一、ACL的分类

1. 标准访问列表
   只能基于源IP地址来进行分类
   可以使用列表号：1-99、1300-1999
2. 扩展访问列表
   可以根据源IP地址、目的IP地址、源端口号、目的端口号，协议来进行分类
   可以使用列表号：100-199、2000-2699
3. 命名的访问列表
   只是将标准访问列表或扩展访问列表取个名字
   优点：可以对访问列表进行增加、删除操作。

二、语法规则

1. 从上往下查找匹配
2. 默认deny any
3. 至少有一句permit
4. 精确的放最上面
5. 3P原则：一个port、一个方向、一个协议，只能用一个ACL
6. 入站ACL是首选的（节约资源）
7. 能过滤过路的数据，不能过滤自己产生的
8. 标准ACL-离目标越近越好
9. 扩展ACL-离源越近越好

三、标准ACL配置

router(config)#access-list 10 permit 172.16.0.0 0.0.255.255

router(config)#access-list 20 deny 192.168.1.0 0.0.0.255
router(config)#access-list 20 permit any

router(config)#access-list 30 deny host 192.168.1.1

int f0/0
ip access-group 20 out

四、扩展ACL配置

router(config)#access-list 100 permit ip 172.16.0.0 0.0.255.255 192.168.1.0 0.0.0.255

router(config)#access-list 110 deny tcp 172.16.0.0 0.0.255.255 host 192.168.1.1 eq telnet

router(config)#permit ip any any
int f0/0
ip access-group 100 in

五、命名ACL配置

ip access-list standard/extended ccna
deny host 192.168.1.1
permit any
int f0/0
ip access-group ccna out

六、应用举例

1.只允许管理员通过VTY线路telnet路由器

R1(config)#access-list 1 permit 192.168.1.1
R1(config)#line vty 0 4
R1(config-line)#access-class 1 in

2.单向ping:PC无法ping路由器，路由器可ping PC，telnet能通

access-list 100 deny icmp host 192.168.1.1 host 192.168.1.254 echo
access-list 100 permit ip any any
int f0/0
ip access-group 100 in 

七、查看

show ip access-list 
show ip interface

除非注明，肉饼博客文章均为原创，转载请以链接形式标明本文地址 　　
本文地址：http://roubin.me/post/acl-basic/