标准访问列表

先决条件 - 访问列表 (ACL)
访问列表 (ACL) 是为控制网络流量和减少网络攻击而定义的一组规则。 ACL 用于根据为网络的传入或传出定义的规则集过滤流量。

标准访问列表 –
这些是仅使用源 IP 地址制作的访问列表。这些 ACL 允许或拒绝整个协议套件。它们不区分 TCP、UDP、HTTPS 等 IP 流量。通过使用数字 1-99 或 1300-1999，路由器会将其理解为标准 ACL，并将指定地址理解为源 IP 地址。

特征 -

1. 标准访问列表通常应用在目的地附近（但并非总是如此）。
2. 在标准访问列表中，整个网络或子网络都被拒绝。
3. 标准访问列表使用范围 1-99 和扩展范围 1300-1999。
4. 标准访问列表仅使用源 IP 地址实现。
5. 如果使用标准访问列表编号，则无法删除记住规则。如果其中一条规则被删除，则整个访问列表将被删除。
6. 如果使用标准访问列表命名，那么您可以灵活地从访问列表中删除规则。
   

注意 –与扩展访问列表相比，标准访问列表使用较少，因为整个 IP 协议套件将被允许或拒绝流量，因为它无法区分不同的 IP 协议流量。

配置 -

这是一个小型拓扑，其中有 3 个部门，即销售、财务和营销。销售部网络172.16.40.0/24，财务部网络172.16.50.0/24，市场部网络172.16.60.0/24。现在，想要拒绝从销售部门到财务部门的连接，并允许其他人访问该网络。

现在，首先配置编号标准访问 - 拒绝从销售到财务部门的任何 IP 连接的列表。

R1# config terminal
R1(config)# access-list 10 deny 172.16.40.0 0.0.0.255

在这里，就像扩展访问列表一样，您不能指定要允许或拒绝的特定 IP 流量。另请注意，已使用通配符掩码（0.0.0.255 表示子网掩码 255.255.255.0）。 10 用于数字标准访问列表范围。

R1(config)# access-list 110 permit ip any any

现在，正如您已经知道的那样，每个访问列表的末尾都有一个隐式拒绝，这意味着如果流量不匹配访问列表的任何规则，那么流量将被丢弃。
通过指定任何方式，具有任何 IP 地址流量的源将到达财务部门，但符合您制定的上述规则的流量除外。

现在，您必须在路由器的接口上应用访问列表：

R1(config)# int fa0/1
R1(config-if)# ip access-group 10 out

正如您所记得的，标准访问列表通常应用于目的地，如果您在目的地附近应用访问列表，它将满足我们的需求，因此，已应用到接口 fa0/1 的出站。

命名标准访问列表示例 –

现在，考虑相同的拓扑，您将创建一个命名的标准访问列表。

R1(config)# ip access-list standard  blockacl

通过使用此命令，您创建了一个名为 blockacl 的访问列表。

R1(config-std-nacl)# deny 172.16.40.0 0.0.0.255 
R1(config-std-nacl)# permit  any

然后在编号的访问列表中进行相同的配置。

R1(config)# int fa0/1
R1(config-if)# ip access-group blockacl out

Telnet 示例的标准访问列表 –
如您所知，您无法在标准访问列表中指定要拒绝的特定 IP 流量，但可以通过在 vty 行上应用访问列表，使用标准访问列表允许或拒绝 telnet 连接。

在这里，在给定的图中，您要拒绝从任何网络远程登录到财务部门。配置相同：

R1(config)# access-list 10 deny any
R1(config)# line vty 0 4
R1(config-line)# access-class 10 out