Video 28 第十四章 IP访问控制列表 IP Access Control List(ACL)
 
 
 标准
 检查源地址
通常允许、拒绝的是完整的协议
 
扩展
检查源地址和目的地址
通常允许、拒绝的是某个特定的协议
 
进方向和出方向
访问列表的编号指明了使用荷重协议的访问列表
每个端口、每个方向、每条协议只能对应于一条访问列表
访问列表的内容决定了数据的控制顺序
具有严格限制条件的语句应放在访问列表所有语句的最上面
在访问列表的最后有一条隐含声明:deny any每一条正确的访问列表都至少应该有一条允许语句
先创建访问列表,然后应用到端口上
访问列表不能过滤由滤油器自己产生的数据
 
访问控制列表设置命令
 
Step1:设置访问列表测试语句的参数
Router(config)# access-list access-list-number{permit|deny}{set conditions}
 
Step2:在端口上应用访问列表
Router(config-if)#
{protocol}access-group access-list-number{in|out}
 
IP访问列表的标号为1-99(标准)和100-199(扩展)
 
Video 29 配置标准的IP访问列表
 Router(config)# access-list access-list-nuimber {permit|deny}source[mask]
 为访问列表设置参数
IP标准访问列表编号1到99
缺省的通配符掩码 = 0.0.0.0
no access-list access-list-number 命令删除访问列表
 
反掩码wildcard mask: 0表示精确匹配,1代表任意匹配
 
通配符掩码指明所有主机
所有主机:0.0.0.0  反掩码255.255.255.255
可以用ANY简写
可以简写为 host (host 172.30.16.29)
 
 172.30.16.29 0.0.0.0 = host 172.30.16.29
 
配置
 
Router(config-if)#