Leaflet
1-68
思科 ASA 系列命令参考,A 至 H 命令
第 1 章 aaa accounting command 至 accounting-server-group 命令
access-list extended
如果要限制为仅可访问某些主机,请输入受限的 permit ACE。默认情况下,除非明确允许,否
则拒绝所有其他流量。
ciscoasa(config)# access-list ACL_IN extended permit ip 192.168.1.0 255.255.255.0
209.165.201.0 255.255.255.224
以下 ACL 限制所有主机(在应用 ACL 的接口上)访问位于 209.165.201.29 地址的网站。允许所
有其他流量。
ciscoasa(config)# access-list ACL_IN extended deny tcp any host 209.165.201.29 eq www
ciscoasa(config)# access-list ACL_IN extended permit ip any any
以下 ACL 使用对象组,它限制内部网络上的若干主机访问几台 Web 服务器。允许所有其他流量。
ciscoasa(config-network)# access-list ACL_IN extended deny tcp object-group denied
object-group web eq www
ciscoasa(config)# access-list ACL_IN extended permit ip any any
ciscoasa(config)# access-group ACL_IN in interface inside
以下示例暂时禁用一个 ACL,该 ACL 允许从一组网络对象 (A) 到另一组网络对象 (B) 的流量:
ciscoasa(config)# access-list 104 permit ip host object-group A object-group B inactive
要实施基于时间的 ACL,请使用 time-range 命令定义某日和周的特定时间。然后,使用
access-list extended 命令将时间范围与 ACL 绑定。以下示例将名为 “Sales”的 ACL 与名为
“New_York_Minute” 的时间范围绑定:
ciscoasa(config)# access-list Sales line 1 extended deny tcp host 209.165.200.225 host
209.165.201.1 time-range New_York_Minute
请参阅 time-range 命令,了解有关如何定义时间范围的更多信息。
以下 ACL 允许任何 ICMP 流量:
ciscoasa(config)# access-list abc extended permit icmp any any
以下 ACL 允许用于对象组 “obj_icmp_1” 的任何 ICMP 流量:
ciscoasa(config)# access-list abc extended permit icmp any any object-group obj_icmp_1
以下 ACL 允许从源主机 10.0.0.0 到目标主机 10.1.1.1、具有 ICMP 类型 3 和 ICMP 代码 4 的 ICMP
流量。不允许所有其他类型的 ICMP 流量。
ciscoasa(config)# access-list abc extended permit icmp host 10.0.0.0 host 10.1.1.1 3 4
以下 ACL 允许从源主机 10.0.0.0 到目标主机 10.1.1.1、具有 ICMP 类型 3 和任何 ICMP 代码的
ICMP 流量。不允许所有其他类型的 ICMP 流量。
ciscoasa(config)# access-list abc extended permit icmp host 10.0.0.0 host 10.1.1.1 3
相关命令
命令 说明
access-group
将 ACL 与接口绑定。
clear access-group
清除 ACL 计数器。
clear configure
access-list
从正在运行的配置中清除 ACL。
show access-list
按编号显示 ACE。
show running-config
access-list
显示当前正在运行的访问列表配置。