思科基礎知識:使用訪問列表管理流量
訪問列表簡介
訪問列表基本上是一系列對包進行分類的條件。一個最常用和最容易理解的使用訪問列表的情況是,實現安全策略時過濾不希望通過的包。
數據包和訪問列表向比較時遵循的重要規則:
1.通常是按順序比較訪問列表的每一行。
2.比較訪問列表的各行直到比較到匹配的一行。
3.在每個訪問列表的***是一行隱含“deny”語句-意味著如果數據包與訪問列表中的所有行都不匹配,將被丟棄。
訪問列表有兩種類型:
1.標準的訪問列表
2.擴展的訪問列表
3.命名的訪問列表(基于標準和擴展之間的)
在一個接口的輸入方向和輸出方向使用不同的訪問列表:
1.輸入型訪問列表 黨訪問列表被應用刀從接口輸入的包時,那些包在被路由到輸出接口之前要經過訪問列表的處理。
2.輸出行訪問列表 當訪問列表被應用到從接口輸出的包時,那些包首先被路由到輸出接口,然后在進入該接口的輸入隊列之前經過訪問列表的處理。
標準的訪問列表
標準的IP訪問列表通過使用IP包中的源IP地址過濾網絡流量。可以使用訪問列表號1-99或130-1999創建標準的訪問列表。一般用號碼區別訪問列表類型。
通配符
通配符和訪問列表一起用來指定一個主機、一個網絡、一個網絡或幾個網絡內的某個范圍。要理解通配符,需要理解什么是塊大小,這里常常指地址范圍。一些有效的塊大小是64、32、16、8和4。簡單的描述,通配符相當于是子網掩碼,不過剛好相反,0表示絕對匹配,1表示任意匹配。
標準的訪問列表舉例:
- Lab_A#config t
- Lab_A(config)#access-list 10 deny 172.16.40.0 0.0.0.255
- Lab_A(config)#access-list 10 permit any
這個訪問控制列表的意思是,拒絕所有172.16.40.0這個網段的數據,其他的數據都允許通過。
擴展的訪問控制列表
擴展的訪問列表允許指定源地址和目的地址,以及表示上層協議或應用的協議和端口號。通過使用擴展的IP訪問列表,可以有效地允許用戶訪問物理LAN的同時不允許訪問特定的主機或甚至那些主機上的特定服務。
擴展的訪問列表舉例:
- Lab_A#config
- Lab_A(config)#access-list 110 deny tcp any host 172.16.30.5 eq 21
- Lab_A(config)#access-list 110 deny tcp any host 172.16.30.5 eq 23
- Lab_A(config)#access-list 110 permit ip any any
***行和第二行意思是,拒絕所有目的地址是172.16.30.5的FTP訪問和Telnet訪問,第三行意思是,允許所有的數據通過。
【編輯推薦】
