CCNA-5-访问控制列表

·什么是访问列表:

  访问控制列表是应用在路由器接口的指令列表，这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。

·访问列表配置指南：

   1、访问列表的编号（同一个编号里可以写多个语句，可以放一起）指明了使用何种协议的访问列表

   2、每个端口、每个方向、每条协议只能对应于一条访问列表（可以先在notepad一条条写好，然后在填路由）

   3、访问列表的内容决定了数据的控制顺序（控制的条目越精细，越应该写在最上面）

   4、具有严格限制条件的语句应放在访问列表所有语句的最上面

   5、在访问列表的最后有一条隐含声明：deny any（即如果不匹配就会丢包）－每一条正确的访问列表都至少应该有一条允许语句

   6、先创建访问列表，然后应用到端口上（先应用的话由于列表还不存在，所有数据会丢失）

   7、访问列表不能过滤由路由器自己产生的数据

·通配符掩码（反掩码）：

   ·如何检查相应的地址位：

            0 表示检查与之对应的地址位的值

            1 表示忽略与之对应的地址位的值

·例1：需要拒绝192.168.1.0网段的偶数IP地址:

       (偶数IP地址即ip最后一位必须为0)

        则为0.0.0.254（即1111，1110）

·配置：

    Router2(config)#access-list 1 deny 192.168.1.0 0.0.0.254 deny为拒绝路由

    Router2(config)#access-list 1 permit any   permit为放行路由，放行其他所有路由

    Router2(config)#int s0/0/0            进入接口下执行策略

    Router2(config-if)#access-group 1 in

·ACL运算符

  eq   等于

  neq  不等于

 gt   大于

  lt   小于

  range 提出范围

·例2：需要拒绝1.1.1.0/24网段去往192.168.2.0网段的telnet流量

R1(config)#ip access-list extended no-telnet    开启拓展ACL列表名为no-telnet

R1(config-ext-nacl)#deny tcp 1.1.1.0 0.0.0.255 192.168.2.0 0.0.0.255 eq telnet

R1(config-ext-nacl)#permit ip any any

R1(config)#int f0/0

R1(config-if)#ip access-group no-telnet in