ACL（访问控制列表）

标准ACL和扩展ACL的应用

访问控制列表（ACL）

　　读取第三层、第四层包头信息

　　根据预先定义好的规划对包进行过滤

访问控制列表在接口应用方向

　　出：已经过路由器的处理，正离开路由器接口的数据包

　　入：已经到达路由器接口的数据包，将被路由器处理

标准访问控制列表

　　基于源IP地址过滤数据包

　　标准访问控制列表的访问控制列表号是1~99

扩展访问控制列表

　　基于IP地址，目的IP地址，指定协议，端口和标志来过滤数据包

　　扩展访问控制列表的访问控制列表号是100~199

#标准访问控制列表
Router#show access-list　　#查看ACL表
Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255    #允许192.168.1.0段通过
Router(config)#access-list 1 permit 192.168.2.2 0.0.0.0    #不允许192.168.2.2通过
Router(config)#access-list 1 deny host 192.168.2.2　　#不允许192.168.2.2通过
Router(config)#access-lisr 1 permit any　　#允许其他网段流量通过
#扩展访问控制列表
Router(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255　　#允许192.168.1.0段访问192.168.2.0
Router(config)#access-list 101 deny ip any any　　#不允许所有IP访问所有IP
Router(config)#access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq 21　　#不允许192.168.1.0段访问192.168.2.2的21端口
Router(config)#access-list 101 permit ip any any　　#允许所有IP访问所有IP
Router(config)#access-list 101 deny icmp 192.168.1.0 0.0.0.255 host 192.168.2.2 echo　　#不允许192.168.1.0段访问192.168.2.2的icmp请求
Router(config)#access-list 101 permit ip any any　　#允许所有IP访问所有IP
#命名访问控制列表
Route(config)#ip access-list standard cisco　　#创建cisco列表
Route(config-std-nacl)#permit host 192.168.1.1　　#允许192.168.1.1通过
Route(config-std-nacl)#deny any　　#不允许所有IP通过