访谒列表简介5 K) j! @2 C& t# v# Y: T
访谒列表根基上是一系列对包进行分类的前提。一个最常用和最轻易理解的使用访谒列表的情形是,实现平安策略时过滤不但愿经由过程的包。8 Y$ _: T6 C" Q+ y ?2 E6 _/ R5 t
数据包和访谒列表向斗劲时遵循的主要轨则:9 J& U; }( x2 f' N2 W. E" g/ V
1.凡是是按挨次斗劲访谒列表的每一行。
+ |1 k/ ~' D4 S/ j4 x# E9 E6 s 2.斗劲访谒列表的各行直到斗劲到匹配的一行。- x. N/ m5 c. _/ Y. f
3.在每个访谒列表的最后是一行隐含"deny"语句-意味着如不美观数据包与访谒列表中的所有行都不匹配,将被丢弃。( L+ |/ _6 D D) `
访谒列表有两种类型:/ q1 ^2 U1 E6 y) L
1.尺度的访谒列表 j+ y1 g' b9 g G: b
2.扩展的访谒列表' K! O8 l, Y& l; ]: O( z$ i9 P4 s
3.命名的访谒列表(基于尺度和扩展之间的)5 A0 W# b7 u6 \! t, Z& Z
在一个接口的输入标的目的和输出标的目的使用分歧的访谒列表:" |/ K: N; P4 r. H4 r6 V9 @$ |
1.输入型访谒列表 党访谒列表被应用刀从接口输入的包时,那些包在被路由到输出接口之前要经由访谒列表的措置。$ q) O1 R4 w% K$ q; h( A
2.输出行访谒列表 当访谒列表被应用到从接口输出的包时,那些包首先被路由到输出接口,然后在进入该接口的输入队列之前经由访谒列表的措置。: `5 @7 a+ O2 \7 S
尺度的访谒列表
* t, q" P% I3 r3 z- Y 尺度的IP访谒列表经由过程使用IP包中的源IP地址过滤收集流量。可以使用访谒列表号1-99或130-1999建树尺度的访谒列表。一般用号码区别访谒列表类型。/ i% m v# w- }/ B7 e& _( r7 K
通配符
1 X) U, O! p5 I, I; Q4 F 通配符和访谒列表一升引来指定一个主机、一个收集、一个收集或几个收集内的某个规模。要理解通配符,需要理解什么是块巨细,这里经常指地址规模。一些有用的块巨细是64、32、16、8和4.简单的描述,通配符相当于是子网掩码,不外刚好相反,0暗示绝对匹配,1暗示肆意匹配。
( M+ A/ J: ~8 W 尺度的访谒列表举例:& T8 h; `- X. e
Lab_A#config t3 U# U' s0 R& M) a" g( z1 j
Lab_A(config)#access-list 10 deny 172.16.40.0 0.0.0.2559 } E1 ]/ y c0 q! {& y- @
Lab_A(config)#access-list 10 permit any
3 T/ X8 p1 U3 a( M9 P5 ]; b 这个访谒节制列表的意思是,拒绝所有172.16.40.0这个网段的数据,其他的数据都许可经由过程。
& ^* w$ |$ v) O$ b# z9 {3 L% u 扩展的访谒节制列表
* L: m+ ]2 Q; i* U. r* _% _) M 扩展的访谒列表许可指定源地址和目的地址,以及暗示上层和谈或应用的和谈和端口号。经由过程使用扩展的IP访谒列表,可以有用地许可用户访谒物理LAN的同时不许可访谒特定的主机或甚至那些主机上的特定处事。- p/ J( w/ b; P6 h1 Z7 O
扩展的访谒列表举例:; S5 a, A, W4 H3 U1 e
Lab_A#config9 h, e& }. v, _
Lab_A(config)#access-list 110 deny tcp any host 172.16.30.5 eq 21
# c) C0 j/ d5 |5 s Lab_A(config)#access-list 110 deny tcp any host 172.16.30.5 eq 23
9 _; K- N; o, V7 B$ W: d1 R Q Lab_A(config)#access-list 110 permit ip any any
* D6 z; m9 o! m2 v( ]5 S- a 第一行和第二行意思是,拒绝所有目的地址是172.16.30.5的FTP访谒和Telnet访谒,第三行意思是,许可所有的数据经由过程。 |
发表于 2012-8-3 20:03:30
