訪問(wèn)列表能使用或者拒絕數(shù)據(jù)包在路由器之間的移動(dòng)，許可或者拒絕Telnet（VTY）在路由器之間訪問(wèn)，和建立dial-on demand(DDR), 有意義交通，觸發(fā)撥號(hào)到一個(gè)遠(yuǎn)程位置。

ACCESS LIST   

訪問(wèn)列表是十分重要條件列表，它控制訪問(wèn)。強(qiáng)大的工具控制訪問(wèn)在網(wǎng)段之間，它過(guò)濾不需要的數(shù)據(jù)包和實(shí)現(xiàn)安全政策，隨著訪問(wèn)列表，網(wǎng)絡(luò)管理人員將有更大的力量去加強(qiáng)幾乎任何發(fā)明出來(lái)的訪問(wèn)政策，IP 和IPX Access Lists 工件得非常類擬，他都比較過(guò)濾的數(shù)據(jù)包，分類,一旦Access Lists建立起來(lái)，他們可以應(yīng)用到內(nèi)范圍和外范圍網(wǎng)絡(luò)交通在任何接口，應(yīng)用Access Lists將致使路由器去分析每一的穿過(guò)接口的數(shù)據(jù)包在指定方向和行為根據(jù)。

下面是一些當(dāng)Access Lists開(kāi)始比較數(shù)據(jù)包的遵循的重要的規(guī)則

它總是按順序比較Access Lists的每一條線看，從線1，線2， 線3

它比較Access Lists的線直到匹配為止，，一旦數(shù)據(jù)包匹配Access Lists，它會(huì)遵循，并且比較不再發(fā)生

暗示的拒絕將在Access Lists的底部。它的意思是如果一個(gè)數(shù)據(jù)包不有匹配任何Access Lists的線，它將被丟棄

每一個(gè)規(guī)則都有某些強(qiáng)大的含義當(dāng)Access Lists過(guò)濾IP和IX數(shù)據(jù)包的時(shí)候。

有兩類Access Lists類型使用IP和IPX：

standard Access Lists: 只過(guò)濾網(wǎng)絡(luò)來(lái)源IP地址，基本上許可或者拒絕全部的協(xié)議，IPX standards可以過(guò)濾來(lái)源和目標(biāo)IPX地址

extended access list：它檢查來(lái)源和目標(biāo)IP地址，網(wǎng)絡(luò)層報(bào)頭的協(xié)議段，和傳輸層報(bào)頭端口編號(hào)，IPX extended Access List 使用來(lái)源和目標(biāo)IPX地址，網(wǎng)絡(luò)層報(bào)頭的協(xié)議段，和傳輸層報(bào)頭socket 編號(hào)

一旦你建立了一個(gè)Access Lists，你應(yīng)用它到一個(gè)inbound or outbound list 接口

inbound Access Lists: 數(shù)據(jù)包路由到outbound接口之前，先通過(guò)Access Lists處理。

outbound Access Lists:數(shù)據(jù)包路由到outbound接口然后處理它通過(guò)Access Lists。

仍有一些Access Lists方針當(dāng)建立和實(shí)現(xiàn)Access Lists在一個(gè)路由器時(shí)我們應(yīng)該遵循，你可以只分配一個(gè)Access Lists到一個(gè)接口，一個(gè)協(xié)議，或者一個(gè)方向，這個(gè)意思是你只能有一個(gè)inbound Access Lists和一個(gè)ountbound Access Lists在一個(gè)接口組織你Access Lists以便更多的明確的測(cè)試在Access Lists的頂端，在任何時(shí)候一個(gè)新的Lists加到Access Lists將被放在list的底部你不能移動(dòng)Access Lists里面的line， 如果你想移動(dòng)它你將移動(dòng)全部的list, 最好在編輯它之前拷貝Access Lists到一個(gè)正文編輯。它只例外情況當(dāng)使用名字Access Lists。

除非你在到達(dá)Access Lists的結(jié)束之前獲得許可，所有的數(shù)據(jù)包將會(huì)丟棄，否則你只有關(guān)閉接口了。

建立一個(gè)Access Lists和應(yīng)用它他到一個(gè)接口，任何Access Lists 到接口的將無(wú)法應(yīng)用如果沒(méi)有一個(gè)Access Lists呈遞。

Access Lists是設(shè)計(jì)應(yīng)用到過(guò)濾通過(guò)路由器交通，所以他們只會(huì)過(guò)濾到路由器的數(shù)據(jù)包而不會(huì)過(guò)濾來(lái)自路由器的數(shù)據(jù)包。

把IP standard Access Lists盡量放在接近目標(biāo)的地方

把IP extended Access Lists盡量放在接近來(lái)源的地方
standard IP access lists

這使用來(lái)源IP地址，你使用Access Lists編號(hào)1-99建立一個(gè)standard IP Access Lists

Router(config)# access-list 10 deny ..........

現(xiàn)在有三個(gè)選擇可供使用，你可以使用任何命令去許可或者拒絕任何主機(jī)或者網(wǎng)絡(luò)，     www.net130.com

你可以使用一個(gè)IP地址去指定或者匹配一個(gè)明確的網(wǎng)絡(luò)或者IP主機(jī)，

你可以使用host命令去只指定一個(gè)明確的的主機(jī)

Router(config)# access-list 10 deny host 202.202.202.111

Router(config)# access-list 10 deny 202.202.202.111也可以

Router(config)# access-list 10 deny any 也可以用下面的

Router(config)# access-list 10 deny 0.0.0.0 255.255.255.255     www.net130.com

不過(guò)也有另一個(gè)方法來(lái)指定一個(gè)主機(jī)，你可以使用通配符，去指定一個(gè)網(wǎng)絡(luò)或者一個(gè)子網(wǎng)，你沒(méi)有選擇但可以使用通配符在Access Lists
Wildcards

它是Access Lists指定使用一個(gè)主機(jī)，網(wǎng)絡(luò)，或者一部分網(wǎng)絡(luò)，你需要了解block sizes。block sizes是使用來(lái)指定一個(gè)地址范圍，下面顯示某些不同的block sizes可供使用。     www.net130.com

64 32 16 8 4

當(dāng)你需要指定一個(gè)地址范圍時(shí)，你選擇最接近最大的的block size，如果你需要指定34 networks. 你需要64，如果你要指定18 主機(jī)，你需要32，

202.202.8.0 到 202.202.15.0

15-8=7

7最接近8

所以是202.202.202.8.0

所以是0.0.7.255 從0-7就是8的原因

standard IP Access List example

router(config)#access-list 10 deny 172.16.40.0 0.0.0.255

router(config)#access-list 10 permit any=0.0.0.0 255.255.255.255

訪問(wèn)列表設(shè)完，下面是應(yīng)用到接口     www.net130.com

router(config)#int e0

router(config-if)# ip access-group 10 out

以上結(jié)果是所有從ethernet 0的接，來(lái)自172.16.40.0的數(shù)據(jù)將被停止
extended ip Access List

在標(biāo)準(zhǔn)IP訪問(wèn)列表里，注意到你該如果阻止全部來(lái)自某處的子網(wǎng), 如果你想他們只能獲得訪問(wèn)幾個(gè)服務(wù)器該如何做呢？在標(biāo)準(zhǔn)的訪問(wèn)列表里，你不能允許用戶只用網(wǎng)絡(luò)的一部份，不過(guò)擴(kuò)展IP訪問(wèn)列表可能解決這個(gè)問(wèn)題，它允許你選擇你的IP來(lái)源和目標(biāo)地址，還有可以選擇端口號(hào)碼。

router(config)#access-list 110 deny ?

tcp ...........

ip ..................

在這里你要選擇訪問(wèn)列表類型，這是非常重要的，你一定要明白如果你想使用應(yīng)用程序過(guò)濾，你必須選擇一個(gè)允許你通IOS模式的網(wǎng)絡(luò)協(xié)議項(xiàng)目，實(shí)例1，如果你要過(guò)濾telnet或者ftp，你必須選擇TCP，如果你選擇IP，你將不能離開(kāi)網(wǎng)絡(luò)層，這樣你就不能允許任何更高層的過(guò)濾。

router(config)#access-list 110 deny tcp any host 172.16.30.2 eq 23 ftp

這樣你就防止所有的數(shù)據(jù)包通過(guò)FTP經(jīng)過(guò)23端口到172.16.30.2   

[1] [2] 下一頁(yè)  

文章錄入：csh    責(zé)任編輯：csh 

但這樣其實(shí)你會(huì)拒絕所有的通信，因?yàn)樵L問(wèn)列表里找不到的將全部被拒絕，所以你要     www.net130.com

router(config)#access-list 110 permit ip any any

router(config-if)# ip access-group 110 in

monitoring ip access lists

show access-list : 顯示所有，但看不到訪問(wèn)列表接到哪一種接口

show access-list 110: 顯示110的所有，但看不到訪問(wèn)列表接到哪一種接口

show ip access-list: 只顯示路由器的IP訪問(wèn)列表

show ip interface: 顯示哪一個(gè)接口設(shè)置哪一種訪問(wèn)列表

show run: 顯示所有訪問(wèn)列表和接口
IPX access lists

IPX standard: 過(guò)濾來(lái)源，目標(biāo)，主機(jī)，網(wǎng)絡(luò)號(hào)碼（800-899）       www.net130.com

ipx extended: 過(guò)濾來(lái)源，目標(biāo)，主機(jī)，網(wǎng)絡(luò)號(hào)碼, socket number（900-999)

ipx sap filter:控制SAP交通(100-1099)

IPX standard: router(config)#access-list 810 permit 20 40

router(config)#int e0

router(config-if)#ipx access-group 810 out

ipx extended access-list number permit/deny protocol source socket destination socket

ipx SAP: access-list number permit/deny source service type

access-list 1010 permit -1(=any) 4 sales(=sap server name)

router(config-if)#ipx input-sap-filter(從項(xiàng)目中停止所有的 SAP更新）

router(config-if)#ipx output-sap-filter（停止某些SAP傳出定期的60秒SAP更新）     www.net130.com

verity ipx access list

router#sh ipx int

router#sh ipx access

上一頁(yè)  [1] [2] 

文章錄入：csh    責(zé)任編輯：csh 

最新評(píng)論