访问列表本质上是一系列对包进行分类的条件。
下面是一些将数据包和访问列表进行比较时应遵循的重要规则:
·通常,按顺序比较访问列表的每一行,例如,从第一行开始,然后转到第二行、第三行,等等。
·比较访问列表的各行,直到找到匹配的一行。一旦数据包与访问列表的某一行匹配,遵照规定行事,不再进行后续比较。
·在每个访问列表的最后是一行隐含“deny(拒绝)”语句—— 意味着如果数据包与访问列表中的所有行都不匹配,将被丢弃
访问列表主要有两种类型。
标准的访问列表 这种访问列表只使用IP数据包的源IP地址作为条件测试。所有决定是基于源IP地址的。这意味着标准的访问列表基本上允许或拒绝整个协议组。它们不区分IP流量类型,例如-、Telnet、uDP等服务。
扩展的访问列表 扩展的访问列表可以测试IP包的第3层和第4层报头中的其他字段。它们可以测试源IP地址和目的IP地址、网络层报头中的协议字段,以及位于传输层报头中的端口号。这使得扩展的访问列表有能力在控制流量时做细粒度更大的决定。
一旦创建了访问列表,在应用之前它并没有真正开始起作用。是的,它们在路由器中存在,但是没有被激活,直到你告诉那台路由器用它们做什么用之后才起作用。若要使用访问列表做包过滤,需要将它应用到路由器的一个想过滤流量的接口上,并且还要指定访问列表应用到哪一个方向的流量上。这样做的好处是——你可能希望对从企业网到因特网的流量和从因特网进人企业网的流量进行不同的控制。所以,通过指定流量的方向,可以——并且
经常需要——在一个接口的输人方向和输出方向使用不同的访问列表。
入口访问列表 当访问列表被应用到从接口输入的包时,那些包在被路由到输出接口之前要经过访问列表的处理。不能路由任何被拒绝的包,因为在路由之前这些包就会被丢弃掉。
出口访问列表 当访问列表被应用到从接口输出的包时,那些包首先被路由到输出接口,然后在进入该接口的输出队列之前经过访问列表的处理。
下面有一些比较通用的访问列表配置指南,在路由器上创建和实现
标准的访问列表:
Corp(conf1g)#access-1ist 10 deny host 172.16.30.2
阅读(508) | 评论(0) | 转发(0) |
