CCNA学习基础：DynamicACL的应用

在CCNA和NP，我们了解了ACL，这是思科为网络访问提供的一种安全手段，是运行在思科IOS上的一个程序。传统ACL分为三类:标准ACL/扩展ACL/命名ACL。以下是对它们的简要回顾:

Cisco路由器可以使用两种方法识别访问列表:

访问列表编号——访问列表的编号决定了它要过滤的协议:

——(1-99)和(1300-1399)——标准IP访问列表

——(100-199)和(2000-2699)——扩展IP访问列表

访问列表名称(IOS版本gt 11.2)

名称包含字母数字字符

名称不能包含空格或标点，必须以字母字符开头

名称访问列表可以包含数字和字母，但不能包含空和标点符号，第一个字符是字母。

Cisco路由器支持两种基本类型IP访问列表:

——标准——仅根据源地址过滤IP数据包。

标准访问列表过滤源IP地址。

——扩展——基于几个属性过滤IP数据包，包括:

——协议类型。

——源和目的IP地址

——源和目的TCP/UDP端口

——ICMP和IGMP报文类型。

扩展访问列表根据以下几个属性过滤数据包:

类型、源和目的的IP地址、源和目的的四层端口号、ICMP或IGMP的报文类型。

1.标准ACL格式:访问列表列表号拒绝或允许源IP地址源IP掩码

访问列表2许可证1.1.1.0 0.0.0.255

如果它是一个名为ACL的标准，它会被写成:

(配置)#ip访问列表标准名称

(配置标准氯化钠)#拒绝1.1.1.0 0.0.0.255

二。扩展ACL格式:访问列表列表号拒绝或允许协议{源IP源通配符掩码|any|host}源端口号{目标IP目标通配符掩码|any|host}目标端口号[established] [log| log-input]

访问列表101允许TCP 1 . 1 . 1 . 0 0 . 0 . 0 . 255 53 2 . 2 . 2 . 0 0 . 0 . 0 . 255 gt 1023

如果是扩展的命名ACL，其编写方式与标准相同，但在定义访问策略时略有不同。

标记访问列表，看到ACL就一目了然了。

备注消息

示例:router (config) # access-list100备注到http-server的流量

路由器(配置)#访问列表100允许ip任意1.1.1.1 0 . 0 . 0 . 255 eq 80

以上只是ACL的编写，都是在全局配置模式下进行的，但访问列表只是一个规则，需要“人”来执行。那么遗嘱执行人是谁呢？它是流量流动的接口。再严密的访问列表编辑，再强的逻辑性，再高的安全性，如果不应用到界面上，一切都是徒劳！

界面上的应用:

R(config)#int fa0/0

r(config-if)# IP access-group 100 in/out或ip access-group cisco in/out

以上是标准和命名的访问表在接口上的应用方式。方向很重要，进和出完全是两码事！

1.标准访问列表通常放在离目标最近的地方；

2.扩展访问列表通常放在离源最近的地方。