1.标准的access-list(编号1-99)
#access-list 编号 策略 源地址
eg:(拒绝单一主机)
#access-list 1 deny host 10.1.1.1
#access-list 1 permit any
#int f0/0 //此为在路由器操作,如在交换机则用:no swithport
#ip access-group 1 in
eg:(拒绝网段主机)
#access-list 2 deny 10.0.0.0 0.255.255.255(通配符掩码)
#access-list 2 permit any
说明:access-list 按照从上而下定义的策略依次执行
通配符掩码: 1对应位表示不坚持 0对应位表示严格匹配
2.扩展的访问控制列表(编号100-199)
#access-list 编号 策略 协议 源地址 目的地址 端口(或者名称,www,smtp)
eg:(拒绝1.1telnet路由器)
#access-list 100 deny tcp host 10.1.1.1 host 10.1.1.1 eq 23
#access-list 100 permit ip any any
3.控制telnet
#access-list 12 permit host 10.1.1.1
#access-list 12 deny any
#line vty 0 4
#access-class 12 in
4.基于命名的访问控制
对于基于编号的访问控制来说,策略是追加在末尾的,往往需要修改策略就要删除全部列表
#no access-list 1 这样一个列表就需要重新配置,很麻烦。
对于基于命名的访问控制,可以单独针对需要删除的策略进行删除
#ip access-list extended spunix
#deny tcp host 10.1.1.1 host 10.1.1.254 eq 23
#permit ip any any
#int f0/0
#ip access-group spunix in
