一、标准访问控制列表和扩展访问控制列表比较
1、标准访问控制列表:
基于源地址
允许和拒绝完整的TCP/IP协议
编号范围1---99和1300---1999
2、扩展访问控制列表:
基于源地址和目标地址
指定TCP/IP的特定协议和端口号
编号范围100---199和2000---2699
二、标准访问控制列表配置步骤
1、创建访问控制列表
router(config)#access-list 1 deny 172.16.4.13 0.0.0.0
拒绝来自主机172.16.4.13的数据包。其中的1表示这是一个标准的访问控制列表。
也可用命令 access-list 1 deny host 172.16.4.13
router(config)#access-list 1 permit 172.16.0.0 0.0.255.255
允许网络172.16.0.0的所有流量通过。
router(config)#access-list 1 permit any
允许任何流量通过。
2、应用到接口进方向
router(config)#interface fastethernet 0/0
router(config-if)#ip access-group 1 in
把这个ACL绑定到接口F0/0进的方向上。
3、删除一个访问控制列表
首先在接口模式下输入命令:no ip access-group
然后在全局模式下输入命令:no access-list
三、扩展访问控制列表应用
1、创建拒绝来自172.16.4.0 去往172.16.3.0 的FTP流量ACL
router(config)#access-list 101 deny tcp 172.16.4.0 0.0