如何使用Cisco IOS Access Lists(上)
欢迎进入网络技术社区论坛,与200万技术人员互动交流 >>进入 从上自下处理(Top down Processing) 访问列表的行是从上往下处理的,根据他们输入顺序进行排序。当网络数据包和该正在处理的访问列表中某条语句匹配,则该包的所有处理会停止,不继续进行向下匹
欢迎进入网络技术社区论坛,与200万技术人员互动交流 >>进入
从上自下处理(Top down Processing) 访问列表的行是从上往下处理的,根据他们输入顺序进行排序。当网络数据包和该正在处理的访问列表中某条语句匹配,则该包的所有处理会停止,不继续进行向下匹配。让我们看一个例子。加入有这个访问列表:
假设这个访问列表被用来过滤绑定到路由器的流量。如果一个源IP地址为1.1.1.1的数据包进来,该包会被访问列表允许还是拒绝呢?因为访问列表是从上往下处理,该流量将被拒绝,即使它被下面的一条语句所允许。这是因为,当流量被拒绝后,访问控制列表对该包的处理将会停止。这里你需要知道的是语句的顺序是至关重要的,如果您正在使用访问列表过滤流量,那么你应该在最接近流量源的地方组织该流量,以节省广域网带宽。
访问控制列表和流量过滤的3个P 当过滤流量时,访问列表的规则是"three Pers".规则是这样的:"你可以在每个协议,每个方向,每个接口配置访问控制列表".所以,你可以为每个协议(IP, IPX, Appletalk, bridging等)配置访问列表。你可以在每个方向,IN或OUT方向设置访问列表。你可以在每个接口(FastEthernet0/0, Serial0/0, Serial1/0)配置访问控制列表。换句话说,你不能在同一接口上有两个绑定的IP访问列表。
通配符掩码(wildcard mask) 一个非常重要的事情是,在指定范围内的网络,或整个网络上的主机,配置ACL需要一些所谓的通配符掩码(wildcard mask)。通配符掩码是一个倒置的子网掩码。换句话说,网络的子网掩码(或范围)的主机,把它转换成二进制,翻转0和1,并转化为十进制。我不会在这篇文章解释如何进行计算,你可以在在线IP地址和子网掩码计算器计算你需要的通配符掩码。下面是一些例子:子网掩码255.255.255.0 =通配符掩码0.0.0.255;子网掩码为255.0.0.0 = 0.255.255.255通配符掩码;子网掩码255.255.0.0 = 0.0.255.255通配符掩码
隐含拒绝(Implied Deny) 关于访问列表的另一个非常重要的规则是,每个ACL总有一个"默示拒绝".这意味着每一个访问列表,在它结束所有规则前有一个隐含的规则:?access-list X deny ANY(如果这是一个标准的访问列表)或?access-list X ip deny ANY ANY(如果这是一个扩展访问列表),这样,如果你的流量是没有在ACL中的语句中明确允许,那么你的流量被拒绝。如果您手动键入"deny any"规则,它会出现,但如果你不键入它,它仍然存在。下面是一个例子:通过此ACL允许的流量是什么?
答案是所有流量都不被这个访问控制列表所允许,因为唯一的规则是拒绝规则,而且最后存在隐含拒绝所有的规则。
总结 在刚开始了解ACL是如何工作的会存在一些困惑,但是我希望这篇文章能作为一篇对ACL的入门介绍。但实际应用中,Cisco IOS access-lists是每个网络工程师必须掌握的基础技能!在如何使用Cisco IOS Access Lists(下),会着重介绍如何创建和应用ACL.
[1] [2]
上一篇: 关于php的snoopy类爬取死链接的文本有关问题
下一篇: 超时后就没法再访问