访问列表可以用于允许或拒绝包通过路由器、允许或拒绝Telnet(VTY)访问路由器、允许或拒绝来自路由器的Telnet访问,以及创建可以出发拨号到远程站点的流量。
访问列表简介
访问列表基本上是一系列对包进行分类的条件。
一个最常用和最容易理解的使用访问列表的情况是,实现安全策略时过滤不希望通过的包。
数据包和访问列表向比较时遵循的重要规则:
1. 通常是按顺序比较访问列表的每一行。
2. 比较访问列表的各行直到比较到匹配的一行。
3. 在每个访问列表的最后是一行隐含“deny”语句-意味着如果数据包与访问列表中的所有行都不匹配,将被丢弃。
访问列表有两种类型:
1. 标准的访问列表
2. 扩展的访问列表
3. 命名的访问列表(基于标准和扩展之间的)
在一个接口的输入方向和输出方向使用不同的访问列表:
1. 输入型访问列表 党访问列表被应用刀从接口输入的包时,那些包在被路由到输出接口之前要经过访问列表的处理。
2. 输出行访问列表 当访问列表被应用到从接口输出的包时,那些包首先被路由到输出接口,然后在进入该接口的输入队列之前经过访问列表的处理。
标准的访问列表
标准的IP访问列表通过使用IP包中的源IP地址过滤 网络流量。可以使用访问列表号1-99或130-1999创建标准的访问列表。一般用号码区别访问列表类型。
通配符
通配符和访问列表一起用来指定一个主机、一个 网络、一个 网络或几个 网络内的某个范围。
要理解通配符,需要理解什么是块大小,这里常常指地址范围。一些有效的块大小是64、32、16、8和4。
简单的描述,通配符相当于是子网掩码,不过刚好相反,0表示绝对匹配,1表示任意匹配。
标准的访问列表举例:
Lab_A#config t
Lab_A(config)#access-list 10 deny 172.16.40.0 0.0.0.255
Lab_A(config)#access-list 10 permit any
这个访问控制列表的意思是,拒绝所有172.16.40.0这个网段的数据
其他的数据都允许通过。
扩展的访问控制列表
扩展的访问列表允许指定源地址和目的地址,以及表示上层协议或应用的协议和端口号。通过使用扩展的IP访问列表,可以有效地允许用户访问物理
LAN的同时不允许访问特定的主机或甚至那些主机上的特定服务。
扩展的访问列表举例:
Lab_A#config
Lab_A(config)#access-list 110 deny tcp any host 172.16.30.5 eq 21
Lab_A(config)#access-list 110 deny tcp any host 172.16.30.5 eq 23
Lab_A(config)#access-list 110 permit ip any any
第一行和第二行意思是,拒绝所有目的地址是172.16.30.5的FTP访问和Telnet访问
第三行意思是,允许所有的数据通过。
访问列表简介
访问列表基本上是一系列对包进行分类的条件。
一个最常用和最容易理解的使用访问列表的情况是,实现安全策略时过滤不希望通过的包。
数据包和访问列表向比较时遵循的重要规则:
1. 通常是按顺序比较访问列表的每一行。
2. 比较访问列表的各行直到比较到匹配的一行。
3. 在每个访问列表的最后是一行隐含“deny”语句-意味着如果数据包与访问列表中的所有行都不匹配,将被丢弃。
访问列表有两种类型:
1. 标准的访问列表
2. 扩展的访问列表
3. 命名的访问列表(基于标准和扩展之间的)
在一个接口的输入方向和输出方向使用不同的访问列表:
1. 输入型访问列表 党访问列表被应用刀从接口输入的包时,那些包在被路由到输出接口之前要经过访问列表的处理。
2. 输出行访问列表 当访问列表被应用到从接口输出的包时,那些包首先被路由到输出接口,然后在进入该接口的输入队列之前经过访问列表的处理。
标准的访问列表
标准的IP访问列表通过使用IP包中的源IP地址过滤 网络流量。可以使用访问列表号1-99或130-1999创建标准的访问列表。一般用号码区别访问列表类型。
通配符
通配符和访问列表一起用来指定一个主机、一个 网络、一个 网络或几个 网络内的某个范围。
要理解通配符,需要理解什么是块大小,这里常常指地址范围。一些有效的块大小是64、32、16、8和4。
简单的描述,通配符相当于是子网掩码,不过刚好相反,0表示绝对匹配,1表示任意匹配。
标准的访问列表举例:
Lab_A#config t
Lab_A(config)#access-list 10 deny 172.16.40.0 0.0.0.255
Lab_A(config)#access-list 10 permit any
这个访问控制列表的意思是,拒绝所有172.16.40.0这个网段的数据
其他的数据都允许通过。
扩展的访问控制列表
扩展的访问列表允许指定源地址和目的地址,以及表示上层协议或应用的协议和端口号。通过使用扩展的IP访问列表,可以有效地允许用户访问物理
LAN的同时不允许访问特定的主机或甚至那些主机上的特定服务。
扩展的访问列表举例:
Lab_A#config
Lab_A(config)#access-list 110 deny tcp any host 172.16.30.5 eq 21
Lab_A(config)#access-list 110 deny tcp any host 172.16.30.5 eq 23
Lab_A(config)#access-list 110 permit ip any any
第一行和第二行意思是,拒绝所有目的地址是172.16.30.5的FTP访问和Telnet访问
第三行意思是,允许所有的数据通过。
转载于:https://blog.51cto.com/drops/383089
2283
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
