访问控制列表有两种,第一种是标准访问控制列表,第二章是扩展访问列表。
标准访问控制列表的格式:
Router(config)# access-list access-list-number [permit | deny ] [sourceaddress][wildcard-mask]access-list-number 为1-99 或者 1300-1999之间的数字,这个是访问列表号。
具体的配置实例:
注意事项:
1、标准访问控制列表一般来说配置尽量靠近目的端。
2、配置的第二条命令中的any相当于 0.0.0.0 255.255.255.255
3、一定要加pemint any,使其他的网络可通。
4、访问列表是从上到下一条一条进行匹配的,所以在设置访问列表的时候要注意顺序。如果从第一条匹配到最后一条还是不知道要怎么做,路由器就会丢弃这个数据包,也就是为什么注意三上一定要加permit any。
5、如果只阻止一个主机,那可以用 host 192.168.1.12 或者 192.168.1.12 0.0.0.0,这两种配置是等价的。
R1(config)#access-list 10 deny 192.168.1.0 0.0.0.255上面配置的含义是阻止来自网段192.168.1.0的机器从int s0/0/0端口出去,访问列表在配置好之后,要把它在端口上应用,否则配置了还是无效的。
R1(config)#access-list 10 permit any
R1(config)#int s0/0/0
R1(config-if)#ip access-list 10 out
注意事项:
1、标准访问控制列表一般来说配置尽量靠近目的端。
2、配置的第二条命令中的any相当于 0.0.0.0 255.255.255.255
3、一定要加pemint any,使其他的网络可通。
4、访问列表是从上到下一条一条进行匹配的,所以在设置访问列表的时候要注意顺序。如果从第一条匹配到最后一条还是不知道要怎么做,路由器就会丢弃这个数据包,也就是为什么注意三上一定要加permit any。
5、如果只阻止一个主机,那可以用 host 192.168.1.12 或者 192.168.1.12 0.0.0.0,这两种配置是等价的。