|
|
(1)标准访问控制列表。只对数据包中的源地址进行检查,而不考虑目的地址及端口号等过滤选项,表号为1~99。
|
|
|
(2)扩展访问控制列表。既检查包的源地址,也检查包的目的地址,还可以检查特殊的协议类型、端口以及其他参数,具有更大的自由度,表号为100~199。
|
|
|
|
|
|
|
②在接口配置模式下,使用access-group命令将ACL应用到某一接口上:
|
|
|
|
其中,in和out参数可以控制接口中不同方向的数据包,如果不配置该参数,默认为out。
|
|
|
|
.通配符掩码。在创建访问控制列表,表示一定范围的IP地址时,不使用子网掩码而使用通配符掩码。通配符掩码可用255.255.255.255减去子网掩码求出。
|
|
|
.在通配符掩码中,可以用255.255.255.255表示所有IP地址,也可以用any来取代。而0.0.0.0的通配符掩码则表示所有32位都要进行匹配,这样只表示一个IP地址,可以用host来表示。
|
|
|
|
|
参数说明:access-list-number是定义访问列表的编号,取值范围为1~99;deny或permit指定了允许还是拒绝数据包;source是发送数据包的主机地址;source-wildcard是发送数据包的主机的通配符掩码。
|
|
|
|
|
|
.access-list-number:定义访问列表的编号,取值范围为100~199。
|
|
|
.deny或permit:指定了允许还是拒绝数据包。
|
|
|
.protocol:协议,如IP、TCP、UPD、ICMP、OSPF等。
|
|
|
.source、destination、destination-wildcard:源地址和目标地址。
|
|
|
|
.protocol-specific options:指定协议选项,用lt、eq、gt、neq(小于、等于、大于、不等于)加端口号来指定,如eq 80。
|
|
|