ACL精華課程講解

訪問控制列表：

我們知道網絡上流淌的都是數據包，數據包進入網絡設備和流出網絡設備，在進入網絡設備和流出網絡設備的時候，我們的網絡設備可以對數據包進行過濾，以達到安全、控制數據流的目的。

 

●標準IP訪問控制列表 一個標準IP訪問控制列表匹配IP包中的源地址，可對匹配的包採取拒絕或允許兩個操作。編號範圍是從1到99的訪問控制列表是標準IP訪問控制列表。

access-list [list number][permit|deny][host/any][sourceaddress][wildcard-mask][log] ●擴展IP訪問控制列表 擴展IP訪問控制列表比標準IP訪問控制列表具有更多的匹配項，包括協議類型（TCP、UDP）、源地址、目的地址、源端口、目的端口、建立連接的和IP優先級等。編號範圍是從100到199的訪問控制列表是擴展IP訪問控制列表。

●命名的IP訪問控制列表 所謂命名的IP訪問控制列表是以列表名代替列表編號來定義IP訪問控制列表，同樣包括標準和擴展兩種列表，定義過濾的語句與編號方式中相似。

標準訪問控制列表：

標準訪問控制列表是最簡單的ACL。

它的具體格式如下：access-list ACL號 permit|deny host ip地址

例如：access-list 10 deny host 192.168.1.1這句命令是將所有來自192.168.1.1地址的數據包丟棄。

當然我們也可以用網段來表示，對某個網段進行過濾。命令如下：access-list 10 deny 192.168.1.0 0.0.0.255

通過上面的配置將來自192.168.1.0/24的所有計算機數據包進行過濾丟棄。爲什麼後頭的子網掩碼錶示的是0.0.0.255呢？這是因爲CISCO規定在ACL中用反向掩瑪表示子網掩碼，反向掩碼爲0.0.0.255的代表他的子網掩碼爲255.255.255.0。

小提示：對於標準訪問控制列表來說，默認的命令是HOST，也就是說access-list 10 deny 192.168.1.1表示的是拒絕192.168.1.1這臺主機數據包通訊，可以省去我們輸入host命令。

 

擴展訪問控制列表：

擴展訪問控制列表是一種高級的ACL，配置命令的具體格式如下：

access-list ACL號 [permit|deny] [協議] [定義過濾源主機範圍] [定義過濾源端口] [定義過濾目的主機訪問] [定義過濾目的端口]

例如：access-list 101 deny tcp any host 192.168.1.1 eq www這句命令是將所有主機訪問192.168.1.1這個地址網頁服務（WWW）TCP連接的數據包丟棄

access-list 101 deny tcp any host 192.168.1.1 eq www也可以這樣理解：

動作：滿足下列條件的數據包被拒絕，也就是被丟棄

源地址：任何地址

目標地址：192.168.1.1

目標端口（要訪問的服務）：www（也就是80）

協議：80端口肯定使用的是TCP服務