Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1384280
  • 博文数量: 254
  • 博客积分: 4173
  • 博客等级: 中校
  • 技术积分: 3400
  • 用 户 组: 普通用户
  • 注册时间: 2011-03-03 21:24
个人简介

不为失败找借口,只为成功找方法!

文章分类

全部博文(254)

文章存档

2021年(3)

2020年(1)

2019年(2)

2017年(10)

2016年(6)

2015年(19)

2014年(24)

2013年(19)

2012年(52)

2011年(118)

分类:

2011-04-25 19:21:23

1.标准的access-list(编号1-99)
#access-list 编号 策略 源地址
eg:(拒绝单一主机)
#access-list 1 deny host 10.1.1.1
#access-list 1 permit any
 
#int f0/0      //此为在路由器操作,如在交换机则用:no swithport
#ip access-group 1 in
eg:(拒绝网段主机)
#access-list 2 deny 10.0.0.0 0.255.255.255(通配符掩码)
#access-list 2 permit any
 
说明:access-list 按照从上而下定义的策略依次执行
   通配符掩码: 1对应位表示不坚持 0对应位表示严格匹配
 
2.扩展的访问控制列表(编号100-199)
#access-list 编号 策略 协议 源地址 目的地址 端口(或者名称,www,smtp)
eg:(拒绝1.1telnet路由器)
#access-list 100 deny tcp host 10.1.1.1 host 10.1.1.1 eq 23
#access-list 100 permit ip any any
 
 
3.控制telnet
#access-list 12 permit host 10.1.1.1
#access-list 12 deny any
#line vty 0 4
#access-class 12 in
 
4.基于命名的访问控制
对于基于编号的访问控制来说,策略是追加在末尾的,往往需要修改策略就要删除全部列表
#no access-list 1 这样一个列表就需要重新配置,很麻烦。
对于基于命名的访问控制,可以单独针对需要删除的策略进行删除
 
#ip access-list extended spunix
#deny tcp host 10.1.1.1 host 10.1.1.254 eq 23
#permit ip any any
#int f0/0
#ip access-group spunix in

阅读(1013) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~