[互联网]IP访问控制列表.pptVIP

一般思科的虚拟接口上挂控制访问列表方向均为in 涉及到控制目的地址或接口时候，我们使用扩展控制访问列表。 规定地址范围，作为其他控制的目标地址 基本控制访问列表只看源地址 扩展控制访问聊表，检查源地址、目的地址、协议和端口。 控制访问列表有方向限制 接口处进入数据包，检查路由表，检查控制访问列表，丢弃或者放行。 控制访问列表有检查顺序，从第一条开始检测，禁止则检测下一条，允许则直接放行，默认最后一条是拒绝所有，也就是说如果之前都没被放行，则直接丢弃。 1-99为基础控制访问列表。 100-199是扩展访问列表。 部分新增控制访问列表为设备内建，只供特殊协议使用。 通配符，0为敏感，1为忽略。 如果只对~54这一段地址感兴趣，那么掩通配符的值应该为多少？ 1+2+4+8=15 即为55 其作用，类似于掩码的 标准控制访问列表中默认的通配符是，也就是主机地址。 No ip acc 101 in S0口禁止所有/16的IP段通信 这里只禁止1台主机对外通信，使用通配符为 如果只禁止1台主机，那么这个控制访问列表的下面还应该新增一条per any any 因为所有的控制访问列表最下端默认有一条拒绝所有的语句。 在接口上挂接控制访问列表，注意挂接方向。 此例子是禁止一个网段的通信。 挂接到接口上。 虚拟通道挂控制访问列表，和接口一样，但是仅控制登录设备。 接口为line vty 0 4 access-list access-list-number {permit|deny} source [mask] Router(config)# 为访问列表设置参数 IP 标准访问列表编号 1 到 99 缺省的通配符掩码 = “no access-list access-list-number” 命令删除访问列表 access-list access-list-number {permit|deny} source [mask] Router(config)# 在端口上应用访问列表 指明是进方向还是出方向 缺省 = 出方向 “no ip access-group access-list-number” 命令在端口上删除访问列表 Router(config-if)# ip access-group access-list-number { in | out } 为访问列表设置参数 IP 标准访问列表编号 1 到 99 缺省的通配符掩码 = “no access-list access-list-number” 命令删除访问列表 3 E0 S0 E1 Non- access-list 1 permit 55 (implicit deny all - not visible in the list) (access-list 1 deny 55) Permit my network only access-list 1 permit 55 (implicit deny all - not visible in the list) (access-list 1 deny 55) interface ethernet 0 ip access-group 1 out interface ethernet 1 ip access-group 1 out 3 E0 S0 E1 Non- Deny a specific host 3 E0 S0 E1 Non- access-list 1 deny 3 3 E0 S0 E1 Non- Deny a specific host access-list 1 deny 3 access-list 1 permit 55 (implicit deny all) (access-list 1 deny 55) access-list 1 deny 3 access-list 1 permit 55 (implicit deny all) (access-list 1 deny 55) interface ethernet 0 ip access-group 1 out 3 E0 S0 E1 Non- Deny a specific host Deny a specific subnet 3 E0 S0 E1 Non- access-list 1 deny 55 access-list 1 permit any (implicit deny all)(acce