ACL列表续

上次说到ACL列表一些概念性的问题，这次聊聊应用吧，来点干的。

ACL列表大方面分 1 标准IP访问列表 2 扩展IP访问列表 3  调用访问列表 4 自反访问列表 5 可供选择的关键字 6 命名访问列表等，这些应该说是比较常用的了。

标准IP访问列表，实际应用应该不是很多，编号是1-99，当然还有1300-1999，哪个公司用到那么多列表，1-99足够用。再多了，路由器估计该dang了。标准列表只检查源IP地址

列表如下：

access-list 1 permit 172.23.30.6 0.0.0.0=host

access-list 1 deny 172.23.30.6 0.0.0.255

access-list 1 permit 0.0.0.0 255.255.255.255=any

第一条是允许这台主机的数据包通过，这个反掩码没有意义第二条是允许30这个子网的所有主机通过，这个反掩码就起到了作用，最后一行表示any，允许所有通过。当然最后还有一条隐藏的就是deny所有（重点）。标准的列表，不能删除列表中某一条，如果删除的时候，会将所有条目都删了，如果一下子写很多，不小心全删了，那就白瞎了，注意！当然如果你是标准的、命名列表就可以删除某一条。

扩展IP访问列表是用到的很频繁的。他要检查的内容很多，如源地址、目标地址、源端口号、目的端口还有协议。范围100-199。

列表如下：

access-list 101 permit ip 172.22.30.6 0.0.0.0 10.0.0.0 0.255.255.255 time-range moring

我们理解这行，源IP地址172.22.30.6到目的网络10.0.0.0 的数据包可以通过，这行定义了时间范围，在其他时间这个访问列表是没有被激活的，没有激活的的访问列表，会把访问的主机忽略掉。

access-list 101 permit ip 172.22.30.0 0.0.0.255 10.12.13.0 0.0.0.255

这行表示源IP为30这个子网的主机能够访问10.12.13.0/24这个网段的主机，当然如果反掩码变换一下，如0.0.0.63  0.0.0.7等需要计算一下IP，有个好方法共享一下，172.16.20.0 0.0.0.63用0+63的结果就是总的IP数。待续。