CCNP_第十四章_访问控制列表

1.为什么需要使用访问控制列表？

管理网络中逐步增长的 IP 数据

当数据通过路由器时进行过滤

允许、拒绝数据包通过路由器

允许、拒绝Telnet会话的建立
没有设置访问列表时，所有的数据包都会在网络上传输
基于数据包检测的特殊数据通讯应用
 

2.配置访问控制列表的注意点

访问列表的编号指明了使用何种协议的访问列表

每个端口、每个方向、每条协议只能对应于一条访问列表
访问列表的内容决定了数据的控制顺序 
具有严格限制条件的语句应放在访问列表所有语句的最上面
在访问列表的最后有一条隐含声明：deny any－每一条正确的访问列表都至少应该有一条允许语句
先创建访问列表，然后应用到端口上
访问列表不能过滤由路由器自己产生的数据

访问控制列表，用note来以及记录控制信息，再一并输入

标准IP访问列表的配置

Router(config)#

access-list access-list-number {permit|deny} source [mask]

为访问列表设置参数

IP 标准访问列表编号 1 到 99

缺省的通配符掩码 = 0.0.0.0

“no access-list access-list-number” 命令删除访问列表

Router(config-if)#

ip access-group access-list-number  { in | out }

在端口上应用访问列表

指明是进方向还是出方向

缺省 = 出方向

“no ip access-group access-list-number” 命令在端口上删除访问列表

扩展 IP 访问列表的配置

router(config)#

access-list access-list-number  { permit | deny } protocol source source-wildcard [operator port] destination destination-wildcard [ operator port ]  [ established ] [log]

设置访问列表的参数

Router(config-if)# ip access-group access-list-number  { in | out }

在端口上应用访问列表