訪問(wèn)列表簡(jiǎn)介

訪問(wèn)列表基本上是一系列對(duì)包進(jìn)行分類的條件。一個(gè)最常用和最容易理解的使用訪問(wèn)列表的情況是，實(shí)現(xiàn)安全策略時(shí)過(guò)濾不希望通過(guò)的包。

數(shù)據(jù)包和訪問(wèn)列表向比較時(shí)遵循的重要規(guī)則：

1.通常是按順序比較訪問(wèn)列表的每一行。

2.比較訪問(wèn)列表的各行直到比較到匹配的一行。

3.在每個(gè)訪問(wèn)列表的最后是一行隱含“deny”語(yǔ)句-意味著如果數(shù)據(jù)包與訪問(wèn)列表中的所有行都不匹配，將被丟棄。

訪問(wèn)列表有兩種類型：

1.標(biāo)準(zhǔn)的訪問(wèn)列表

2.擴(kuò)展的訪問(wèn)列表

3.命名的訪問(wèn)列表（基于標(biāo)準(zhǔn)和擴(kuò)展之間的）

在一個(gè)接口的輸入方向和輸出方向使用不同的訪問(wèn)列表：

1.輸入型訪問(wèn)列表 黨訪問(wèn)列表被應(yīng)用刀從接口輸入的包時(shí)，那些包在被路由到輸出接口之前要經(jīng)過(guò)訪問(wèn)列表的處理。

2.輸出行訪問(wèn)列表 當(dāng)訪問(wèn)列表被應(yīng)用到從接口輸出的包時(shí)，那些包首先被路由到輸出接口，然后在進(jìn)入該接口的輸入隊(duì)列之前經(jīng)過(guò)訪問(wèn)列表的處理。

標(biāo)準(zhǔn)的訪問(wèn)列表

標(biāo)準(zhǔn)的IP訪問(wèn)列表通過(guò)使用IP包中的源IP地址過(guò)濾網(wǎng)絡(luò)流量。可以使用訪問(wèn)列表號(hào)1-99或130-1999創(chuàng)建標(biāo)準(zhǔn)的訪問(wèn)列表。一般用號(hào)碼區(qū)別訪問(wèn)列表類型。

通配符

通配符和訪問(wèn)列表一起用來(lái)指定一個(gè)主機(jī)、一個(gè)網(wǎng)絡(luò)、一個(gè)網(wǎng)絡(luò)或幾個(gè)網(wǎng)絡(luò)內(nèi)的某個(gè)范圍。要理解通配符，需要理解什么是塊大小，這里常常指地址范圍。一些有效的塊大小是64、32、16、8和4。簡(jiǎn)單的描述，通配符相當(dāng)于是子網(wǎng)掩碼，不過(guò)剛好相反，0表示絕對(duì)匹配，1表示任意匹配。

標(biāo)準(zhǔn)的訪問(wèn)列表舉例：

Lab_A#config t  

Lab_A(config)#access-list 10 deny 172.16.40.0 0.0.0.255   

Lab_A(config)#access-list 10 permit any 

這個(gè)訪問(wèn)控制列表的意思是，拒絕所有172.16.40.0這個(gè)網(wǎng)段的數(shù)據(jù)，其他的數(shù)據(jù)都允許通過(guò)。

擴(kuò)展的訪問(wèn)控制列表

擴(kuò)展的訪問(wèn)列表允許指定源地址和目的地址，以及表示上層協(xié)議或應(yīng)用的協(xié)議和端口號(hào)。通過(guò)使用擴(kuò)展的IP訪問(wèn)列表，可以有效地允許用戶訪問(wèn)物理LAN的同時(shí)不允許訪問(wèn)特定的主機(jī)或甚至那些主機(jī)上的特定服務(wù)。

擴(kuò)展的訪問(wèn)列表舉例：

Lab_A#config   

Lab_A(config)#access-list 110 deny tcp any host 172.16.30.5 eq 21  

Lab_A(config)#access-list 110 deny tcp any host 172.16.30.5 eq 23  

Lab_A(config)#access-list 110 permit ip any any 

第一行和第二行意思是，拒絕所有目的地址是172.16.30.5的FTP訪問(wèn)和Telnet訪問(wèn)，第三行意思是，允許所有的數(shù)據(jù)通過(guò)。

原文鏈接：http://network.51cto.com/art/201106/266618.htm