訪問列表
訪問列表能使用或者拒絕數(shù)據(jù)包在路由器之間的移動,許可或者拒絕Telnet(VTY)在路由器之間訪問,和建立dial-on demand(DDR), 有意義交通,觸發(fā)撥號到一個遠(yuǎn)程位置。
ACCESS LIST
訪問列表是十分重要條件列表,它控制訪問。強大的工具控制訪問在網(wǎng)段之間,它過濾不需要的數(shù)據(jù)包和實現(xiàn)安全政策,隨著訪問列表,網(wǎng)絡(luò)管理人員將有更大的力量去加強幾乎任何發(fā)明出來的訪問政策,IP 和IPX Access Lists 工件得非常類擬,他都比較過濾的數(shù)據(jù)包,分類,一旦Access Lists建立起來,他們可以應(yīng)用到內(nèi)范圍和外范圍網(wǎng)絡(luò)交通在任何接口,應(yīng)用Access Lists將致使路由器去分析每一的穿過接口的數(shù)據(jù)包在指定方向和行為根據(jù)。
下面是一些當(dāng)Access Lists開始比較數(shù)據(jù)包的遵循的重要的規(guī)則
它總是按順序比較Access Lists的每一條線看,從線1,線2, 線3
它比較Access Lists的線直到匹配為止,,一旦數(shù)據(jù)包匹配Access Lists,它會遵循,并且比較不再發(fā)生
暗示的拒絕將在Access Lists的底部。它的意思是如果一個數(shù)據(jù)包不有匹配任何Access Lists的線,它將被丟棄
每一個規(guī)則都有某些強大的含義當(dāng)Access Lists過濾IP和IX數(shù)據(jù)包的時候。
有兩類Access Lists類型使用IP和IPX:
standard Access Lists: 只過濾網(wǎng)絡(luò)來源IP地址,基本上許可或者拒絕全部的協(xié)議,IPX standards可以過濾來源和目標(biāo)IPX地址
extended access list:它檢查來源和目標(biāo)IP地址,網(wǎng)絡(luò)層報頭的協(xié)議段,和傳輸層報頭端口編號,IPX extended Access List 使用來源和目標(biāo)IPX地址,網(wǎng)絡(luò)層報頭的協(xié)議段,和傳輸層報頭socket 編號
一旦你建立了一個Access Lists,你應(yīng)用它到一個inbound or outbound list 接口
inbound Access Lists: 數(shù)據(jù)包路由到outbound接口之前,先通過Access Lists處理。
outbound Access Lists:數(shù)據(jù)包路由到outbound接口然后處理它通過Access Lists。
仍有一些Access Lists方針當(dāng)建立和實現(xiàn)Access Lists在一個路由器時我們應(yīng)該遵循,你可以只分配一個Access Lists到一個接口,一個協(xié)議,或者一個方向,這個意思是你只能有一個inbound Access Lists和一個ountbound Access Lists在一個接口組織你Access Lists以便更多的明確的測試在Access Lists的頂端,在任何時候一個新的Lists加到Access Lists將被放在list的底部你不能移動Access Lists里面的line, 如果你想移動它你將移動全部的list, 最好在編輯它之前拷貝Access Lists到一個正文編輯。它只例外情況當(dāng)使用名字Access Lists。
除非你在到達(dá)Access Lists的結(jié)束之前獲得許可,所有的數(shù)據(jù)包將會丟棄,否則你只有關(guān)閉接口了。
建立一個Access Lists和應(yīng)用它他到一個接口,任何Access Lists 到接口的將無法應(yīng)用如果沒有一個Access Lists呈遞。
Access Lists是設(shè)計應(yīng)用到過濾通過路由器交通,所以他們只會過濾到路由器的數(shù)據(jù)包而不會過濾來自路由器的數(shù)據(jù)包。
把IP standard Access Lists盡量放在接近目標(biāo)的地方
把IP extended Access Lists盡量放在接近來源的地方
standard IP access lists
這使用來源IP地址,你使用Access Lists編號1-99建立一個standard IP Access Lists
Router(config)# access-list 10 deny ..........
現(xiàn)在有三個選擇可供使用,你可以使用任何命令去許可或者拒絕任何主機或者網(wǎng)絡(luò), www.net130.com
你可以使用一個IP地址去指定或者匹配一個明確的網(wǎng)絡(luò)或者IP主機,
你可以使用host命令去只指定一個明確的的主機
Router(config)# access-list 10 deny host 202.202.202.111
Router(config)# access-list 10 deny 202.202.202.111也可以
Router(config)# access-list 10 deny any 也可以用下面的
Router(config)# access-list 10 deny 0.0.0.0 255.255.255.255 www.net130.com
不過也有另一個方法來指定一個主機,你可以使用通配符,去指定一個網(wǎng)絡(luò)或者一個子網(wǎng),你沒有選擇但可以使用通配符在Access Lists
Wildcards
它是Access Lists指定使用一個主機,網(wǎng)絡(luò),或者一部分網(wǎng)絡(luò),你需要了解block sizes。block sizes是使用來指定一個地址范圍,下面顯示某些不同的block sizes可供使用。 www.net130.com
64 32 16 8 4
當(dāng)你需要指定一個地址范圍時,你選擇最接近最大的的block size,如果你需要指定34 networks. 你需要64,如果你要指定18 主機,你需要32,
202.202.8.0 到 202.202.15.0
15-8=7
7最接近8
所以是202.202.202.8.0
所以是0.0.7.255 從0-7就是8的原因
standard IP Access List example
router(config)#access-list 10 deny 172.16.40.0 0.0.0.255
router(config)#access-list 10 permit any=0.0.0.0 255.255.255.255
訪問列表設(shè)完,下面是應(yīng)用到接口 www.net130.com
router(config)#int e0
router(config-if)# ip access-group 10 out
以上結(jié)果是所有從ethernet 0的接,來自172.16.40.0的數(shù)據(jù)將被停止
extended ip Access List
在標(biāo)準(zhǔn)IP訪問列表里,注意到你該如果阻止全部來自某處的子網(wǎng), 如果你想他們只能獲得訪問幾個服務(wù)器該如何做呢?在標(biāo)準(zhǔn)的訪問列表里,你不能允許用戶只用網(wǎng)絡(luò)的一部份,不過擴展IP訪問列表可能解決這個問題,它允許你選擇你的IP來源和目標(biāo)地址,還有可以選擇端口號碼。
router(config)#access-list 110 deny ?
tcp ...........
ip ..................
在這里你要選擇訪問列表類型,這是非常重要的,你一定要明白如果你想使用應(yīng)用程序過濾,你必須選擇一個允許你通IOS模式的網(wǎng)絡(luò)協(xié)議項目,實例1,如果你要過濾telnet或者ftp,你必須選擇TCP,如果你選擇IP,你將不能離開網(wǎng)絡(luò)層,這樣你就不能允許任何更高層的過濾。
router(config)#access-list 110 deny tcp any host 172.16.30.2 eq 23 ftp
這樣你就防止所有的數(shù)據(jù)包通過FTP經(jīng)過23端口到172.16.30.2
[1] [2] 下一頁
文章錄入:csh 責(zé)任編輯:csh
但這樣其實你會拒絕所有的通信,因為訪問列表里找不到的將全部被拒絕,所以你要 www.net130.com
router(config)#access-list 110 permit ip any any
router(config-if)# ip access-group 110 in
monitoring ip access lists
show access-list : 顯示所有,但看不到訪問列表接到哪一種接口
show access-list 110: 顯示110的所有,但看不到訪問列表接到哪一種接口
show ip access-list: 只顯示路由器的IP訪問列表
show ip interface: 顯示哪一個接口設(shè)置哪一種訪問列表
show run: 顯示所有訪問列表和接口
IPX access lists
IPX standard: 過濾來源,目標(biāo),主機,網(wǎng)絡(luò)號碼(800-899) www.net130.com
ipx extended: 過濾來源,目標(biāo),主機,網(wǎng)絡(luò)號碼, socket number(900-999)
ipx sap filter:控制SAP交通(100-1099)
IPX standard: router(config)#access-list 810 permit 20 40
router(config)#int e0
router(config-if)#ipx access-group 810 out
ipx extended access-list number permit/deny protocol source socket destination socket
ipx SAP: access-list number permit/deny source service type
access-list 1010 permit -1(=any) 4 sales(=sap server name)
router(config-if)#ipx input-sap-filter(從項目中停止所有的 SAP更新)
router(config-if)#ipx output-sap-filter(停止某些SAP傳出定期的60秒SAP更新) www.net130.com
verity ipx access list
router#sh ipx int
router#sh ipx access
上一頁 [1] [2]
文章錄入:csh 責(zé)任編輯:csh相關(guān)文章
利用WIN2000實現(xiàn)兩個網(wǎng)段的路由
利用WIN2000實現(xiàn)兩個網(wǎng)段的路由...2007-09-09部署VoIP的標(biāo)準(zhǔn)草案LLDP-MED協(xié)議概述
部署VoIP的標(biāo)準(zhǔn)草案LLDP-MED協(xié)議概述...2007-09-09如何禁止Windows系統(tǒng)的ipc$默認(rèn)共享
如何禁止Windows系統(tǒng)的ipc$默認(rèn)共享...2007-09-09