访问表专题

来源：互联网收集：梦幻网络本站网址：www.7139.com 点击数：【字体：减小增大】

　　一)标准的 IP Access-list 若选用中的任意一个号码即表示一个标准的Ip Access-list 产生,标准的IP Acces=list 只对数据包中的IP源地址进行检查限制,因此若要应用一个标准的IP Access-list,我建议将其配置在一个目的端的路由器上.
　　
　　(二)扩展的IP Access-list 当你要对目的地址,高层协议,高层服务等进行过滤,则需要配置扩展的IP Access-list .其范围号码是, 一般来说,在一个源端的路由器上进行此配置.其中,在配置完access-list type 后,你要选一个协议,在这里如果你选了IP,这将表示你的路由器不会对高层的协议或服务进行过滤.所以IP一般要慎选.
　　
　　例:
　　
　　/***********************************************************/
　　
　　RouterA(config)#access-list ?
　　
　　 IP standard access list
　　
　　 IP extended access list
　　
　　 IPX SAP access list
　　
　　 Extended 48-bit MAC address access list
　　
　　 IPX summary address access list
　　
　　 Protocol type-code access list
　　
　　 DECnet access list
　　
　　 XNS standard access list
　　
　　 XNS extended access list
　　
　　 Appletalk access list
　　
　　 48-bit MAC address access list

　　
　　 IPX standard access list
　　
　　 IPX extended access list
　　
　　/***********************************************************/
　　
　　RouterA(config)#access-list 110 ?
　　
　　deny Specify packet
　　
　　dynamic Specify a DYNAMIC list of PERMITs or DENYs
　　
　　permit Specify packets to forward
　　
　　/***********************************************************/
　　
　　RouterA(config)#access-list 110 deny ?
　　
　　An IP protocol number
　　
　　eigrp Cisco's EIGRP routing protocol
　　
　　gre Cisco's GRE tunneling
　　
　　icmp Internet Control Message Protocol
　　
　　igmp Internet Gateway Message Protocol
　　
　　igrp Cisco's IGRP routing protocol
　　
　　ip Any Internet Protocol
　　
　　ipinip IP in IP tunneling
　　
　　nos KA9Q NOS compatible IP over IP tunneling
　　
　　ospf OSPF routing protocol
　　
　　tcp Transmission Control Protocol
　　
　　udp User Datagram Protocol
　　
　　/***********************************************************/
　　
　　RouterA(config)#access-list 110 deny tcp ?

本篇文章共5页，此页为首页下一页

　　
　　A.B.C.D Source address
　　
　　any Any source host
　　
　　host A single source host
　　
　　tcp Transmission Control Protocol
　　
　　udp User Datagram Protocol
　　
　　/***********************************************************/
　　
　　RouterA(config)#access-list 110 deny tcp any ?
　　
　　A.B.C.D Destination address
　　
　　any Any destination host
　　
　　eq Match only packets on a given port number
　　
　　gt Match only packets with a greater port number
　　
　　host A single destination host
　　
　　lt Match only packets with a lower port number
　　
　　neq Match only packets not on a given port number
　　
　　range Match only packets in the range of port numbers
　　
　　/***********************************************************/
　　
　　RouterA(config)#access-list 110 deny tcp any host
　　
　　172.16.30.2 ?
计算机教程访问表专题来自www.itwen.comIT WEN计算机教程网

　　
　　eq Match only packets on a given port number
　　
　　established Match established connections
　　
　　fragments Check fragments
　　
　　gt Match only packets with a greater port
　　
　　number
　　
　　log Log matches against this entry
　　
　　log-input Log matches against this entry,including
　　
　　inputinterface
　　
　　lt Match only packets with a lower port number
　　
　　neq Match only packets not on a given port
　　
　　number
　　
　　precedence Match packets with given precedence value
　　
　　range Match only packets in the range of port
　　
　　numbers
　　
　　tos Match packets with given TOS value
　　
　　
　　
　　/***********************************************************/
　　
　　RouterA(config)#access-list 110 deny tcp any host
　　
　　172.16.30.2 eq ?
　　
　　 Port number
　　
　　bgp Border Gateway Protocol (179)
　　
　　chargen Character generator (19)
　　
　　cmd Remote commands (rcmd,51 4)
　　
　　daytime Daytime (13)
　　
　　discard Discard (9)
　　

本篇文章共5页，此页为第2 页上一页下一页

　　domain Domain Name Service (53)
　　
　　echo Echo (7)
　　
　　/***********************************************************/
　　
　　RouterA(config)#access-list 110 deny tcp any host
　　
　　172.16.30.2 eq 23 log
　　
　　exec Exec (rsh,512)
　　
　　finger Finger (79)
　　
　　ftp File Transfer Protocol (21)
　　
　　ftp File Transfer Protocol (21)
　　
　　gopher Gopher (70)
　　
　　hostname NIC hostname server (101)
　　
　　ident Ident Protocol (113)
　　
　　irc Internet Relay Chat (194)
　　
　　klogin Kerberos login (543)
　　
　　kshell Kerberos shell (544)
　　
　　login Login (rlogin,513)
　　
　　lpd Printer service (515)
　　
　　nntp Network News Transport Protocol (119)
　　
　　pop2 Post Office Protocol v2 (109)
　　
　　pop3 Post Office Protocol v3 (110)
　　
　　smtp Simple Mail Transport Protocol (25)

　　
　　sunrpc Sun Remote Procedure Call (111)
　　
　　syslog Syslog (514)
　　
　　tacacs TAC Access Control System (49)
　　
　　talk Talk (517)
　　
　　telnet Telnet (23)
　　
　　time Time (37)
　　
　　uucp Unix-to-Unix Copy Program (540)
　　
　　whois Nicname (43)
　　
　　www World Wide Web (HTTP,80)
　　
　　最后不要忘了在端口激活这个Access-list,否则它是不会起作用的!
　　
　　RouterA(config-if)#ip access-group 110 in
　　
　　or
　　
　　RouterA(config-if)#ip access-group 110 out访问表的包过滤规则：
　　
　　1、标准包过滤该种包过滤只对数据包中的源地址进行检查
　　
　　2、扩展包过滤该种包过滤对数据包中的源地址，目的地址，协议及端口号进行检查。
　　
　　包过滤功能配置
　　
　　1、定义标准包过滤规则，在全局配置状态下access-list 标识号码 deny 或permit 源地址通配符或在全局配置状态下，定义扩展包过滤规则access-list 标识号码 deny或permit 协议标识源地址通配符目地地址通配符。
　　
　　可以在指定范围内任意选择一个标识号码定义相应的包过滤规则，deny参数表示禁止，pernit表示允许。通配符也为32位二进制数字，并与相应的地址一一对应。路由器将检查与通配符中的“0”（2进制）位置一样的地址位，对于通配符中“1”（2进制）位置一致的地址位，将忽略不检查。
　　
　　一个包过滤规则可以包含一系列检查条件，即可以用同一标识号码定义一系列access-list语句，路由器将从最先定义的条件开始依次检查，如数据包满足某个条件，路由器将不再执行下面的包过滤条件，如果数据包不满足规则中的所有条件，Cisco路由器缺省为禁止该数据包，即丢掉该数据包。
　　
　　2、在需要包过滤功能的端口，引出包过滤规则

本篇文章共5页，此页为第3页上一页下一页

　　
　　ip access-group包过滤规则标识号in或out，其中in 表示对进入该端口的数据包进行检查，out表示对要从该端口送出的数据包进行检查。如果不进行步骤2的配置，则所定义的包过滤规则根本不会执行。
　　
　　实例：
　　Currrent configuration:
　　
　　!
　　
　　version 11.3
　　
　　no service password-encryption
　　
　　!
　　
　　hostname 2511-1
　　
　　!
　　
　　enable password cisco
　　
　　!
　　
　　username 2505 password 0 cisco
　　
　　no ip domain-lookup
　　
　　!
　　
　　interface Ethernet0
　　
　　ip address 192.4.1.1 255.255.255.0
　　
　　ip access-group 101 in
　　
　　ip security dedicated confidential genser
　　
　　no ip security add
　　
　　ip security implicit-labelling
　　
　　!
　　
　　interface Serial0
　　
　　ip address 192.3.1.1 255.255.255.0
　　
　　ip access-group 1 in
　　
　　!引用标准包过滤规则1，禁止外部的用户采用IP欺骗的方式进入本地局域网
　　
　　ip security dedicated confidential genser

　　
　　encapsulation frame-relay IETF
　　
　　ip ospf message-digest-key 1 md5 kim
　　
　　no ip mroute-cache
　　
　　bandwidth 2000
　　
　　frame-relay map ip 192.3.1.2 100 broadcast
　　
　　frame-relay lmi-type cisco
　　
　　!
　　
　　interface Seriall
　　
　　ip address 192.7.1.1 255.255.255.0
　　
　　ip access-group 1 in
　　
　　ip security dedicated confidential genser
　　
　　encapsulation ppp
　　
　　ip ospf message-digest-key 1 md5 kim
　　
　　ip ospf network non-broadcast
　　
　　bandwidth 64
　　
　　ppp authentication chap
　　
　　!
　　
　　router ospf 1
　　
　　passive - interface Ethernet0
　　
　　network 192.3.1.0 0.0.0.255 area 0
　　
　　network 192.4.1.0 0.0.0.255 area 0
　　
　　network 192.7.1.0 0.0.0.255 area 0
　　
　　neighbor 192.7.1.2 priority 1
　　
　　neighbor 192.3.1.2 priority 1
　　
　　area 0 authentication message-digest
　　
　　!
　　
　　no ip classless
　　
　　access-list 1 deny 192.4.1.0 0.0.0.255
　　
　　access-list 1 permit any
　　
　　!定义标准包过滤，禁止192.1.4.0网段使用IP网络

本篇文章共5页，此页为第4页上一页下一页

　　
　　access-list 101 permit ip host 192.4.1.20 any
　　
　　access-list 101 deny icmp any any
　　
　　!定义扩展包过滤规则只允许192.4.1.20的单机使用ping，其他所有计算机都不允许使用
　　
　　！ping 。这台计算机为网管计算机。
　　
　　access-list 101 deny tcp any host 192.4.1.1
　　
　　access-list 101 deny tcp any host 192.7.1.1
　　
　　access-list 101 deny tcp any host 192.3.1.1
　　
　　access-list 101 permit ip 192.4.1.0 0.0.0.255 any
　　
　　!
　　
　　line con 0
　　
　　line 1 8
　　
　　line aux 0
　　
　　line vty 0 4
　　
　　password cisco
　　
　　login
　　
　　!
　　
　　end
　　
　　

本篇文章共5页，此页为末页首页

【更新时间：2006-7-14 3:39:46】【打印此文】【关闭窗口】

上一篇教程：关于mutlicast原理

下一篇教程： routing中文笔记

搜索

高级

【操作系统】	Windows9.x WindowsMe Windows2000 WindowsXP Windows2003 DOS系统 Linux MacOS X FreeBSD Solaris SCO UNIX AIX 注册表
【网络冲浪】	网页浏览邮件工具上传下载联络聊天局域网网络技术网络安全通信网络
【办公软件】	Word Excel Powerpoint Outlook Wps 精文荟萃工具软件
【网页设计】	Frontpage Dreamweaver HtmlCss Script ASP PHP JSP CGI ASP.NET Web服务器经验技巧
【图形图象】	Photoshop Fireworks CORELDRAW FLASH 3DMAX Illustrator AutoCAD ULEAD Painter
【认证考试】	微软思科 Macrmedia Adobe ORACLE SUN 软件水平考试全国等级考试
【程序设计】	Java语言 C#语言 VCVB C C语言汇编语言 Delphi Uml PowerBuiler
【数据库】	Access Mssql Mysql Oracle FoxPro DB2 Sybase
【其它文章】	电子商务机械电子游戏开发论坛搭建硬件维修使用教程视频处理业界资讯