ACL(访问控制列表)一、基本:1、基本ACL表2、扩展ACL表3、基于时间的ACL表4、动态ACL表二、ACL工作过程1、自上而下处理1)、如果有一个匹配的ACL,后面的ACL表不再检查2)、如果所有的ACL都不匹配,禁止所有的操作(隐含)特例,创建一个空的ACL表,然后应用这个空的ACL表,产生禁止所有的操作。3)、后添加的ACL表,放在尾部4)、ALC表放置的原则:如果是基本ACL表,尽量放在目的端,如果是扩展ACL表,尽量放在源端5)、语句的位置:一般具体ACL表放在模糊的ACL表前6)、3P原则:每一个协议每一个接口每一个方向只有一个ACL表。(多个ACL表会引起干扰)7)、应用ACL的方向,入站和出站,应用在接口上三、基本ACL表(不具体)1、定义命令:access-list/span编号permit/denny源IP地址[子网掩码反码]应用命令:ipaccess-group/span编号in/out查看命令:shaccess-lists1)、编号:1-99和1300-19992)、可以控制一台计算机或控制一段网络3)、host:表示一台计算机4)、any:表示任何计算机四、ACL配置步骤:1、定义ACL表2、应用ACL表五、路由器在默认的情况下,对所有数据都是开放,而防火墙在默认情况下,对所有数据都禁止。六:判断是流入还是流出,看路由器的数据流向七:注意:如果在写禁止,小心默认禁止所有1.控制一台计算机(禁止)Access-list1deny172.16.2.100Access-list1permitanyInterfacef0/0Ipaccess-group1out(应用到端口)2、控制一段网络(禁止)Access-list1deny172.16.2.00.0.0.255Access-list1permitanyInterfacef0/0Ipaccess-group1out(应用到端口)3、控制一台计算机(允许)Access-list1permit172.16.1.1004、控制一个网段(允许)Access-list1permit172.16.1.00.0.0.255telnet服务配置:1)、使能密码2)、登录密码控制telnet服务应用端口命令:access-class/span编号in/out实例:只允许172.16.1.100能够使用telnet服务access-list1permit172.16.1.100Linevty04Access-class1in实例: