思科交換機訪問列表大解密

cisco路由器中的access-list（訪問列表）最基本的有兩種，分別是標準訪問列表和擴充套件訪問列表，二者的區別主要是前者是基於目標位址的資料報過濾，而後者是基於目標位址、源位址和網路協議及其埠的資料報過濾。

www.2cto.com

（1）標準型ip訪問列表的格式

---- 標準型ip訪問列表的格式如下：

---- access-list[list number][permit|deny][source address]

---- [address][wildcard mask][log]

---- 下面解釋一下標準型ip訪問列表的關鍵字和引數。首先，在access和list這2個關鍵字之間必須有乙個連字元"-"；其次，list number的範圍在0～99之間，這表明該access-list語句是乙個普通的標準型ip訪問列表語句。因為對於cisco ios，在0～99之間的數字指示出該訪問列表和ip協議有關，所以list number引數具有雙重功能: （1）定義訪問列表的操作協議; （2）通知ios在處理access-list語句時，把相同的list number引數作為同一實體對待。正如本文在後面所討論的，擴充套件型ip訪問列表也是通過list number（範圍是100～199之間的數字）而表現其特點的。因此，當運用訪問列表時，還需要補充如下重要的規則: 在需要建立訪問列表的時候，需要選擇適當的list number引數。

---- （2）允許/拒絕資料報通過

---- 在標準型ip訪問列表中，使用permit語句可以使得和訪問列表專案匹配的資料報通過介面，而deny語句可以在介面過濾掉和訪問列表專案匹配的資料報。source address代表主機的ip位址，利用不同掩碼的組合可以指定主機。

---- 為了更好地了解ip位址和萬用字元掩碼的作用，這裡舉乙個例子。假設您的公司有乙個分支機構，其ip位址為c類的192.46.28.0。在您的公司，每個分支機構都需要通過總部的路由器訪問internet。要實現這點，您就可以使用乙個萬用字元掩碼 0.0.0.255。因為c類ip位址的最後一組數字代表主機，把它們都置1即允許總部訪問網路上的每一台主機。因此，您的標準型ip訪問列表中的 access-list語句如下：

---- access-list 1 permit 192.46.28.0 0.0.0.255

---- 注意，萬用字元掩碼是子網掩碼的補充。因此，如果您是網路高手，您可以先確定子網掩碼，然後把它轉換成可應用的萬用字元掩碼。這裡，又可以補充一條訪問列表的規則5。

---- （3）指定位址

---- 如果您想要指定乙個特定的主機，可以增加乙個萬用字元掩碼0.0.0.0。例如，為了讓來自ip位址為192.46.27.7的資料報通過，可以使用下列語句：

---- access-list 1 permit 192.46.27.7 0.0.0.0

---- 在cisco的訪問列表中，使用者除了使用上述的萬用字元掩碼0.0.0.0來指定特定的主機外，還可以使用"host"這一關鍵字。例如，為了讓來自ip位址為192.46.27.7的資料報通過，您可以使用下列語句：

---- access-list 1 permit host 192.46.27.7

---- 除了可以利用關鍵字"host"來代表萬用字元掩碼0.0.0.0外，關鍵字"any"可以作為源位址的縮寫，並代表萬用字元掩碼0.0.0.0 255.255.255.255。例如，如果希望拒絕來自ip位址為192.46.27.8的站點的資料報，可以在訪問列表中增加以下語句：

---- access-list 1 deny host 192.46.27.8

---- access-list 1 permit any

---- 注意上述2條訪問列表語句的次序。第1條語句把來自源位址為192.46.27.8的資料報過濾掉，第2條語句則允許來自任何源位址的資料報通過訪問列表作用的介面。如果改變上述語句的次序，那麼訪問列表將不能夠阻止來自源位址為192.46.27.8的資料報通過介面。因為訪問列表是按從上到下的次序執行語句的。這樣，如果第1條語句是:

---- access-list 1 permit any www.2cto.com

---- 的話，那麼來自任何源位址的資料報都會通過介面。

---- （4）拒絕的奧秘

---- 在預設情況下，除非明確規定允許通過，訪問列表總是阻止或拒絕一切資料報的通過，即實際上在每個訪問列表的最後，都隱含有一條"deny any"的語句。假設我們使用了前面建立的標準ip訪問列表，從路由器的角度來看，這條語句的實際內容如下：

---- access-list 1 deny host 192.46.27.8

---- access-list 1 permit any

---- access-list 1 deny any

---- 在上述例子裡面，由於訪問列表中第2條語句明確允許任何資料報都通過，所以隱含的拒絕語句不起作用，但實際情況並不總是如此。例如，如果希望來自源位址為 192.46.27.8和192.46.27.12的資料報通過路由器的介面，同時阻止其他一切資料報通過，則訪問列表的**如下：

---- access-list 1 permit host 192.46.27.8

---- access-list 1 permit host 192.46.27.12

---- 注意，因為所有的訪問列表會自動在最後包括該語句.

---- 順便討論一下標準型ip訪問列表的引數"log"，它起日誌的作用。一旦訪問列表作用於某個介面，那麼包括關鍵字"log"的語句將記錄那些滿足訪問列表中"permit"和"deny"條件的資料報。第乙個通過介面並且和訪問列表語句匹配的資料報將立即產生乙個日誌資訊。後續的資料報根據記錄日誌的方式，或者在控制台上顯示日誌，或者在記憶體中記錄日誌。通過cisco ios的控制台命令可以選擇記錄日誌方式。

擴充套件型ip訪問列表 www.2cto.com

---- 擴充套件型ip訪問列表在資料報的過濾方面增加了不少功能和靈活性。除了可以基於源位址和目標位址過濾外，還可以根據協議、源埠和目的埠過濾，甚至可以利用各種選項過濾。這些選項能夠對資料報中某些域的資訊進行讀取和比較。擴充套件型ip訪問列表的通用格式如下：

---- access-list[list number][permit|deny]

---- [protocol|protocol key word]

---- [source address source-wildcard mask][source port]

---- [destination address destination-wildcard mask]

---- [destination port][log options]

---- 和標準型ip訪問列表類似，"list number"標誌了訪問列表的型別。數字100～199用於確定100個惟一的擴充套件型ip訪問列表。"protocol"確定需要過濾的協議，其中包括ip、tcp、udp和icmp等等。

---- 如果我們回顧一下資料報是如何形成的，我們就會了解為什麼協議會影響資料報的過濾，儘管有時這樣會產生***。圖2表示了資料報的形成。請注意，應用資料通常有乙個在傳輸層增加的字首，它可以是tcp協議或udp協議的頭部，這樣就增加了乙個指示應用的埠標誌。當資料流入協議棧之後，網路層再加上乙個包含位址資訊的ip協議的頭部。

由於ip頭部傳送tcp、udp、路由協議和icmp協議，所以在訪問列表的語句中，ip協議的級別比其他協議更為重要。但是，在有些應用中，您可能需要改變這種情況，您需要基於某個非ip協議進行過濾

---- 為了更好地說明，下面列舉2個擴充套件型ip訪問列表的語句來說明。假設我們希望阻止tcp協議的流量訪問ip位址為192.78.46.8的伺服器，同時允許其他協議的流量訪問該伺服器。那麼以下訪問列表語句能滿足這一要求嗎？

---- access-list 101 permit host 192.78.46.8

---- access-list 101 deny host 192.78.46.12

---- 回答是否定的。第一條語句允許所有的ip流量、同時包括tcp流量通過指定的主機位址。這樣，第二條語句將不起任何作用。

思科交換機訪問列表大解密

思科交換機配置試題思科交換機RACL用法與配置

思科交換機配置試題思科交換機配置命令

思科交換機ACL

思科交換機訪問列表大解密

思科交換機配置試題 思科交換機RACL用法與配置

思科交換機配置試題 思科交換機配置命令

思科 交換機ACL

相關推薦

思科交換機配置試題思科交換機RACL用法與配置

思科交換機配置試題思科交換機配置命令

思科交換機ACL