1.为什么需要使用访问控制列表?
管理网络中逐步增长的 IP 数据
当数据通过路由器时进行过滤
允许、拒绝数据包通过路由器
允许、拒绝Telnet会话的建立
没有设置访问列表时,所有的数据包都会在网络上传输
基于数据包检测的特殊数据通讯应用
2.配置访问控制列表的注意点
访问列表的编号指明了使用何种协议的访问列表
每个端口、每个方向、每条协议只能对应于一条访问列表
访问列表的内容决定了数据的控制顺序
具有严格限制条件的语句应放在访问列表所有语句的最上面
在访问列表的最后有一条隐含声明:deny any-每一条正确的访问列表都至少应该有一条允许语句
先创建访问列表,然后应用到端口上
访问列表不能过滤由路由器自己产生的数据
访问控制列表,用note来以及记录控制信息,再一并输入
标准IP访问列表的配置
Router(config)#
access-list access-list-number {permit|deny} source [mask]
为访问列表设置参数
IP 标准访问列表编号 1 到 99
缺省的通配符掩码 = 0.0.0.0
“no access-list access-list-number” 命令删除访问列表
Router(config-if)#
ip access-group access-list-number { in | out }
在端口上应用访问列表
指明是进方向还是出方向
缺省 = 出方向
“no ip access-group access-list-number” 命令在端口上删除访问列表
扩展 IP 访问列表的配置
router(config)#
access-list access-list-number { permit | deny } protocol source source-wildcard [operator port] destination destination-wildcard [ operator port ] [ established ] [log]
设置访问列表的参数
Router(config-if)# ip access-group access-list-number { in | out }
在端口上应用访问列表