一、标准访问控制列表和扩展访问控制列表比较
1、标准访问控制列表:
基于源地址
允许和拒绝完整的TCP/IP协议
编号范围1---99和1300---1999
2、扩展访问控制列表:
基于源地址和目标地址
指定TCP/IP的特定协议和端口号
编号范围100---199和2000---2699
二、标准访问控制列表配置步骤
1、创建访问控制列表
router(config)#access-list 1 deny 172.16.4.13 0.0.0.0
拒绝来自主机172.16.4.13的数据包。其中的1表示这是一个标准的访问控制列表。
也可用命令 access-list 1 deny host 172.16.4.13
router(config)#access-list 1 permit 172.16.0.0 0.0.255.255
允许网络172.16.0.0的所有流量通过。
router(config)#access-list 1 permit any
允许任何流量通过。
2、应用到接口进方向
router(config)#interface fastethernet 0/0
router(config-if)#ip access-group 1 in
把这个ACL绑定到接口F0/0进的方向上。
3、删除一个访问控制列表
首先在接口模式下输入命令:no ip access-group
然后在全局模式下输入命令:no access-list
三、扩展访问控制列表应用
1、创建拒绝来自172.16.4.0 去往172.16.3.0 的FTP流量ACL
router(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21
router(config)#access-list 101 permit ip any any
2、创建拒绝来自172.16.4.0 去往 172.16.3.0 的TELNET 流量的ACL
router(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 23
router(config)#access-list 101 permit ip any any
3、创建拒绝主机192.168.1.1 到主机 192.168.1.254 的 icmp
router(config)#access-list 101 deny icmp host 192.168.1.1 host 192.168.1.254
router(config)#access-list 101 permit ip any any
4、应用到接口进的方向
router(config)#interface fastethernet 0/0
router(config-if)#ip access-list 101 in
四、命名访问控制列表
1、访问控制列表的命名
router(config)#ip access-list {standard | extended} name
router(config)#{permit | deny} {source [source-wildcard]|any} {test conditions}
这里test conditions 的使用可以参考标准和扩展访问控制列表中相应的内容。
2、命名访问控制列表的应用
a.创建名为cisco的访问控制列表
router(config)#ip access-list extended cisco
b.拒绝主机192.168.3.1 去往 192.168.3.254 的远程桌面
router(config-ext-nacl)#deny tcp host 192.168.3.1 host 192.168.3.254 eq 3389
router(config-ext-nacl)#permit ip any any
c.应用到接口进方向
router(config)#interface fastethernet 0/0
router(config-if)#ip access-group cisco in
3、查看ACL列表
router#show ip interface fastethernet 0/0
router#show access-list
router#show running-config