ACL----------两者都可以以描述性名称和数字命名
使用通配符掩码,和子网掩码不同,它的0表示精确匹配,非0则表示不用精确匹配的位,即1表示可0可1,2表示有00,01,10,11四种,配合Ip地址使用
--------有两种配置方法,一般用access-list 1-99|100-199 源地址范围 目的地址范围 端口号
1.标准访问控制列表(在使用时尽量放在靠近目的地址的位置)
只能过滤源地址
2.扩展访问控制列表(应该尽量靠近源地址的位置)
仅允许已建立 TCP 会话进入------------permit tcp any anyestablished
仅允许 ping 应答通过 R2。-----------permit icmp any any echo-reply
对192.168.30.0/24 网络中的后一半 IP 地址有如下限制:
R3(config)#access-list 130 permit ip 192.168.30.128 0.0.0.127 192.168.11.0 0.0.0.255
当出现问号问不出来想要的端口号时,注意自己前面大的协议范围是否正确,比如TFTP协议属于UDP而不是TCP;
除了可以将ACL应用在接口上,还可以将ACL应用在VTY线路上来控制主机对线路的访问,具体命令是在线路模式下:
R2(config-line)#access-class Task-4 in
查看命令:show ipaccess-lists 110
show access-lists 110 (查看其中的匹配条目)
---删掉ACL后并不会将接口上的ACL的应用一块删掉
------为啥做PT实验时后面必须加deny any(不是默认隐含吗?)
来源:CSDN
作者:konna_H
链接:https://blog.csdn.net/konna_H/article/details/78732826