创建标准ACL语法如下:Router(config)#access-list 1~99 { permit | deny } 源网段地址或网段(若源地址为主机,则在地址前面需要加“host”;若源地址为网段,则要在网段地址后面加反掩码,如/24的反掩码就是0.0.0.255。
例如:Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255 #表示为允许192.168.1.0/24网段地址的流量通过
Router(config)#access-list 1 permit host 192.168.2.1 #表示为允许主机192.168.2.1的流量通过。
每一个ACL都有一条隐含的拒绝语句,可以拒绝所有流量,所以在做ACL规则时建议以拒绝某个网段或主机的流量通过,然后再允许所有流量通过,如下:
Router(config)#access-list 1 deny host 192.168.1.2 #拒绝192.168.1.2网段的流量通过
Router(config)#access-list 1 permit any #允许所有主机的流量通过
当以上ACL规则应用到接口上时,效果为除了192.168.1.2的流量外都可以通过。
源地址可以用 “any”来表示为所有主机。
删除ACL的规则时,在规则前加“no”即可,如:Router(config)# no access-list 1 #删除表号为1的规则
一个ACL可以配置多条规则,但是一个接口,一个方向只能应用一个ACL。
配置好的ACL规则应用到接口上的语法如下:
Router(config)#int f0/1Router(config-if)# ip access-list 1 in/out #把表号1的规则应用到进站(in)或出站(out)方向
原文:https://blog.51cto.com/14154700/2369595