思科网络配置-ACL

1、标准ACL

　　Router(config)# access-list   access-list-number   {permit | deny | remark}   source   [mask]

　　Router(config-if)# ip access-group access-list-number {in | out}

　　*表号------- 1 to 99

　　*缺省的通配符掩码  0.0.0.0

　　*no access-list access-list-number   移除整个ACL

　　*remark 给访问列表添加功能注释

　　*mask  反掩码

 

2.扩展ACL

　　扩展访问控制列表是一种高级的ACL，配置命令的具体格式如下：

　　　　access-list ACL号 [permit|deny] [协议] [定义过滤源主机范围]  [定义过滤源端口] [定义过滤目的主机访问] [定义过滤目的端口]

   　　 例如：access-list 101 deny tcp any host 192.168.1.1 eq www这句命令是将所有主机访问192.168.1.1这个地址网页服务（WWW）TCP连接的数据包丢弃。

    小提示：同样在扩展访问控制列表中也可以定义过滤某个网段，当然和标准访问控制列表一样需要我们使用反向掩码定义IP地址后的子网掩码。　

　　　　　表号 100 to 199　

 

3.命名访问控制列表

　　命名访问控制列表格式：

　　　　ip access-list {standard/extended} <access-list-name>（可有字母，数字组合的字符串)

　　　　例如：ip access-list standard softer //建立一个名为softer的标准访问控制列表。 

router（config）#ip access-list standard +自定义名   
router（config-std-nac1）#11 permit host +ip //默认情况下第一条为10,第二条为20.如果不指定序列号，则新添加的ACL被添加到列表的末尾   
router（config-std-nac1）#deny any  
router（config）#ip access-list standard benet   
router（config-std-nasl）#no 11  
使用show access-lists可查看配置的acl信息

router（config）#ip access-list standard +自定义名   
router（config-std-nac1）#11 permit host +ip //默认情况下第一条为10,第二条为20.如果不指定序列号，则新添加的ACL被添加到列表的末尾   
router（config-std-nac1）#deny any  
router（config）#ip access-list standard benet   
router（config-std-nasl）#no 11  
使用show access-lists可查看配置的acl信息
router（config）#ip access-list standard +自定义名
router（config-std-nac1）#11 permit host +ip //默认情况下第一条为10,第二条为20.如果不指定序列号，则新添加的ACL被添加到列表的末尾
router（config-std-nac1）#deny any
router（config）#ip access-list standard benet
router（config-std-nasl）#no 11
使用show access-lists可查看配置的acl信息

 

ACL的过滤流程：

　　1、按顺序的比较：先比较第一行，如果不匹配，再比较第二行，依次类推直到最后一行

　　2、从第一行起，直到找到一个符合条件的行，符合以后就不再继续比较下去

　　3、默认在每个ACL中的最后一行为隐含的拒绝，最后要加pemint any,使其他的网络可通