配置标准 ACL

要在思科路由器上使用标准编号 ACL,您必须先创建标准 ACL,然后在接口上激活 ACL。

access-list 全局配置命令使用 1 到 99 范围内的一个数字定义标准 ACL。 Cisco IOS 软件 12.0.1 版扩展了这些编号,允许将 1300 到 1999 之间的数字用于标准 ACL。 这最多可能产生 798 个标准 ACL。 这些附加的编号称为扩充 IP ACL。

标准 ACL 命令的完整语法如下:

Router(config)# access-list access-list-number { deny | permit | remark } source [ source-wildcard ][ log ]

图 1 详细介绍了标准 ACL 的语法。

ACE 可用于拒绝或允许单个主机或一组主机地址。 要在编号 ACL 10 中创建一条 host 语句以允许 IP 地址为 192.168.10.0 的特定主机,您应该输入:

R1(config)# access-list 10 permit host 192.168.10.10

如图 2 所示,要在允许 192.168.10.0/24 中所有 IPv4 地址的编号 ACL 10 中创建一条允许一组 IPv4 地址的语句,您应该输入:

R1(config)# access-list 10 permit 192.168.10.0 0.0.0.255

要删除 ACL,使用全局配置命令 no access-list。 发出 show access-list 命令确认访问列表 10 已删除。

通常,当管理员创建 ACL 时,已经知道并理解每条语句的用途。 但是,为了确保管理员和其他人能够回想起语句的用途,还应当包含注释。 remark 关键字用于记录信息,使访问列表更易于理解。 每条注释限制在 100 个字符以内。 图 3 中的 ACL 相当简单,此处我们只是用它来展示 remark 的用法。 当使用 show running-config 命令查看配置中的 ACL 时,注释也会显示。