访问列表的配置原则

小乔

思科知识点汇总贴
http://bbs.hh010.com/thread-529979-1-1.html
(出处: 鸿鹄论坛)


访问列表的配置原则
1.每个接口、每个协议、每个方向只允许配置一个访问列表。这意味着如果创建了IP访问列表，每个接口只能有一个入口访问列表和一个出口访问列表。
2.组织好访问列表，要将更严格的测试陈述放在访问列表的最前面。
3.任何时候访问列表添加新条目时，路由器将把新添加的条目放置在列表的最末尾。强烈推荐用文本编辑器先编辑好访问列表然后再复制访问列表到命令行。
4.不能从访问列表中删除一行。如果试着这样做，将删除整个列表。使用命名访问列表时例外。
5.除非在访问列表末尾有permit any命令，否则所有和列表测试条件都不符合的数据包将被丢弃。
6.先创建访问列表，然后将列表应用到某个接口。
7.将标准的访问列表尽可能的放置在靠近目的地址的位置。
8.将扩展的访问列表尽可能的放置在靠近源地址的位置。
9.访问列表设计为过滤通过路由器的流量，但不过滤路由器产生的流量。

三、控制VTY（Telnet）访问
router（config）#access-list 1 permit 172.16.10.3 0.0.0.0
#创建一个permit语句允许172.16.10.3远程登录到路由器。
router（config）#line vty 0 4
router（config）#access-class 1 in
#使用access-class命令将此访问列表应用到vty线路。通过在vty线路上设置access-class命令，只有试图Telnet到路由器的包才会被查看和比较。这比应用到接口上更不容易造成路由包的延迟时间的增加。

q466265670

学习

IT小白888

谢谢

matt6116

感謝分享~

麻仓叶

谢谢

xdzqxeez

感謝大大分享!!

淼渺淼渺

感谢楼主分享