09访问列表试卷.ppt

* * 扩展的IP访问控制列表 顾名思义，扩展的IP访问表用于扩展报文过滤能力。一个扩展的IP访问表允许用户根据如下内容过滤报文：源和目的地址、协议、源和目的端口以及在特定报文字段中允许进行特殊位比较等等。幻灯中是一个扩展的IP访问表的一般语法格式。 下面简要介绍各个关键字的功能：　　1、list number----表号范围　　扩展IP访问表的表号标识从l00到199。　　2、protocol-----协议　　协议项定义了需要被过滤的协议，例如IP、TCP、UDP、1CMP等等。协议选项是很重要的，因为在TCP/IP协议栈中的各种协议之间有很密切的关系，如果管理员希望根据特殊协议进行报文过滤，就要指定该协议。 　　另外，管理员应该注意将相对重要的过滤项放在靠前的位置。如果管理员设置的命令中，允许IP地址的语句放在拒绝TCP地址的语句前面，则后一个语句根本不起作用。但是如果将这两条语句换一下位置，则在允许该地址上的其他协议的同时，拒绝了TCP协议。　　3、源端口号和目的端口号　　源端口号可以用几种不同的方法来指定。它可以显式地指定，使用一个数字或者使用一个可识别的助记符。例如，我们可以使用80或者http来指定Web的超文本传输协议。对于TCP和UDP，读者可以使用操作符 “gt“ (大于),“eq” (等于)以及“neq”(不等于)来进行设置。　　目的端口号的指定方法与源端口号的指定方法相同。读者可以使用数字、助记符或者使用操作符与数字或助记符相结合的格式来指定一个端口范围。　　下面的实例说明了扩展IP访问表中部分关键字使用方法:　　access-list 101 permit tcp any host eq smtp　　access-list 101 permit tcp any host eq www　　第一个语句允许来自任何主机的TCP报文到达特定主机的smtp服务端口(25);第二个语句允许任何来自任何主机的TCP报文到达指定的主机的www或http服务端口(80)。　　4、选项　　扩展的IP访问表支持很多选项。其中一个常用的选项有log，它已在前面讨论标准访问表时介绍过了。另一个常用的选项是estahlished，该选项只用于TCP协议并且只在TCP通信流的一个方向上来响应由另一端发起的会话。为了实现该功能，使用estab1ished选项的访问表语句检查每个 TCP报文，以确定报文的ACK或RST位是否已设置。　　例如，考虑如下扩展的IP访问表语句:　　access-list 101 permit tcp any host established　　该语句的作用是:只要报文的ACK和RST位被设置，该访问表语句就允许来自任何源地址的TCP报文流到指定的主机。这意味着主机此前必须发起TCP会话。　　5、其他关键字　　deny/permit、源地址和通配符屏蔽码、目的地址和通配符屏蔽码以及host/any的使用均与标准IP访问表中的相同。 * * * * * * show ip interfaces serial0：显示serial0接口的IP配置信息和配置的ACL 信息。 * 1、show access-list：显示router 上配置了的所有的ACL 信息,但是不显示哪个接口应用了哪个ACL 的信息。 2、show access-list [number]：显示具体第几号ACL 信息，也不显示哪个接口应用了这个ACL。 3、show ip access-list：只显示IP 访问列表信息。 * 尽可能把扩展ACL放置在离要被拒绝的通信流量的来源最近的地方. 对于标准ACL，因为它不能够指定目的地址，所以最好能够放置在离目的地最近的地方. 正确放置IP访问列表 wg_ro_a#show ip interfaces e0 Ethernet0 is up, line protocol is up Internet address is 1/24 Broadcast address is 55 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1 Proxy ARP is enabled Security level is default Split horizon is