- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
ACCESSLIST详解
CISCO 路由器中的 access-list(访问列表)最基本的有两种,分别是标准访问列表和扩展访问列表,二者的区别主要是前者是基于目标地址的数据包过滤,而后者是基于目标地址、源地址和网络协议及其端口的数据包过滤。(1)标准型 IP 访问列表的格式标准型 IP 访问列表的格式如下:access-list[list number][permit|deny][source address][address][wildcard mask][log]下面解释一下标准型 IP 访问列表的关键字和参数。首先,在 access 和 list 这 2 个关 键字之间必须有一个连字符-;其次,list number的范围在0~99之间,这表明该access-list 语句是一个普通的标准型 IP 访问列表语句。因为对于Cisco IOS,在0~99之间的数字指示出该访问列表和 IP 协议有关,所以 list number 参数具有双重功能: (1)定义访问列表 的操作协议; (2)通知 IOS 在处理 access-list 语句时,把相同的 list number 参数作为同一 实体对待。正如本文在后面所讨论的,扩展型IP访问列表也是通过list number(范围是100~199 之间的数字)而表现其特点的。因此,当运用访问列表时,还需要补充如下重要的规则:在需要创建访问列表的时候,需要选择适当的 list number 参数。(2)允许/拒绝数据包通过在标准型 IP 访问列表中,使用 permit语句可以使得和访问列表项目匹配的数据包通过接口,而deny语句可以在接口过滤掉和访问列表项目匹配的数据包。source address代表主机的 IP 地址,利用不同掩码的组合可以指定主机。---- 为了更好地了解 IP 地址和通配符掩码的作用,这里举一个例子。假设您的公司有一个分支机构,其 IP 地址为 C 类的 。在您的公司,每个分支机构都需要通过总部的 路由器访问 Internet。要实现这点,您就可以使用一个通配符掩码 55。因为 C 类 IP 地址的最后一组数字代表主机,把它们都置 1 即允许总部访问网络上的每一台主机。因此,您 的标准型 IP 访问列表中的 access-list 语句如下:access-list 1 permit 55注意,通配符掩码是子网掩码的补充。因此,如果您是网络高手,您可以先确定子网 掩码,然后把它转换成可应用的通配符掩码。这里,又可以补充一条访问列表的规则 5。(3)指定地址如果您想要指定一个特定的主机,可以增加一个通配符掩码 。例如,为了让 来自 IP 地址为 的数据包通过,可以使用下列语句:Access-list 1 permit ---- 在 Cisco 的访问列表中,用户除了使用上述的通配符掩码 来指定特定的主机外,还可以使用host这一关键字。例如,为了让来自 IP 地址为 的数据包通过, 您可以使用下列语句:Access-list 1 permit host 除了可以利用关键字host来代表通配符掩码 外,关键字any可以作为源 地址的缩写,并代表通配符掩码 55。例如,如果希望拒绝来自 IP 地 址为 的站点的数据包,可以在访问列表中增加以下语句:Access-list 1 deny host Access-list 1 permit any注意上述 2 条访问列表语句的次序。第 1 条语句把来自源地址为 的数据包过滤掉,第 2 条语句则允许来自任何源地址的数据包通过访问列表作用的接口。如果改变 上述语句的次序,那么访问列表将不能够阻止来自源地址为 的数据包通过接口。 因为访问列表是按从上到下的次序执行语句的。这样,如果第1条语句是:Access-list 1 permit any的话,那么来自任何源地址的数据包都会通过接口。(4)拒绝的奥秘在默认情况下,除非明确规定允许通过,访问列表总是阻止或拒绝一切数据包的通过, 即实际上在每个访问列表的最后,都隐含有一条deny any的语句。假设我们使用了前面创建 的标准 IP 访问列表,从路由器的角度来看,这条语句的实际内容如下:access-list 1 deny host access-list 1 permit anyaccess-list 1 deny any在上述例子里面,由于访问列表中第 2 条语句明确允许任何数据包都通过,所以隐含 的拒绝语句不起作用,但实际情况并不总是如此。例如,如果希望来自源地址为 2 的数据包通过路由器的接口,同时阻止其他一切数据包通过,则访问列表的代码如下:access-list 1 permit host access-list 1 permit host 2注意,因为所有的访问列表会自动
文档评论(0)