訪問列表簡介

訪問列表基本上是一系列對包進行分類的條件。一個最常用和最容易理解的使用訪問列表的情況是，實現安全策略時過濾不希望通過的包。

數據包和訪問列表向比較時遵循的重要規則：

1.通常是按順序比較訪問列表的每一行。

2.比較訪問列表的各行直到比較到匹配的一行。

3.在每個訪問列表的最后是一行隱含“deny”語句-意味著如果數據包與訪問列表中的所有行都不匹配，將被丟棄。

訪問列表有兩種類型：

1.標準的訪問列表

2.擴展的訪問列表

3.命名的訪問列表（基于標準和擴展之間的）

在一個接口的輸入方向和輸出方向使用不同的訪問列表：

1.輸入型訪問列表 黨訪問列表被應用刀從接口輸入的包時，那些包在被路由到輸出接口之前要經過訪問列表的處理。

2.輸出行訪問列表 當訪問列表被應用到從接口輸出的包時，那些包首先被路由到輸出接口，然后在進入該接口的輸入隊列之前經過訪問列表的處理。

標準的訪問列表

標準的IP訪問列表通過使用IP包中的源IP地址過濾網絡流量。可以使用訪問列表號1-99或130-1999創建標準的訪問列表。一般用號碼區別訪問列表類型。

通配符

通配符和訪問列表一起用來指定一個主機、一個網絡、一個網絡或幾個網絡內的某個范圍。要理解通配符，需要理解什么是塊大小，這里常常指地址范圍。一些有效的塊大小是64、32、16、8和4。簡單的描述，通配符相當于是子網掩碼，不過剛好相反，0表示絕對匹配，1表示任意匹配。

標準的訪問列表舉例：

Lab_A#config t  

Lab_A(config)#access-list 10 deny 172.16.40.0 0.0.0.255   

Lab_A(config)#access-list 10 permit any 

這個訪問控制列表的意思是，拒絕所有172.16.40.0這個網段的數據，其他的數據都允許通過。

擴展的訪問控制列表

擴展的訪問列表允許指定源地址和目的地址，以及表示上層協議或應用的協議和端口號。通過使用擴展的IP訪問列表，可以有效地允許用戶訪問物理LAN的同時不允許訪問特定的主機或甚至那些主機上的特定服務。

擴展的訪問列表舉例：

Lab_A#config   

Lab_A(config)#access-list 110 deny tcp any host 172.16.30.5 eq 21  

Lab_A(config)#access-list 110 deny tcp any host 172.16.30.5 eq 23  

Lab_A(config)#access-list 110 permit ip any any 

第一行和第二行意思是，拒絕所有目的地址是172.16.30.5的FTP訪問和Telnet訪問，第三行意思是，允許所有的數據通過。

原文鏈接：http://network.51cto.com/art/201106/266618.htm