! Deny tcp/25 traffic from all sources going to addresses
! in the seqence matching [172.16.0.4, 172.16.1.4, 172.16.2.4, etc...]
ip access-list 101 deny tcp any 172.16.0.4 0.0.0.0 eq 25
ip access-list 101 deny tcp any 172.16.1.4 0.0.0.0 eq 25
ip access-list 101 deny tcp any 172.16.2.4 0.0.0.0 eq 25
ip access-list 101 deny tcp any 172.16.3.4 0.0.0.0 eq 25
ip access-list 101 deny tcp any 172.16.4.4 0.0.0.0 eq 25
ip access-list 101 deny tcp any 172.16.5.4 0.0.0.0 eq 25
! keep repeating the pattern all the way to 172.16.255.4
本质上,acl 101 会根据 /32 网络掩码阻止数据包。一种更简洁的表达方式是
! 255 in the third octet of the wildcard mask matches from 0-255
ip access-list 102 deny any 172.16.0.4 0.0.255.0 eq 25
反向位掩码比仅使用网络掩码更灵活。绝大多数应用程序只是将网络掩码反转为反向掩码,如下所示:
本质上,acl 101 会根据 /32 网络掩码阻止数据包。一种更简洁的表达方式是
ACL 102 只是表达第一个 ACL 的一种更紧凑的方式。
在 Cisco IOS 仅根据 CPU 功率切换所有流量并且没有内置内部 acl 模式优化的时代,由于 ACL 101 中的条目数量,ACL 101 会比 ACL 102 慢得多。现在,Cisco IOS 包括模式匹配引擎和高端平台中的一些重要优化甚至使用 ASIC 进行过滤……因此,将 ACL 表示为 102 更方便。
请记住,您的 IOS 配置仅与您的员工在凌晨 3 点出现故障时的状态一样好;因此,如果您尽可能巧妙地编写 ACL,那么在清晨危机期间您可能需要更多时间来调试。