路由器访问列表控制解析.docVIP

访问列表 访问列表主要内容介绍：A，访问列表介绍。B，编辑标准访问列表。C，编辑扩展访问列表。 访问列表介绍 访问列表正如其名所指，本意是允许或拒绝包进入、流出或通过一个路由器。访问列表是一种强有力的工具。它的用途基本分为三类：安全过滤、流量控制、包标识。 访问列表的过滤是从上到下的处理过程。一个包被（允许或拒收）就会执行，否则这个包由这个栈的下一条过滤规则进行匹配处理。如果每个动作规则都没有匹配，则由默认的规则进行匹配处理。 包匹配访问列表的过滤规则的逻辑流图如下图所示。 ( 注： 假设默认的规则是：没有匹配的包都被拒绝。 包匹配访问列表规则的逻辑流图 标准访问列表可以用 1 — 1000 内的任一编号标识，扩展访问列表可以用1001 — 2000内的任一编号标识。 新增的列表规则自动加到列表底部。当需要对一个已存在的访问列表作修改时，这一事实尤为重要。如果要进行增加规则到访问列表的修改，一般情况下需要删除和重建整个访问列表。 编辑标准访问列表 标准访问列表可用于根据包含在IP报头中的源地址来过滤IP通信。 ·定义一个以编号命名的标准访问列表使用access-list的格式，要删除整个列表使用no命令的格式。（在全局配置模式下配置） router(config)#access-list ? 命令 描述 1001_2000 扩展访问列表编号范围 1_1000 标准访问列表编号范围 router(config)#access-list 1 ? 命令 描述 deny 如果条件匹配，就拒绝访问 permit 如果条件匹配，就允许访问 router(config)#access-list 1 deny ? 命令 描述 A.B.C.D 源地址 any 源地址和源地址通配符分别为 55的简写 host 源地址和源地址通配符分别为source 的简写 router(config)#access-list 1 deny A.B.C.D ? 命令 描述 A.B.C.D 应用到源地址的通配符，用点分十进制的形式示。它是网络掩码的反码，比特位置1，表示不关心的位。 router(config)#access-list 1 deny A.B.C.D a.b.c.d ? 命令 描述 log （可选项）使得匹配这条规则的日志信息输出到控制台 定义标准访问列表 ： router(config)#access-list access-list-number ？ 列表编号 对于标准访问列表编号为：1_1000 命令 描述 {deny | permit} source [source-wildcard] [log] source 源地址 source-wildcard 源地址通配符 删除访问列表 ： 命令 描述 router(config)#no access-list list－number 删除访问列表 list-number为被删除的列表的编号 用法举例： 辑扩展访问列表 扩展访问列表可用于根据包含在IP报头中的源和目标地址来过滤IP通信。还能够用于根据包含在IP、UDP、TCP、ICMP和IGMP报头中的字段来过滤通信。 router71(config)#access-list 1001 ? 1001-2000表示为扩展访问列表 命令 描述 deny 如果条件匹配就拒绝访问 permit 如果条件匹配就允许访问 router(config)#access-list 1001 deny ? 命令 描述 0_255 IP各种协议的协议号 icmp Internet差错与控制报文协议(ICMP) igmp Internet群组管理协议(IGMP) ip 所有的Internet协议 tcp 传输控制协议(TCP) udp 用户数据报协议(UDP) 定义一个以编号命名的扩展访问列表使用access-list的扩展格式，要删除整个列表使用no命令的格式。（在全局配置模式下配置） access-list access-list-number {deny | permit} protocol source source-wildcard [operator port [port]] ] destination destination-wildcard [icmp-type] [igmp-type] [operator port [port]] [ack