您现在的位置 : 路由人 > 路由器设置 > 正文 IP地址冲突 路由人教你更换IP地址 / 如何防蹭网的终极解决办法 / 连接上192.168.1.1没有账号、密码输入框 /

介绍磊科路由访问列表命令

路由器的访问列表是用来针对一些进出路由器或交换机的服务,某个IP地址的分组从路由器或交换机的特定端口出发做访问控制,本质上是一系列对包进行分类的条件,本篇为大家介绍关于访问列表的一些命令。一、磊科路...

路由器的访问列表是用来针对一些进出路由器或交换机的服务,某个IP地址的分组从路由器或交换机的特定端口出发做访问控制,本质上是一系列对包进行分类的条件,本篇为大家介绍关于访问列表的一些命令。


 

一、磊科路由中的访问列表最基本的有两种,分别是标准访问列表和扩展访问列表,二者的区别主要是前者是基于目标地址的数据包过滤,而后者是基于目标地址、源地址和网络协议及其端口的数据包过滤。

1、标准型IP访问列表的格式,下面解释一下标准型IP访问列表的关键字和参数,在access和list这2个关键字之间必须有一个连字符"-",其次,list number的范围在0~99之间,这表明该access-list语句是一个普通的标准型IP访问列表语句。因为对于Cisco IOS,在0~99之间的数字指示出该访问列表和IP协议有关。

2、list number参数具有双重功能,定义访问列表的操作协议和通知IOS在处理access-list语句时,把相同的list number参数作为同一实体对待。正如本文在后面所讨论的,扩展型IP访问列表也是通过list number而表现其特点的,当运用访问列表时,还需要补充如下重要的规则,在需要创建访问列表的时候,需要选择适当的list number参数。

3、允许/拒绝数据包通过,在标准型IP访问列表中,使用permit语句可以使得和访问列表项目匹配的数据包通过接口,而deny语句可以在接口过滤掉和访问列表项目匹配的数据包,source address代表主机的IP地址,利用不同掩码的组合可以指定主机。

二、为了更好地了解IP地址和通配符掩码的作用,C类IP地址的最后一组数字代表主机,把它们都置1即允许总部访问网络上的每一台主机,通配符掩码是子网掩码的补充,如果您是网络高手,我们可以先确定子网掩码,然后把它转换成可应用的通配符掩码,又可以补充一条访问列表的规则。

1、用户除了使用上述的通配符掩码0.0.0.0来指定特定的主机外,还可以使用host这一关键字,除了可以利用关键字host来代表通配符掩码0.0.0.0外,关键字any可以作为源地址的缩写,并代表通配符掩码0.0.0.0 255.255.255.255,如果改变上述语句的次序,那么访问列表将不能够阻止来自源地址为192.46.27.8的数据包通过接口,因为访问列表是按从上到下的次序执行语句的。

2、在默认情况下,除非明确规定允许通过,访问列表总是阻止或拒绝一切数据包的通过,即实际上在每个访问列表的最后,都隐含有一条"deny any"的语句,由于访问列表中第2条语句明确允许任何数据包都通过,所以隐含的拒绝语句不起作用,但实际情况并不总是如此。

三、一旦访问列表作用于某个接口,那么包括关键字log的语句将记录那些满足访问列表中permit和deny条件的数据包。第一个通过接口并且和访问列表语句匹配的数据包将立即产生一个日志信息。后续的数据包根据记录日志的方式,或者在控制台上显示日志,或者在内存中记录日志。通过Cisco IOS的控制台命令可以选择记录日志方式。

1、扩展型IP访问列表在数据包的过滤方面增加了不少功能和灵活性。除了可以基于源地址和目标地址过滤外,还可以根据协议、源端口和目的端口过滤,甚至可以利用各种选项过滤。这些选项能够对数据包中某些域的信息进行读取和比较。

2、和标准型IP访问列表类似,list number标志了访问列表的类型,数字100~199用于确定100个惟一的扩展型IP访问列表。"protocol"确定需要过滤的协议,其中包括IP、TCP、UDP和ICMP等等。

注意:应用数据通常有一个在传输层增加的前缀,它可以是TCP协议或UDP协议的头部,这样就增加了一个指示应用的端口标志。当数据流入协议栈之后,网络层再加上一个包含地址信息的IP协议的头部。

延伸阅读:
  • 本月热点
  • 随机推荐
路由人提示:如需转载本站无线连接及路由器设置等技术文章请您注明出处,谢谢!
Copyright © www.LuYouRen.com, All Rights Reserved.
  苏ICP备12075116号