你不需要 VLAN3 訪問 Internet，那麼這個就足夠了，但是如果你需要 VLAN3 以不同的方式訪問其他幾個 VLAN，而且還能夠訪問 Internet，那麼必須新增以下 4 個！！

access-list 100 deny ip

access-list 100 deny ip

access-list 100 deny ip

access-list 100 permit ip any any

INT VLAN 3 進入 VLAN 3 的 SVI 介面。

ip access-group 100 在呼叫 ACL 到入站業務方向。

訪問列表 101 允許 IP 部分允許 VLAN2 僅訪問 VLAN1，其餘部分與上述相同。

access-list 101 deny ip

access-list 101 deny ip

access-list 101 deny ip

access-list 101 permit ip any any

int vlan 2

IP訪問組101中的IP與上述相同。

其餘VLAN可以預設為滿足要求。

您的要求之一是“vlan1、vlan4 和 vlan5 無法訪問 vlan3”。

但我想告訴你，vlan1、vlan4、vlan5 不能同時訪問 vlan3 和 vlan2

因為你的要求中有一句話是“vlan2只能訪問vlan1”。

所以從邏輯上講，你的要求應該是：vlan1、vlan4、vlan5 無法訪問 vlan3 和 vlan2

這將更加嚴格。

另外，建議在編寫時使用命名訪問控制列表（IP access-list），這樣描述每個ACL和對應的流量限制看起來更直觀！

純手工，不明白可以繼續問。

VLAN3只能接入VLAN2，VLAN2只能接入VLAN1，你們是什麼樣的裝置，這種單向ACL你可以接入我，我不能接入你們的單向ACL低端裝置是不支援的。