IP访问控制列表知识要点

标准访问列表--检查源地址，通常允许、拒绝的是完整的协议
扩展访问列表--检查源地址和目的地址、具体的TCP/IP协议和目的端口，通常允许、拒绝的是某个特定的协议

IP访问列表类型
标准 1-99
扩展 100-199

每个端口每个方向只能对应一条访问列表
访问列表的内容决定了数据的检测顺序
具有严格限制条件的语句应放在访问列表所有语句的最上面
在访问列表的最后有一条隐含声明：deny any
每一条正确的访问列表都至少应该有一条允许语句
访问列表不能过滤由路由器自己产生的数据

将扩展访问列表放置在离源设备较近的位置
将标准访问列表放置在离目的设备较近的位置

通配符：规定了当一个IP地址与其他IP地址进行比较时，该IP地址中哪些位应该被忽略
  0表示检查与之对应的地址的值
  1表示忽略与之对应的地址的值
通配符掩码指明特定的主机--10.0.0.1 0.0.0.0 检查所有地址位，即指定主机10.0.0.1，可简写为host 10.0.0.1
通配符掩码指明所有主机--0.0.0.0 255.255.255.255 忽略所有地址位，即表示所有主机，可简写为any
通配符掩码和子网的对应--192.168.1.33 0.0.0.31 忽略子网主机位，即表示该子网所有主机

设置访问列表语句：access-list [access-list-number] [permit/deny] [test conditions]
在端口上应用访问列表：[protocol] access-group [access-list-number] [in/out]

配置标准访问列表：
access-list [1-99] [permit/any] [source] {mask}  //缺省的通配符掩码是0.0.0.0，删除：no access-list [1-99](删除整条列表，扩展同）
ip access-group [1-99] [in/out]    //默认是出方向，删除：no access-group [1-99]

配置扩展访问控制列表：
access-list [100-199] [permit/deny] [protocol] [source source-wildcard] [destination destination-wildcard] [operator port]
ip access-group [100-199] [in/out]

配置名称访问列表：
ip access-list [standard/extended] [name]   //所使用的名称必须一致（可删除控制列表中单条明细）
    [permit/deny] [test conditions]
ip access-group [name] [in/out]

用访问列表控制虚拟通道
line vty 0 4
      access-class [access-list-number] [in/out]  在访问列表里指明方向
     // out指telnet进来的用户受本设备的虚拟通道管理

 

 

查看方式：
show access-lists [access-list-number]
show [protocol] access-list [access-list-number] 

 

 

欢迎来群一起交流：166684620