ACL访问控制列表

ACL的使用
ACL的处理过程： 

1、语句排序
    一旦某条语句匹配，后续语句不再处理。 

2、隐含拒绝
    如果所有语句执行完毕没有匹配条目默认丢弃数据包
要点：
ACL 能执行两个操作：允许或拒绝。语句自上而下执行。一旦发现匹配，后续语句就不再进行处理---因此先后顺序很重要。如果没有找到匹配，ACL末尾不可见的 隐含拒绝语句将丢弃分组。一个ACL应该至少有一条permit语句；否则所有流量都会丢弃，因为每个ACL末尾都有隐藏的隐含拒绝语句。 
如果在语句结尾增加 deny any的话可以看到拒绝记录 
Cisco ACL有两种类型一种是标准另一种是扩展，使用方式习惯不同也有两种方式一种是编号方式，另一种是命名方式。 
示例： 编号方式
标准的ACL使用 1 ~ 99 以及1300~1999之间的数字作为表号，扩展的ACL使用 100 ~ 199以及2000~2699之间的数字作为表号
一、 标准（标准ACL可以阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如IP）的所有通信流量。）

允 许172.17.31.222通过，其他主机禁止 Cisco-3750(config)#access-list 1（策略编号）（1-99、 1300-1999） permit host 172.17.31.222 禁止172.17.31.222通过,其他主机允许

Cisco-3750(config)#access-list 1 deny host 172.17.31.222

Cisco-3750(config)#access-list 1 permit any

允许172.17.31.0/24通过,其他主机禁止
Cisco- 3750(config)#access-list 1 permit 172.17.31.0 0.0.0.254（反码 255.255.255.255减去子网掩码，如172.17.31.0/24的255.255.255.255— 255.255.255.0=0.0.0.255）

禁止172.17.31.0/24通过,其他主机允许
Cisco-3750(config)#access-list 1 deny 172.17.31.0 0.0.0.254

Cisco-3750(config)#access-list 1 permit any

命名方式 

一、 标准
建立标准ACL命名为test、允许172.17.31.222通过，禁止172.17.31.223通过，其他主机禁止
Cisco-3750(config)#ip access-list standard test

Cisco-3750(config-std-nacl)#permit host 172.17.31.222

Cisco-3750(config-std-nacl)#deny host 172.17.31.223
建立标准ACL命名为test、禁止172.17.31.223通过，允许其他所有主机。 

Cisco-3750(config)#ip access-list standard test

Cisco-3750(config-std-nacl)#deny host 172.17.31.223

Cisco-3750(config-std-nacl)#permit any
二、扩展
建立扩展ACL命名为test1，允许172.17.31.222访问所有主机80端口，其他所有主机禁止 Cisco-3750(config)#ip access-list extended test1

Cisco-3750(config-ext-nacl)#permit tcp host 172.17.31.222 any eq www
建立扩展ACL命名为test1，禁止所有主机访问172.17.31.222主机telnet（23）端口，但允许访问其他端口
Cisco-3750(config)#ip access-list extended test1

Cisco-3750(config-ext-nacl)#deny tcp any host 172.17.31.222 eq 23

Cisco-3750(config-ext-nacl)#permit tcp any any

接口应用（入方向）（所有ACL只有应用到接口上才能起作用） 

Cisco-3750(config)#int g1/0/1

Cisco-3750(config-if)#ip access-group test in（出方向out）