日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

路由器與交換機(jī)的訪問控制列表( 二 )

云知道



---- Access-list 1 permit any

---- 的話,那么來自任何源地址的數(shù)據(jù)包都會(huì)通過接口 。

---- (4)拒絕的奧秘

---- 在默認(rèn)情況下,除非明確規(guī)定允許通過,訪問列表總是阻止或拒絕一切數(shù)據(jù)包的通過,即實(shí)際上在每個(gè)訪問列表的最后,都隱含有一條"deny any"的語句 。假設(shè)我們使用了前面創(chuàng)建的標(biāo)準(zhǔn)IP訪問列表,從路由器的角度來看,這條語句的實(shí)際內(nèi)容如下:

---- access-list 1 deny host 192.46.27.8
---- access-list 1 permit any
---- access-list 1 deny any

---- 在上述例子里面,由于訪問列表中第2條語句明確允許任何數(shù)據(jù)包都通過,所以隱含的拒絕語句不起作用,但實(shí)際情況并不總是如此 。例如,如果希望來自源地址為192.46.27.8和192.46.27.12的數(shù)據(jù)包通過路由器的接口,同時(shí)阻止其他一切數(shù)據(jù)包通過,則訪問列表的代碼如下:

---- access-list 1 permit host 192.46.27.8
---- access-list 1 permit host 192.46.27.12

---- 注意,因?yàn)樗械脑L問列表會(huì)自動(dòng)在最后包括該語句.

---- 順便討論一下標(biāo)準(zhǔn)型IP訪問列表的參數(shù)"log",它起日志的作用 。一旦訪問列表作用于某個(gè)接口,那么包括關(guān)鍵字"log"的語句將記錄那些滿足訪問列表中"permit"和"deny"條件的數(shù)據(jù)包 。第一個(gè)通過接口并且和訪問列表語句匹配的數(shù)據(jù)包將立即產(chǎn)生一個(gè)日志信息 。后續(xù)的數(shù)據(jù)包根據(jù)記錄日志的方式,或者在控制臺(tái)上顯示日志,或者在內(nèi)存中記錄日志 。通過Cisco IOS的控制臺(tái)命令可以選擇記錄日志方式 。

擴(kuò)展型IP訪問列表

---- 擴(kuò)展型IP訪問列表在數(shù)據(jù)包的過濾方面增加了不少功能和靈活性 。除了可以基于源地址和目標(biāo)地址過濾外,還可以根據(jù)協(xié)議、源端口和目的端口過濾,甚至可以利用各種選項(xiàng)過濾 。這些選項(xiàng)能夠?qū)?shù)據(jù)包中某些域的信息進(jìn)行讀取和比較 。擴(kuò)展型IP訪問列表的通用格式如下:

---- access-list[list number][permit|deny]
---- [protocol|protocol key word]
---- [source address source-wildcard mask][source port]
---- [destination address destination-wildcard mask]
---- [destination port][log options]

---- 和標(biāo)準(zhǔn)型IP訪問列表類似,"list number"標(biāo)志了訪問列表的類型 。數(shù)字100~199用于確定100個(gè)惟一的擴(kuò)展型IP訪問列表 。"protocol"確定需要過濾的協(xié)議,其中包括IP、TCP、UDP和ICMP等等 。

---- 如果我們回顧一下數(shù)據(jù)包是如何形成的,我們就會(huì)了解為什么協(xié)議會(huì)影響數(shù)據(jù)包的過濾,盡管有時(shí)這樣會(huì)產(chǎn)生副作用 。圖2表示了數(shù)據(jù)包的形成 。請注意,應(yīng)用數(shù)據(jù)通常有一個(gè)在傳輸層增加的前綴,它可以是TCP協(xié)議或UDP協(xié)議的頭部,這樣就增加了一個(gè)指示應(yīng)用的端口標(biāo)志 。當(dāng)數(shù)據(jù)流入?yún)f(xié)議棧之后,網(wǎng)絡(luò)層再加上一個(gè)包含地址信息的IP協(xié)議的頭部 。
【路由器與交換機(jī)的訪問控制列表】由于IP頭部傳送TCP、UDP、路由協(xié)議和ICMP協(xié)議,所以在訪問列表的語句中,IP協(xié)議的級(jí)別比其他協(xié)議更為重要 。但是,在有些應(yīng)用中,您可能需要改變這種情況,您需要基于某個(gè)非IP協(xié)議進(jìn)行過濾

---- 為了更好地說明,下面列舉2個(gè)擴(kuò)展型IP訪問列表的語句來說明 。假設(shè)我們希望阻止TCP協(xié)議的流量訪問IP地址為192.78.46.8的服務(wù)器,同時(shí)允許其他協(xié)議的流量訪問該服務(wù)器 。那么以下訪問列表語句能滿足這一要求嗎?

---- access-list 101 permit host 192.78.46.8
---- access-list 101 deny host 192.78.46.12

---- 回答是否定的 。第一條語句允許所有的IP流量、同時(shí)包括TCP流量通過指定的主機(jī)地址 。這樣,第二條語句將不起任何作用 ??墒?,如果改變上面2條語句的次序

推薦閱讀