誰都知道Cisco 路由器ACL在Cisco 路由器的安全策略中具有相當(dāng)重要的地位，所以掌握這些知識點(diǎn)是每一個網(wǎng)友必備的。其實(shí)在很多地方都會涉及到這些內(nèi)容。訪問列表（Access List）是一個有序的語句集。它是基于將規(guī)則與報文進(jìn)行匹配，用來允許或拒絕報文流的排序表。用來允許或拒絕報文的標(biāo)準(zhǔn)是基于報文自身包含的信息，通常這些信息只限于第三層和第四層報文頭中的包含的信息。當(dāng)報文到達(dá)路由器的接口時，路由器對報文進(jìn)行檢查，如果報文匹配，則執(zhí)行該語句中的動作；如果報文不匹配，則檢查訪問表中的下一個語句。

直到***一條結(jié)束時仍沒有匹配語句，則報文按缺省規(guī)則被拒絕。正確的使用和配置訪問列表是Cisco 路由器ACL配置中至關(guān)重要的一部分。因?yàn)?，有了它不僅使管理員有強(qiáng)大的控制互聯(lián)網(wǎng)絡(luò)流量的能力，而且還可以實(shí)現(xiàn)安全策略，也可以保護(hù)敏感設(shè)備防止非授權(quán)的訪問。訪問列表基本上是一系列條件，這些條件控制對一個網(wǎng)段的訪問也控制來自一個網(wǎng)段的訪問。訪問列表可以過濾不必要的數(shù)據(jù)包，并用于實(shí)現(xiàn)安全策略。通過恰當(dāng)?shù)慕M合訪問列表，網(wǎng)絡(luò)管理員具有了實(shí)現(xiàn)任何創(chuàng)造性的訪問策略的能力。

IP和IPX訪問列表工作原理非常相似——它們都是包過濾器，包被比較、被分類并遵照規(guī)定行事。一旦建立了列表，可以在任何接口上應(yīng)用入站（inbound）或出站（outbound）流量。這里有一些數(shù)據(jù)包和訪問列表相比較時遵循的重要規(guī)則：通常是按照順序比較訪問列表的每一行，例如，通常從***行開始，然后轉(zhuǎn)到第二行，第三行，等等。比較訪問列表的各行直到比較到匹配的一行。一旦數(shù)據(jù)包與訪問列表的某一行匹配，它就遵照規(guī)定行事，不再進(jìn)行后續(xù)比較。

在每個訪問列表的***有一行隱含式的“deny（拒絕）”語句——意味著如果數(shù)據(jù)包與訪問列表中的所有行都不匹配，將被丟棄。當(dāng)使用訪問列表過濾IP和IPX包時，每個規(guī)則都有很強(qiáng)的含義。IP和IPX有兩種類型訪問列表：標(biāo)準(zhǔn)訪問列表 這種訪問列表在過濾網(wǎng)絡(luò)時只使用IP數(shù)據(jù)包的源IP地址。這基本上允許或拒絕了整個協(xié)議組。IPX標(biāo)準(zhǔn)訪問列表可以根據(jù)源IPX地址和目的IPX地址進(jìn)行過濾。擴(kuò)展訪問列表 這種訪問列表檢查源IP地址和目的IP地址、網(wǎng)絡(luò)層報頭中的協(xié)議字段和傳輸層報頭中的端口號。IPX擴(kuò)展訪問列表使用源IPX地址和目的IPX地址、網(wǎng)絡(luò)層協(xié)議字段和傳輸層報頭中的套接字號。

一旦創(chuàng)建了一個訪問列表，可應(yīng)用于輸出型或者輸入型的接口上：輸入型訪問列表 數(shù)據(jù)包在被路由到輸出接口前通過訪問列表而被處理。輸出型訪問列表 數(shù)據(jù)包被路由到輸出接口，然后通過訪問列表而被處理。這里還有一些在Cisco 路由器ACL上創(chuàng)建和實(shí)現(xiàn)訪問列表時應(yīng)當(dāng)遵循的訪問列表指南：每個接口、每個協(xié)議或每個方向只可以分派一個訪問列表。這意味著如果創(chuàng)建了IP訪問列表，每個接口只能有一個輸入型訪問列表和一個輸出型訪問列表。組織好訪問列表，要將更特殊的測試放在訪問列表的最前面。任何時候訪問列表添加新條目的時候，將把新條目放置到列表的末尾。不能從訪問列表中刪除一行。

如果試著這樣做，將刪除整個訪問列表。除非在訪問列表末尾有permitany命令，否則所有和列表的測試條件都不符合的數(shù)據(jù)包將被丟棄。每個列表應(yīng)當(dāng)至少有一個允許語句，否則可能會關(guān)閉接口。先創(chuàng)建訪問列表，然后將列表應(yīng)用到一個接口。任何應(yīng)用到一個接口的訪問列表如果不是現(xiàn)成的訪問列表，那么此列表不會過濾流量。

訪問列表設(shè)計為過濾通過路由器的流量。不過濾Cisco 路由器ACL產(chǎn)生的流量。將IP標(biāo)準(zhǔn)訪問列表盡可能放置在靠近目的地址的位置。將IP擴(kuò)展訪問列表盡可能放置在靠近源地址的位置。標(biāo)準(zhǔn)IP訪問列表，表1列出了和標(biāo)準(zhǔn)IP訪問列表相關(guān)的配置命令，表2列出了相關(guān)的EXEC命令。標(biāo)準(zhǔn)IPX訪問列表，同標(biāo)準(zhǔn)IP訪問列表配置方法類似：

access-list{numer} {permit | deny} {source_address} {destination_address}
ipx access-group {number|name}{in| out}

擴(kuò)展IPX訪問列表，擴(kuò)展IPX訪問列表可以根據(jù)下列任何內(nèi)容進(jìn)行過濾：源網(wǎng)絡(luò)/節(jié)點(diǎn)地址，目的網(wǎng)絡(luò)/節(jié)點(diǎn)地址IPX協(xié)議（SAP、SPX,等等），IPX套接字，同標(biāo)準(zhǔn)訪問列表的配置方法一致，只是增加了協(xié)議和套接字信息：access-list{numer} {permit | deny} {protocol} {source} {socket}{destination } {socket}，（由于IPX不是我們介紹的重點(diǎn)，所以只是稍微介紹J）值得注意的是訪問列表的號碼，下面是一個可以用于過濾網(wǎng)絡(luò)的訪問列表舉例。訪問列表可以使用的不同協(xié)議依賴于IOS版本。下面是Cisco 路由器ACL的具體碼子！

Router(config)#access-list?
<1-99> IPstandard access list
<100-199>IP extended access list
<1000-1099>IPX SAP access list
<1100-1199>Extended 48-bit MAC address access list
<1200-1299>IPX summary address access list
<200-299>Protocol type-code accesslist

<300-399>DECnet access list
<400-499>XNS standard access list
<500-599>XNS extended access list
<600-699>Appletalk access list
<700-799>48-bit MAC address accesslist
<800-899>IPX standard access list
<900-999>IPX extended access list