思科ACL的分类（标准、扩展）

思科ACL的分类（标准、扩展）

访问列表的分类：
1、标准访问列表
   只能基于源IP地址来进行分类
   可以使用列表号：1-99、1300-1999
   标准的访问列表通常要求放置在靠近目标的地方

access-list 101 permit ip host 192.168.1.80 host 192.168.2.11
access-list 101 permit ip host 192.168.1.80 host 192.168.2.12
access-list 101 permit ip host 192.168.1.80 host 192.168.2.13
access-list 101 deny   ip host 192.168.1.80 any
access-list 101 permit ip any any
在所需要的接口上应用：
interface GigabitEthernet0/0
 ip access-group 101 in

也可以在vlan接口直接应用：

interface Vlan15
 ip access-group 101 in

2、扩展访问列表
   可以根据源IP地址、目的IP地址、源端口号、目的端口号，协议来进行分类
   可以使用列表号：100-199、2000-2699
   扩展访问列表通常要求放置在靠近源的地方
3、命名的访问列表
   只是将标准访问列表或扩展访问列表取个名字
   优点：可以对访问列表进行增加、删除操作。

创建扩展ACL配置方法
命令：
IP  access-list    {standard/extended}  access-list-number
Standard：标准模式
/extended：扩展模式
access-number：名称

如：
ip access-list extended jtt
Permit IP  any any
 int     f0/0
 ip      access-group    101      in

访问列表的比较规则：
1、如果一个访问列表有多行语句，通常按顺序从第一条开始比较，然后再往下一条条比较。
2、一个数据包如果与访问列表的一行匹配，则按规定进行操作，不再进行后续的比较。
3、在每个访问列表的最后一行是隐含的deny any语句--意味着如果数据包与所有行都不配的话，将被丢弃。
 
访问列表的配置规则：
1、你在访问列表中可以写多条比较语句，它们是按你输入的顺序来进行放置的。
2、在标准访问列表扩展访问列表中，你不能单独删除其中的一行，只能删除整个列表。
3、每个列表应当至少有一个permit语句，否则将拒绝所有流量。
4、访问列表可以用在接口的出方向，也可以用在入方向，但是要注意，在一个接口在一个方向上只能有一个访问列表。
5、访问列表可以过滤通过路由器的流量，对自已产生的流量不起作用。
6、将标准访问列表要尽可能放置在靠近目的地址的地方
7、将扩展访问列表要尽量放置在靠近源地址的地方
 
ACL的运算符：
1、eq   等于
2、neq   不等于
3、gt   大于
4、lt   小于
5、range   范围
 
重点：ACL本身只是一个用来匹配的工具，它具体是过滤数据包还是路由，是由调用它的工具来决定的。
 
调用ACL对流量做过滤的工具：ip access-group ， access-class
调用ACL对路由做过滤的工具：distribute-list ，offset-list
                          

ACL（列表、list、全）acllist
http://www.zh-cjh.com/wenzhangguilei/1514.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html