標準訪問控制列表概況
標準列表的規則序列號的範圍為:1∼99。
標準列表只使用 1 個條件判別數據包:數據包的源地址。
標準訪問列表可以指定一個源地址段,這是由 IP 地址和地址通配符組合定義的一個地址段。
標準訪問控制列表的命令配置
此格式表示:允許或拒絕來自指定網絡的數據包,該網絡由IP位址(ip-address)和地址通配掩碼位(wildcard-mask)指定。其中:
normal 和 special 表示該規則是在普通時間段中有效還是在特殊時間段中有效。
listnumber 為規則序號,標準訪問列表的規則序號範圍為 1-99。
permit 和 deny 表示允許或禁止滿足該規則的數據包通過。
ip-address 和 wildcard-mask 分別為 IP 地址和通配比較位,用來指定某個網絡。如果 IP 地址指定為 any ,則表示所有 IP 地址,而且不需配置指定相應的通配位(通配位預設為 0.0.0.0 )。
擴展訪問控制列表概況
擴展列表使用數據包的源地址的同時,還使用目的地址,和協議號(TCP、UDP 等)。
對於TCP、UDP 協議可以同時使用目的埠號。
例如,利用擴展列表可以描述「從 202.110.10.0/24 的網段到 110.10.10.0/24 的網段的所有IP數據包是被拒絕的」,或者「從202.110.10.0/24 網段到110.10.10.0/24 網段的所有 Telnet(使用 TCP 協議的 23 埠)訪問是被拒絕的」。它們到底如何表示?我們將從具體配置命令來入手來介紹。
擴展訪問控制列表的配置命令
Normal 和 special 表示該規則是在普通時間段生效還是在特殊時間段有效,預設的情況是在普通時間段。
Listnumber 為規則序號,擴展訪問列表的規則序號範圍為 100-199。
Permit 和 deny 表示允許或禁止滿足該規則的數據包通過。
Protocol 可以指定為 0-255 之間的任一協議號(如1 表示 ICMP 協議),對於常見協議(如 TCP 和 UDP、ICMP),可以直觀地指定協議名,若指定為 IP ,則該規則對所有IP包均起作用。
source -addr 和 source-mask 分別為源地址和源地址的通配符。
Dest-addr 和 dest-mask 分別為目的地址和目的地址的通配符。如果 IP 地址指定為 any ,則表示所有 IP 地址,而且不需配置指定相應的通配位(通配位預設為0.0.0.0) 。
operator port1 - port2 用於指定埠範圍,預設為全部埠號0-65535,只有 TCP 和 UDP 協議需要指定埠範圍。operate 的意義如下頁表所示。
擴展訪問列表的操作符 operate 定義
在指定portnumber時,對於常用的埠號可以使用「助記符」代替。如FTP、Telnet 等。
下列表格所列為可能用到的各類埠號與助記符的對照表,供參照*。
對於 ICMP 協議可以指定 ICMP 報文類型,預設為全部 ICMP 報文。指定ICMP報文類型時,可以用數字(0-255),也可以用助記符。助記符如下:
擴展訪問控制列表的舉例
多條規則的組合
可以使用相同的序號,建立多條規則,構成一個訪問控制列表。
對於兩條有衝突的規則或是有地址重疊的情況,判斷的依據是「深度」,也就是描述的地址範圍越小的,將會優先考慮。例如:
access-list 1 permit 202.38.160.0 0.0.255.255
access-list 1 deny 202.38.160.0 0.0.0.255
對於 202.38.160.23 這樣的地址,訪問列表是認為是拒絕的。因為第二條指定的地址範圍小。
訪問列表的生效
為了使訪問控制列表生效,將訪問控制列表定義在接口上。
具體命令配置如下頁所示。
訪問列表在接口生效的命令配置