思科Cisco路由器access-list访问控制列表命令详解.docx

思科Cisco路由器access-list访问控制列表命令详解Post by mrchen, 2010-07-25, Views: 原创文章如转载，请注明：转载自冠威博客 [ / ] 本文链接地址：/post/Cisconetwork/07/Cisco-access-list.html?CISCO路由器中的access-list（访问列表）最基本的有两种，分别是标准访问列表和扩展访问列表，二者的区别主要是前者是基于目标地址的数据包过滤，而后者是基于目标地址、源地址和网络协议及其端口的数据包过滤。标准型IP访问列表的格式 　　---- 标准型IP访问列表的格式如下： ---- access-list[list number][permit|deny][source address][address][wildcard mask][log] ---- 下面解释一下标准型IP访问列表的关键字和参数。首先，在access和list这2个关键字之间必须有一个连字符-；一、list nubmer参数list number的范围在0～99之间，这表明该access-list语句是一个普通的标准型IP访问列表语句。因为对于Cisco IOS，在0～99之间的数字指示出该访问列表和IP协议有关，所以list number参数具有双重功能:（1）定义访问列表的操作协议; （2）通知IOS在处理access-list语句时，把相同的list number参数作为同一实体对待。正如本文在后面所讨论的，扩展型IP访问列表也是通过list number（范围是100～199之间的数字）而表现其特点的。因此，当运用访问列表时，还需要补充如下重要的规则: 在需要创建访问列表的时候，需要选择适当的list number参数。 二、permit|deny允许/拒绝数据包通过?　---- 在标准型IP访问列表中，使用permit语句可以使得和访问列表项目匹配的数据包通过接口，而deny语句可以在接口过滤掉和访问列表项目匹配的数据包。三、[source address][address][wildcard mask]代表主机的IP地址，利用不同掩码的组合可以指定主机。 指定网络地址为了更好地了解IP地址和通配符掩码的作用，这里举一个例子。假设您的公司有一个分支机构，其IP地址为C类的。在您的公司，每个分支机构都需要通过总部的路由器访问Internet。要实现这点，您就可以使用一个通配符掩码 55。因为C类IP地址的最后一组数字代表主机，把它们都置1即允许总部访问网络上的每一台主机。因此，您的标准型IP访问列表中的access-list语句如下： ----access-list 1 permit 55 ---- 注意，通配符掩码是子网掩码的补充。因此，如果您是网络高手，您可以先确定子网掩码，然后把它转换成可应用的通配符掩码。这里，又可以补充一条访问列表的规则。指定主机地址如果您想要指定一个特定的主机，可以增加一个通配符掩码。例如，为了让来自IP地址为的数据包通过，可以使用下列语句： ---- Access-list 1 permit ---- 在Cisco的访问列表中，用户除了使用上述的通配符掩码来指定特定的主机外，还可以使用host这一关键字。例如，为了让来自IP地址为的数据包通过，您可以使用下列语句： ---- Access-list 1 permit host ---- 除了可以利用关键字host来代表通配符掩码外，关键字any可以作为源地址的缩写，并代表通配符掩码 55。例如，如果希望拒绝来自IP地址为的站点的数据包，可以在访问列表中增加以下语句： ---- Access-list 1 deny host ---- Access-list 1 permit any ---- 注意上述2条访问列表语句的次序。第1条语句把来自源地址为的数据包过滤掉，第2条语句则允许来自任何源地址的数据包通过访问列表作用的接口。如果改变上述语句的次序，那么访问列表将不能够阻止来自源地址为的数据包通过接口。因为访问列表是按从上到下的次序执行语句的。这样，如果第1条语句是: ---- Access-list 1 permit any ---- 那么来自任何源地址的数据包都会通过接口。 拒绝的奥秘　　 ---- 在默认情况下，除非明确规定允许通过，访问列表总是阻止或拒绝一切数据包的通过，即实际上在每个访问列表的最后，都隐含有一条deny any的语句。假设我们使用了前面创建的标准IP访问列表，从路由器的角度来看，这条语句的实际内容如下： 　　---- access-list 1 deny host ---- access-list 1 permit any ---- acces