訪問列表能使用或者拒絕數(shù)據(jù)包在路由器之間的移動，許可或者拒絕Telnet（VTY）在路由器之間訪問，和建立dial-on demand(DDR), 有意義交通，觸發(fā)撥號到一個遠程位置。

ACCESS LIST   

訪問列表是十分重要條件列表，它控制訪問。強大的工具控制訪問在網(wǎng)段之間，它過濾不需要的數(shù)據(jù)包和實現(xiàn)安全政策，隨著訪問列表，網(wǎng)絡(luò)管理人員將有更大的力量去加強幾乎任何發(fā)明出來的訪問政策，IP 和IPX Access Lists 工件得非常類擬，他都比較過濾的數(shù)據(jù)包，分類,一旦Access Lists建立起來，他們可以應(yīng)用到內(nèi)范圍和外范圍網(wǎng)絡(luò)交通在任何接口，應(yīng)用Access Lists將致使路由器去分析每一的穿過接口的數(shù)據(jù)包在指定方向和行為根據(jù)。

下面是一些當Access Lists開始比較數(shù)據(jù)包的遵循的重要的規(guī)則

它總是按順序比較Access Lists的每一條線看，從線1，線2， 線3

它比較Access Lists的線直到匹配為止，，一旦數(shù)據(jù)包匹配Access Lists，它會遵循，并且比較不再發(fā)生

暗示的拒絕將在Access Lists的底部。它的意思是如果一個數(shù)據(jù)包不有匹配任何Access Lists的線，它將被丟棄

每一個規(guī)則都有某些強大的含義當Access Lists過濾IP和IX數(shù)據(jù)包的時候。

有兩類Access Lists類型使用IP和IPX：

standard Access Lists: 只過濾網(wǎng)絡(luò)來源IP地址，基本上許可或者拒絕全部的協(xié)議，IPX standards可以過濾來源和目標IPX地址

extended access list：它檢查來源和目標IP地址，網(wǎng)絡(luò)層報頭的協(xié)議段，和傳輸層報頭端口編號，IPX extended Access List 使用來源和目標IPX地址，網(wǎng)絡(luò)層報頭的協(xié)議段，和傳輸層報頭socket 編號

一旦你建立了一個Access Lists，你應(yīng)用它到一個inbound or outbound list 接口

inbound Access Lists: 數(shù)據(jù)包路由到outbound接口之前，先通過Access Lists處理。

outbound Access Lists:數(shù)據(jù)包路由到outbound接口然后處理它通過Access Lists。

仍有一些Access Lists方針當建立和實現(xiàn)Access Lists在一個路由器時我們應(yīng)該遵循，你可以只分配一個Access Lists到一個接口，一個協(xié)議，或者一個方向，這個意思是你只能有一個inbound Access Lists和一個ountbound Access Lists在一個接口組織你Access Lists以便更多的明確的測試在Access Lists的頂端，在任何時候一個新的Lists加到Access Lists將被放在list的底部你不能移動Access Lists里面的line， 如果你想移動它你將移動全部的list, 最好在編輯它之前拷貝Access Lists到一個正文編輯。它只例外情況當使用名字Access Lists。

除非你在到達Access Lists的結(jié)束之前獲得許可，所有的數(shù)據(jù)包將會丟棄，否則你只有關(guān)閉接口了。

建立一個Access Lists和應(yīng)用它他到一個接口，任何Access Lists 到接口的將無法應(yīng)用如果沒有一個Access Lists呈遞。

Access Lists是設(shè)計應(yīng)用到過濾通過路由器交通，所以他們只會過濾到路由器的數(shù)據(jù)包而不會過濾來自路由器的數(shù)據(jù)包。

把IP standard Access Lists盡量放在接近目標的地方

把IP extended Access Lists盡量放在接近來源的地方
standard IP access lists

這使用來源IP地址，你使用Access Lists編號1-99建立一個standard IP Access Lists

Router(config)# access-list 10 deny ..........

現(xiàn)在有三個選擇可供使用，你可以使用任何命令去許可或者拒絕任何主機或者網(wǎng)絡(luò)，     www.net130.com

你可以使用一個IP地址去指定或者匹配一個明確的網(wǎng)絡(luò)或者IP主機，

你可以使用host命令去只指定一個明確的的主機

Router(config)# access-list 10 deny host 202.202.202.111

Router(config)# access-list 10 deny 202.202.202.111也可以

Router(config)# access-list 10 deny any 也可以用下面的

Router(config)# access-list 10 deny 0.0.0.0 255.255.255.255     www.net130.com

不過也有另一個方法來指定一個主機，你可以使用通配符，去指定一個網(wǎng)絡(luò)或者一個子網(wǎng)，你沒有選擇但可以使用通配符在Access Lists
Wildcards

它是Access Lists指定使用一個主機，網(wǎng)絡(luò)，或者一部分網(wǎng)絡(luò)，你需要了解block sizes。block sizes是使用來指定一個地址范圍，下面顯示某些不同的block sizes可供使用。     www.net130.com

64 32 16 8 4

當你需要指定一個地址范圍時，你選擇最接近最大的的block size，如果你需要指定34 networks. 你需要64，如果你要指定18 主機，你需要32，

202.202.8.0 到 202.202.15.0

15-8=7

7最接近8

所以是202.202.202.8.0

所以是0.0.7.255 從0-7就是8的原因

standard IP Access List example

router(config)#access-list 10 deny 172.16.40.0 0.0.0.255

router(config)#access-list 10 permit any=0.0.0.0 255.255.255.255

訪問列表設(shè)完，下面是應(yīng)用到接口     www.net130.com

router(config)#int e0

router(config-if)# ip access-group 10 out

以上結(jié)果是所有從ethernet 0的接，來自172.16.40.0的數(shù)據(jù)將被停止
extended ip Access List

在標準IP訪問列表里，注意到你該如果阻止全部來自某處的子網(wǎng), 如果你想他們只能獲得訪問幾個服務(wù)器該如何做呢？在標準的訪問列表里，你不能允許用戶只用網(wǎng)絡(luò)的一部份，不過擴展IP訪問列表可能解決這個問題，它允許你選擇你的IP來源和目標地址，還有可以選擇端口號碼。

router(config)#access-list 110 deny ?

tcp ...........

ip ..................

在這里你要選擇訪問列表類型，這是非常重要的，你一定要明白如果你想使用應(yīng)用程序過濾，你必須選擇一個允許你通IOS模式的網(wǎng)絡(luò)協(xié)議項目，實例1，如果你要過濾telnet或者ftp，你必須選擇TCP，如果你選擇IP，你將不能離開網(wǎng)絡(luò)層，這樣你就不能允許任何更高層的過濾。

router(config)#access-list 110 deny tcp any host 172.16.30.2 eq 23 ftp

這樣你就防止所有的數(shù)據(jù)包通過FTP經(jīng)過23端口到172.16.30.2   

[1] [2] 下一頁  

文章錄入：csh    責任編輯：csh 

但這樣其實你會拒絕所有的通信，因為訪問列表里找不到的將全部被拒絕，所以你要     www.net130.com

router(config)#access-list 110 permit ip any any

router(config-if)# ip access-group 110 in

monitoring ip access lists

show access-list : 顯示所有，但看不到訪問列表接到哪一種接口

show access-list 110: 顯示110的所有，但看不到訪問列表接到哪一種接口

show ip access-list: 只顯示路由器的IP訪問列表

show ip interface: 顯示哪一個接口設(shè)置哪一種訪問列表

show run: 顯示所有訪問列表和接口
IPX access lists

IPX standard: 過濾來源，目標，主機，網(wǎng)絡(luò)號碼（800-899）       www.net130.com

ipx extended: 過濾來源，目標，主機，網(wǎng)絡(luò)號碼, socket number（900-999)

ipx sap filter:控制SAP交通(100-1099)

IPX standard: router(config)#access-list 810 permit 20 40

router(config)#int e0

router(config-if)#ipx access-group 810 out

ipx extended access-list number permit/deny protocol source socket destination socket

ipx SAP: access-list number permit/deny source service type

access-list 1010 permit -1(=any) 4 sales(=sap server name)

router(config-if)#ipx input-sap-filter(從項目中停止所有的 SAP更新）

router(config-if)#ipx output-sap-filter（停止某些SAP傳出定期的60秒SAP更新）     www.net130.com

verity ipx access list

router#sh ipx int

router#sh ipx access

上一頁  [1] [2] 

文章錄入：csh    責任編輯：csh 

最新評論