大家在谈到路由器ACL的时候,首先想到的是标准ACL和扩展ACL,其实还有鲜为人知的命名访问ACL。本文主要目的是想介绍命名访问控制列表配置。    
访问列表类型:
      标准的访问控制列表-(基于IP的编号范围1-99,基于IPX的编号范围800-899)检查源地址,通常允许、拒绝完整的协议
      扩展的访问控制列表-(基于IP的编号范围100-199,基于IPX的访问控制列表范围900-999),检查源地址和目的地址,具体的TCP/IP协议和目的端口号,通常允许、拒绝的是某个特定的协议
      SAP(基于IPX的编号1000-1099)。其它访问列表范围表示不同协议的访问列表。
        进方向和出方向分别用in和out表示。
************************************************
*   标准的访问控制列表举例 *  
************************************************     
前提(先进入全局配置模式下)
          access–list 11 deny/permit 192.168.1.12 0.0.0.255   
######192.168.1.12为源地址;0.0.0.255为192.168.1.12 的反掩码;;11为标准的访问控制列表的编号。
         i p access–group 11 in/out      //前提(先进入接口配置模式下)
###### in为进方向,out为出方向,缺省下为出方向 。11为上面做访问控制列表时用的编号。
      做完这两步,一个完整的访问控制列表算完成了。缺省下的反掩码为0.0.0.0    

用no access–list 11 命令删除访问控制列表,属于这个编号下的访问控制列表全部删除(先进入全局模式下);
用no ip access–group 11 命令在端口上删除访问控制列表(先进入接口模式下)。
***************************************************
*   扩展的访问控制列表的配置 *  
***************************************************     
    前提(先进入全局配置模式下)
      access–list 101 deny/permit tcp 172.16.4.0 0.0.0.255   172.16.3.0 0.0.0.255         eq 80  
######意思是--拒绝/允许172.16.4.0这个网络远程登陆到172.16.3.0这个网络。
      access–list 101 permit ip any any  
######访问控制列表的意思的允许所有。
######(扩展访问列表允许所有时,后面要用两个any ;标准访问控制列表在允许所有的时候,后面是一个any。)
######101为编号; tcp为协议号 ;   172.16.4.0 0.0.0.255为源地址;172.16.3.0 0.0.0.255   为目的地址; eq是等于的意思 ;80为端口号。
      ip access–group101 out          前提(先进入接口配置模式)
######这条命令是接口上启用访问控制列表并指定方向。
***************************************************
*   命名的访问控制列表的配置 *  
***************************************************     
(11.2以后的版本才支持)-基于IP和IPX都可以,可以自已定义一个名字。
(前提,先进入全局配置模式下)
      ip access–list standard/extended cisco                //  cisco为自行定义的名字
      deny/permit 172.1.1.0 0.0.0.255                        //上面选择standard即标准访问控制列表的时候
      deny/permit tcp 172.16.4.0 0.0.0.255   172.16.3.0 0.0.0.255   eq 80    //上面选择extended即扩展访问控制列表的时候
ip access–group cisco in/out     前提(先进入接口配置模式下)在接口上应用命名的访问控制列表,并指定方向。
********************************
*  访问控制列表放置原则  *
********************************
将扩展访问列表放置于离源设备较近的位置,将标准访问列表放置于离目的设备较近的位置
********************************
*  访问控制列表配置原则  *
********************************
访问列表中的限制语句的位置是至关重要的;
将限制条件严格的语句放在访问列表的最上面;
使用no access–list   number命令将删除整个访问列表 number为配置的访问控制列表编号, 例外:命名访问列表可以删除单独的语句;
访问列表中有一条隐藏访问控制--拒绝所有(deny all);
在设置的访问列表中要有一句 permit any。
 
 
命名访问控制列表配置:
router(config)#ip access-list extended hbsj
router(config-ext-nacl)#permit ip 10.0.0.0 0.255.255.255 any
router(config-ext-nacl)#exit
router(config)#interface FastEthernet2/1/0
router(config-if)#ip access-group hbsj in
 
router(config)#ip access-list extended hbsj
router(config-ext-nacl)#permit ip 10.0.0.0 0.255.255.255 any
router(config-ext-nacl)#exit
router(config)#interface FastEthernet2/1/0
router(config-if)#ip access-group hbsj in