项目五 配置访问控制列表(ACL)V1.0(8)

四．标准访问列表

访问控制列表ACL分很多种，不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表，标准访问控制列表是通过使用IP包中的源IP地址进行过滤，使用的访问控制列表号1到99来创建相应的ACL

1．标准访问控制列表的格式

标准访问控制列表是最简单的ACL。

它的具体格式如下：

access-list ACL号 permit | deny {test-condition}

如：

access-list 10 deny 192.168.1.0 0.0.0.255 // 将所有来自192.168.1.0网段的数据包丢弃

access-list 10 deny host 192.168.1.1 // 将所有来自192.168.1.1地址的数据包丢弃

access-list 10 permit any

{test-condition}中有三种情况：

（1） 网段地址 反掩码

（2） host ip地址

（3） any ，表示任何ip地址

对于标准访问控制列表来说，默认的命令是HOST，也就是说access-list 10 deny 192.168.1.1表示的是拒绝192.168.1.1这台主机数据包通讯，可以省去我们输入host命令。

注意，一旦添加了访问控制列表，最后默认为deny any，所以，一般，在ACL最后要加上permit any规则。

2．将访问控制列表应用到某一接口上

例如：

int e1 // 进入E1端口。

ip access-group 10 in // 将ACL 1宣告

标准ACL占用路由器资源很少，是一种最基本最简单的访问控制列表格式。应用比较广泛，经常在要求控制级别较低的情况下使用。如果要更加复杂的控制数据包的传输就需要使用扩展访问控制列表了，他可以满足我们到端口级的要求。