Chinaunix首页 | 论坛 | 博客
  • 博客访问: 5702273
  • 博文数量: 745
  • 博客积分: 10075
  • 博客等级: 上将
  • 技术积分: 7716
  • 用 户 组: 普通用户
  • 注册时间: 2005-04-29 12:09
文章分类

全部博文(745)

文章存档

2019年(1)

2016年(1)

2010年(31)

2009年(88)

2008年(129)

2007年(155)

2006年(197)

2005年(143)

分类:

2005-09-08 08:25:07

Managing traffic with access lists

基本内容:
编写一个满足用户需求的访问列表
实现访问列表
访问列表故障诊断
包控制评估规则

访问列表基本上是一系列对包进行分类的条件.当你需要控制网络流量时它们真的是非常有用
访问列表基本上是对包进行比较、分类,然后根据条件实施操作的包过滤器,列表一旦建立,可以应用到任何端口输入或输出方向的流量上,应用访问列表之后,路由器会分析通过那个接口特定方向的每个包,并执行相应操作

数据包和访问列表相比较时遵循的重要原则是:
1,通常是按顺序比较访问列表的每一行,例如,通常从第一行开始,然后转到第二行,第三行等等
2,比较访问列表的各行直到比较到匹配的一行,一旦数据包与访问列表的某一行匹配,遵照规定行事,不再进行后续比较
3,在每个访问列表的最后一行是隐含deny语句,意味着如果数据包与访问列表中的所有行都不匹配,将被丢弃

访问列表类型:
标准的访问列表
扩展的访问列表
命名的访问列表
输入型访问列表
输出型访问列表

在路由器上创建和实现访问列表时:
1,每个接口、每个协议或每个方向只可以分派一个访问列表,这意味着如果创建了IP访问列表,每个接口只能有一个输入型访问列表和一个输出型访问列表
2,组织好访问列表,要将更特殊的测试放在访问列表的最前面
3,任何时候访问列表添加新条目时,将把新条目放置到列表的末尾
4,不能从访问列表中删除一行
5,除非在访问列表末尾有permit any命令,否则所有和列表的测试条件都不符合的数据包将被丢弃
6,先创建访问列表,然后将列表应用到一个接口
7,访问列表设计为过滤通过路由器的路由,但不过滤路由器产生的流量
8,将IP标准的访问列表尽可能放置在靠近目的地址的位置
9,将IP扩展的访问列表尽可能放置在靠近源地址的位置

通配符和访问列表一起用来指定一个主机、一个网络、一个网络或几个网络内的某个范围.要理解通配符,需要理解什么是块大小,它常常指地址范围

使用块大小和通配符时要牢记下面两个注意事项:
1,每个块大小必须从0或一个块大小的辈数开始
2,any命令和通配符0.0.0.0 255.255.255.255的意义是一样的

通过使用扩展的访问列表,可以有效地允许用户访问物理LAN的同时不允许访问特定的主机-或者甚至那些主机上的特定服务

用于验证访问列表配置的命令:
show access-list:显示在路由器上配置的所有访问列表及其参数.这个命令不显示哪些接口设置了访问列表
show access-list 100:只显示访问列表110的参数
show ip access-list:只显示路由器上配置的IP访问列表
show ip interface:显示哪些接口设置了访问列表
show running-config:显示访问列表和哪些接口设置了访问列表

************************************************************************************
考试要点:
1,记住标准的和扩展的IP访问列表号码范围
2,理解术语"implicit deny"
3,理解标准的IP访问列表配置命令
4,理解扩展的IP访问列表配置命令
5,记住在接口上验证访问列表的命令

阅读(1872) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~