1.标准ACL(Standard ACL)
命令格式: access-list 0-99 permit/deny IP地址 反掩码
实例:
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 1 permit host 192.168.2.2
access-list 1 permit 192.168.2.1 0.0.0.0
access-list 1 deny 192.168.2.0 0.0.0.255
access-list 1 permit any
access-list 1 deny any
应用到某个网络接口:
ip access-group 1-99 in/out
效果:允许或者拒绝一台或多台网络设备到本地路由的连接
in 流进接口的流量
out 离开接口的流量
附:
Request timed out 有相关路由,由于防火墙等原因无法到达
Destination host unreachable 路由器没有相关信息(列如ACL给拒绝掉),或者已经关机,不存在主机
any 相当于 ipaddr+ 反掩码
2.扩展ACL(Extended ACL)
命令格式:access-list 100-199 deny/permit 协议 源地址 反掩码 目的地址 反掩码 eq 端口/服务
应用到距离原地址最近的地方
实例:
access-list 100 permit tcp host 172.16.3.2 172.16.4.3 0.0.0.0 eq www
access-list 100 deny tcp any 172.16.4.3 0.0.0.0 eq www
access-list 100 deny tcp any any
部署到1口的in上,或者2口的out上
附:
deny any any 不能乱用,否则回包都收不到。
