思科认证考试：由ACL在安全方面的重要

　　谁都知道Cisco由器ACL在Cisco由器的安全策略中具有相当重要的地位，所以掌握这些知识点是每一个网友必备的。其实在很多地方都会涉及到这些内容。访问列表（AccessList）是一个有序的语句集。它是基于将规则与报文进行匹配，用来允许或报文流的排序表。用来允许或报文的标准是基于报文自身包含的信息，通常这些信息只限于第三层和第四层报文头中的包含的信息。当报文到达由器的接口时，由器对报文进行检查，如果报文匹配，则执行该语句中的动作；如果报文不匹配，则检查访问表中的下一个语句。

　　路由器地址进不去直到最后一条结束时仍没有匹配语句，则报文按缺省规则被。正确的使用和配置访问列表是Cisco由器ACL配置中至关重要的一部分。因为，有了它不仅使管理员有强大的控制互联网络流量的能力，而且还可以实现安全策略，也可以设备防止非授权的访问。访问列表基本上是一系列条件，这些条件控制对一个网段的访问也控制来自一个网段的访问。访问列表可以过滤不必要的数据包，并用于实现安全策略。通过恰当的组合访问列表，网络管理员具有了实现任何创造性的访问策略的能力。

　　IP和IPX访问列表工作原理非常相似——它们都是包过滤器，包被比较、被分类并遵照行事。一旦建立了列表，可以在任何接口上应用入站（inbound）或出站（outbound）流量。这里有一些数据包和访问列表相比较时遵循的重要规则：通常是按照顺序比较访问列表的每一行，例如，通常从第一行开始，然后转到第二行，第三行，等等。比较访问列表的各行直到比较到匹配的一行。一旦数据包与访问列表的某一行匹配，它就遵照行事，不再进行后续比较。

　　在每个访问列表的最后有一行隐含式的“deny（）”语句——意味着如果数据包与访问列表中的所有行都不匹配，将被丢弃。当使用访问列表过滤IP和IPX包时，每个规则都有很强的含义。IP和IPX有两种类型访问列表：标准访问列表这种访问列表在过滤网络时只使用IP数据包的源IP地址。这基本上允许或了整个协议组。IPX标准访问列表可以根据源IPX地址和目的IPX地址进行过滤。扩展访问列表这种访问列表检查源IP地址和目的IP地址、网络层报头中的协议字段和传输层报头中的端口号。IPX扩展访问列表使用源IPX地址和目的IPX地址、网络层协议字段和传输层报头中的套接字号。

　　一旦创建了一个访问列表，可应用于输出型或者输入型的接口上：输入型访问列表数据包在被由到输出接口前通过访问列表而被处理。输出型访问列表数据包被由到输出接口，然后通过访问列表而被处理。这里还有一些在Cisco由器ACL上创建和实现访问列表时应当遵循的访问列表指南：每个接口、每个协议或每个方向只可以一个访问列表。这意味着如果创建了IP访问列表，每个接口只能有一个输入型访问列表和一个输出型访问列表。组织好访问列表，要将更特殊的测试放在访问列表的最前面。任何时候访问列表添加新条目的时候，将把新条目放置到列表的末尾。不能从访问列表中删除一行。

　　BT无线网络破程

　　如果试着这样做，将删除整个访问列表。除非在访问列表末尾有permitany命令，否则所有和列表的测试条件都不符合的数据包将被丢弃。每个列表应当至少有一个允许语句，否则可能会关闭接口。先创建访问列表，然后将列表应用到一个接口。任何应用到一个接口的访问列表如果不是现成的访问列表，那么此列表不会过滤流量。

　　访问列表设计为过滤通过由器的流量。不过滤Cisco由器ACL产生的流量。将IP标准访问列表尽可能放置在靠近目的地址的。将IP扩展访问列表尽可能放置在靠近源地址的。标准IP访问列表，表1列出了和标准IP访问列表相关的配置命令，表2列出了相关的EXEC命令。标准IPX访问列表，同标准IP访问列表配置方法类似：