ACL即访问控制列表分为.docVIP

ACL即访问控制列表分为：a、标准ACL （标准IP访问控制列表的访问控制列表号为1~99） b、扩展ACL （扩展ACL的使用列表号为100~199） c、命名ACL （命名ACL不使用列表号，而使用字母和数字组合代替1~199）不同ACL的特点：一、标准ACL：?? a.只检查被路由数据的源地址（列表号为1~99） b.配置在离目的地近的位置 c.配置完后不能单独删除ACL中的某一条二、扩展ACL： a.检查源IP、目标IP、协议和端口号（列表号为100~199） b.配置在离源近的位置 c.配置完后也不能单独删除ACL中的某一条三、命名ACL：a.据有与标准ACL与扩展ACL的特点（a.b b.允许从指定的ACL中删除单个条目配置方法：（1 建立ACL表 （2）应用到相应端口的相应方。（每个端口的每个方向只能应用一张ACL表） （3）把具体的条目放在上面 （4）至少有一条允许语句 注：在配置ACL之前要先配置号接口ip，保证连通性和相同的链路模式。这样才能满足实验的要求！！！！一、标准ACL的配置（实验要求：R1不能telnet到R3）???a、配置访问列表?? R3 config #access-list 1 deny host 192.168.0.3 在控制列表1中添加需要拒绝的用户?? R3 config #access-list 1 permit any 同时在列表1中允许所有的用户?? R3 config #line vty 0 4 R3 config #password admin 配置telnet使用的密码?? R3 config-line #access-class 1 in 把访问控制列表1应用到VTY虚拟终端线路上?? R3 config-line #exit二、扩展ACL的配置（实验要求：R2不能ping通R3）???a、配置访问列表?? R2 config #access-list 101 deny icmp host 192.168.1.2 host 192.168.1.1 echo-reply?? 由于访问控制列表只能过滤流经路由器的流量，而对路由器本身发出的数据包不起作用。所以在此只能拒绝返回的数据包。这样才能实现R2不能ping通R3的要求 R2 config #access-list 101 permit ip any any b、应用到接口的方向?? R2 config #interface s0/0?? R2 config-if #ip access-group 101 in三、命名ACL的配置语法如下：?? Router config #ip access-list standard/extended name 标准??? /?? 扩展 列表名?? Router config- std | ext -nacl # permit | deny source [source-wildcard] | any test?? conditions