Access Control Lists     MAIN MENU                            
  Created By: Rodger Cespedes Version 5.1 / Updated (September 11, 2016)                              
                                         
  Standard ACL: 1 99 and 1300 1999                                    
                                         
  Use a remark to describe the ACL (Optional):                                    
  1 R1(config)# access-list 1 remark ACL TO DENY ACCESS FROM SALES VLAN                        
                                         
  Create the ACL, keeping the following in mind:                                    
                                         
  ACL uses first-match logic. There is an implicit deny anyat the end of the ACL.                              
  1 R1(config)# access-list 2 deny 192.168.1.77                              
  2 R1(config)# access-list 2 deny 192.168.1.64 0.0.0.31                            
  3 R1(config)# access-list 2 permit 10.1.0.0 0.0.255.255                            
  4 R1(config)# access-list 2 deny 10.0.0.0 0.255.255.255                            
  5 R1(config)# access-list 2 permit any                                
                                         
  Enable the ACL on the chosen router interface in the correct direction (in or out):                            
  1 R1(config-if)# ip access-group 2 out                                
                                         
  Using standard ACL to limit telnet and SSH access to a router:                                
                                         
  Create the ACL that defines the permitted telnet clients:                                
  1 R1(config)# access-list 99 remark ALLOWED TELNET CLIENTS                            
  2 R1(config)# access-list 99 permit 192.168.1.128 0.0.0.15                            
                                         
  Apply the ACL inbound the vty lines                                    
  1 R1(config)# line vty 0 4                                    
  2 R1(config-line)# access-class 99 in                                
                                         
  Extended ACL: 100 199 and 2000 2699                                  
                                         
  Extended ACL should be placed as close as possible to the source of the packet.                            
  Extended ACL matches packets based on source & des.IP addresses,                              
  protocol, source & des. Port numbers andother criteria as well                                
                                         
  1 R1(config)# access-list 101 remark MY_ACCESS_LIST                              
  2 R1(config)# access-list 101 deny iphost 10.1.1.1 host 10.2.2.2                          
  3 R1(config)# access-list 101 deny tcp 10.1.1.0 0.0.0.255 any eq 23                          
  4 R1(config)# access-list 101 deny icmp 10.1.1.1 0.0.0.0 any                          
  5 R1(config)# access-list 101 deny tcphost 10.1.1.0 host 10.0.0.1 eq 80                        
  6 R1(config)# access-list 101 deny udphost 10.1.1.7 eq 53 any                          
  7 R1(config)# access-list 101 permit ip any any                              
  8 R1(config)# interface fastEthernet 0/0                                
  9 R1(config-if)# ip access-group 101 in                                
                                         
  Named ACL                                    
  Named ACLs use names to identify ACLs rather than numbers, and commands                              
  that permit or deny traffic are written in a sub mode called named ACL mode (nacl).                            
                                         
  Named ACL enables the editing of the ACL (deleting or inserting statements)                              
  by sequencing statements of the ACL.                                    
                                         
  Named standard ACL:                                    
  1 R1(config)# ip access-list standard MY_STANDARD_ACL                            
  2 R1(config-std-nacl)# permit 10.1.1.0 0.0.0.255                              
  3 R1(config-std-nacl)# deny 10.2.2.2                                
  4 R1(config-std-nacl)# permit any                                  
  5 R1(config)# interface fastEthernet 0/1                                
  6 R1(config-if)# ip access-group MY_STANDARD_ACL out                            
                                         
  Named extended ACL:                                    
  1 R1(config)# ip access-list extended MY_EXTENDED_ACL                            
  2 R1(config-ext-nacl)# deny icmp 10.1.1.1 0.0.0.0 any                            
  3 R1(config-ext-nacl)# deny tcphost 10.1.1.0 host 10.0.0.1 eq 80                          
  4 R1(config-ext-nacl)# permit ip any any                                
  5 R1(config)# interface fastEthernet 0/1                                
  6 R1(config-if)# ip access-group MY_EXTENDED_ACL in                              
                                         
  Editing ACL using sequence numbers:                                    
  1 R1(config)# ip access-list extended MY_EXTENDED_ACL                            
  2 R1(config-ext-nacl)# no 20    ! Deletes the statement of sequence number 20                            
  3 R1(config)# ip access-list standard 99                                
  4 R1(config-std-nacl)# 5 deny 1.1.1.1    ! inserts a statement with sequence 5                            
                                         
  Verifying ACLs                                    
                                         
  Shows all ACLs configured on a router with counters at the end of each statement:                            
  1 R1# show access-lists                                    
  2 ! OR                                    
  3 R1# show ip access-list                                    
                                         
  Shows only the specified ACL:                                    
  1 R1# show ip access-list 101                                    
                                         
  Includes a reference to the ACLs enabled on that interface either in or out:                              
  1 R1# show ip interface f0/0                                    
                                         
                                         
  LIST TCP PORTS                                    
                                         
  Port # Description   Port # Description                            
  1 TCP Port Service Multiplexer (TCPMUX)   118 SQL Services                            
  5 Remote Job Entry (RJE)   119 Newsgroup (NNTP)                            
  7 ECHO   137 NetBIOS Name Service                          
  18 Message Send Protocol (MSP)   139 NetBIOS Datagram Service                          
  20 FTP -- Data   143 Interim Mail Access Protocol (IMAP)                        
  21 FTP -- Control   150 NetBIOS Session Service                          
  22 SSH Remote Login Protocol   156 SQL Server                            
  23 Telnet   161 SNMP                              
  25 Simple Mail Transfer Protocol (SMTP)   179 Border Gateway Protocol (BGP)                          
  29 MSG ICP   190 Gateway Access Control Protocol (GACP)                        
  37 Time   194 Internet Relay Chat (IRC)                          
  42 Host Name Server (Nameserv)   197 Directory Location Service (DLS)                          
  43 WhoIs   389 Lightweight Directory Access Protocol (LDAP)                        
  49 Login Host Protocol (Login)   396 Novell Netware over IP                            
  53 Domain Name System (DNS)   443 HTTPS                              
  69 Trivial File Transfer Protocol (TFTP)   444 Simple Network Paging Protocol (SNPP)                        
  70 Gopher Services   445 Microsoft-DS                            
  79 Finger   458 Apple QuickTime                            
  80 HTTP   546 DHCP Client                            
  103 X.400 Standard   547 DHCP Server                            
  108 SNA Gateway Access Server   563 SNEWS                              
  109 POP2   569 MSN                              
  110 POP3   1080 Socks                              
  115 Simple File Transfer Protocol (SFTP)