ACL:访问控制列表 ) Q- e: Y) b; d; L
标准访问列表:1-99(延伸:1300-1999)
1 J2 v# x% F/ x& _: h扩展访问列表:100-199(延伸:2000-2699)
1 Z, x3 K; V* h标准访问列表只支持源IP;扩展访问列表支持源IP、目的IP、协议及端口号。 " h' ?; V$ U+ w# c# E0 N3 t8 Q
端口号功能:在第四层上标识上层服务。 " S; N/ H. U O, A2 p3 t" o* I9 U
源端口号是随机的,用于标识一次会话;目的端口号也称为众所周知的端口号,1-1023。
' \' g' y% P* o; b" ?SSH:TCP 22
" q3 a9 R3 p9 XCISCO访问列表最后缺省为deny any。
4 x5 K; }0 t/ d3 s% W; q标准访问控制列表一般配置在离目的较近的端口的出方向上,扩展访问控制列表一般配置在离源较近的端口的入方向上。 ! p& s. ^5 ]" B, f" p: [2 G
3 y3 u9 {+ F! U9 _
FTP 21端口用于控制连接,20用于数据传输。配置访问列表禁止FTP时只需封掉21端口即可。
& _+ M- J7 A: S# G, @4 n+ l
4 l3 v0 x- J, c( d, _4 D按奇偶数匹配,例:
% Z& u/ e- p! x& \* [Access-list 1 permit 10.1.1.0 0.0.0.254 表示允许以10.1.1开头最后一位是偶数的IP
% T/ ^& o/ |3 ? S/ R5 tAccess-list 2 permit 10.1.1.1 0.0.0.254 表示允许以10.1.1开头最后一位是奇数的IP |