標準訪問列表--檢查源地址,通常允許、拒絕的是完整的協議
擴展訪問列表--檢查源地址和目的地址、具體的TCP/IP協議和目的端口,通常允許、拒絕的是某個特定的協議
IP訪問列表類型
標準 1-99
擴展 100-199
每個端口每個方向只能對應一條訪問列表
訪問列表的內容決定了數據的檢測順序
具有嚴格限制條件的語句應放在訪問列表所有語句的最上面
在訪問列表的最後有一條隱含聲明:deny any
每一條正確的訪問列表都至少應該有一條允許語句
訪問列表不能過濾由路由器自己產生的數據
將擴展訪問列表放置在離源設備較近的位置
將標準訪問列表放置在離目的設備較近的位置
通配符:規定了當一個IP地址與其他IP地址進行比較時,該IP地址中哪些位應該被忽略
0表示檢查與之對應的地址的值
1表示忽略與之對應的地址的值
通配符掩碼指明特定的主機--10.0.0.1 0.0.0.0 檢查所有地址位,即指定主機10.0.0.1,可簡寫爲host 10.0.0.1
通配符掩碼指明所有主機--0.0.0.0 255.255.255.255 忽略所有地址位,即表示所有主機,可簡寫爲any
通配符掩碼和子網的對應--192.168.1.33 0.0.0.31 忽略子網主機位,即表示該子網所有主機
設置訪問列表語句:access-list [access-list-number] [permit/deny] [test conditions]
在端口上應用訪問列表:[protocol] access-group [access-list-number] [in/out]
配置標準訪問列表:
access-list [1-99] [permit/any] [source] {mask} //缺省的通配符掩碼是0.0.0.0,刪除:no access-list [1-99](刪除整條列表,擴展同)
ip access-group [1-99] [in/out] //默認是出方向,刪除:no access-group [1-99]
配置擴展訪問控制列表:
access-list [100-199] [permit/deny] [protocol] [source source-wildcard] [destination destination-wildcard] [operator port]
ip access-group [100-199] [in/out]
配置名稱訪問列表:
ip access-list [standard/extended] [name] //所使用的名稱必須一致(可刪除控制列表中單條明細)
[permit/deny] [test conditions]
ip access-group [name] [in/out]
用訪問列表控制虛擬通道
line vty 0 4
access-class [access-list-number] [in/out] 在訪問列表裏指明方向
// out指telnet進來的用戶受本設備的虛擬通道管理
查看方式:
show access-lists [access-list-number]
show [protocol] access-list [access-list-number]
歡迎來羣一起交流:166684620