访问控制列表一般是在网络层和传输层对数据包进行访问控制。访问控制既可以是允许数据包通过也可以是拒绝数据包通过。访问控制列表一般分为三种,标准访问控制列表访问控制列表的序列号从 1-99和1300-1999,它是基于网络层源地址的访问控制列表。扩展访问控制列表标号从100-199和2000-2699,它基于网络层的源地址和目的地址和传输层的协议和端口号的访问控制列表。还有命名访问控制列表。
- ACL默认在后面加上拒绝所有。
- 标准、扩展的要删除只能删除所有,匹配是按照先后顺序。
- 命名的可以删除某一条,匹配顺序是按照优先级。
- 在靠近源端时使用扩展的访问控制列表
- 在靠近目的端时使用标准的访问控制列表
配置标准控制列表
创建标准ACL的语法如下:
Router(config)#access-list access-list-number {permit|deny} source [souce-wildcard]
下面是命令参数的详细说明
access-list-number:访问控制列表号,标准ACL取值是1-99。
permit|deny:如果满足规则,则允许/拒绝通过。
source:数据包的源地址,可以是主机地址,也可以是网络地址。
source-wildcard:通配符掩码,也叫做反码,即子网掩码去反值。如:正常子网掩码255.255.255.0取反则是0.0.0.255。
删除已建立的标准ACL语法如下:
Router(config)#no access-list access-list-number
列如:创建一个ACL允许192.168.1.0网段的所有主机。
Rou