-访谒列表简介

    访谒列表根基上是一系列对包进行分类的前提。一个最常用和最轻易理解的使用访谒列表的情形是，实现平安策略时过滤不但愿经由过程的包。

    数据包和访谒列表向斗劲时遵循的主要轨则：

    1.凡是是按挨次斗劲访谒列表的每一行。

    2.斗劲访谒列表的各行直到斗劲到匹配的一行。

    3.在每个访谒列表的最后是一行隐含"deny"语句-意味着如不美观数据包与访谒列表中的所有行都不匹配，将被丢弃。

    访谒列表有两种类型：

    1.尺度的访谒列表

    2.扩展的访谒列表

    3.命名的访谒列表（基于尺度和扩展之间的）

    在一个接口的输入标的目的和输出标的目的使用分歧的访谒列表：

    1.输入型访谒列表 党访谒列表被应用刀从接口输入的包时，那些包在被路由到输出接口之前要经由访谒列表的措置。

    2.输出行访谒列表 当访谒列表被应用到从接口输出的包时，那些包首先被路由到输出接口，然后在进入该接口的输入队列之前经由访谒列表的措置。

    尺度的访谒列表

    尺度的IP访谒列表经由过程使用IP包中的源IP地址过滤收集流量。可以使用访谒列表号1-99或130-1999建树尺度的访谒列表。一般用号码区别访谒列表类型。

    通配符

    通配符和访谒列表一升引来指定一个主机、一个收集、一个收集或几个收集内的某个规模。要理解通配符，需要理解什么是块巨细，这里经常指地址规模。一些有用的块巨细是64、32、16、8和4.简单的描述，通配符相当于是子网掩码，不外刚好相反，0暗示绝对匹配，1暗示肆意匹配。

    尺度的访谒列表举例：

    Lab_A#config t

    Lab_A（config）#access-list 10 deny 172.16.40.0 0.0.0.255

    Lab_A（config）#access-list 10 permit any

    这个访谒节制列表的意思是，拒绝所有172.16.40.0这个网段的数据，其他的数据都许可经由过程。

    扩展的访谒节制列表

    扩展的访谒列表许可指定源地址和目的地址，以及暗示上层和谈或应用的和谈和端口号。经由过程使用扩展的IP访谒列表，可以有用地许可用户访谒物理LAN的同时不许可访谒特定的主机或甚至那些主机上的特定处事。

    扩展的访谒列表举例：

    Lab_A#config

    Lab_A（config）#access-list 110 deny tcp any host 172.16.30.5 eq 21

    Lab_A（config）#access-list 110 deny tcp any host 172.16.30.5 eq 23

    Lab_A（config）#access-list 110 permit ip any any

    第一行和第二行意思是，拒绝所有目的地址是172.16.30.5的FTP访谒和Telnet访谒，第三行意思是，许可所有的数据经由过程。