在日常工作中,在安全控制中,应用一些必要的访问策略来限制非授权的访问时十分必要的。使用方便的访问列表也许是最佳选择之一。要熟练的用应用访问列表。那么则需要掌握各种访问列表。下面主要从两类访问列表来总结:
1.标准访问列表
2.扩展访问列表
首先讨论标准访问列表的一些基本知识,它的应用范围及应该注意的事项。
1.标准访问列表。
如何创建?BT无线网络破解教程Access-list list numberdeny/permit source address wildcard mask log
list number的范围在标准访问列表中是1-99,这个范围的列表号表明它于IP协议有关。标准访问列表主要基于目标地址的数据包的过滤。source address就是要控制的目标地址,wildcard mask是通配符掩码,就是是子网掩码的补充,它的计算方法可以根据子网掩码计算,比如子网掩码是255.255.255.192,那么此4个十进制点隔 的地址依次减去255,即可得0.0.0.64,所谓的通配符掩码。0表示必许匹配条件。思科学习视频资料下载中心针对目标网络或者目标主机要创建一条标准列表,该如何实施呢?首先要清楚,在访问列表的最低端默认隐藏着deny any的策略。
如:access-list 1 permit 10.2.11.0 0.0.0.255 log 就是允许来自网络10.2.11.0的数据包通过,并在缓存中记录日志。
access-list 2 deny host 10.2.11.50 思科路由器配置拒绝来自主机10.2.11.50上的数据包,其中host关键字等价于通配符码为0.0.0.0
access-list 2 permit any
2.扩展访问列表
扩展访问列表可以基于源地址,思科路由器交换机模拟软件目标地址,源端口,目标端口,使用的网络协议(tcp,udp,icmp,ftp,http)来实现数据包的过滤和访问限制。
格式:access-list list number permit/deny [protocol]prototol-keyword[source address wildcard mask][source-port] [destination- address wildcard mask][destination-port][log option]
扩展访问列表的列表号范围100-199.在交换机或者路由器上维护访问列表,要删掉其中的访问列表,要特别注意,如果你的列表是标准访问列表,当你使用 no access-list命令时,会将所有的访问列表清除。而扩展访问列表不存在这种不方便。你尽可使用no access-list list-number进行删除。
如何创建?access-list 101 permit protocol tcp any 10.1.1.0 0.0.0.255
access-list 102 permit protocol tcp any 198.61.12.50 0.0.0.0 eq smtp 允许任何主机的tcp报文到达特定主机198.61.12.50的smtp端口
access-list 102 permit protocol tcp any 198.61.12.8 0.0.0.0 eq www 允许任何主机的tcp报文到达特定主机198.61.12.8的http服务端口(80)端口。
3.创建了两类列表如何将之应用呢?
必须清楚要将列表应用到那些接口。如interface vlan 2
ip access-group 101 in
或者 interface serial 1
ip access-group 102 in
51cto.com/a/luyoujiaohuan/index.html
http://www.net527.com
Linux 系统
