From 011163ada61fe8bb31e6369102e5c53c22a62589 Mon Sep 17 00:00:00 2001
From: Your Name <you@example.com>
Date: Thu, 24 Apr 2025 10:18:48 +0800
Subject: [PATCH] zy

---
 ...56\346\216\247\345\210\266\345\231\250.md" | 96 +++++++++++++++++++
 1 file changed, 96 insertions(+)
 create mode 100644 "12 \350\251\271\345\256\207\350\210\252/20250424-ACL\350\256\277\351\227\256\346\216\247\345\210\266\345\231\250.md"

diff --git "a/12 \350\251\271\345\256\207\350\210\252/20250424-ACL\350\256\277\351\227\256\346\216\247\345\210\266\345\231\250.md" "b/12 \350\251\271\345\256\207\350\210\252/20250424-ACL\350\256\277\351\227\256\346\216\247\345\210\266\345\231\250.md"
new file mode 100644
index 0000000..5baf94d
--- /dev/null
+++ "b/12 \350\251\271\345\256\207\350\210\252/20250424-ACL\350\256\277\351\227\256\346\216\247\345\210\266\345\231\250.md"	
@@ -0,0 +1,96 @@
+## ACL语法
+
+```bash
+access-list <编号> <动作> <源IP> <通配符掩码> 
+# 编号范围 1-99
+# 动作：permit 允许 、 deny 拒绝
+```
+
+```bash
+# 语法分两步骤
+# 步骤1：先选择要应用ACL的端口 如 interface g0/0
+# 步骤2：通过ACL编号及方向来应用ACL，格式如下
+ip access-group <编号> <方向>   
+# 方向 in / out 代表流量流入/流出路由器的方向
+# 示例：
+interface GigabitEthernet0/0				 # 第一步，进入G0/0端口 
+ip access-group 10 in   					 # 第二步，在G0/0端口的入口方向应用编号为10的ACL
+```
+
+## 扩展ACL语法
+
+```cisco
+access-list <100-199|2000-2699> {permit|deny} <协议> <源IP> <通配符掩码> [源端口] <目的IP> <通配符掩码> [目的端口] [选项]
+```
+
+- 允许特定TCP端口
+
+```cisco
+access-list 101 permit tcp 192.168.1.0 0.0.0.255 any eq 80  ! 允许192.168.1.0/24访问任意HTTP
+access-list 101 deny tcp any any eq 22                      ! 拒绝所有SSH流量
+access-list 101 permit ip any any                           ! 允许其他所有IP流量
+```
+
+- 允许ICMP（Ping）
+
+```cisco
+access-list 102 permit icmp any any echo-reply  ! 允许Ping回应
+access-list 102 permit icmp any any echo        ! 允许发起Ping
+```
+
+- 拒绝特定子网访问
+
+```bash
+# 拒绝来自192.168.10.0网段主机的IP流量访问172.16.1.0的主机
+access-list 103 deny ip 192.168.10.0 0.0.0.255 172.16.1.0 0.0.0.255  
+#允许其它任意网络IP流量访问任意网络（除上一条拒绝的以外）
+access-list 103 permit ip any any
+```
+
+- 应用ACL
+
+```bash
+interface GigabitEthernet0/1
+ip access-group 101 out  ! 在接口出方向应用
+```
+
+## ACL的应用
+
+### 步骤
+
+- 按下图配置路线
+
+![image-20250423162234863](https://gitee.com/onesheet/images_backup/raw/master/img/upgit_20250423_1745396555.png)
+
+- 各路由器配置（ACL配置部分，其他配置不写出）
+
+  ```cmd
+  # 路由器3
+  Router(config)# access-list 10 permit 192.168.10.1		//配置ACL访问控制（需按顺序）
+  Router(config)# access-list 10 deny any
+  Router(config)# interface g0/2
+  Router(config-if)# ip access-group 10 out
+  
+  # 路由器5
+  Router(config)# access-list 10 permit 192.168.20.2		//配置ACL访问控制（需按顺序）
+  Router(config)# access-list 10 deny any
+  Router(config)# interface g0/0
+  Router(config-if)# ip access-group 10 out
+  
+  # 路由器1
+  Router(config)# access-list 10 permit 192.168.30.1		//配置ACL访问控制（需按顺序）
+  Router(config)# access-list 10 deny any
+  Router(config)# interface g0/2
+  Router(config-if)# ip access-group 10 out
+  
+  # 路由器4
+  Router(config)# access-list 10 permit 192.168.10.1		//配置ACL访问控制（需按顺序）
+  Router(config)# access-list 10 permit 3.3.3.0 0.0.0.255
+  Router(config)# access-list 10 deny any
+  Router(config)# interface g0/1
+  Router(config-if)# ip access-group 10 in
+  ```
+
+  
+
+  
\ No newline at end of file
-- 
Gitee