Chinaunix首页 | 论坛 | 博客
  • 博客访问: 442505
  • 博文数量: 96
  • 博客积分: 4594
  • 博客等级: 上校
  • 技术积分: 1130
  • 用 户 组: 普通用户
  • 注册时间: 2009-07-30 19:56
文章分类
文章存档

2012年(8)

2011年(49)

2010年(18)

2009年(21)

分类:

2011-01-31 12:33:39

1.标准的access-list(编号1-99)
#access-list 编号 策略 源地址
eg:(拒绝单一主机)
#access-list 1 deny host 10.1.1.1
#access-list 1 permit any
#int f0/0
#ip access-group 1 in
eg:(拒绝网段主机)
#access-list 2 deny 10.0.0.0 0.255.255.255(通配符掩码)
#access-list 2 permit any
 
说明:access-list 按照从上而下定义的策略依次执行
   通配符掩码: 1对应位表示不坚持 0对应位表示严格匹配
 
2.扩展的访问控制列表(编号100-199)
#access-list 编号 策略 协议 源地址 目的地址 端口(或者名称,www,smtp)
eg:(拒绝1.1telnet路由器)
#access-list 100 deny tcp host 10.1.1.1 host 10.1.1.1 eq 23
#access-list 100 permit ip any any
 
 
3.控制telnet
#access-list 12 permit host 10.1.1.1
#access-list 12 deny any
#line vty 0 4
#access-class 12 in
 
4.基于命名的访问控制
对于基于编号的访问控制来说,策略是追加在末尾的,往往需要修改策略就要删除全部列表
#no access-list 1 这样一个列表就需要重新配置,很麻烦。
对于基于命名的访问控制,可以单独针对需要删除的策略进行删除
 
#ip access-list extended spunix
#deny tcp host 10.1.1.1 host 10.1.1.254 eq 23
#permit ip any any
#int f0/0
#ip access-group spunix in
阅读(2749) | 评论(0) | 转发(1) |
0

上一篇:终止traceroute

下一篇:switch vlan

给主人留下些什么吧!~~