ACL:访问控制列表
% J( O: w( @2 O! M: z. F标准访问列表:1-99(延伸:1300-1999) & @0 i2 }- I5 _. G: F6 q
扩展访问列表:100-199(延伸:2000-2699)
1 S3 g e2 V0 \! U标准访问列表只支持源IP;扩展访问列表支持源IP、目的IP、协议及端口号。 ! F( O1 M& B( ^, m$ ]
端口号功能:在第四层上标识上层服务。
$ x' N% E& m+ Y5 O: H7 V源端口号是随机的,用于标识一次会话;目的端口号也称为众所周知的端口号,1-1023。 5 a( z. j$ c& P. k( Z8 T$ [: x* J8 c
SSH:TCP 22
5 C( a* s! r. q( i, tCISCO访问列表最后缺省为deny any。 & x. w' c- C0 _8 y3 S
标准访问控制列表一般配置在离目的较近的端口的出方向上,扩展访问控制列表一般配置在离源较近的端口的入方向上。 " I' H6 {) s. b
, i8 }6 U' X/ d" N3 X8 _- [$ oFTP 21端口用于控制连接,20用于数据传输。配置访问列表禁止FTP时只需封掉21端口即可。
% s- m3 E' n! C1 q" G
+ y5 u+ v, E- W9 m; G按奇偶数匹配,例:
( T; c; N( ~# I& _* p! r4 vAccess-list 1 permit 10.1.1.0 0.0.0.254 表示允许以10.1.1开头最后一位是偶数的IP
- W' Q- B. j! ^) t$ PAccess-list 2 permit 10.1.1.1 0.0.0.254 表示允许以10.1.1开头最后一位是奇数的IP |