ACCESS-LIST 访问列表 一、 访问列表的介绍 路由器中的访问列表可以实现网络允许或拒绝的访问请求。相当于网络中防火墙功能。 思科路由器中的访问列表包括两种:标准型访问控制列表 与 扩展型访问控制列表。 通过先在全局模式下建立访问控制列表,然后再将控制列表在路由器指定接口指定数据流向上,即可完成拒绝或允许。 网络上的防火墙有两种: 一种包过滤, 另一种是应用层网关。 思科路由器的访问列表,属于包过滤型防火墙,其可以对数据包中的发送端地址、发送端端口、接收端端口、网络协议等进行检测与判定。 访问列表并不能完全抵御所有入侵,因此在网络中,各计算机仍需要建立相应保护措施。 二、 访问列表的数据流向 入站访问控制列表——通过某一个接口进入路由器的数据流,该列表会作用在该类数据流上 出站访问控制列表——通过某一个接口离开路由器的数据流,访问控制列表会作用在该类数据流上。 注意在路由器的任何一个网络接口上均会存在两类访问列表即出站与入站 三、路由器访问列表的两种类型 从访问列表的检测项目进行分类 1.标准型访问控制列表: 它的访问控制列表编号范围是 1—99,并且只能检测数据包中的发送端地址。 2.扩展型访问控制列表:该类访问控制列表编号范围 100—199,并且该类列表可以检测,发送端目标地址\发送端与目标端端口\使用网络协议. 四、访问控制列表对数据包检测方法: 有 有 无 无 五、标准型访问控制列表的配置方法: 1、访问控制列表的配置步骤: 确保网络全部连通 在路由器全局配置模式下建立标准型访问控制列表。 将在全局模式下建立的访问列表绑定到某一个指定接口的指定数据流向上。 2、访问控制列表的配置命令: 数据包 检测路由协议 丢弃 有 无 访 问 控 制 列表 发送 有 无 通 过 的 列 表项 在路由器全局配置模式下建立访问控制列表 access-list 标准访问控制列表的编号 动作 源地址 说明:标准访问列表的编号为1~99; 动作即包括,permit 与deny,允许与拒绝 源地址:指出满足该访问列表的发送端地址,格式如下: 一个单独的IP——192.168.1.1 0.0.0.0 一个单独的IP——host 192.168.1.1 一个指定的网络——192.168.2.0 0.0.0.255 一个指定的网络——192.168.3.32 0.0.0.31 所有网络——0.0.0.0 255.255.255.255 所有网络——any 注意的是这里的后一个位置不是子网掩码,而是子网掩码通配符。它主要用于规定 IP ...
