Video 28-29 第十四章 IP访问控制列表 IP Access Control List(ACL)

Video 28 第十四章 IP访问控制列表 IP Access Control List(ACL)

标准
检查源地址
通常允许、拒绝的是完整的协议

扩展
检查源地址和目的地址
通常允许、拒绝的是某个特定的协议

进方向和出方向
访问列表的编号指明了使用荷重协议的访问列表
每个端口、每个方向、每条协议只能对应于一条访问列表
访问列表的内容决定了数据的控制顺序
具有严格限制条件的语句应放在访问列表所有语句的最上面
在访问列表的最后有一条隐含声明：deny any每一条正确的访问列表都至少应该有一条允许语句
先创建访问列表，然后应用到端口上
访问列表不能过滤由滤油器自己产生的数据

访问控制列表设置命令

Step1:设置访问列表测试语句的参数
Router(config)# access-list access-list-number{permit|deny}{set conditions}

Step2:在端口上应用访问列表
Router(config-if)#
{protocol}access-group access-list-number{in|out}

IP访问列表的标号为1-99（标准）和100-199（扩展）

Video 29 配置标准的IP访问列表
Router(config)# access-list access-list-nuimber {permit|deny}source[mask]
为访问列表设置参数
IP标准访问列表编号1到99
缺省的通配符掩码 = 0.0.0.0
no access-list access-list-number 命令删除访问列表

反掩码wildcard mask: 0表示精确匹配，1代表任意匹配

通配符掩码指明所有主机
所有主机：0.0.0.0 反掩码255.255.255.255
可以用ANY简写
可以简写为 host (host 172.30.16.29)

172.30.16.29 0.0.0.0 = host 172.30.16.29

配置

Router(config-if)#