访问列表

访问控制列表（访问权限表 / 软件防火墙）

1 功能：允许或禁止通过路由器的数据包

2 分类

1）  基本访问控制列表

机理：根据数据包的源地址，处理数据包他只看源地址别的都不看

2 配置

（ config ） #access-list 表号 deny/permit 源网 ip 源网匹配码

表号： 1 ―― 99

Deny ：禁止

Permit ：允许

提示：每张表的表尾隐含 deny any 语句

（ config ） #access-list 1 deny 192.168.10.1  0.0.0 .0.

禁止 192.168.10.1

（ config ） #access-list 1 permit any   

其他全部允许

192.168.10.1       0.0.0 .0. <=>host 192.168.10.1

0.0.0.0.              255.255.255.255. <=> any

包与访问控制列表中的语句的比较原则

自上而下比较：如包与某语句匹配，用该语句

定义处理包：如果与某语句不匹配，将把包与下一条语句比较，如果与所有语句均不匹配，包就丢弃。

应用表到端口

（ config ） #interface 端口

（ config ） #ip access-group 表号 in/out

In ：对流入路由器数据包进行的处理

Out ：对流出路由器数据包进行处理

确认访问控制列表是否应用到端口

#show into 端口    是错误的

#show run 是对的 或者 #show ip int 端口   显示端口的三层配置

结论：

在同一端口上，同一方向上的访问控制列表只能存在一个

在同一端口上，两个方向上的访问控制列表可以同时存在

，同一访问控制列表可以同时挂在端口的两个方向