访问列表

访问列表能使用或者拒绝数据包在路由器之间的移动,许可或者拒绝Telnet(VTY)在路由器之间访问,和建立dial-on demand(DDR), 有意义交通,触发拨号到一个远程位置。

ACCESS LIST

访问列表是十分重要条件列表,它控制访问。强大的工具控制访问在网段之间,它过滤不需要的数据包和实现安全政策,随着访问列表,网络管理人员将有更大的力量去加强几乎任何发明出来的访问政策,IP 和IPX Access Lists 工件得非常类拟,他都比较过滤的数据包,分类,一旦Access Lists建立起来,他们可以应用到内范围和外范围网络交通在任何接口,应用Access Lists将致使路由器去分析每一的穿过接口的数据包在指定方向和行为根据。

下面是一些当Access Lists开始比较数据包的遵循的重要的规则

它总是按顺序比较Access Lists的每一条线看,从线1,线2, 线3

它比较Access Lists的线直到匹配为止,,一旦数据包匹配Access Lists,它会遵循,并且比较不再发生

暗示的拒绝将在Access Lists的底部。它的意思是如果一个数据包不有匹配任何Access Lists的线,它将被丢弃

每一个规则都有某些强大的含义当Access Lists过滤IP和IX数据包的时候。

有两类Access Lists类型使用IP和IPX:

standard Access Lists: 只过滤网络来源IP地址,基本上许可或者拒绝全部的协议,IPX standards可以过滤来源和目标IPX地址

extended access list:它检查来源和目标IP地址,网络层报头的协议段,和传输层报头端口编号,IPX extended Access List 使用来源和目标IPX地址,网络层报头的协议段,和传输层报头socket 编号

一旦你建立了一个Access Lists,你应用它到一个inbound or outbound list 接口

inbound Access Lists: 数据包路由到outbound接口之前,先通过Access Lists处理。

outbound Access Lists:数据包路由到outbound接口然后处理它通过Access Lists。

仍有一些Access Lists方针当建立和实现Access Lists在一个路由器时我们应该遵循,你可以只分配一个Access Lists到一个接口,一个协议,或者一个方向,这个意思是你只能有一个inbound Access Lists和一个ountbound Access Lists在一个接口组织你Access Lists以便更多的明确的测试在Access Lists的顶端,在任何时候一个新的Lists加到Access Lists将被放在list的底部你不能移动Access Lists里面的line, 如果你想移动它你将移动全部的list, 最好在编辑它之前拷贝Access Lists到一个正文编辑。它只例外情况当使用名字Access Lists。

除非你在到达Access Lists的结束之前获得许可,所有的数据包将会丢弃,否则你只有关闭接口了。

建立一个Access Lists和应用它他到一个接口,任何Access Lists 到接口的将无法应用如果没有一个Access Lists呈递。

Access Lists是设计应用到过滤通过路由器交通,所以他们只会过滤到路由器的数据包而不会过滤来自路由器的数据包。

把IP standard Access Lists尽量放在接近目标的地方

把IP extended Access Lists尽量放在接近来源的地方
standard IP access lists

这使用来源IP地址,你使用Access Lists编号1-99建立一个standard IP Access Lists

Router(config)# access-list 10 deny ..........

现在有三个选择可供使用,你可以使用任何命令去许可或者拒绝任何主机或者网络,     www.net130.com

你可以使用一个IP地址去指定或者匹配一个明确的网络或者IP主机,

你可以使用host命令去只指定一个明确的的主机

Router(config)# access-list 10 deny host 202.202.202.111

Router(config)# access-list 10 deny 202.202.202.111也可以

Router(config)# access-list 10 deny any 也可以用下面的

Router(config)# access-list 10 deny 0.0.0.0 255.255.255.255     www.net130.com

不过也有另一个方法来指定一个主机,你可以使用通配符,去指定一个网络或者一个子网,你没有选择但可以使用通配符在Access Lists
Wildcards

它是Access Lists指定使用一个主机,网络,或者一部分网络,你需要了解block sizes。block sizes是使用来指定一个地址范围,下面显示某些不同的block sizes可供使用。     www.net130.com

64 32 16 8 4

当你需要指定一个地址范围时,你选择最接近最大的的block size,如果你需要指定34 networks. 你需要64,如果你要指定18 主机,你需要32,

202.202.8.0 到 202.202.15.0

15-8=7

7最接近8

所以是202.202.202.8.0

所以是0.0.7.255 从0-7就是8的原因

standard IP Access List example

router(config)#access-list 10 deny 172.16.40.0 0.0.0.255

router(config)#access-list 10 permit any=0.0.0.0 255.255.255.255

访问列表设完,下面是应用到接口     www.net130.com

router(config)#int e0

router(config-if)# ip access-group 10 out

以上结果是所有从ethernet 0的接,来自172.16.40.0的数据将被停止
extended ip Access List

在标准IP访问列表里,注意到你该如果阻止全部来自某处的子网, 如果你想他们只能获得访问几个服务器该如何做呢?在标准的访问列表里,你不能允许用户只用网络的一部份,不过扩展IP访问列表可能解决这个问题,它允许你选择你的IP来源和目标地址,还有可以选择端口号码。

router(config)#access-list 110 deny ?

tcp ...........

ip ..................

在这里你要选择访问列表类型,这是非常重要的,你一定要明白如果你想使用应用程序过滤,你必须选择一个允许你通IOS模式的网络协议项目,实例1,如果你要过滤telnet或者ftp,你必须选择TCP,如果你选择IP,你将不能离开网络层,这样你就不能允许任何更高层的过滤。

router(config)#access-list 110 deny tcp any host 172.16.30.2 eq 23 ftp

这样你就防止所有的数据包通过FTP经过23端口到172.16.30.2

[1] [2] 下一页  

文章录入:csh    责任编辑:csh 

但这样其实你会拒绝所有的通信,因为访问列表里找不到的将全部被拒绝,所以你要     www.net130.com

router(config)#access-list 110 permit ip any any

router(config-if)# ip access-group 110 in

monitoring ip access lists

show access-list : 显示所有,但看不到访问列表接到哪一种接口

show access-list 110: 显示110的所有,但看不到访问列表接到哪一种接口

show ip access-list: 只显示路由器的IP访问列表

show ip interface: 显示哪一个接口设置哪一种访问列表

show run: 显示所有访问列表和接口
IPX access lists

IPX standard: 过滤来源,目标,主机,网络号码(800-899)       www.net130.com

ipx extended: 过滤来源,目标,主机,网络号码, socket number(900-999)

ipx sap filter:控制SAP交通(100-1099)

IPX standard: router(config)#access-list 810 permit 20 40

router(config)#int e0

router(config-if)#ipx access-group 810 out

ipx extended access-list number permit/deny protocol source socket destination socket

ipx SAP: access-list number permit/deny source service type

access-list 1010 permit -1(=any) 4 sales(=sap server name)

router(config-if)#ipx input-sap-filter(从项目中停止所有的 SAP更新)

router(config-if)#ipx output-sap-filter(停止某些SAP传出定期的60秒SAP更新)     www.net130.com

verity ipx access list

router#sh ipx int

router#sh ipx access

上一页  [1] [2] 

文章录入:csh    责任编辑:csh

(0)

相关推荐

  • 访问列表

    访问列表能使用或者拒绝数据包在路由器之间的移动,许可或者拒绝Telnet(VTY)在路由器之间访问,和建立dial-on demand(DDR), 有意义交通,触发拨号到一个远程位置. ACCESS LIST 访问列表是十分重要条件列表,它控制访问.强大的工具控制访问在网段之间,它过滤不需要的数据包和实现安全政策,随着访问列表,网络管理人员将有更大的力量去加强几乎任何发明出来的访问政策,IP 和IPX Access Lists 工件得非常类拟,他都比较过滤的数据包,分类,一旦Access Lis

  • 路由器访问列表的应用

    随着网络的不断发展,路由器在校园网中担当起了重要的角色.然而不少单位仅仅利用了它的一个基本功能--路由,实际上路由器还可以用来设置访问控制策略.现以Cisco路由器为例,谈谈路由器访问列表的应用. 访问列表能干什么 随着网络的发展和用户要求的变化,从IOS12.0开始,Cisco路由器新增加了一种基于时间的访问列表.通过它,可以根据一天中的不同时间或者根据一星期中的不同日期(当然也可以二者结合起来)控制网络数据包的转发.这种基于时间的访问列表就是在原来的标准访问列表和扩展访问列表中加入有效的时间

  • 反向访问列表在实际中的应用

    反向访问列表 有5个VLAN,分别为 管理(63).办公(48).业务(49).财务(50).家庭(51). 要求: 管理可以访问其它,而其它不能访问管理,并且其它VLAN之间不能互相访问! 其它的应用不受影响,例如通过上连进行INTERNET的访问 方法一: 只在管理VLAN的接口上配置,其它VLAN接口不用配置. 在入方向放置reflect ip access-list extended infilter permit ip any any reflect cciepass ! 在出方向放置

  • AR系列路由器包过滤控制访问列表的配置方法

    对内网地址192.168.1.0/25访问外网不作限制 对于内网地址192.168.1.128/25只允许收发邮件,不允许访问外网 # sysname RouterA # firewall enable                               /使能防火墙功能/ firewall default deny                         /配置防火墙缺省操作为deny/ # radius scheme system # domain system # acl 

  • ADSI+ASP添加IP到IIS禁止访问列表中

    复制代码 代码如下: <%@ Language=VBScript %> <% Dim strIP strIP = request("IP") %> <FORM action=? method=post> 输入IP:<input type=text value="<%=strIP%>" style="BORDER: #AAAAAA 1px solid;" name="IP"&

  • Python 列表(List)操作方法详解

    列表是Python中最基本的数据结构,列表是最常用的Python数据类型,列表的数据项不需要具有相同的类型.列表中的每个元素都分配一个数字 - 它的位置,或索引,第一个索引是0,第二个索引是1,依此类推.Python有6个序列的内置类型,但最常见的是列表和元组.序列都可以进行的操作包括索引,切片,加,乘,检查成员.此外,Python已经内置确定序列的长度以及确定最大和最小的元素的方法. 一.创建一个列表只要把逗号分隔的不同的数据项使用方括号括起来即可.如下所示: 复制代码 代码如下: list1

  • Erlang语法学习笔记:变量、原子、元组、列表、字符串

    一:变量 1. erlang中的变量[单一赋值],意味着变量只能赋值一次. 2.变量必须[大写字母]开头. 二:原子 原子相当于c++中的枚举类型,但erlang中的原子的值是其本身. 原子是一串以[小写字母]开头的,但如果用单引号引起来,原子的命名就无所谓了,很多花样就出来了.如果首字符是正轨的小写字母,则原子的值是引号内的内容,否则输出的值包含单引号. 三:元组(tuple) 有很多项组成一个单一的实体,类似于c++中的结构体之类的,在erlang中要用元组表示: 将若干个以[逗号]分隔的值

  • 服务器无法访问的应对策略

    人人都希望在Internet上冲浪时,能顺风顺水.一路畅通无阻,可事实并非如此!相信多数人都可能遇到过Web服务器无法访问的错误提示,出现这种错误故障,除了与网络连接的硬件设备有关之外,还与许多因素有关.要想排除这样的故障,必须先从网络通信的最底层做起,也就是说必须先检查.确认网络的"物理层"是否有故障.当你确认了网络连接的硬件设备没有故障时,那么Web服务器无法访问的故障排查工作才刚刚开始. 1.网络连接,是否启用 倘若在Web服务器中的Windows 2000服务器系统并没有将本地

  • 深入浅析同源策略和跨域访问

    1. 什么是同源策略 理解跨域首先必须要了解同源策略.同源策略是浏览器上为安全性考虑实施的非常重要的安全策略. 何谓同源: URL由协议.域名.端口和路径组成,如果两个URL的协议.域名和端口相同,则表示他们同源. 同源策略: 浏览器的同源策略,限制了来自不同源的"document"或脚本,对当前"document"读取或设置某些属性. (白帽子讲web安全[1]) 从一个域上加载的脚本不允许访问另外一个域的文档属性. 举个例子: 比如一个恶意网站的页面通过ifra

  • Django框架中方法的访问和查找

    在 Django 模板中遍历复杂数据结构的关键是句点字符 (.). 最好是用几个例子来说明一下. 比如,假设你要向模板传递一个 Python 字典. 要通过字典键访问该字典的值,可使用一个句点: >>> from django.template import Template, Context >>> person = {'name': 'Sally', 'age': '43'} >>> t = Template('{{ person.name }}

随机推荐