訪問控制列表

建立訪問控制列表，可對數(shù)據流量進行簡單的控制，以及通過這種控制達到一不定程度的安全性，允許或拒絕數(shù)據包通過路由器，從而達到對數(shù)據包進行過濾的目的。

另外，也可以在VTY線路接口上使用訪問控制列表，來保證telnet的連接的安全性。
因為接口的數(shù)據流是有進口和出口兩個方向的，所以在接口上使用訪問控制列表也有進和出兩個方向。

進方向的工作流程

進入接口的數(shù)據包——進方向的訪問控制列表——判斷

是否匹配——不匹配，丟棄，匹配，進入路由表——判斷是否有相應的路由條目——無，丟棄，有從相應接口轉發(fā)出去

出口方向的工作流程

進入接口數(shù)據包——進入路由表，判斷是否是相應的路由條目——無，丟棄，有，數(shù)據包往相應接口——判斷出口是否有訪問控制列表——無，數(shù)據被轉發(fā)，有，判斷條件是否匹配——不匹配，丟棄，匹配，轉發(fā)。

比較看，盡可能使用進方向的訪問控制列表，但是使用哪個方向的應根據實際情況來定。

類型

標準訪問控制列表
所依據的條件的判斷條件是數(shù)據包的源IP地址，只能過濾某個網絡或主機的數(shù)據包，功能有限，但方便使用。

命令格式
先在全局模式下創(chuàng)建訪問控制列表
Router（config）＃access－list  access－list－number  ｛permit or deny｝ soure ｛soure－wildcard｝ log

注：access－list－number 是訪問控制列表號，標準的訪問控制列表號為0～99;permit是語句匹配時允許通過，deny是語句不匹配時，拒絕通過。soure是源IP地址，soure－wildcard是通配符，log是可選項，生成有關分組匹配情況的日志消息，發(fā)到控制臺

補：當表示某一特定主機時，soure ｛soure－wildcard｝這項例如：192.168.1.1 0.0.0.255 可表示為host 192.168.1.1

創(chuàng)建了訪問控制列表后，在接口上應用
Router（config－if）＃ip access－group access－list－number ｛in or out｝

擴展訪問控制列表
擴展訪問控制列表所依據的判斷條件是目標、源ip地址、協(xié)議及數(shù)據所要訪問的端口。由此可得出，在判斷條件上，擴展訪問控制列表具有比標準的訪問控制列表更加靈活的優(yōu)勢，能夠完成很多標準訪問不能完成的工作。

命令格式

同樣在全局模式下創(chuàng)建列表
Router（config）＃access－list access－list－number ｛dynamic dynamic－name｝｛timeout mintes｝｛permit or deny｝protocol soure soure－wildcard destination destination－wildcard ｛precdence precedence｝ ｛tos tos} {time-range time-range-name}

命名訪問控制列表

cisco ios 軟件11.2版本中引入了IP命名ACL，其允許在標準和擴展訪問控制列表中使用名字代替數(shù)字來表示ACL編號。

創(chuàng)建命名ACL語法格式：

router（config）＃ip access－list ｛extend or standard} name router（config-ext-nacl)#{permit  or deny } protocols soure soure－wildcard {operator｝destination destination－wildcard ｛operator｝｛established｝

注：established 是可選項，只針對于tcp 協(xié)議

還有vty的限制，其ACL的建立與在端口上建立ACL一樣，只是應用在vty ACL 到虛擬連接時，用命令access－class 代替命令access－group

放置ACL
一般原則：盡可能把擴展acl 放置在距離要被拒絕的通信流量近的地方。標準ACL由于不能指定目的地址，所以它們應該盡可能放置在距離目的地最近的地主。

【編輯推薦】

1. 思科認證專區(qū)
2. 2月23日CCNA悉尼與香港戰(zhàn)報：3.22+經典189
3. 2月6日英國倫敦思科CCNA 640-802戰(zhàn)報