</p>扩展访问列表针对几种属性对数据包进行过滤:
% X4 p& u: z, j: E协议类型,源及目标的IP地址,源及目标的四层端口号,ICMP或者IGMP的报文类型。$ Q7 D2 F0 t' A
一、标准ACL格式:access-list 列表号 deny或者permit 源IP地址 源IP掩码
0 n" q! y7 A5 E% l9 t. t6 a) C- y% XAccess-list 2 permit 1.1.1.0 0.0.0.255
1 n1 ~5 c, x& v! `6 ^' s L( @4 S如果是标准的命名ACL,则写法为:
+ U& A0 P1 N, ?: r$ C2 x9 O v(config)#ip access-list standard 名称
4 `. d- m- Z' ^) o! M. h& y& Y2 N; x(config-std-nacl)#deny 1.1.1.0 0.0.0.255
; ~2 a3 e0 E- R6 ?6 C g二、扩展ACL格式:access-list 列表号 deny或permit 协议 {源IP 源反掩码|any|host} 源端口号 {目标IP 目标反掩码|any|host} 目标端口号 [established] [log| log-input]; }( Z2 H4 q+ {" s4 |9 {3 {+ o# j
Access-list 101 permit tcp 1.1.1.0 0.0.0.255 53 2.2.2.0 0.0.0.255 gt 1023 W6 y6 y. X$ G. R3 ]* A
如果是扩展的命名ACL,则写法和标准类似,只是在定义访问策略时稍有不同4 R% r0 R, `9 l7 C. w
为访问列表打上标记,当你看到该ACL时,一目了然。. s2 ^6 |9 E- {: s
Remark message. v, S: y: V0 u" m: G
例:Router(config)#access-list 100 remark traffic to http-server" _8 M, C; C% S* P
Router(config)#access-list 100 permit ip any 1.1.1.1 0.0.0.255 eq 80
9 t: W' ~, @3 ~上面所说的仅仅是ACL的写法,都在全局配置模式下进行,但访问列表只是规则,需要有“人”来执行,那么执行者是谁?就是流量要通过的接口,访问列表编辑的再严密,逻辑性再强,安全性再高,如果不将其应用到接口上去,一切都是枉然!6 g& X! r9 T' U9 } y8 q9 a* g" }, `
在接口上的应用:
' e. q8 ]4 d* X4 Q1 gR(config)#int fa0/0
+ i" l0 z- C$ d! J. F1 {0 x$ \R(config-if)#ip access-group 100 in/out 或者 ip access-group cisco in/out
) G' ]/ o! U! f- {9 O% D; _上面分别是标准和命名访问表在接口上的应用方式。方向是非常重要的,in和out完全是两码事!, M* p1 v% D( v: U! o+ Z; G6 f
1、 标准的访问列表通常放置在离目标最近的地方;
! c9 h! \( P2 T% q5 M4 ]2、扩展的访问列表通常放置在离源最近的地方。 |