在向大家詳細(xì)介紹Cisco 路由器ACL之前，首先讓大家了解下ACL，然后全面介紹掩碼，以便阻塞哄騙攻擊。Cisco 路由器ACL（訪問控制列表）中的wildcard-mask（通配符掩碼）。

簡介：路由器中使用的通配符掩碼(或者稱作反掩碼)與源或目標(biāo)地址一起來分辨匹配的地址范圍。Cisco 路由器ACL通配符掩碼告訴路由器為了判斷出匹配，它需要檢查IP地址中的多少位。這個地址掩碼使我們可以只使用兩個32位的號碼來確定I...熱點：Ctrix，HP，EMC，CIW，Oracle，Comptia，IBM，Certification，Exams，Questions，Bootcamp，Braindumps-TestInside

路由器中使用的通配符掩碼(或者稱作反掩碼)與源或目標(biāo)地址一起來分辨匹配的地址范圍。通配符掩碼告訴路由器為了判斷出匹配，它需要檢查IP地址中的多少位。這個地址掩碼使我們可以只使用兩個32位的號碼來確定IP地址的范圍。如果不使用掩碼，我們必須將每個要匹配的IP地址加入一個單獨的訪問列表語句中。

這將造成很多額外的輸入和路由器大量額外的處理過程。在訪問列表中將通配符掩碼中的一位設(shè)成1表示IP地址中對應(yīng)的位既可以是1又可以是0，此位又稱為“無關(guān)”位。掩碼位設(shè)成0則表示IP地址中相對應(yīng)的位必須精確匹配。下面介紹Cisco 路由器ACL的相關(guān)掩碼。如：反掩碼為0.0.0.0的192.168.0.1則代表192.168.0.1一個IP。

（反掩碼各位均為0，需要各位均匹配）反掩碼為255.255.255.255的192.168.0.1則代表所有IP地址范圍。（反掩碼各位均為1，不需要各位匹配）反掩碼為0.0.0.255的192.168.0.1則代表192.168.0.1－255這個地址范圍（255.255.255.0轉(zhuǎn)換為二進制形式為00000000.00000000.00000000.11111111，也就是前16位均需要匹配，只有后八位不需要匹配）通配符掩碼檢測器可以到http://www.boson.com/FreeUtilities.html下載。

Cisco 路由器ACL的執(zhí)行順序：從上往下執(zhí)行，一個包只要遇到一條匹配的語句后就會停止后續(xù)語句的執(zhí)行，寫ACL時，一定要遵循最為精確匹配的語句寫在最前面的原則只有這樣才能保證不會出現(xiàn)無用的ACL語句。當(dāng)使用路由器連接到internet上，使用ACL時，我們要阻塞來自內(nèi)部IP地址的入流量，以便阻塞哄騙攻擊。即

deny10.0.0.00.255.255.255
deny172.16.0.00.15.255.255
deny192.168.0.00.0.255.255
deny127.0.0.00.255.255.255