访问控制列表有3种,标准访问控制列表,扩展访问控制列表,命名访问控制列表

访问控制列表只对穿越路由器的数据流有过滤效果,不会对始发于当前路由器的数据进行过滤

1)标准访问列表:standard access-list

标准访问列表的序号范围:1~99或1300~1999(扩展范围)

格式:

R1(config)#access-list 10 deny host 172.16.10.0 0.0.0.255 //拒绝来自172.16.10.0网段的数据

R1(config)#access-list 10 permit 0.0.0.0 255.255.255.255 //允许所有数据,此句等价于permit any any

R1(config)#int f0/0

R1(config-if)ip access-group 10 out //对流出f0/0的数据加以acl 10来过滤

R1(config) #line vty 0 4

R1(config-line)#access-class 10 in //将访问控制列表10应用于VTY上

R1(config)#access-list 10 remark aabbccdd //给ACL 10 添加注释

一般而言,IP标准访问控制列表放在离目的地尽可能进的地方

2)扩展访问控制列表:extended access-list

范围:100~199或2000~2699(扩展范围)

格式:

R2(config)#access-list 110 deny tcp any host 172.16.50.5 eq 21 //拒绝来源于任何地方到主机172.16.50.5的ftp数据

R2(config)#access-list 110 deny tcp any 172.16.50.5 255.255.255.255 eq 21 //作用等同于上句,只是用的语法格式不一样,172.16.50.5 255.255.255.255 相当于上句的host 172.16.50.5


一般而言,扩展访问控制列表应放在离信源近的地方,但具体情况以实际需求为准


3)命名访问控制列表

格式:

R3(config)#ip access-list standard BlockMarket //给列表取个名字,然后再写相关规则是标准的还是标准格式,是扩展的还是扩展格式

R3(config-std-nacl)#deny 172.16.40.0 0.0.0.255

R3(config-std-nacl)#permit any

R3(config)#ip access-list extended BlockSales

R3(config-ext-nacl)#permit tcp host 192.168.177.2 host 172.22.89.26 eq 80
R3(config-ext-nacl)#remark Deny all of Sales from Telnetting to Marketing //用remark来给ACL BlockSales添加注释,以增强可读性

R3(config-ext-nacl)#21 deny udp any host 172.16.30.5 eq 69 //利用命名ACL,可以对标准访问列表或扩展访问列表,进行内部的执行次序修改


察看访问列表

show access-list : 显示路由器中配置的所有访问控制列表及其参数,还显示各条语句允许或禁止分组通过的次数,但不会指出应用于哪个接口

show access-list 110 : 只显示访问控制列表110的参数,也不反映那个接口

show ip access-list:只显示路由上配置的IP访问控制列表,IPX等非IP Access-list不会显示

show ip interface: 显示应用于接口的访问列表会

show runing-config:显示访问控制列表以及应用了的接口