API Guide
seq 10 permit ip host 10.1.1.1 host 100.1.1.1 count (0 packets)
seq 20 deny ip host 20.1.1.1 host 200.1.1.1 count (0 packets)
seq 30 permit ip 10.1.2.0/24 100.1.2.0/24 count (0 packets)
seq 40 deny ip 20.1.2.0/24 200.1.2.0/24 count (0 packets)
seq 50 permit ip 10.0.3.0 255.0.255.0 any count (0 packets)
seq 60 deny ip 20.0.3.0 255.0.255.0 any count (0 packets)
seq 70 permit tcp any eq 1000 100.1.4.0/24 eq 1001 count (0 packets)
seq 80 deny tcp any eq 2100 200.1.4.0/24 eq 2200 count (0 packets)
seq 90 permit udp 10.1.5.0/28 eq 10000 any eq 10100 count (0 packets)
seq 100 deny tcp host 20.1.5.1 any rst psh count (0 packets)
seq 110 permit tcp any any fin syn rst psh ack urg count (0 packets)
seq 120 deny icmp 20.1.6.0/24 any fragment count (0 packets)
seq 130 permit 150 any any dscp 63 count (0 packets)
要查看与 ACL 匹配的数据包数,请在创建 ACL 条目时使用 count 选项。
• 将规则与计数选项配合使用以创建 ACL,请参阅为筛选器分配序列号。
• 将 ACL 应用为 CONFIGURATION 模式下的接口上的入站或出站 ACL,并查看与 ACL 匹配的数据包数量。
show ip access-list {in | out}
Identifier GUID-B682F917-0F00-4D84-ADFC-801558268E44
Version 7
Status Translation approved
入口 ACL 筛选器
要创建入口 ACL 筛选器,请在 EXEC 模式下使用 ip access-group 命令。要配置入口,请使用 in 关键字。使用 ip access-
list acl-name 命令将规则应用于 ACL。要查看访问列表,请使用 show access-lists 命令。
1. 在 INTERFACE 模式下,在接口上应用入口访问列表。
ip access-group access-group-name in
2. 返回 CONFIGURATION 模式。
exit
3. 在 CONFIGURATION 模式下创建访问列表。
ip access-list access-list-name
4. 在 ACCESS-LIST 模式下为访问列表创建规则。
permit ip host ip-address host ip-address count
将 ACL 规则应用到访问组和查看访问列表
OS10(config)# interface ethernet 1/1/28
OS10(conf-if-eth1/1/28)# ip access-group abcd in
OS10(conf-if-eth1/1/28)# exit
OS10(config)# ip access-list acl1
OS10(conf-ipv4-acl)# permit ip host 10.1.1.1 host 100.1.1.1 count
Identifier
GUID-99344388-5DCC-40ED-9690-99DF31BE032F
Version 7
Status Translation approved
出口 ACL 筛选器
出口 ACL 筛选器会影响
离开
网络的流量。在物理接口上配置出口 ACL 筛选器可通过明确仅允许授权流量来保护系统基础架构免遭恶
意和故意的攻击。这些系统范围的 ACL 筛选器无需在每个接口上应用 ACL 筛选器。
您可以使用出口 ACL 筛选器来限制出口流量。例如,当您将拒绝服务 (DoS) 攻击流量隔离到特定接口并应用出口 ACL 筛选器以阻止
DoS 流退出网络时,您可以保护下游设备。
访问控制列表
1063