投稿
  1. 商川网首页
  2. 培训

网络工程师视频教程,标准访问列表和扩展访问列表

juju 培训



标准访问控制列表概况







标准列表的规则序列号的范围为:1~99。



标准列表只使用 1 个条件判别数据包:数据包的源地址。



标准访问列表可以指定一个源地址段,这是由 IP 地址和地址通配符组合定义的一个地址段。



标准访问控制列表的命令配置







此格式表示:允许或拒绝来自指定网络的数据包,该网络由IP地址(ip-address)和地址通配掩码位(wildcard-mask)指定。其中:



normal 和 special 表示该规则是在普通时间段中有效还是在特殊时间段中有效。



listnumber 为规则序号,标准访问列表的规则序号范围为 1-99。



permit 和 deny 表示允许或禁止满足该规则的数据包通过。



ip-address 和 wildcard-mask 分别为 IP 地址和通配比较位,用来指定某个网络。如果 IP 地址指定为 any ,则表示所有 IP 地址,而且不需配置指定相应的通配位(通配位缺省为 0.0.0.0 )。



扩展访问控制列表概况







扩展列表使用数据包的源地址的同时,还使用目的地址,和协议号(TCP、UDP 等)。



对于TCP、UDP 协议可以同时使用目的端口号。



例如,利用扩展列表可以描述“从 202.110.10.0/24 的网段到 110.10.10.0/24 的网段的所有IP数据包是被拒绝的”,或者“从202.110.10.0/24 网段到110.10.10.0/24 网段的所有 Telnet(使用 TCP 协议的 23 端口)访问是被拒绝的”。它们到底如何表示?我们将从具体配置命令来入手来介绍。



扩展访问控制列表的配置命令







Normal 和 special 表示该规则是在普通时间段生效还是在特殊时间段有效,缺省的情况是在普通时间段。



Listnumber 为规则序号,扩展访问列表的规则序号范围为 100-199。



Permit 和 deny 表示允许或禁止满足该规则的数据包通过。



Protocol 可以指定为 0-255 之间的任一协议号(如1 表示 ICMP 协议),对于常见协议(如 TCP 和 UDP、ICMP),可以直观地指定协议名,若指定为 IP ,则该规则对所有IP包均起作用。



source -addr 和 source-mask 分别为源地址和源地址的通配符。



Dest-addr 和 dest-mask 分别为目的地址和目的地址的通配符。如果 IP 地址指定为 any ,则表示所有 IP 地址,而且不需配置指定相应的通配位(通配位缺省为0.0.0.0) 。



operator port1 – port2 用于指定端口范围,缺省为全部端口号0-65535,只有 TCP 和 UDP 协议需要指定端口范围。operate 的意义如下页表所示。



扩展访问列表的操作符 operate 定义







在指定portnumber时,对于常用的端口号可以使用“助记符”代替。如FTP、Telnet 等。



下列表格所列为可能用到的各类端口号与助记符的对照表,供参照*。















对于 ICMP 协议可以指定 ICMP 报文类型,缺省为全部 ICMP 报文。指定ICMP报文类型时,可以用数字(0-255),也可以用助记符。助记符如下:











扩展访问控制列表的举例







多条规则的组合







可以使用相同的序号,建立多条规则,构成一个访问控制列表。



对于两条有冲突的规则或是有地址重叠的情况,判断的依据是“深度”,也就是描述的地址范围越小的,将会优先考虑。例如:



access-list 1 permit 202.38.160.0 0.0.255.255



access-list 1 deny 202.38.160.0 0.0.0.255



对于 202.38.160.23 这样的地址,访问列表是认为是拒绝的。因为第二条指定的地址范围小。



访问列表的生效







为了使访问控制列表生效,将访问控制列表定义在接口上。



具体命令配置如下页所示。



访问列表在接口生效的命令配置




本文来自投稿,不代表商川网立场,如若转载,请注明出处:http://www.sclgvs.com/peixun/29726.html

(0)
jujujuju
0
上一篇 2023年 8月 8日 22:09:13
下一篇 2023年 8月 8日 22:09:15

相关推荐

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请联系我们举报,一经查实,本站将立刻删除。