一 创建标准访问控制列表
1 定义一个标准访问控制列表
Router(config)#access-list access-list-number(1-99)permit/ deny(允许/拒绝)source (数据包的源地址,可以是主机地址,也可以是网络地址) source-wildcard(用来跟踪地址一起决定那些位需要进行匹配操作)log(生成相应的日志信息) (注释:通配符any可代替0.0.0 .0 255.255.255.255 host表示检查IP地址的所有位eg:172.30.16.29 0.0.0.0
=host 172.30.16.29)
2 使用命令ip access-group将ACL应用到某一个接口上
Router(config-if)#ip access-group access-list-number {in|out}(在接口的一个方向上,只能应用一个access-list)
二 扩展访问控制列表的创建
1 使用access-list命令创建扩展访问控制列表
Router(config)#access-list access-list-number(范围100-199) { permit | deny } protocol(用来指定协议类型 )[source(原地址) source-wildcard(与源地址对应的反掩码) destination(目的地址) destination-wildcard (与目的地址相对应的反掩码)] [operator port《lt(小于) gt(大于) eq(等于) neq(不等于)和一个与协议对应的端口号》] [established] [log](生成相应的日志信息)
2 使用命令ip access-group将ACL应用到某一个接口上
Router(config-if)#ip access-group access-list-number {in|out}(在接口的一个方向上,只能应用一个access-list)
三 。 明名访问控制列表的创建(举例说明)
1 创建名为cisco的命名访问控制列表
Router(config)#ip access-list extended cisco
2 指定一个或多个permit及deny条件
Router(config-ext-nacl)# deny tcp 172.16.4.0 0.0.0 .255 172.16.3.0 0.0.0.255 eq 23
Router(config-ext-nacl)# permit ip any any
3 第三步,应用到接口E0的出方向
Router(config)#interface fastethernet 0/0
Router(config-if)#ip access-group cisco out
四. 查看访问控制列表
Router#show ip interface fastethernet 0/0
Router#show access-list
注意:1.(总结:标准访问控制列表和扩展访问控制列表不能单独删除一条列表,要就是删除整个访问控制列表。而扩展访问控制列表也以单独删除一个访问控制条目。)
2.所有条目都是按顺序执行的,一 一对照
