ACL配置命令12.2.2.1 access-list(extended)命令：access-list [num] {deny | permit} icmp {{[sipaddr] [smask]} | any-source | {host-s ource [sipaddr]}} {{[dipaddr] [dmask]} | any-destination | {host-destination [dipaddr]}} [[i cmp-type] [[icmp-code]]] [precedence [prec]] [tos [tos]]access-list [num] {deny | permit} igmp {{[sipaddr] [smask]} | any-source | {host-source [sipaddr]}} {{[dipaddr] [dmask]} | any-destination | {host-destination [dipaddr]}} [[igmp-ty pe]] [precedence [prec]] [tos [tos]]access-list [num] {deny | permit} tcp {{[sipaddr] [smask]} | any-source | {host-source [sipaddr]}} [sport [sport]] {{[dipaddr] [dmask]} | any-destination | {host-destination [dipa ddr]}} [dport [dport]] [ack | fin | psh | rst | syn | urg] [precedence [prec]] [tos [tos]]access-list [num] {deny | permit} udp {{[sipaddr] [smask]} | any-source | {host-source [sipaddr]}} [sport [sport]] {{[dipaddr] [dmask]} | any-destination | {host-destination [dipa ddr]}} [dport [dport]] [precedence [prec]] [tos [tos]]access-list [num] {deny | permit} {eigrp | gre | igrp | ipinip | ip | [int]} {{[sipaddr] [smask]} | any-source | {host-source [sipaddr]}} {{[dipaddr] [dmask]} | any-destination | {host-destination [dipaddr]}} [precedence [prec]] [tos [tos]]no access-list [num]功能：创建一条匹配特定ip协议或所有ip协议的数字扩展ip访问规则；如果此编号数字扩展访问列表不存在，则创建此访问列表。

参数： [num]为访问表标号，100-199；[sipaddr]为源ip地址，格式为点分十进制；[smask ]为源i p的反掩码，格式为点分十进制；[dipaddr]为目的ip地址，格式为点分十进制；[dmask]为目的ip的反掩码，格式为点分十进制，关心的位置0，忽略的位置1；[igmp-type]，igmp的类型；[icmp-type]，icm p的类型；[icmp-code]，icmp的协议编号；[prec]，ip优先级，0-7；[tos]，tos值，0-15；[sport]，源端口号，0-65535；[dport]，目的端口号，0-65535；命令模式：全局配置模式缺省情况：没有配置任何的访问列表。

使用指南：当用户第一次指定特定[num]时，创建此编号的acl，之后在此acl中添加表项。

举例：创建编号为110的数字扩展访问列表。

拒绝icmp报文通过，允许目的地址为192.168.0.1目的端口为32的udp包通过。

switch(config)#access-list 110 deny icmp any-source any-destinationswitch(config)#access-list 110 permit udp any-source host-destination 192.168.0.1 dport 3212.2.2.2 access-list(standard)命令：access-list [num] {deny | permit} {{[sipaddr] [smask ]} | any-source | {host-sourc e [sipaddr]}}no access-list [num]功能：创建一条数字标准ip访问列表，如果已有此访问列表，则增加一条rule表项；本命令的no操作为删除一条数字标准ip访问列表。

参数：[num]为访问表标号，1-99；[sipaddr]为源ip地址，格式为点分十进制；[smask ]为源ip的反掩码，格式为点分十进制。

命令模式：全局配置模式缺省情况：没有配置任何的访问列表。

使用指南：当用户第一次指定特定[num]时，创建此编号的acl，之后在此acl中添加表项。

举例：创建一条编号为20的数字标准ip访问列表，允许源地址为10.1.1.0/24的数据包通过，拒绝其余源地址为10.1.1.0/16的数据包通过。

switch(config)#access-list 20 permit 10.1.1.0 0.0.0.255switch(config)#access-list 20 deny 10.1.1.0 0.0.255.25512.2.2.3 firewall命令：firewall { enable | disable}功能：允许防火墙起作用或禁止防火墙起作用。

参数：enable表示允许防火墙起作用；disable表示禁止防火墙起作用。

缺省情况：缺省为防火墙不起作用。

命令模式：全局配置模式使用指南：在允许和禁止防火墙时，都可以设置访问规则。

但只有在防火墙起作用时才可以将规则应用至特定端口的特定方向上。

使防火墙不起作用后将删除端口上绑定的所有acl。

举例：允许防火墙起作用。

switch(config)#firewall enable12.2.2.4 firewall default命令：firewall default {permit | deny}功能：设置防火墙默认动作。

参数： permit 表示允许数据包通过；deny 表示拒绝数据包通过。

命令模式：全局配置模式缺省情况：缺省动作为permit。

使用指南：此命令只影响端口入口方向的ip包，其余情况下数据包均可通过交换机。

举例：设置防火墙默认动作为拒绝数据包通过。

switch(config)#firewall default deny12.2.2.5 ip access extended命令：ip access extended [name]no ip access extended [name]功能：创建一条命名扩展ip访问列表；本命令的no操作为删除此命名扩展ip访问列表（包含所有表项）。

参数：[name]为访问表标名，字符串长度为1-8, 不允许为纯字符序列。

命令模式：全局配置模式缺省情况：没有配置任何的访问列表。

使用指南：第一次以调用此命令后，只是创建一个空的命名访问列表，其中不包含任何表项。

举例：创建一条名为tcpflow的命名扩展ip访问列表。

switch(config)#ip access-list extended tcpflow12.2.2.6 ip access standard命令：ip access standard [name]no ip access standard [name]功能：创建一条命名标准ip访问列表；本命令的no操作为删除此命名标准ip访问列表（包含所有表项）。

参数：[name]为访问表标名，字符串长度为1-8。

命令模式：全局配置模式缺省情况：没有配置任何的访问列表。

使用指南：第一次以调用此命令后，只是创建一个空的命名访问列表，其中不包含任何表项。

举例：创建一条名为ipflow的命名标准ip访问列表。

switch(config)#ip access-list standard ipflow12.2.2.7 ip access-group命令：ip access-group [name] {in|out}no ip access-group [name] {in|out}功能：在端口的某个方向上应用一条access-list；本命令的no操作为删除绑定在端口上的access-list。

参数：[name]，命名访问表的名字，字符串长度为1-8。

命令模式：物理接口配置模式缺省情况：端口的入口和出口方向都没有绑定acl。

使用指南：一个端口可以绑定一条入口规则和一条出口规则；acl绑定到出口时只能包含deny规则。

举例：将名为aaa的访问列表绑定到端口的出方向上。

switch(config-ethernet0/1)#ip access-group aaa out12.2.2.8 permit | deny(extended)命令：[no] {deny | permit} icmp {{[sipaddr] [smask]} | any-source | {host-source [sipadd r]}} {{[dipaddr] [dmask]} | any-destination | {host-destination [dipaddr]}} [[icmp-type] [[i cmp-code]]] [precedence [prec]] [tos [tos]][no] {deny | permit} igmp {{[sipaddr] [smask]} | any-source | {host-source [sipaddr]}} {{[dipaddr] [dmask]} | any-destination | {host-destination [dipaddr]}} [[igmp-type]] [preced ence [prec]] [tos [tos]][no] {deny | permit} tcp {{[sipaddr] [smask]} | any-source | {host-source [sipaddr]}} [s port [sport]] {{[dipaddr] [dmask]} | any-destination | {host-destination [dipaddr]}} [dport [dport]] [ack | fin | psh | rst | syn | urg] [precedence [prec]] [tos [tos]][no] {deny | permit} udp {{[sipaddr] [smask]} | any-source | {host-source [sipaddr]}} [s port [sport]] {{[dipaddr] [dmask]} | any-destination | {host-destination [dipaddr]}} [dport [dport]] [precedence [prec]] [tos [tos]][no] {deny | permit} {eigrp | gre | igrp | ipinip | ip | [int]} {{[sipaddr] [smask]} | a ny-source | {host-source [sipaddr]}} {{[dipaddr] [dmask]} | any-destination | {host-destinat ion [dipaddr]}} [precedence [prec]] [tos [tos]]功能：创建一条匹配特定ip协议或所有ip协议的命名扩展ip访问规则；参数：[sipaddr]为源ip地址，格式为点分十进制；[smask]为源ip的反掩码，格式为点分十进制；[d ipaddr]为目的ip地址，格式为点分十进制；[dmask]为目的ip的反掩码，格式为点分十进制，关心的位置0，忽略的位置1；[igmp-type]，igmp的类型，0－255；[icmp-type]，icmp的类型，0－255；[icmp-code]，icmp的协议编号，0－255；[prec]，ip优先级，0－7；[tos]，tos值，0-15；[sport]，源端口号，0-65535；[dport]，目的端口号，0-65535；命令模式：命名扩展ip访问列表配置模式缺省情况：没有配置任何的访问列表。