标准访问列表

ACL(访问控制列表)是用于调节网络流量和最小化网络威胁的一组规则。使用特定于网络传入或传出流量的一组规则，ACL用于过滤流量。在这里，我们可以看到标准访问列表正在搜索源参数。因此，它们不会涉及第2层帧头；相反，它们将仅检查数据包头部，即源字段，并仅基于该字段进行匹配。因此，它们不会进一步深入转发层。

标准访问列表-

这些是仅利用源IP地址创建的访问列表。这些ACL可以允许或禁止整组协议。 TCP，UDP，HTTPS和其他类型的IP传输不进行区分。如果您使用数字1-99或1300-1999，则路由器将将其识别为常规ACL，并将提供的地址视为源IP地址。

标准访问列表的特点-

• 通常情况下，标准访问列表使用靠近目的地的位置（但并非总是如此）。
• 标准访问列表禁止访问整个网络或子网络。
• 标准访问列表的范围是1到99，扩展范围是1300到1999。
• 只使用源IP地址来实施标准访问列表。
• 请记住，如果使用编号的普通访问列表，则无法删除规则。如果删除一个规则，则整个访问列表将被销毁。
• 如果使用命名的标准访问列表，则可以选择从访问列表中删除规则。

注意：标准访问列表比扩展访问列表使用较少，因为它们接受或拒绝完整的IP协议套件的通信，因为它们无法区分不同的IP协议。

设置-

这个简单的拓扑中有销售，财务和市场部门。市场部门的网络为172.16.60.0/24，财务部门为172.16.50.0/24，销售部门为172.16.40.0/24。现在，您希望阻止销售部门与财务部门之间的连接。为此，请首先配置一个带有编号的标准访问列表，以阻止销售部门与财务部门之间的任何IP连接。

R1# config terminal
R1(config)# access-list 10 deny 172. 16. 40.0 0. 0. 0. 255

类似于扩展访问控制列表，您不能在此处指定应允许或阻止的特定IP流量。请注意通配符掩码的使用（0.0.0.255，意味着子网掩码255.255.255.0）。数字10来自标准范围的访问控制列表。

R1( config )# access-list 110 permit ip any any

正如您已经了解的那样，每个访问列表在末尾都有一个隐式的拒绝规则，它表示如果流量不符合任何访问列表的规则，流量将被丢弃。

只有符合您所指定的前述规则的流量，且源IP地址可以是任何地址，才能到达财务部门。

现在，您必须将访问列表应用到路由器的接口上：

R1(config)# int fa0/1
R1(config-if)# ip access-group 10 out

记住，标准访问列表通常应用于目的地，因此，我们应该在接近目的地的位置应用出接口fa0/1。这样做将满足我们的需求。

标准访问列表示例 –

现在，您将创建一个命名的标准访问列表，同时还要保持相同的结构。

R1(config)# ip access-list standard  blockacl

您通过运行此命令创建了名为blockacl的访问控制列表。

R1(config-std-nacl)# deny 172. 16. 40. 0 0. 0. 0. 255 
R1(config-std-nacl)# permit  any

然后将与编号访问列表中相同的设置应用。

R1(config)# int fa0/1
R1(config-if)# ip access-group blockacl out

标准访问列表示例-用于Telnet

可以通过在vty线上应用访问列表来允许或拒绝Telnet连接。如您所知，您无法在标准访问列表中指定要禁止的特定IP流量。

在提供的图中，您希望阻止来自任何网络到财务部门的Telnet访问。为此进行设置：

R1(config)# access-list 10 deny any
R1(config)# line vty 0 4
R1(config-line)# access-class 10 out