cisco 的ACL

搞网络好几年了，怎么说呢，水平一直停留在NA-NP之间，系统的学完NA后，做了不少实验，后来也维护了企业的网络，各种网络设备都玩过（在商汤用的Juniper srx 550 我认为在企业环境，非IDC里算是比较高端的了，那个时候学Juniper怎么配，怎么搞vpn..怎么做流量过滤....cisco的三层3750，二层2960，华为的路由，H3C的，还有锐捷的都整了），也去过没落的500强做过KDDI做过项目。怎么说了，网络，在台湾叫网路，很形象。所以学完NA之后，觉得一个搞计算机的不应该把精力放在这上面。后来找工作发现，其实从事网络方面的工作大部分的最后是资深的CCNP ， 比较高端的最好是资深的CCIE,再好一点是多个方向的CCIE，比如安全。

好了，虽然网工在计算机行业里工资是比较低的，但怎么说呢，既然搞了，就要把他搞精吧，随着SDN的最近几年的应用，虽然不温不火，不知道以后网络技术这块会怎么发展。

今天先来总结下cisco的ACL吧。

Access Control List :访问控制列表

1-99  IP standard access list  //ip 标准访问控制列表 EX 1300-1999

100-199 IP extend access list //IP扩展访问控制列表 EX 2000-2699

200-299 Protocol type-code access list   协议类型访问控制列表。

自定义ACL,也叫命名ACL,用字母，数字，字符串标识标准和扩展acl

标准，扩展，自定义

标准

　　 -检查源地址

　　-通常允许、拒绝的是完整的协议

*扩展

　　-检查源地址和目的地址

　　-通常允许、拒绝的是某个特定的协议

*进方向和出方向

　　-出方向   先查路由表，如果有去往目的网段的路由，就转到出接口，如果出接口调用了访问控制列表ACL，那么就看是否和ACL的访问控制列表匹配，是允许permit还是拒绝deny，如果是允许，就根据路由表转发数据，如果是拒绝就直接将数据包丢弃了。

　　-入方向   当入接口收到数据包的时候，先跟入接口的ACL访问控制列表进行匹配，如果允许则查看路由表从而进行转发，如果拒绝则直接丢弃。

　　而在这个deny的机制中，有一条隐藏的deny所有报文的语句。

　　也就是说，当接收到的数据包和前面所有的访问控制列表ACL都不匹配的时候，则就会触发这条隐藏的命令

标准访问控制列表可以用来匹配：

1用来匹配源地址和目标地址

2用来匹配远程登录

标准访问控制列表建议配在接近于目标的位置，因为如果配置在接近于源的目标的位置，那么发出来的报文就会立刻被deny掉了，而且数据包不仅发送不到目标位置，甚至连接近于源的目标位置以外的其他的路由器也发送不到了，都不可以访问了。所以标准访问控制列表一定要放在接近于目标的位置。

配置概要： 允许|拒绝 原地址 反掩码

access-list 1 deny  192.168.5.0 0.0.0.255

access-list 1 permit 0.0.0.0 255.255.255.255 (也可以用any)

挂载到接口上

interface f0/1

ipaccess-group 1 in

查看acl

show access-lists

删除访问控制列表

no access-list 1