标准访问列表--检查源地址，通常允许、拒绝的是完整的协议

扩展访问列表--检查源地址和目的地址、具体的TCP/IP协议和目的端口，通常允许、拒绝的是某个特定的协议

IP访问列表类型

标准 1-99扩展 100-199

每个端口每个方向只能对应一条访问列表

访问列表的内容决定了数据的检测顺序具有严格限制条件的语句应放在访问列表所有语句的最上面在访问列表的最后有一条隐含声明：deny any每一条正确的访问列表都至少应该有一条允许语句访问列表不能过滤由路由器自己产生的数据

将扩展访问列表放置在离源设备较近的位置

将标准访问列表放置在离目的设备较近的位置

通配符：规定了当一个IP地址与其他IP地址进行比较时，该IP地址中哪些位应该被忽略

  0表示检查与之对应的地址的值

  1表示忽略与之对应的地址的值通配符掩码指明特定的主机--10.0.0.1 0.0.0.0 检查所有地址位，即指定主机10.0.0.1，可简写为host 10.0.0.1通配符掩码指明所有主机--0.0.0.0 255.255.255.255 忽略所有地址位，即表示所有主机，可简写为any通配符掩码和子网的对应--192.168.1.33 0.0.0.31 忽略子网主机位，即表示该子网所有主机

设置访问列表语句：access-list [access-list-number] [permit/deny] [test conditions]

在端口上应用访问列表：[protocol] access-group [access-list-number] [in/out]

配置标准访问列表：

access-list [1-99] [permit/any] [source] {mask}  //缺省的通配符掩码是0.0.0.0，删除：no access-list [1-99](删除整条列表，扩展同）ip access-group [1-99] [in/out]    //默认是出方向，删除：no access-group [1-99]

配置扩展访问控制列表：

access-list [100-199] [permit/deny] [protocol] [source source-wildcard] [destination destination-wildcard] [operator port]ip access-group [100-199] [in/out]

配置名称访问列表：

ip access-list [standard/extended] [name]   //所使用的名称必须一致（可删除控制列表中单条明细）    [permit/deny] [test conditions]ip access-group [name] [in/out]

用访问列表控制虚拟通道

line vty 0 4      access-class [access-list-number] [in/out]  在访问列表里指明方向     // out指telnet进来的用户受本设备的虚拟通道管理

 

 

查看方式：

show access-lists [access-list-number]show [protocol] access-list [access-list-number] 

 

 

欢迎来群一起交流：166684620