第10章 使用访问列表管理流量
规划和设计:编写一个满足用户需求的访问列表;
实现和操作:实现访问列表;
故障排除:排除访问列表;
技术:包控制评估规则;
1、比较通用的访问列表指南,在路由器上创建和实现访问列表时可以进行参考:
(1)每个接口、每个协议或每个方向只可以分派一个访问列表;意味着,每个接口只能有一个输入型访问列表和一个输出型访问列表;
(2)组织好访问列表,要将更特殊的测试放在访问列表的最前面;
(3)任何时候访问列表添加新条目时,将把新条目放到列表的末尾,推荐使用文本编辑器编辑访问列表;
(4)不能从访问列表中删除一行,如果删除,将删除整个列表,最好在编辑列表之前将访问列表复制到一个文本编辑器中,只有使用命名访问列表时例外;
(5)除非在访问列表末尾有permit any命令,否则所有和列表的测试条件都不符合的数据包将被丢弃,每个列表至少有一个允许语句,否则将会拒绝所有流量;
(6)先创建访问列表,然后将列表应用到一个接口,任何应用到一个接口的访问列表如果不是现成的访问列表,那么此列表不会过滤流量;
(7)访问列表设计为过滤通过路由器的流量,但不过滤路由器产生的流量;
(8)将IP标准的访问列表尽可能放置在靠近目的地址的位置;
(9)将IP扩展的访问列表尽可能放置在靠近源地址的位置;
2、标准的访问列表举例:
config t
access-list 10 deny 172.16.40.0 0.0.0.255
access-list 10 permit any
int e1
ip access-list-group 10 out
3、控制VTY访问
access-list 50 permit 172.16.10.3
line vty 0 4
access-class 50 in
访问列表阻止除了主机172.16.10.3以外的任何主机远程登录到路由器;
4、扩展的IP访问列表
config t
access-list 110 deny tcp any host 172.16.30.5 eq 21
access-list 110 deny tcp any host 172.16.30.5 eq 23
access-list 110 permit ip any any
ip access-group 110 out
5、命名的访问列表
ip access-list standard BlockSales
deny 172.16.40.0 0.0.0.255
permit any
exit
show running-config
config t
int e1
ip access-group BlockSales out
6、监控访问列表
show access-list
show ip interface
show ip access-list
show running-config
阅读(668) | 评论(0) | 转发(0) |