如何使用CiscoIOSAccessLists（上）

欢迎进入网络技术社区论坛，与200万技术人员互动交流 >>进入 从上自下处理（Top down Processing） 访问列表的行是从上往下处理的，根据他们输入顺序进行排序。当网络数据包和该正在处理的访问列表中某条语句匹配，则该包的所有处理会停止，不继续进行向下匹

欢迎进入网络技术社区论坛，与200万技术人员互动交流 >>进入

从上自下处理（Top down Processing） 访问列表的行是从上往下处理的，根据他们输入顺序进行排序。当网络数据包和该正在处理的访问列表中某条语句匹配，则该包的所有处理会停止，不继续进行向下匹配。让我们看一个例子。加入有这个访问列表：

假设这个访问列表被用来过滤绑定到路由器的流量。如果一个源IP地址为1.1.1.1的数据包进来，该包会被访问列表允许还是拒绝呢？因为访问列表是从上往下处理，该流量将被拒绝，即使它被下面的一条语句所允许。这是因为，当流量被拒绝后，访问控制列表对该包的处理将会停止。这里你需要知道的是语句的顺序是至关重要的，如果您正在使用访问列表过滤流量，那么你应该在最接近流量源的地方组织该流量，以节省广域网带宽。

访问控制列表和流量过滤的3个P 当过滤流量时，访问列表的规则是"three Pers".规则是这样的："你可以在每个协议，每个方向，每个接口配置访问控制列表".所以，你可以为每个协议（IP, IPX, Appletalk, bridging等）配置访问列表。你可以在每个方向，IN或OUT方向设置访问列表。你可以在每个接口（FastEthernet0/0, Serial0/0, Serial1/0）配置访问控制列表。换句话说，你不能在同一接口上有两个绑定的IP访问列表。

通配符掩码（wildcard mask） 一个非常重要的事情是，在指定范围内的网络，或整个网络上的主机，配置ACL需要一些所谓的通配符掩码（wildcard mask）。通配符掩码是一个倒置的子网掩码。换句话说，网络的子网掩码（或范围）的主机，把它转换成二进制，翻转0和1,并转化为十进制。我不会在这篇文章解释如何进行计算，你可以在在线IP地址和子网掩码计算器计算你需要的通配符掩码。下面是一些例子：子网掩码255.255.255.0 =通配符掩码0.0.0.255;子网掩码为255.0.0.0 = 0.255.255.255通配符掩码；子网掩码255.255.0.0 = 0.0.255.255通配符掩码

隐含拒绝（Implied Deny） 关于访问列表的另一个非常重要的规则是，每个ACL总有一个"默示拒绝".这意味着每一个访问列表，在它结束所有规则前有一个隐含的规则：?access-list X deny ANY（如果这是一个标准的访问列表）或？access-list X ip deny ANY ANY（如果这是一个扩展访问列表），这样，如果你的流量是没有在ACL中的语句中明确允许，那么你的流量被拒绝。如果您手动键入"deny any"规则，它会出现，但如果你不键入它，它仍然存在。下面是一个例子：通过此ACL允许的流量是什么？

答案是所有流量都不被这个访问控制列表所允许，因为唯一的规则是拒绝规则，而且最后存在隐含拒绝所有的规则。

总结 在刚开始了解ACL是如何工作的会存在一些困惑，但是我希望这篇文章能作为一篇对ACL的入门介绍。但实际应用中，Cisco IOS access-lists是每个网络工程师必须掌握的基础技能！在如何使用Cisco IOS Access Lists（下），会着重介绍如何创建和应用ACL.

[1] [2]