1、访问控制列表的作用。 作用就是过滤实现安全性具网络可有管理性 一、过滤，经过路由器的数据包 二、控制增长的网络IP数据 2、访问控制列表的分类及其特性。 一、标准列表 只基于ip协议来工作，只能针对数据包种的源地址来做审核，由于无法确定具体的目的，所以在使用的过程中，应靠近目的地址，接口应为距目的地址最近的接口，方向为out。 访问控制别表具有方向性，是以路由器做参照物，来定义out或者in out：是在路由器处理完以后，才匹配的条目 in：一进入路由器就匹配，匹配后在路由。 编号范围为：1-99 二、扩展列表 可以很据数据包中的源ip地址和目的ip地址及相应的应用协议来工作，在工作的过程中常用在距源或组源最近的路由器上， 接口为距源最近的接口，方向为in，可以审核三层和四层的信息。 编号范围：100-199 如何判断应使用哪种类型的访问控制列表 标准：针对目的，允许或拒绝特定的源时，使用标准的（当目的唯一，具有多个源访问时。） 扩展：针对源地址，允许或拒绝源去往特定的目的。或者在涉及四层信息的审核时通常都会采用扩展列表。（当源确定下来，具有单个源可有多个目的地址时。） 编号的作用： a,标识表的类型 b,列表的名字 1.访问列表最后一条都隐含拒绝所有，使用拒绝列表时，必须有条允许语句。 2.访问列表按顺序自上而下逐条匹配，当匹配后立即执行，不会继续匹配。 3.具有严格限制的条目应该放在列表前。 4.删除列表不能有选择删除，若noaccess-listX的一个条目，则这个列表被删除。 5.当别表没有被应用时,则是个无效的别表,不会影响到数据的审核. 6.在书写列表的过程中,应先编辑列表,再应用到相应的接口或者策略上. 7.当列表过滤掉一个数据包时，会返回给源一个不可达的icmp包，然后丢掉或过滤掉包 8.访问列表在应用中，标准的应靠近目的，而扩展则靠近源或组源。 9.当路由器调用了一个没有条目的列表，则执行列表隐含条目，denyany（拒绝所有） 10.在某个接口，某个方向上只能调用一个列表。 11.访问控制列表不能过滤自身产生的数据。 书写列表的步骤： 1.选择要应用的列表类型 2.选择要书写的路由器并书写列表 3.选择路由器的接口来调用列表实现过滤 4.选择应用列表的方向 标准访问控制列表的配置 1.回顾标准列表的特性 2.标准列表的配置语法（通配符） 配置的过程中，熟记配置规则 1.标准列表：只基于ip协议工作，控制数据包的源地址 应用过程中：距目的地址近的路由器和接口 2.配置列表的步骤 1）选择列表的类型 2）选择路由器（是要在哪个上路由器上配置列表） 3.）选择要应用的接口（在哪个接口上调用） 4）判断列表的方向性（in和out：相对路由器） 3.标准列表的配置语法 1）在全局模式下，书写规则 access-list列表编号permit/deny源网络地址源地址的通配符 列表的编号：1-99和1300-1999 通配符：零所对应的位即为精确匹配位。通常所讲的反子掩码 255.255.255.0==通配符=0.0.0.255 255.255.255.255 -正掩码 ——————————— 反子网掩码 2）调用列表 控制数据包经过接口时过滤 在接口模式下 ipaccess-group列表编号方向 主机ip0.0.0.0=host主机ip 0.0.0.0255.255.255.255=any 实例：允许1.0允许3。2 1.拒绝1.0拒绝3.2 access-list1deny192.168.1.00.0.0.255 access-list1deny192.168.3.20.0.0.0 2.拒绝1.0允许1.2 1.可以审核数据包的源地址和目的地址及协议(端口) 2.编号范围为100-199. 3.针对源地址，允许源去往特定的目的，或去特定的目的做什么。 4.应用过程中，应靠近源或组源，方向为in 扩展列表的配置语法 第一，定义列表 access-list列表编号permit/deny大协议源地址源的通配符目的地址目的通配符eq小协议或端口 列表编号：100-199 大协议：ip/tcp/udp/icmp/其他的路由协议 当:只针对源地址和目的地址来做策略时，大协议通常ip。 当：涉及到具体做什么的时候，才会选择其他协议。 eq：是等于的意思 小协议和端口：指的是一些应用协议，属于应用层，或者是传输层的端口，通常1-1024端口会对应一个具体应用协议 例如：http80ftp=20,21