1、什麼是訪問控制列表?
訪問控制列表在Cisco IOS軟件中是一個可選機制,可以配置成過濾器來控制數據包,以決定該數據包是繼續向前傳遞到它的目的地還是丟棄。
2、爲什麼要使用訪問控制列表?
最初的網絡只是連接有限的LAN和主機,隨着路由器連接內部和外部的網絡,加上互聯網的普及,控制訪問成爲新的挑戰,網絡管理員面臨兩難的局面:如何拒絕不期望的訪問而允許需要的訪問?訪問控制列表增加了在路由器接口上過濾數據包出入的靈活性,可以幫助管理員限制網絡流量,也可以控制用戶和設備對網絡的使用,它根據網絡中每個數據包所包含的信息內容決定是否允許該信息包通過接口。
3、訪問控制列表有哪些類型?
訪問控制列表主要可以分爲以下兩種:
A、標準訪問控制列表:標準訪問控制列表只能夠檢查可被路由的數據包的源地址,根據源網絡、子網、主機IP地址來決定對數據包的拒絕或允許,使用的侷限性大,其序列號範圍是1-99。
B、擴展訪問控制列表:擴展訪問控制列表能夠檢查可被路由的數據包的源地址和目的地址,同時還可以檢查指定的協議、端口號和其他參數,具有配置靈活、精確控制的特點,其序列號的範圍是100-199。
以上兩種類型都可以基於序列號和命名來配置,我們建議使用命名來配置訪問控制列表,這樣在以後的修改中也是很方便的。
4、訪問控制列表具有什麼樣的特點?
A、它是判斷語句,只有兩種結果,要麼是拒絕(deny),要麼是允許(permit);
B、它按照由上而下的順序處理列表中的語句;
C、處理時,不匹配規則就一直向下查找,一旦找到匹配的語句就不再繼續向下執行;
D、在思科中默認隱藏有一條拒絕所有的語句,也就默認拒絕所有(any);
由上面的特點可以總結出,訪問控制列表中語句的順序也是非常重要的,另外就是所配置的列表中必須有一條允許語句。
5、配置訪問控制列表需要注意什麼?
A、訪問控制列表只能過濾流經路由器的流量,對路由器自身發出的數據包不起作用。
B、一個訪問控制列表中至少有一條允許語句。
6、配置訪問控制列表的步驟是什麼?
第一步:創建訪問控制列表:
access-list access-list-number {deny|permit} {test conditions}
//access-list-number:序列號,這個地方也可以寫命名的名稱;
//deny:拒絕;
//permit:允許;
//test conditions:過濾條件語句
第二步:應用訪問控制列表:
A、首先要進入接口模式;
B、ip access-group access-list-number {in|out}
7、標準訪問控制列表的格式:
access-list [list number| word] [permit|deny] [source address] [wildcard mask]
//[list number|word]列表序列號或者命名
//[permit|deny]允許或者拒絕
//[source address]源IP地址
//[wildcard mask]掩碼,如果不使用掩碼,則使用關鍵字Host ,例:host 192.168.2.4
8、擴展訪問控制列表的格式:
access-list [list number| word] [permit | deny] [protocol | protocol key word] [source address] [source-swidcard mask] [source port] [destination address] [destination-wildceard mask] [destination port]
//[list number| word]訪問控制列表的序列號或者命名
//[permit | deny]允許或者拒絕
//[protocol | protocol key word]協議或者協議號
//[source address]源IP地址
//[source-swidcard mask]源地址掩碼,如果使用關鍵字host,則不用掩碼
//[source port]源端口
//[destination address]目的地IP地址
//[destination-wildceard mask]目的地地址掩碼,如果使用host關鍵字,則不用掩碼
//[destination port]目的端口