思科網絡配置-ACL

1、標准ACL

　　Router(config)# access-list   access-list-number   {permit | deny | remark}   source   [mask]

　　Router(config-if)# ip access-group access-list-number {in | out}

　　*表號------- 1 to 99

　　*缺省的通配符掩碼  0.0.0.0

　　*no access-list access-list-number   移除整個ACL

　　*remark 給訪問列表添加功能注釋

　　*mask  反掩碼

 

2.擴展ACL

　　擴展訪問控制列表是一種高級的ACL，配置命令的具體格式如下：

　　　　access-list ACL號 [permit|deny] [協議] [定義過濾源主機范圍]  [定義過濾源端口] [定義過濾目的主機訪問] [定義過濾目的端口]

   　　 例如：access-list 101 deny tcp any host 192.168.1.1 eq www這句命令是將所有主機訪問192.168.1.1這個地址網頁服務（WWW）TCP連接的數據包丟棄。

    小提示：同樣在擴展訪問控制列表中也可以定義過濾某個網段，當然和標准訪問控制列表一樣需要我們使用反向掩碼定義IP地址后的子網掩碼。　

　　　　　表號 100 to 199　

 

3.命名訪問控制列表

　　命名訪問控制列表格式：

　　　　ip access-list {standard/extended} <access-list-name>（可有字母，數字組合的字符串)

　　　　例如：ip access-list standard softer //建立一個名為softer的標准訪問控制列表。 

 
           
            
             
             router（config）#ip access-list standard +自定義名    
             router（config-std-nac1）#11 permit host +ip //默認情況下第一條為10,第二條為20.如果不指定序列號，則新添加的ACL被添加到列表的末尾    
             router（config-std-nac1）#deny any   
             router（config）#ip access-list standard benet    
             router（config-std-nasl）#no 11   
             使用show access-lists可查看配置的acl信息
 
             
             router（config）#ip access-list standard +自定義名    
             router（config-std-nac1）#11 permit host +ip //默認情況下第一條為10,第二條為20.如果不指定序列號，則新添加的ACL被添加到列表的末尾    
             router（config-std-nac1）#deny any   
             router（config）#ip access-list standard benet    
             router（config-std-nasl）#no 11   
             使用show access-lists可查看配置的acl信息
router（config）#ip access-list standard +自定義名
router（config-std-nac1）#11 permit host +ip //默認情況下第一條為10,第二條為20.如果不指定序列號，則新添加的ACL被添加到列表的末尾
router（config-std-nac1）#deny any
router（config）#ip access-list standard benet
router（config-std-nasl）#no 11
使用show access-lists可查看配置的acl信息

 

ACL的過濾流程：

　　1、按順序的比較：先比較第一行，如果不匹配，再比較第二行，依次類推直到最后一行

　　2、從第一行起，直到找到一個符合條件的行，符合以后就不再繼續比較下去

　　3、默認在每個ACL中的最后一行為隱含的拒絕，最后要加pemint any,使其他的網絡可通