ACL访问控制列表

标准访问列表

standard access lists

检查分组的源地址信息

允许或拒绝整个协议栈

访问列表号码范围

1-99，1300-1999

扩展访问列表

extended access lists

同时检查源和目的地址信息

可针对三层或四层协议信息进行控制

访问列表号码范围

100-199，2000-2699，自命名

如果ACL没有规定某种数据包是否可通过，则默认是不可通过状态。

ACL中，输入列表条目的顺序就是测试包是否通过的顺序。

每个接口，每个协议，每个方向上只能有一个访问列表。

access-list 1 permit 172.16.0.0 0.0.255.255

允许172.16网段的信息流通过

interface e0进入e0接口

ip access-group 1 out

允许控制策略1从e0接口通过

access-list 1 deny 172.16.1.1 0.0.0.0

拒绝172.16.1.1发送的任何包

access-list 1 deny host 172.16.1.1

同上，拒绝特定地址

access-list 1 permit 0.0.0.0 255.255.255.255`

允许所有包通过

access-list 1 permit any

同上

access-list 101 deny tcp 192.168.1.0  0.0.0.255 172.16.2.0 0.0.0.255 eq 21

access-list 101 deny tcp 192.168.1.0  0.0.0.255 172.16.2.0 0.0.0.255 eq 20

access-list 101 permit ip any any

拒绝来自子网1.0到子网2.0的FTP流量，允许其它通过

access-list 101 deny tcp 192.168.1.0 0.0.0.255 any eq 23

access-list 101 permit ip any any 

拒绝来自子网1.0的telnet访问流量

ip access-list {standard|extended} name

为访问控制列表命名

access-list 12 permit 192.168.1.0 0.0.0.255

line vty 0 4

access-class 12 in

只允许网络192.168.1.0内的主机连接路由器的vty通道

访问控制列表使用数字号码配置后，无法再次在其中插入新的控制条目。

使用no-access-list number（列表号）可以移除整个访问列表。

使用show access-list可以查看当前所有的访问控制列表。