·什么是访问列表:
访问控制列表是应用在路由器接口的指令列表,这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。
·访问列表配置指南:
1、访问列表的编号(同一个编号里可以写多个语句,可以放一起)指明了使用何种协议的访问列表
2、每个端口、每个方向、每条协议只能对应于一条访问列表(可以先在notepad一条条写好,然后在填路由)
3、访问列表的内容决定了数据的控制顺序(控制的条目越精细,越应该写在最上面)
4、具有严格限制条件的语句应放在访问列表所有语句的最上面
5、在访问列表的最后有一条隐含声明:deny any(即如果不匹配就会丢包)-每一条正确的访问列表都至少应该有一条允许语句
6、先创建访问列表,然后应用到端口上(先应用的话由于列表还不存在,所有数据会丢失)
7、访问列表不能过滤由路由器自己产生的数据
·通配符掩码(反掩码):
·如何检查相应的地址位:
0 表示检查与之对应的地址位的值
1 表示忽略与之对应的地址位的值
·例1:需要拒绝192.168.1.0网段的偶数IP地址:
(偶数IP地址即ip最后一位必须为0)
则为0.0.0.254(即1111,1110)
·配置:
Router2(config)#access-list 1 deny 192.168.1.0 0.0.0.254 deny为拒绝路由
Router2(config)#access-list 1 permit any permit为放行路由,放行其他所有路由
Router2(config)#int s0/0/0 进入接口下执行策略
Router2(config-if)#access-group 1 in
·ACL运算符
eq 等于
neq 不等于
gt 大于
lt 小于
range 提出范围
·例2:需要拒绝1.1.1.0/24网段去往192.168.2.0网段的telnet流量
R1(config)#ip access-list extended no-telnet 开启拓展ACL列表名为no-telnet
R1(config-ext-nacl)#deny tcp 1.1.1.0 0.0.0.255 192.168.2.0 0.0.0.255 eq telnet
R1(config-ext-nacl)#permit ip any any
R1(config)#int f0/0
R1(config-if)#ip access-group no-telnet in