ACL配置（十分基础）

ACL----------两者都可以以描述性名称和数字命名

使用通配符掩码，和子网掩码不同，它的0表示精确匹配，非0则表示不用精确匹配的位，即1表示可0可1，2表示有00，01，10，11四种，配合Ip地址使用

--------有两种配置方法，一般用access-list 1-99|100-199源地址范围目的地址范围端口号

1.标准访问控制列表（在使用时尽量放在靠近目的地址的位置）

只能过滤源地址

2.扩展访问控制列表（应该尽量靠近源地址的位置）

仅允许已建立 TCP会话进入------------permit tcp any anyestablished

仅允许 ping应答通过 R2。-----------permit icmp any any echo-reply

对192.168.30.0/24网络中的后一半 IP地址有如下限制：

R3(config)#access-list 130 permit ip 192.168.30.128 0.0.0.127 192.168.11.0 0.0.0.255

 

当出现问号问不出来想要的端口号时，注意自己前面大的协议范围是否正确，比如TFTP协议属于UDP而不是TCP;

 

除了可以将ACL应用在接口上，还可以将ACL应用在VTY线路上来控制主机对线路的访问，具体命令是在线路模式下：

R2(config-line)#access-class Task-4 in

 

查看命令：show ipaccess-lists 110

                  show access-lists 110 (查看其中的匹配条目)

---删掉ACL后并不会将接口上的ACL的应用一块删掉

 

------为啥做PT实验时后面必须加denyany（不是默认隐含吗？）