语法
access-list-number permit deny protocol
描述
IP扩展访问表的编号,范围<1001-2000>。 如果条件匹配,就允许访问。 如果条件匹配,就拒绝访问。 匹配的协议。可以配置以下值之一: <0-255> 指定协议号的数值
icmp 指定Internet差错与控制报文协议(ICMP) igmp 指定Internet群组管理协议(IGMP) ip 指定所有的Internet协议 tcp 指定传输控制协议(TCP) udp 指定用户数据报协议(UDP) ospf 指定OSPF路由协议 irmp 指定IRMP路由协议 pim 指定PIM多播路由协议 vrrp 指定虚拟路由冗余协议
any
source source-wildcard host source
destination destination-wildcard host destination precedence precedence
任意IP地址 源IP地址及通配符。 源主机IP地址。 目的IP地址及通配符。 目的主机IP地址
报文的IP优先级。可以配置以下值之一: <0-7> IP优先级的数值 critical (5) flash (3) flash-override (4) immediate (2) internet (6) network (7) priority (1) routine (0)
tos tos
服务类型。可以配置以下值之一: <0-15> 服务类型的数值 max-reliability 最高可靠性(2)
版权所有?2013,迈普通信技术股份有限公司,保留所有权利 .
???
max-throughput 最大吞吐量(4) min-delay 最小时延(8) min-monetary-cost 最小费用(1) normal 一般服务
dscp dscp
区分服务代码点。可以配置以下值之一: <0-63> 区分服务代码点的数值 af11 (10) af12 (12) af13 (14) af21 (18) af22 (20) af23 (22) af31 (26) af32 (28) af33 (30) af41 (34) af42 (36) af43 (38) cs1 (8) cs2 (16) cs3 (24) cs4 (32) cs5 (40) cs6 (48) cs7 (56) ef (46) default (0)
operator
端口比较。可以选择以下之一: eq 匹配某个端口的报文 wildcard 通配符匹配
source-port [source-port-wildcard]
指定源端口。可以是一个具体的数值,也可以是一个常用端口别名字符串。当使用端口通配符匹配时,只能输入数值。
版权所有?2013,迈普通信技术股份有限公司,保留所有权利 .
???
destination-port [destination-port-wildcard]
指定目的端口号。可以是一个具体的数值,也可以是一个常用端口别名字符串。当使用端口通配符匹配时,只能输入数值。
ack / fin / psh / rst / syn / urg
用于匹配TCP的标志位。它们分别是:确认标志、结束标志、立即发送标志、复位标志、同步标志、紧急标志。
time-range time-range-name l3-action-group action-group-name egr-action-group action-group-name vfp-action-group action-group-name remark comment
指定规则生效的时间域
指定规则匹配后采取的动作,作用于IN方向 指定规则匹配后采取的动作,作用于OUT方向 指定规则匹配后采取的动作,用于灵活QINQ的动作 配置一条注释。注释规则,不会参与规则的匹配,仅仅起到规则的注释和分隔作用。
【配置模式】全局配置模式
【缺省情况】没有配置任何访问表和规则。
no格式是删掉某个访问表,包含它里面的所有规则。 no access-list access-list-number
ACL中支持的TCP/UDP知名端口见下表。
协议 TCP
bgp chargen daytime discard domain echo exec finger ftp ftp-data gopher hostname ident
端口名称
意义及实际值
Border Gateway Protocol (179) Character generator (19) Daytime (13) Discard (9)
Domain Name Service (53) Echo (7) Exec (rsh, 512) Finger (79)
File Transfer Protocol (21) FTP data connections (20) Gopher (70)
NIC hostname server (101) Ident Protocol (113)
版权所有?2013,迈普通信技术股份有限公司,保留所有权利 .
???
irc klogin kshell login lpd nntp pim-auto-rp pop2 pop3 smtp sunrpc syslog tacacs talk telnet time uucp whois www
UDP
bootpc bootps discard dnsix domain echo isakmp mobile-ip nameserver netbios-dgm netbios-ns netbios-ss
Internet Relay Chat (194) Kerberos login (543) Kerberos shell (544) Login (rlogin, 513) Printer service (515)
Network News Transport Protocol (119) PIM Auto-RP (496) Post Office Protocol v2 (109) Post Office Protocol v3 (110) Simple Mail Transport Protocol (25) Sun Remote Procedure Call (111) Syslog (514)
TAC Access Control System (49) Talk (517) Telnet (23) Time (37)
Unix-to-Unix Copy Program (540) Nicname (43)
World Wide Web (HTTP, 80)
Bootstrap Protocol (BOOTP) client (68) Bootstrap Protocol (BOOTP) server (67) Discard (9)
DNSIX security protocol auditing (195) Domain Name Service (DNS, 53) Echo (7)
Internet Security Association and Key Management Protocol (500)
Mobile IP registration (434) IEN116 name service (obsolete, 42) NetBios datagram service (138) NetBios name service (137) NetBios session service (139)
版权所有?2013,迈普通信技术股份有限公司,保留所有权利 .
???
non500-isakmp ntp pim-auto-rp rip snmp snmptrap sunrpc syslog tacacs talk tftp time xdmcp
? ip access-list extended
定义一个IP扩展访问表,可以用数字命名,也可以是用户自定义名称,该命令将进入IP扩展访问表配置模式。
ip access-list extended { access-list-number | access-list-name }
语法
access-list-number access-list-name
【配置模式】全局配置模式
【缺省情况】没有配置任何访问表和规则。
no格式是删掉某个访问表,包含它里面的所有规则。 no ip access-list extended { access-list-number | access-list-name } ? permit | deny
配置一条permit或deny的IP扩展访问表规则。
描述
IP扩展访问表的编号,范围<1001-2000>。
IP扩展访问表的名称,1~31个字符,区分大小写。 Internet Security Association and Key Management Protocol (4500)
Network Time Protocol (123) PIM Auto-RP (496)
Routing Information Protocol (router, in.routed, 520) Simple Network Management Protocol (161) SNMP Traps (162)
Sun Remote Procedure Call (111) System Logger (514)
TAC Access Control System (49) Talk (517)
Trivial File Transfer Protocol (69) Time (37)
X Display Manager Control Protocol (177)
版权所有?2013,迈普通信技术股份有限公司,保留所有权利 .
???