上次說到ACL列表一些概念性的問題，這次聊聊應(yīng)用吧，來點干的。 ACL列表大方面分 1 標(biāo)準(zhǔn)IP訪問列表 2 擴(kuò)展IP訪問列表 3? 調(diào)用訪問列表 4 自反訪問列表 5 可供選擇的關(guān)鍵字 6 命名訪問列表等，這些應(yīng)該說是比較常用的了。 標(biāo)準(zhǔn)IP訪問列表，實際應(yīng)用應(yīng)該不是很多，編號是1-99，當(dāng)然還有1300-1999，哪個公司用到那么多列表，1-99足夠用。再多了，路由器估計該dang了。標(biāo)準(zhǔn)列表只檢查源IP地址 列表如下： access-list 1 permit 172.23.30.6 0.0.0.0=host access-list 1?deny 172.23.30.6 0.0.0.255 access-list 1 permit 0.0.0.0 255.255.255.255=any 第一條是允許這臺主機(jī)的數(shù)據(jù)包通過，這個反掩碼沒有意義第二條是允許30這個子網(wǎng)的所有主機(jī)通過，這個反掩碼就起到了作用，最后一行表示any，允許所有通過。當(dāng)然最后還有一條隱藏的就是deny所有（重點）。標(biāo)準(zhǔn)的列表，不能刪除列表中某一條，如果刪除的時候，會將所有條目都刪了，如果一下子寫很多，不小心全刪了，那就白瞎了，注意！當(dāng)然如果你是標(biāo)準(zhǔn)的、命名列表就可以刪除某一條。 擴(kuò)展IP訪問列表是用到的很頻繁的。他要檢查的內(nèi)容很多，如源地址、目標(biāo)地址、源端口號、目的端口還有協(xié)議。范圍100-199。 列表如下： access-list 101 permit ip 172.22.30.6 0.0.0.0 10.0.0.0 0.255.255.255 time-range moring 我們理解這行，源IP地址172.22.30.6到目的網(wǎng)絡(luò)10.0.0.0 的數(shù)據(jù)包可以通過，這行定義了時間范圍，在其他時間這個訪問列表是沒有被激活的，沒有激活的的訪問列表，會把訪問的主機(jī)忽略掉。 access-list 101 permit ip 172.22.30.0 0.0.0.255 10.12.13.0 0.0.0.255 這行表示源IP為30這個子網(wǎng)的主機(jī)能夠訪問10.12.13.0/24這個網(wǎng)段的主機(jī)，當(dāng)然如果反掩碼變換一下，如0.0.0.63? 0.0.0.7等需要計算一下IP，有個好方法共享一下，172.16.20.0 0.0.0.63用0+63的結(jié)果就是總的IP數(shù)。待續(xù)。

轉(zhuǎn)載于:https://blog.51cto.com/koy24/136283

總結(jié)

以上是生活随笔為你收集整理的ACL列表续的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。