使用訪問列表管理網(wǎng)絡(luò)

使用訪問列表管理網(wǎng)絡(luò)

本章主要講述使用標(biāo)準(zhǔn)訪問控制列表和擴(kuò)展訪問控制列表控制網(wǎng)絡(luò)流量的方法。本章同時(shí)提供了標(biāo)準(zhǔn)訪問控制列表和擴(kuò)展訪問控制列表以及在路由接口應(yīng)用ACL的例子。要求掌握內(nèi)容：(1)標(biāo)準(zhǔn)ACL和擴(kuò)展ACL；(2)命名ACL；(3)應(yīng)用ACL控制和管理通信流量。使用訪問列表管理網(wǎng)絡(luò)本章主要講述使用標(biāo)準(zhǔn)訪問章節(jié)內(nèi)容1訪問列表簡介2標(biāo)準(zhǔn)的訪問列表3擴(kuò)展的IP訪問列表4命名的訪問列表5應(yīng)用和驗(yàn)證訪問控制列表章節(jié)內(nèi)容1訪問列表簡介是一系列運(yùn)用網(wǎng)絡(luò)地址或者上層協(xié)議上的允許或拒絕指令的集合。10.1訪問列表簡介是一系列運(yùn)用網(wǎng)絡(luò)地址或者上層協(xié)議上的允許或拒絕指令的集合。1訪問控制列表ACL網(wǎng)絡(luò)管理者需要了解怎樣控制非法的網(wǎng)絡(luò)訪問，允許正常的網(wǎng)絡(luò)訪問。ACL具有靈活的基本數(shù)據(jù)流過濾能力和特定的控制能力。例如，網(wǎng)絡(luò)管理者可能允許用戶訪問Internet，而不允許外部的用戶登錄到局域網(wǎng)中。路由器提供了基本的數(shù)據(jù)流過濾能力。如使用訪問控制列表（ACL），可以有條件地阻止Internet數(shù)據(jù)流。ACL，是一系列的允許或拒絕指令的集合，這些指令將運(yùn)用到網(wǎng)絡(luò)地址或者上層協(xié)議上。訪問控制列表ACL網(wǎng)絡(luò)管理者需要了解怎樣控制非法的網(wǎng)絡(luò)訪問，ACL需求 有多種原因需要?jiǎng)?chuàng)建ACL：限制網(wǎng)絡(luò)數(shù)據(jù)流，增加網(wǎng)絡(luò)性能。例如：根據(jù)不同的協(xié)議，ACL可以指定路由器優(yōu)先處理哪些數(shù)據(jù)報(bào)。這叫做隊(duì)列管理，路由器可以不處理不需要的數(shù)據(jù)報(bào)。隊(duì)列管理限制了網(wǎng)絡(luò)數(shù)據(jù)流，減少了網(wǎng)絡(luò)擁塞。提供數(shù)據(jù)流控制。例如：ACL可以限定或者減少路由更新的內(nèi)容。這些限定，可以用于限制關(guān)于某個(gè)特定網(wǎng)絡(luò)的信息傳播到整個(gè)網(wǎng)絡(luò)。ACL需求 有多種原因需要?jiǎng)?chuàng)建ACL：ACL需求 有多種原因需要?jiǎng)?chuàng)建ACL：為網(wǎng)絡(luò)訪問提供基本的安全層。ACL可以允許某個(gè)主機(jī)訪問網(wǎng)絡(luò)的某一部分，而阻止另一臺(tái)主機(jī)訪問網(wǎng)絡(luò)的這個(gè)部分。決定轉(zhuǎn)發(fā)或者阻止哪些類型的數(shù)據(jù)流。例如：可以允許路由email數(shù)據(jù)流，而阻止telnet數(shù)據(jù)流。ACL需求 有多種原因需要?jiǎng)?chuàng)建ACL：ACL的定義訪問控制列表（ACL）是運(yùn)用到路由器接口的指令列表。這些指令告訴路由器接受哪些數(shù)據(jù)報(bào)而拒絕哪些數(shù)據(jù)報(bào)。接受或者拒絕根據(jù)一定的規(guī)則進(jìn)行，如源地址，目標(biāo)地址，端口號(hào)等。ACL使得用戶能夠管理數(shù)據(jù)流，檢測(cè)特定的數(shù)據(jù)報(bào)。路由器將根據(jù)ACL中指定的條件，對(duì)經(jīng)過路由器端口的數(shù)據(jù)報(bào)進(jìn)行檢查。ACL可以基于所有的RoutedProtocols，如IP，IPX，對(duì)經(jīng)過路由器的數(shù)據(jù)報(bào)進(jìn)行過濾。ACL的定義訪問控制列表（ACL）是運(yùn)用到路由器接口的指令列ACL的定義ACL在路由器的端口過濾網(wǎng)絡(luò)數(shù)據(jù)流，決定是否轉(zhuǎn)發(fā)或者阻止數(shù)據(jù)報(bào)。ACL應(yīng)該根據(jù)路由器的端口所允許的每個(gè)協(xié)議來制定。如果需要控制流經(jīng)某個(gè)端口的所有數(shù)據(jù)流，就需要為該端口允許的每一個(gè)協(xié)議分別創(chuàng)建ACL。例如，如果端口配置成允許IP,Appletalk和IPX協(xié)議的數(shù)據(jù)流，那么就需要?jiǎng)?chuàng)建至少三個(gè)ACL。ACL可以用作控制和過濾流經(jīng)路由器端口的數(shù)據(jù)報(bào)的工具。ACL的定義ACL在路由器的端口過濾網(wǎng)絡(luò)數(shù)據(jù)流，決定是否轉(zhuǎn)發(fā)ACL指令A(yù)CL指令的放置順序是很重要的。當(dāng)路由器在決定是否轉(zhuǎn)發(fā)或者阻止數(shù)據(jù)報(bào)的時(shí)候，Cisco的IOS軟件，按照ACL中指令的順序依次檢查數(shù)據(jù)報(bào)是否滿足某一個(gè)指令條件。當(dāng)檢測(cè)到某個(gè)指令條件滿足的時(shí)候，就不會(huì)再檢測(cè)后面的指令條件。在每一個(gè)路由器的端口，可以為每一個(gè)支持的RoutedProtocols創(chuàng)建ACL。對(duì)于某些協(xié)議，可以創(chuàng)建多個(gè)ACL：一個(gè)用于過濾進(jìn)入端口的數(shù)據(jù)流inbound，一個(gè)用于過濾流出端口的數(shù)據(jù)流outbound。ACL指令A(yù)CL指令的放置順序是很重要的。當(dāng)路由器在決定是否InboundorOutboundInboundorOutbound進(jìn)入路由器的Inbound，離開路由器的outboundOutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?Sourceand

DestinationProtocolInboundorOutboundInboundorACL指令一個(gè)ACL就是一組指令，規(guī)定數(shù)據(jù)報(bào)如何：進(jìn)入路由器的某個(gè)端口在路由器內(nèi)的轉(zhuǎn)送離開路由器的某個(gè)端口ACL允許控制哪些客戶端可以訪問的網(wǎng)絡(luò)。在ACL中的條件可以是：篩選某些主機(jī)允許或者禁止訪問的部分網(wǎng)絡(luò)允許或者禁止用戶訪問某一類協(xié)議，如FTP，HTTP等。ACL指令一個(gè)ACL就是一組指令，規(guī)定數(shù)據(jù)報(bào)如何：ACL的工作流程無論是否使用ACL，開始的通信過程是相同的。當(dāng)一個(gè)數(shù)據(jù)報(bào)進(jìn)入一個(gè)端口，路由器檢查這個(gè)數(shù)據(jù)報(bào)是否可路由。如果是可以路由的，路由器檢查這個(gè)端口是否有ACL控制進(jìn)入數(shù)據(jù)報(bào)。如果有，根據(jù)ACL中的條件指令，檢查這個(gè)數(shù)據(jù)報(bào)。如果數(shù)據(jù)報(bào)是被允許的，就查詢路由表，決定數(shù)據(jù)報(bào)的目標(biāo)端口。路由器檢查目標(biāo)端口是否存在ACL控制流出的數(shù)據(jù)報(bào)不存在，這個(gè)數(shù)據(jù)報(bào)就直接發(fā)送到目標(biāo)端口。如果存在，就再根據(jù)ACL進(jìn)行取舍。ACL的工作流程無論是否使用ACL，開始的通信過程是相同的。ACL的工作流程ACL的工作流程ACL的配置創(chuàng)建一個(gè)ACL訪問控制Router(config)#access-listaccess_list_number{permit|deny}{test_conditions}將訪問控制綁定到接口上Router(config-if)#{protocol}access-groupaccess_list_number{in|out}關(guān)閉訪問控制列表Router(config)#noaccess-listaccess_list_numberACL的配置創(chuàng)建一個(gè)ACL訪問控制為每個(gè)ACL分配一個(gè)唯一標(biāo)識(shí) 配置ACL的時(shí)候需要為每一個(gè)協(xié)議的ACL指定一個(gè)唯一的數(shù)字，用以標(biāo)識(shí)這個(gè)ACL。這個(gè)數(shù)字必須在有效范圍之內(nèi)。為一個(gè)ACL指定了數(shù)字后，需要把它關(guān)聯(lián)到一個(gè)端口。假如需要修改，只需要利用命令："noaccess-listlist-number"，就可以刪除這個(gè)ACL的指令。為每個(gè)ACL分配一個(gè)唯一標(biāo)識(shí) 配置ACL的時(shí)候需要為每一個(gè)協(xié)ACL綁定到接口ACL可以指定到一個(gè)或者多個(gè)端口。根據(jù)配置，可以過濾進(jìn)入或流出的數(shù)據(jù)流。對(duì)流出的數(shù)據(jù)流使用ACL更有效，因此也更常使用。如果是針對(duì)進(jìn)入數(shù)據(jù)流的ACL，路由器將檢查每一個(gè)數(shù)據(jù)報(bào)，看是否滿足ACL的條件，然后才將允許的數(shù)據(jù)報(bào)發(fā)送到送出端口。ACL綁定到接口ACL可以指定到一個(gè)或者多個(gè)端口。根據(jù)配置，標(biāo)準(zhǔn)ACL和擴(kuò)展ACL標(biāo)準(zhǔn)ACL檢查源地址可以允許或者拒絕整套協(xié)議棧標(biāo)準(zhǔn)ACL（數(shù)字1到99），可以提供數(shù)據(jù)流過濾控制。它是基于源地址和通配掩碼。標(biāo)準(zhǔn)ACL可以允許或禁止整套IP協(xié)議。擴(kuò)展ACL檢查源地址和目的地址可以允許或者拒絕指定協(xié)議為了更加精確的數(shù)據(jù)流過濾，需要擴(kuò)展ACL。擴(kuò)展ACL檢查源地址和目標(biāo)地址，以及TCP或UDP端口號(hào)。還可以指定擴(kuò)展ACL針對(duì)特定的協(xié)議的進(jìn)行操作。擴(kuò)展ACL使用的數(shù)字范圍是：100-199。標(biāo)準(zhǔn)ACL和擴(kuò)展ACL標(biāo)準(zhǔn)ACL10.2標(biāo)準(zhǔn)的訪問列表如果想允許或者禁止來自于某各個(gè)網(wǎng)絡(luò)的所有數(shù)據(jù)流，或者禁止某一套協(xié)議的數(shù)據(jù)流，可以使用標(biāo)準(zhǔn)ACL。標(biāo)準(zhǔn)ACL檢查數(shù)據(jù)報(bào)的源地址，即根據(jù)地址中的網(wǎng)絡(luò)、子網(wǎng)和主機(jī)位，來允許或者拒絕來自于整套協(xié)議的數(shù)據(jù)報(bào)。例如，來自于E0端口的數(shù)據(jù)報(bào)，將檢查它的源地址和協(xié)議，如果被允許，將輸出到相應(yīng)的端口。如果被禁止，數(shù)據(jù)報(bào)將被丟棄。10.2標(biāo)準(zhǔn)的訪問列表如果想允許或者禁止來自于某各個(gè)網(wǎng)絡(luò)的標(biāo)準(zhǔn)ACL指令使用標(biāo)準(zhǔn)版本的access-list全局配置命令來定義一個(gè)帶有數(shù)字的標(biāo)準(zhǔn)ACL。這個(gè)命令用在全局配置模式下Router(config)#access-listaccess-list-number{deny|permit}source[source-wildcard][log]例如：access-list1permit55使用這個(gè)命令的no形式，可以刪除一個(gè)標(biāo)準(zhǔn)ACL。語法是：Router(config)#noaccess-listaccess-list-number例如：noaccess-list1標(biāo)準(zhǔn)ACL指令使用標(biāo)準(zhǔn)版本的access-list全局配置命標(biāo)準(zhǔn)ACL舉例以下圖的結(jié)構(gòu)為例，介紹標(biāo)準(zhǔn)ACL的使用。實(shí)例1：E0和E1端口只允許來自于網(wǎng)絡(luò)的數(shù)據(jù)報(bào)被轉(zhuǎn)發(fā)，其余的將被阻止。實(shí)例2：E0端口不允許來自于特定地址3的數(shù)據(jù)流，其它的數(shù)據(jù)流將被轉(zhuǎn)發(fā)。實(shí)例3：E0端口不允許來自于特定子網(wǎng)的數(shù)據(jù)，而轉(zhuǎn)發(fā)其它的數(shù)據(jù)。3E0S0E1Non-標(biāo)準(zhǔn)ACL舉例以下圖的結(jié)構(gòu)為例，介紹標(biāo)準(zhǔn)ACL的使用。172實(shí)例1：只允許指定的網(wǎng)絡(luò)數(shù)據(jù)E0和E1端口只允許來自于網(wǎng)絡(luò)的數(shù)據(jù)報(bào)被轉(zhuǎn)發(fā)，其余的將被阻止。第一個(gè)ACL命令用“permit”允許來自于此指定網(wǎng)絡(luò)的數(shù)據(jù)流，通配掩碼55表明要檢查匹配IP地址中的網(wǎng)絡(luò)位（前16位）。最后將ACL關(guān)聯(lián)到端口E0和E1。access-list1permit55(implicitdenyall-notvisibleinthelist)(access-list1deny55)interfaceethernet0ipaccess-group1outinterfaceethernet1ipaccess-group1out實(shí)例1：只允許指定的網(wǎng)絡(luò)數(shù)據(jù)E0和E1端口只允許來自于網(wǎng)絡(luò)1實(shí)例2：禁止來自特定地址的數(shù)據(jù)E0端口不允許來自于特定地址3的數(shù)據(jù)流，其它的數(shù)據(jù)流將被轉(zhuǎn)發(fā)。第一個(gè)ACL命令用“deny”禁止來自于此指定主機(jī)的數(shù)據(jù)流，通配掩碼表明要檢查匹配地址中的所有的位。第二個(gè)ACL命令中，“55”IP地址和通配掩碼組合，表示允許來自于任何源的數(shù)據(jù)流。這個(gè)組合，也可以用關(guān)鍵字“any”替代。最后將ACL關(guān)聯(lián)到端口E0。access-list1deny3access-list1permit55(implicitdenyall)(access-list1deny55)interfaceethernet0ipaccess-group1out實(shí)例2：禁止來自特定地址的數(shù)據(jù)E0端口不允許來自于特定地址1實(shí)例3：禁止來自特定子網(wǎng)的數(shù)據(jù)E0端口不允許來自于特定的子網(wǎng)的數(shù)據(jù)，而轉(zhuǎn)發(fā)其它的數(shù)據(jù)。第一個(gè)ACL命令用“deny”禁止來自子網(wǎng)的數(shù)據(jù)流，通配掩碼55，前三個(gè)字節(jié)表示IP地址中的前三個(gè)字節(jié)將被檢測(cè)。而最后一個(gè)字節(jié)全1，表明將不關(guān)心IP地址的主機(jī)部分。第二個(gè)ACL命令表示在之前沒有匹配的時(shí)候允許任何的源IP地址。最后將ACL關(guān)聯(lián)到端口E0。access-list1deny55access-list1permitany(implicitdenyall)

(access-list1deny55)interfaceethernet0ipaccess-group1out實(shí)例3：禁止來自特定子網(wǎng)的數(shù)據(jù)E0端口不允許來自于特定的子網(wǎng)10.3擴(kuò)展的IP訪問列表擴(kuò)展ACL提供了比標(biāo)準(zhǔn)ACL更大范圍的控制，因而運(yùn)用更廣。例如，可以使用擴(kuò)展ACL來實(shí)現(xiàn)允許Web數(shù)據(jù)流，而禁止FTP或Telnet。擴(kuò)展ACL可以檢查源地址和目標(biāo)地址，特定的協(xié)議，端口號(hào)，以及其它的參數(shù)。一個(gè)數(shù)據(jù)報(bào)，可以根據(jù)它的源或者目標(biāo)地址，而被允許或者禁止。例如，擴(kuò)展ACL可以允許來自于E0而到S0的e-mail數(shù)據(jù)，而禁止遠(yuǎn)程登錄或者文件傳輸。假設(shè)端口E0與一個(gè)擴(kuò)展ACL相關(guān)聯(lián)?？梢允褂镁_的邏輯指令，來創(chuàng)建ACL。在一個(gè)數(shù)據(jù)報(bào)進(jìn)入這個(gè)端口前，相應(yīng)的ACL將對(duì)其進(jìn)行檢查。10.3擴(kuò)展的IP訪問列表擴(kuò)展ACL提供了比標(biāo)準(zhǔn)ACL更大基于擴(kuò)展ACL檢查，數(shù)據(jù)報(bào)將被允許或禁止。對(duì)于進(jìn)入端口的數(shù)據(jù)，允許的數(shù)據(jù)報(bào)將被繼續(xù)處理。對(duì)于發(fā)出端口的數(shù)據(jù)，允許的數(shù)據(jù)報(bào)將被轉(zhuǎn)發(fā)到端口。拒絕的數(shù)據(jù)報(bào)將被丟棄，某些協(xié)議還會(huì)向發(fā)端發(fā)送數(shù)據(jù)報(bào)，說明目標(biāo)不可到達(dá)。一個(gè)ACL中可以包含任意多條指令。每一條指令，應(yīng)該具有相同的標(biāo)識(shí)名或者數(shù)字。ACL中的指令越多，就越難理解和管理。所以，為ACL做好文檔可以防止混淆?；跀U(kuò)展ACL檢查，數(shù)據(jù)報(bào)將被允許或禁止。對(duì)于進(jìn)入端口的數(shù)據(jù)擴(kuò)展ACL擴(kuò)展ACL擴(kuò)展ACL配置完全形式的access-list命令為：Router(config)#access-list

access_list_number

{permit|deny}

protocolsource[source_mask

destination

destination_maskoperatoroperand

[established]

命令"ipaccess-group"將一個(gè)存在的擴(kuò)展ACL和一個(gè)端口關(guān)聯(lián)。記?。阂粋€(gè)端口的一個(gè)方向的某套協(xié)議，只允許存在一個(gè)ACL。Router(config-if)#{protocol}

access-group

access_list_number

{in|out}

擴(kuò)展ACL配置完全形式的access-list命令為：擴(kuò)展ACL舉例以下圖的結(jié)構(gòu)為例，介紹擴(kuò)展ACL的使用。實(shí)例1：在E0端口，禁止轉(zhuǎn)出來自子網(wǎng)的FTP數(shù)據(jù)流到子網(wǎng)，其它的數(shù)據(jù)流將被轉(zhuǎn)發(fā)。實(shí)例2：在E0端口，禁止轉(zhuǎn)出來自子網(wǎng)的Telnet數(shù)據(jù)流，其它的數(shù)據(jù)流將被轉(zhuǎn)發(fā)。3E0S0E1Non-擴(kuò)展ACL舉例以下圖的結(jié)構(gòu)為例，介紹擴(kuò)展ACL的使用。172實(shí)例1：禁止轉(zhuǎn)出FTP數(shù)據(jù)在E0端口，禁止轉(zhuǎn)出來自子網(wǎng)的FTP數(shù)據(jù)流到子網(wǎng)，其它的數(shù)據(jù)流將被轉(zhuǎn)發(fā)。第一個(gè)ACL命令用“deny”禁止來自子網(wǎng)的FTP-DATA（port=20）數(shù)據(jù)流到子網(wǎng)。第二個(gè)ACL命令用“deny”禁止來自子網(wǎng)的FTP（port=21）數(shù)據(jù)流到子網(wǎng)。第三個(gè)ACL命令表示允許任何的數(shù)據(jù)流。最后將此ACL101關(guān)聯(lián)到端口E0。access-list101denytcp5555eq21access-list101denytcp5555eq20access-list101permitipanyany(implicitdenyall)(access-list101denyip5555)interfaceethernet0ipaccess-group101out實(shí)例1：禁止轉(zhuǎn)出FTP數(shù)據(jù)在E0端口，禁止轉(zhuǎn)出來自172.1實(shí)例2：禁止轉(zhuǎn)出Telnet數(shù)據(jù)在E0端口，禁止轉(zhuǎn)出來自子網(wǎng)的Telnet數(shù)據(jù)流，其它的數(shù)據(jù)流將被轉(zhuǎn)發(fā)。第一個(gè)ACL命令用“deny”禁止來自子網(wǎng)的Telnet(port=23)數(shù)據(jù)流。第二個(gè)ACL命令表示允許任何的數(shù)據(jù)流。最后將此ACL101關(guān)聯(lián)到端口E0。access-list101denytcp55anyeq23access-list101permitipanyany(implicitdenyall)interfaceethernet0ipaccess-group101out實(shí)例2：禁止轉(zhuǎn)出Telnet數(shù)據(jù)在E0端口，禁止轉(zhuǎn)出來自1通配掩碼通配掩碼（wildcardmask）是分成4字節(jié)的32bit數(shù)。通配掩碼與IP地址位位配對(duì)，相應(yīng)位為0/1，用于表示如何對(duì)待IP地址中的相應(yīng)位。通配掩碼某位是0，表示檢查相應(yīng)bit位的值；通配掩碼某位是1，表示不檢查(忽略)相應(yīng)位的值。ACL使用通配掩碼來控制一個(gè)或者多個(gè)需要進(jìn)行"允許"或者"禁止"檢查的IP地址。盡管都是32位，通配掩碼與子網(wǎng)掩碼不同。在子網(wǎng)掩碼中，0/1決定了相應(yīng)主機(jī)IP地址是網(wǎng)絡(luò)位、子網(wǎng)位還是主機(jī)位。在通配掩碼中，0/1決定ACL是否檢查或者忽略IP地址中的相應(yīng)位。通配掩碼通配掩碼（wildcardmask）是分成4字節(jié)的通配掩碼的工作原理通配掩碼的工作原理通配掩碼舉例假設(shè)一個(gè)B類地址，有8位的子網(wǎng)地址。想使用通配掩碼，允許所有來自于網(wǎng)絡(luò)～網(wǎng)絡(luò)的數(shù)據(jù)報(bào)訪問。通配掩碼舉例假設(shè)一個(gè)B類地址，有8位的子網(wǎng)地址。想使用通配掩通配掩碼舉例假設(shè)一個(gè)B類地址，有8位的子網(wǎng)地址。想使用通配掩碼，允許所有來自于網(wǎng)絡(luò)～網(wǎng)絡(luò)的數(shù)據(jù)報(bào)訪問。首先，檢查前面兩個(gè)字節(jié)(171.30)，通配掩碼中的前兩個(gè)字節(jié)位全為0。由于沒有興趣檢查主機(jī)地址，通配掩碼的最后一個(gè)字節(jié)位全為1。通配掩碼的第三個(gè)字節(jié)應(yīng)該是15(00001111)。與之相應(yīng)的通配掩碼是55，將匹配子網(wǎng)到的IP地址。通配掩碼舉例假設(shè)一個(gè)B類地址，有8位的子網(wǎng)地址。想使用通配掩通配掩碼舉例IP地址的第三個(gè)字節(jié)為16(00010000)。通配掩碼中的前四位為0，告訴路由器要匹配IP地址的前四位(0001)。由于最后的四位被忽略，則所有的在范圍16(00010000)到31(00011111)的都將被允許，相應(yīng)的通配掩碼位是1。Network.host172.30.16.0

00010000Wildcardmask: 00001111 |<----match---->|<-----don’tcare----->|

00010000 = 16

00010001 = 17

00010010 = 18 : :

00011111 = 31通配掩碼舉例IP地址的第三個(gè)字節(jié)為16(00010000)any命令使用二進(jìn)制通配掩碼很不方便，某些通配掩碼可以使用縮寫形式替代。這些縮寫形式，減少了在配置地址檢查條件時(shí)候的鍵入量。假如想允許任何目標(biāo)地址都被允許，為了檢查任何地址，需要輸入。要使ACL忽略任意值，通配掩碼為：55?？梢允褂每s寫形式，來指定相同的測(cè)試條件。Router(config)#access-list1permit55等價(jià)于Router(config)#access-list1permitanyany命令使用二進(jìn)制通配掩碼很不方便，某些通配掩碼可以使用縮host命令當(dāng)想匹配IP地址中所有的位時(shí)，Cisco

IOS允許使用另一個(gè)ACL通配掩碼的縮寫。假如希望一個(gè)特定的IP地址，在ACL的檢查中獲得允許。為了指明這個(gè)主機(jī)地址，將輸入整個(gè)地址（如9）。然后，為了指明ACL將檢查地址中的所有的位，相應(yīng)的通配掩碼的各位將設(shè)置成0（即）?？梢允褂每s寫形式來完成這個(gè)任務(wù)。Router(config)#access-list1permit9等價(jià)于Router(config)#access-list1permithost9host命令當(dāng)想匹配IP地址中所有的位時(shí)，CiscoIany和host命令any和host命令驗(yàn)證ACL使用showinterface可以顯示在某個(gè)接口上綁定了那些ACL使用showrunning-config顯示ACL詳細(xì)信息和綁定位置使用showaccess-list顯示所有的ACL列表內(nèi)容驗(yàn)證ACL使用showinterface10.4命名的訪問列表可以使用字符串代替數(shù)字，來標(biāo)識(shí)ACL，稱為命名ACL。使用具名ACL，可以在不刪除整個(gè)ACL的情況下修改它。具名ACL用于以下一些情況：想用字符串直觀標(biāo)識(shí)一個(gè)ACL。在路由器上，對(duì)于給定的協(xié)議，需要配置超出了99個(gè)標(biāo)準(zhǔn)ACL或者100個(gè)擴(kuò)展ACL。在使用具名ACL的時(shí)候，需要考慮到以下的因素：有名ACL與CiscoIOS11.2之前的版本不兼容。不能為多個(gè)ACL使用相同的名字。不同類型的ACL不能使用相同的名字。例如，不能使用同一個(gè)名字來命名一個(gè)標(biāo)準(zhǔn)ACL和一個(gè)擴(kuò)展ACL。10.4命名的訪問列表可以使用字符串代替數(shù)字，來標(biāo)識(shí)ACL可以使用下面的命令為一個(gè)ACL命名：在ACL配置模式中，可以指定一個(gè)或者多個(gè)允許或者禁止條件。命令如下：將NamedACL關(guān)聯(lián)到某個(gè)端口。Router(config)#ipaccess-list{standard|extended}nameRouter(config{std-|ext-}nacl)#{permit|deny}{ipaccesslisttestconditions}…no{permit|deny}{ipaccesslisttestconditions}Router(config-if)#ipaccess-groupname{in|out}可以使用下面的命令為一個(gè)ACL命名：Router(confi實(shí)例為一個(gè)名為Internetfilter的標(biāo)準(zhǔn)ACL設(shè)定條件。（所有其他的條件隱含禁止。）ipaccess-liststandardInternetfilterdeny55permit55permit55permit和deny指令沒有數(shù)字，"no"表示刪除某個(gè)測(cè)試條件。Router(config{std-|ext-}nacl)#{permit|deny}{ipACLtestconditions}no{permit|deny}{ipACLtextconditions}實(shí)例為一個(gè)名為Internetfilter的標(biāo)準(zhǔn)ACL設(shè)定條標(biāo)識(shí)ACL使用“deny”為一個(gè)有名ACL設(shè)定條件。deny{source[source-wildcard]|any}使用這個(gè)命令的no形式取消設(shè)定的deny條件。nodeny{source[source-wildcard]|any}標(biāo)識(shí)ACL使用“deny”為一個(gè)有名ACL設(shè)定條件。標(biāo)識(shí)ACL使用“permit”為有名標(biāo)準(zhǔn)ACL設(shè)定條件。

permit{source[source-wildcard]|any}[log]使用這個(gè)命令的no形式取消設(shè)定的條件。：

nopermit{source[source-wildcard]|any}在access-list配置模式使用下這個(gè)命令，需要在ipaccess-list命令之后，定義數(shù)據(jù)報(bào)經(jīng)過ACL的條件。標(biāo)識(shí)ACL使用“permit”為有名標(biāo)準(zhǔn)ACL設(shè)定條件。10.5應(yīng)用和驗(yàn)證訪問控制列表ACL可以控制路由器支持的絕大部分協(xié)議。在全局ACL配置的時(shí)候，可以輸入一個(gè)代表協(xié)議的數(shù)字，作為它的第一個(gè)參數(shù)。根據(jù)這個(gè)數(shù)字，路由器會(huì)識(shí)別使用哪一個(gè)ACL軟件。對(duì)于某個(gè)協(xié)議，可能有多個(gè)ACL對(duì)于一個(gè)新的ACL，可以選擇不同的數(shù)字，只要其在協(xié)議數(shù)字范圍之內(nèi)。但是，一個(gè)端口的一個(gè)協(xié)議，只能夠指定一個(gè)ACL。對(duì)于某些協(xié)議，一個(gè)端口可以指定兩個(gè)ACL：一個(gè)負(fù)責(zé)收到的數(shù)據(jù)，一個(gè)負(fù)責(zé)發(fā)出的數(shù)據(jù)。而某些協(xié)議，需要把這兩個(gè)ACL組合成一個(gè)負(fù)責(zé)進(jìn)出該端口的數(shù)據(jù)10.5應(yīng)用和驗(yàn)證訪問控制列表ACL可以控制路由器支持的絕假如ACL負(fù)責(zé)控制接收的數(shù)據(jù)，當(dāng)路由器接收到數(shù)據(jù)報(bào)，將檢查是否滿足ACL的條件。假如這個(gè)數(shù)據(jù)報(bào)被允許，路由器繼續(xù)處理這個(gè)數(shù)據(jù)報(bào)。如果被拒絕，該數(shù)據(jù)報(bào)將被丟棄。如果ACL是負(fù)責(zé)控制發(fā)出的數(shù)據(jù)，當(dāng)接收到一個(gè)數(shù)據(jù)報(bào)，并發(fā)送到了發(fā)出端口，路由器將檢查ACL的條件是否滿足。假如數(shù)據(jù)報(bào)被允許，則傳送這個(gè)數(shù)據(jù)報(bào)，如果數(shù)據(jù)報(bào)被拒絕，將丟棄這個(gè)數(shù)據(jù)報(bào)。假如ACL