规则序列号范围在l到99之间的访问控制列表为标准访问控制列表。标准访问控制列表只是根据数据包的源地址对数据包进行区分。
例如在上图中,如果需要允许从202.110.10.0网段来的数据包通过,而拒绝从192.110.10.0网段来的数据通过,可以用标准访问控制列表表示:
acl l
role permit ip source 202.1l0.10.0 0.0.0.255
rule delay ip source 192.1lO.10.0 0.0.0.255
标准访问控制列表的配置命令
acl acl-number match-order auto|config
rule {normal|special}{permit|deny}[source source-addr source-wildcard|any]
此命令格式表示:允许或拒绝来自指定网络的数据包,该网络由IP地址(source-address)和反掩码(source-wildcard)指定。其中:
normal和special表示该规则是在普通时间段中有效还是在特殊时间段中有效.
在进行命令输入时,此字段可以省略,缺省为normal.
acl-number为规则序号,标准访问列表的规则序号范围为1-99.
permit和deny表示如果满足条件则允许或禁止该数据包通过
source-address 和source-wildcard分别为IP地址和反掩码,用来指定某个网络.
反掩码简介
某个网络.反掩码也称为通配符,反掩码的作用和子网掩码很相似.通常情况下反掩码看起来很象一个颠倒过来的IP地址子网掩码,但是用法上是不一样的.IP地址与反掩码的关系语法规定如下:在反掩码中相应位为1的地址中的位在比较中被忽略,为0的必须被检查.IP地址与反掩码都是32位的数.
反掩码和子网掩码相似,但写法不同:
0表示需要比较
1表示忽略比较
反掩码和IP地址结合使用,可以描述一个地址范围
例如:192.168.0.1/22网段
用子网掩码表示 192.168.0.1 255.255.252.0
用反掩码表示 192.168.0.1 0.0.3.255
例如:允许从202.110.10.0网段来的数据包通过,而拒绝从192 llO.10.O网段来的数据通过,可以用标准访问控制列表表示:
acl 1
rule permit source 202.110.10.0 0.0.0.255
rule deny 192.110.10.0 0.0.0 .255
另外,对于任何地址(255.255 255.255).我们可以使用通配符any来代替,以便简化输入