訪問列表簡介

訪問列表基本上是一系列對包進行分類的條件。一個最常用和最容易理解的使用訪問列表的情況是，實現(xiàn)安全策略時過濾不希望通過的包。

數(shù)據(jù)包和訪問列表向比較時遵循的重要規(guī)則：

1.通常是按順序比較訪問列表的每一行。

2.比較訪問列表的各行直到比較到匹配的一行。

3.在每個訪問列表的***是一行隱含“deny”語句-意味著如果數(shù)據(jù)包與訪問列表中的所有行都不匹配，將被丟棄。

訪問列表有兩種類型：

1.標準的訪問列表

2.擴展的訪問列表

3.命名的訪問列表（基于標準和擴展之間的）

在一個接口的輸入方向和輸出方向使用不同的訪問列表：

1.輸入型訪問列表 黨訪問列表被應(yīng)用刀從接口輸入的包時，那些包在被路由到輸出接口之前要經(jīng)過訪問列表的處理。

2.輸出行訪問列表 當(dāng)訪問列表被應(yīng)用到從接口輸出的包時，那些包首先被路由到輸出接口，然后在進入該接口的輸入隊列之前經(jīng)過訪問列表的處理。

標準的訪問列表

標準的IP訪問列表通過使用IP包中的源IP地址過濾網(wǎng)絡(luò)流量。可以使用訪問列表號1-99或130-1999創(chuàng)建標準的訪問列表。一般用號碼區(qū)別訪問列表類型。

通配符

通配符和訪問列表一起用來指定一個主機、一個網(wǎng)絡(luò)、一個網(wǎng)絡(luò)或幾個網(wǎng)絡(luò)內(nèi)的某個范圍。要理解通配符，需要理解什么是塊大小，這里常常指地址范圍。一些有效的塊大小是64、32、16、8和4。簡單的描述，通配符相當(dāng)于是子網(wǎng)掩碼，不過剛好相反，0表示絕對匹配，1表示任意匹配。

標準的訪問列表舉例：

Lab_A#config t  
 
Lab_A(config)#access-list 10 deny 172.16.40.0 0.0.0.255  
 
Lab_A(config)#access-list 10 permit any 

這個訪問控制列表的意思是，拒絕所有172.16.40.0這個網(wǎng)段的數(shù)據(jù)，其他的數(shù)據(jù)都允許通過。

擴展的訪問控制列表

擴展的訪問列表允許指定源地址和目的地址，以及表示上層協(xié)議或應(yīng)用的協(xié)議和端口號。通過使用擴展的IP訪問列表，可以有效地允許用戶訪問物理LAN的同時不允許訪問特定的主機或甚至那些主機上的特定服務(wù)。

擴展的訪問列表舉例：

Lab_A#config  
 
Lab_A(config)#access-list 110 deny tcp any host 172.16.30.5 eq 21  
 
Lab_A(config)#access-list 110 deny tcp any host 172.16.30.5 eq 23  
 
Lab_A(config)#access-list 110 permit ip any any 

***行和第二行意思是，拒絕所有目的地址是172.16.30.5的FTP訪問和Telnet訪問，第三行意思是，允許所有的數(shù)據(jù)通過。

【編輯推薦】

1. 思科基礎(chǔ)知識：第二層交換（1）
2. 思科基礎(chǔ)知識：EIGRP（增強IGRP）
3. 思科基礎(chǔ)知識：管理Cisco互聯(lián)網(wǎng)絡(luò)（1）
4. 思科基礎(chǔ)知識：虛擬局域網(wǎng)（VLAN）（1）
5. 思科基礎(chǔ)知識：OSPF（開放最短路徑優(yōu)先）