快捷搜索:  as  2018  FtCWSyGV  С˵  test  xxx  Ψһ  w3viyKQx

澳门24小时娱乐在线_龟发之家论坛



CISCO路由器中的access-list(造访列表)最基础的有两种,分手是标准造访列表和扩展造访列表,二者的差别主如果前者是基于目标地址的数据包过滤,而后者是基于目标地址、源地址和收集协议及其端口的数据包过滤。

(1)标准型IP造访列表的款式

---- 标准型IP造访列表的款式如下:

---- access-list[list number][permit deny][source address]

---- [address][wildcard mask][log]

---- 下面解释一下标准型IP造访列表的关键字和参数。首先,在access和list这2个关键字之间必须有一个连字符"-";其次,list number的范围在0~99之间,这注解该access-list语句是一个通俗的标准型IP造访列表语句。由于对付Cisco IOS,在0~99之间的数字唆使出该造访列表和IP协议有关,以是list number参数具有双重功能: (1)定义造访列表的操作协议; (2)看护IOS在处置惩罚access-list语句时,把相同的list number参数作为同一实体对待。正如本文在后面所评论争论的,扩展型IP造访列表也是经由过程list number(范围是100~199之间的数字)而体现其特征的。是以,当运用造访列表时,还必要弥补如下紧张的规则: 在必要创建造访列表的时刻,必要选择适当的list number参数。

---- (2)容许/回绝数据包经由过程

---- 在标准型IP造访列表中,应用permit语句可以使得和造访列表项目匹配的数据包经由过程接口,而deny语句可以在接口过滤掉落和造访列表项目匹配的数据包。source address代表主机的IP地址,使用不合掩码的组合可以指定主机。

---- 为了更好地懂得IP地址和通配符掩码的感化,这里举一个例子。假设您的公司有一个分支机构,其IP地址为C类的192.46.28.0。在您的公司,每个 分支机构都必要经由过程总部的路由器造访Internet。要实现这点,您就可以应用一个通配符掩码 0.0.0.255。由于C类IP地址的着末一组数字代表主机,把它们都置1即容许总部造访收集上的每一台主机。是以,您的标准型IP造访列表中的 access-list语句如下:

---- access-list 1 permit 192.46.28.0 0.0.0.255

---- 留意,通配符掩码是子网掩码的弥补。是以,假如您是收集高手,您可以先确定子网掩码,然后把它转换成可利用的通配符掩码。这里,又可以弥补一条造访列表的规则5。

---- (3)指定地址

---- 假如您想要指定一个特定的主机,可以增添一个通配符掩码0.0.0.0。例如,为了让来自IP地址为192.46.27.7的数据包经由过程,可以应用下列语句:

---- Access-list 1 permit 192.46.27.7 0.0.0.0

---- 在Cisco的造访列表中,用户除了应用上述的通配符掩码0.0.0.0来指定特定的主机外,还可以应用"host"这一关键字。例如,为了让来自IP地址为192.46.27.7的数澳门24小时娱乐在线据包经由过程,您可以应用下列语句:

---- Access-list 1 permit host 192.46.27.7

---- 除了可以使用关键字"host"来代表通配符掩码0.0.0.0外,关键字"any"可以作为源地址的缩写,并代表通配符掩码0.0.0.0 255.255.255.255。例如,假如盼望回绝来自IP地址为192.46.27.8的站点的数据包,可以在造访列表中增添以下语句:

---- Access-list 1 deny host 192.46.27.8

---- Access-list 1 permit any

---- 留意上述2条造访列表语句的序次。第1条语句把来自源地址为192.46.27.8的数据包过滤掉落,第2条语句则容许来自任何源地址的数据包经由过程造访列表 感化的接口。假如改变上述语句的序次,那么造访列表将不能够阻拦来自源地址为192.46.27.8的数据包经由过程接口。由于造访列表是按从上到下的序次执 行语句的。这样,假如第1条语句是:

---- Access-list 1 permit any

---- 的话,那么来自任何源地址的数据包都邑经由过程接口。

---- (4)回绝的奥秘

---- 在默认环境下,除非明确规定容许经由过程,造访列表老是阻拦或回绝统统数据包的经由过程,即实际上在每个造访列表的着末,都隐含有一条"deny any"的语句。假设我们应用了前面创建的标准IP造访列表,从路由器的角度来看,这条语句的实际内容如下:

---- access-list 1 deny host 192.46.27.8

---- access-list 1 permit any

---- access-list 1 deny any

---- 在上述例子里面,因为造访列表中第2条语句明确容许任何数据包都经由过程,以是隐含的回绝语句不起感化,但实际环境并不老是如斯。例如,假如盼望来自源地址为 192.46.27.8和192.46.27.12的数据包经由过程路由器的接口,同时阻拦其他统统数据包经由过程,则造访列表的代码如下:

---- access-list 1 澳门24小时娱乐在线permit host 192.46.27.8

---- access-list 1 permit host 192.46.27.12

---- 留意,由于所有的造访列表会自动在着末包括该语句.

---- 顺便评论争论一下标准型IP造访列表的参数"log",它起日志的感化。一旦造访列表感化于某个接口,那么包括关键字"log"的语句将记录那些满意造访列表 中"permit"和"deny"前提的数据包。第一个经由过程接口并且和造访列表语句匹配的数据包将急速孕育发生一个日志信息。后续的数据包根据记录日志的方 式,或者在节制台上显示日志,或者在内存中记录日志。经由过程Cisco IOS的节制台敕令可以选择记录日志要领。

扩展型IP造访列表

---- 扩展型IP造访列表在数据包的过滤方面增添了不少功能澳门24小时娱乐在线和机动性。除了可以基于源地址和目标地址过滤外,还可以根据协议、源端口和目的端口过滤,以致可以利 用各类选项过滤。这些选项能够对数据包中某些域的信息进行读取和对照。扩展型IP造访列表的通用款式如下:

---- access-list[list number][permit deny]

---- [p澳门24小时娱乐在线rotocol protocol key word]

---- [source address source-wildcard mask][source port]

---- [destination address destination-wildcard mask]

---- [destination port][log options]

---- 和标准型IP造访列表类似,"list number"标志了造访列表的类型。数字100~199用于确定100个惟一的扩展型IP造访列表。"protocol"确定必要过滤的协议,此中包括IP、TCP、UDP和ICMP等等。

---- 假如我们回首一下数据包是若何形成的,我们就会懂得为什么协议会影响数据包的过滤,只管无意偶尔这样会孕育发生副感化。图2表示了数据包的形成。请留意,利用数据 平日有一个在传输层增添的前缀,它可所以TCP协议或UDP协议的头部,这样就增添了一个唆使利用的端口标志。当数据流入协议栈之后,收集层再加上一个包 含地址信息的IP协议的头部。

因为IP头部传送TCP、UDP、路由协讲和ICMP协议,以是在造访列表的语句中,IP协议的级别比其他协议更为紧张。然则,在有些利用中,您可能必要改变这种环境,您必要基于某个非IP协议进行过滤

---- 为了更好地阐明,下面枚举2个扩展型IP造访列表的语句来阐明。假设我们盼望阻拦TCP协议的流量造访IP地址为192.78.46.8的办事器,同时容许其他协议的流量造访该办事器。那么以下造访列表语句能满意这一要求吗?

---- access-list 101 permit澳门24小时娱乐在线 host 192.78.46.8

---- access-list 101 deny host 192.78.46.12

---- 回答是否定的。第一条语句容许所有的IP流量、同时包括TCP流量经由过程指定的主机地址。这样,第二条语句将不起任何感化。可是,假如改变上面2条语句的序次

您可能还会对下面的文章感兴趣: