用ACL构建防火墙体系

　　扩展IP访问控制列表的编号为100至199，并且功能更加灵活。例如，要阻止192.168.0.45主机Telnet流量，而允许Ping流量。

　　Router(config)#access-list 101 permit icmp 192.168.0.45 0.0.0.0 any
　　Router(config)#access-list 101 deny tcp 192.168.0.45 0.0.0.0 any eq 23
　　Router(config)#access-list 101 permit ip any any
　　Router(config)#interface ethernet 0
　　Router(config-if)#ip access-group 101 in

　　因为Ping命令使用网络层的ICMP协议，所以让ICMP协议通过。而Telnet使用端口23，所以将端口号为23的数据包拒绝了，最终应用到某一接口，这样就可以达到目的。

　　命名访问控制列表

　　对于某一给定的协议，在同一路由器上有超过99条的标准ACL，或有超过100条的扩展ACL。想要通过一个字母数字串组成的名字来直观地表示特定的ACL时，并且路由器的IOS版本在11.2及以上时，可以使用命名访问控制列表，也就是用某些字符串来取代标准与扩展ACL的访问列表号。命名访问控制列表的语法格式为：

　　Router(config)#ip access-list {standard|extended} name

　　在ACL配置模式下，通过指定一个或多个允许或拒绝条件，来决定一个数据包是允许通过还是被丢弃。语法格式如下：

　　Router(config{std-|ext-}nacl)#{permit|deny} {source [source-wildcad]|any}

　　下面是一个配置实例：

　　ip access-list extended nyist
　　permit tcp 172.16.0.0 0.0.255.255 any eq 23
　　deny tcp any any
　　deny udp 172.16.0.0 0.0.255.255 any lt 1024
　　interface Ethernet 0
　　ip access-group nyist in

上一页  [1] [2] [3] [4] [5]  下一页