1.標準ACL(Standard ACL)
命令格式: access-list 0-99 permit/deny IP地址 反掩碼
實例:
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 1 permit host 192.168.2.2
access-list 1 permit 192.168.2.1 0.0.0.0
access-list 1 deny 192.168.2.0 0.0.0.255
access-list 1 permit any
access-list 1 deny any
應用到某個網絡接口:
ip access-group 1-99 in/out
效果:允許或者拒絕一臺或多臺網絡設備到本地路由的連接
in 流進接口的流量
out 離開接口的流量
附:
Request timed out 有相關路由,由於防火牆等原因無法到達
Destination host unreachable 路由器沒有相關信息(列如ACL給拒絕掉),或者已經關機,不存在主機
any 相當於 ipaddr+ 反掩碼
2.擴展ACL(Extended ACL)
命令格式:access-list 100-199 deny/permit 協議 源地址 反掩碼 目的地址 反掩碼 eq 端口/服務
應用到距離原地址最近的地方
實例:
access-list 100 permit tcp host 172.16.3.2 172.16.4.3 0.0.0.0 eq www
access-list 100 deny tcp any 172.16.4.3 0.0.0.0 eq www
access-list 100 deny tcp any any
部署到1口的in上,或者2口的out上
附:
deny any any 不能亂用,否則回包都收不到。
