设为首页收藏本站
切换到宽版

 找回密码
 注册
搜索
热搜: 回贴
微赢网络技术论坛»论坛 学习网 交流平台 站长知道 访问控制列表 access list
  • 前程无忧官网首页 有什么好的平台可以
  • 最新的销售平台 互联网营销的平台有哪
  • 制作网页的基本流程 网页制作和网页设
  • 【帝国CMS】输出带序号的列表(数字排
  • 网站建设公司 三一,中联,极东泵车的
  • 织梦 建站 织梦网站模版后台怎么更改
  • 云服务官网 哪些网站有免费的简历模板
  • 如何建网站要什么条件 建网站要用什么
  • 吉林市移动公司电话 吉林省退休人员网
  • 设计类毕业论文 网站设计与实现毕业论
返回列表 发新帖
查看: 8059|回复: 2

访问控制列表 access list

[复制链接]
发表于 2009-11-30 23:25:46 | 显示全部楼层 |阅读模式 IP:江苏扬州
¥访问控制列表 access list.
使用访问控制列表。
两种形式:基本的和扩展的。
access-list 2 per 1.1.1.0 0.0.0.255
access-list 100 per tcp 1.1.1.1 0.0.0.0 2.2.2.2 0.0.0.0 eq 23
列表元素按顺序应用。
access-list 102 dny ip host 1.1.1.1 any
access-list 102 permit ip host 1.1.1.1 any
列表末端隐含deny。
access-list 100 permit tcp host 1.1.1.1 any
access-list 100 permit tcp host 1.1.1.1 any
access-list 100 deny ip any any
应用在进站或出站
serial 0
ip access-group 10 in
例:应用一个出站ip 访问控制列表在e1口,以实现:
允许telnet会话。
允许dns流量。
允许smtp流量。
允许路由协议流量。
其他流量将被拒绝。
interface ethernet 1
ip access-group 100 out
access-list 100 permit tcp any any eq 23
access-list 100 permit udp any any eq 53
access-list 100 permit tcp any eq 25 any establisted
access-list 100 permit udp any any eq rip
(严格的讲,最后这条不是必需的)
例:
拒绝 rfc 1918地址
rfc 1918 列出的地址都被规定为私有地址,这样的地址不允许在internet上传送。
包括:
IANA 保留的地址
作为源的组播地址。
本地回路地址
interface serial 0
ip access-group 111 in
access-list 111 deny ip 10.0.0.0 0.255.255.255 any
access-list 111 deny ip 172.16.0.0 0.15.255.255 any
access-list 111 deny ip 192.168.0.0 0.0.255.255 any
...
access-list 111 deny ip 224.0.0.0 31.255.255.255 any
access-list 111 deny ip 127.0.0.0 0.255.255.255 any
access-list 111 permit ip any any
不要忘了还有个默认deny any any.
¥安全car.
限制ping泛洪的指定速度。
需要在直连路由器做些配置,进站的。
interface serial 0/0
rate-limit output access-group 102 64000 2000 2000
conform-action transmit exceed-action drop
access-list 102 per icmp any any ehco
access-list 102 permit icmp any any echo-reply
¥ 调试acl。
show access-list 可以提供流经acl的流量信息。
uptmd#sh acccess-li
Extended ip access list 100
permit tcp any any eq telnet (10 matches)
permit udp any any eq domain
permit udp any any eq smtp any established (1 match)
permit udp any any eq rip
加入log关键字可以提供更多信息。
access-list 100 permit tcp any any eq telnet log
%SEC-6-IPACCESSLOGP:list 100 permitted tcp 1.1.1.1(11003)->
4.4.4.4(23),1 packet
%SEC-6-IPACCESSLOGDP:list 100 denied icmp 1.1.1.1->4.4.4.4
(8/0),5 packets
¥实施建议
画个top图啥的,来看看那些流量需要留经acl。
看看列表元素的顺序和逻辑。
最好去测试一下。
用了acl之后再检查路由。
不要忘了最后的deny any any
错: access-list 100 deny ip any host 1.1.1.1
对: access-list 100 permit ip any any
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|小黑屋|最新主题|手机版|微赢网络技术论坛 ( 苏ICP备08020429号 )

GMT+8, 2024-9-30 03:20 , Processed in 0.202687 second(s), 12 queries , Gzip On, MemCache On.

Powered by Discuz! X3.5

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表