标准访问列表

先决条件：访问控制列表（ACL）
ACL是一种用于控制网络流量、减少网络攻击的规则集合。ACL可以根据为网络的入站或出站所定义的一系列规则来过滤流量。
标准访问控制列表 – 
这些Access-list仅基于源IP地址来创建。这些ACL可以允许或拒绝整个协议套件中的流量。它们不会区分TCP、UDP、HTTPS等不同类型的IP流量。通过使用1-99或1300-1999这样的数字，路由器会将其视为标准ACL，而指定的地址则被视作源IP地址。
特点/功能 – 
 

1. 标准访问列表通常应用于目标位置附近（但并非总是如此）。
2. 在标准的访问列表中，整个网络或子网络都被拒绝访问。
3. 标准的访问列表使用1到99这个范围的数字作为编号，而扩展的访问列表则使用1300到1999这个范围的数字作为编号。
4. 标准的访问列表仅使用源IP地址来实施。
5. 如果使用了标准的Access-list进行编号，那么需要注意的是，规则是无法被删除的。如果其中某个规则被删除了，那么整个访问列表也会被删除。
6. 如果使用了标准的Access-list来命名规则，那么就可以灵活地删除该Access-list中的某个规则。
    

注意：与扩展访问列表相比，标准访问列表的使用频率要低一些。因为标准访问列表无法区分不同IP协议的流量，它会对所有IP协议流量进行允许或拒绝的处理。
配置 – 
 

这里有一个简单的拓扑结构，其中包含三个部门：销售部、财务部和市场部。销售部的网络范围是172.16.40.0/24；财务部的网络范围是172.16.50.0/24；而市场部的网络范围是172.16.60.0/24。现在，我们希望禁止从销售部到财务部的连接，同时允许其他设备访问这些网络。
现在，首先需要配置一个编号标准访问列表，以拒绝任何来自销售部门到财务部门的IP连接。
 

R1# config terminalR1(config)# access-list 10 deny 172.16.40.0 0.0.0.255

在这里，就像在扩展的访问列表中所做的那样，我们无法指定哪些特定的IP流量可以被允许或拒绝。另外，需要注意的是，这里使用了通配符掩码（0.0.0.255），这意味着子网掩码为255.255.255.0。数字10则来自标准的访问列表范围。
 

R1(config)# access-list 110 permit ip any

现在，正如您所知道的那样，每个访问列表的末尾都包含了一个隐含的拒绝机制。也就是说，如果流量不符合访问列表中任何一条规则的话，那么该流量就会被丢弃。
通过指定某种方式，任何拥有IP地址的流量都可以被传递到财务部门。当然，那些不符合上述规则的流量则不会被传递过去。
现在，你需要将访问列表应用到路由器的接口上。
 

R1(config)# int fa0/1R1(config-if)# ip access-group 10 out

正如您所记得的那样，标准的访问列表通常应用于目标地址。在这里，如果我们将访问列表应用于目标地址附近，那么就能满足我们的需求了。因此，出站的流量被定向到了interface fa0/1上。
名为“标准访问列表”的示例—— 
 

现在，考虑到相同的拓扑结构，你将创建一个具有名称的标准访问列表。
 

R1(config)# ip access-list standard  blockacl

通过使用这条命令，你创建了一个名为 blockacl 的访问列表。
 

R1(config-std-nacl)# deny 172.16.40.0 0.0.0.255 R1(config-std-nacl)# permit  any

然后，就可以使用与在编号的访问列表中所使用的相同的配置方式了。
 

R1(config)# int fa0/1R1(config-if)# ip access-group blockacl out

Telnet的标准访问列表示例—— 
如您所知，无法在标准的访问列表中指定需要拒绝的特定IP流量。但是，可以通过在vty线路上应用访问列表来允许或拒绝Telnet连接。
 

在图中所示的情况下，您需要禁止任何网络对财务部门的Telnet访问。请按照上述步骤进行配置。
 

R1(config)# access-list 10 deny anyR1(config)# line vty 0 4R1(config-line)# access-class 10 out