●標準IP訪問控制列表 一個標準IP訪問控制列表匹配IP包中的源地址,可對匹配的包採取拒絕或允許兩個操作。編號範圍是從1到99的訪問控制列表是標準IP訪問控制列表。
access-list [list number][permit|deny][host/any][sourceaddress][wildcard-mask][log] ●擴展IP訪問控制列表 擴展IP訪問控制列表比標準IP訪問控制列表具有更多的匹配項,包括協議類型(TCP、UDP)、源地址、目的地址、源端口、目的端口、建立連接的和IP優先級等。編號範圍是從100到199的訪問控制列表是擴展IP訪問控制列表。
●命名的IP訪問控制列表 所謂命名的IP訪問控制列表是以列表名代替列表編號來定義IP訪問控制列表,同樣包括標準和擴展兩種列表,定義過濾的語句與編號方式中相似。
標準訪問控制列表:
標準訪問控制列表是最簡單的ACL。
它的具體格式如下:access-list ACL號 permit|deny host ip地址
例如:access-list 10 deny host 192.168.1.1這句命令是將所有來自192.168.1.1地址的數據包丟棄。
當然我們也可以用網段來表示,對某個網段進行過濾。命令如下:access-list 10 deny 192.168.1.0 0.0.0.255
通過上面的配置將來自192.168.1.0/24的所有計算機數據包進行過濾丟棄。爲什麼後頭的子網掩碼錶示的是0.0.0.255呢?這是因爲CISCO規定在ACL中用反向掩瑪表示子網掩碼,反向掩碼爲0.0.0.255的代表他的子網掩碼爲255.255.255.0。
小提示:對於標準訪問控制列表來說,默認的命令是HOST,也就是說access-list 10 deny 192.168.1.1表示的是拒絕192.168.1.1這臺主機數據包通訊,可以省去我們輸入host命令。