Heim  >  Artikel  >  Datenbank  >  如何使用Cisco IOS Access Lists(上)

如何使用Cisco IOS Access Lists(上)

WBOY
WBOYOriginal
2016-06-07 15:49:231087Durchsuche

欢迎进入网络技术社区论坛,与200万技术人员互动交流 >>进入 从上自下处理(Top down Processing) 访问列表的行是从上往下处理的,根据他们输入顺序进行排序。当网络数据包和该正在处理的访问列表中某条语句匹配,则该包的所有处理会停止,不继续进行向下匹

欢迎进入网络技术社区论坛,与200万技术人员互动交流 >>进入


    
    从上自下处理(Top down Processing)  访问列表的行是从上往下处理的,根据他们输入顺序进行排序。当网络数据包和该正在处理的访问列表中某条语句匹配,则该包的所有处理会停止,不继续进行向下匹配。让我们看一个例子。加入有这个访问列表:

如何使用Cisco IOS Access Lists(上)

 
    
    假设这个访问列表被用来过滤绑定到路由器的流量。如果一个源IP地址为1.1.1.1的数据包进来,该包会被访问列表允许还是拒绝呢?因为访问列表是从上往下处理,该流量将被拒绝,即使它被下面的一条语句所允许。这是因为,当流量被拒绝后,访问控制列表对该包的处理将会停止。这里你需要知道的是语句的顺序是至关重要的,如果您正在使用访问列表过滤流量,那么你应该在最接近流量源的地方组织该流量,以节省广域网带宽。
   
    访问控制列表和流量过滤的3个P  当过滤流量时,访问列表的规则是"three Pers".规则是这样的:"你可以在每个协议,每个方向,每个接口配置访问控制列表".所以,你可以为每个协议(IP, IPX, Appletalk, bridging等)配置访问列表。你可以在每个方向,IN或OUT方向设置访问列表。你可以在每个接口(FastEthernet0/0, Serial0/0, Serial1/0)配置访问控制列表。换句话说,你不能在同一接口上有两个绑定的IP访问列表。
   
    通配符掩码(wildcard mask)  一个非常重要的事情是,在指定范围内的网络,或整个网络上的主机,配置ACL需要一些所谓的通配符掩码(wildcard mask)。通配符掩码是一个倒置的子网掩码。换句话说,网络的子网掩码(或范围)的主机,把它转换成二进制,翻转0和1,并转化为十进制。我不会在这篇文章解释如何进行计算,你可以在在线IP地址和子网掩码计算器计算你需要的通配符掩码。下面是一些例子:子网掩码255.255.255.0 =通配符掩码0.0.0.255;子网掩码为255.0.0.0 = 0.255.255.255通配符掩码;子网掩码255.255.0.0 = 0.0.255.255通配符掩码
   
    隐含拒绝(Implied Deny)  关于访问列表的另一个非常重要的规则是,每个ACL总有一个"默示拒绝".这意味着每一个访问列表,在它结束所有规则前有一个隐含的规则:?access-list X deny ANY(如果这是一个标准的访问列表)或?access-list X ip deny ANY ANY(如果这是一个扩展访问列表),这样,如果你的流量是没有在ACL中的语句中明确允许,那么你的流量被拒绝。如果您手动键入"deny any"规则,它会出现,但如果你不键入它,它仍然存在。下面是一个例子:通过此ACL允许的流量是什么?

如何使用Cisco IOS Access Lists(上)

 
    
    答案是所有流量都不被这个访问控制列表所允许,因为唯一的规则是拒绝规则,而且最后存在隐含拒绝所有的规则。
   
    总结  在刚开始了解ACL是如何工作的会存在一些困惑,但是我希望这篇文章能作为一篇对ACL的入门介绍。但实际应用中,Cisco IOS access-lists是每个网络工程师必须掌握的基础技能!在如何使用Cisco IOS Access Lists(下),会着重介绍如何创建和应用ACL.

  [1] [2] 

如何使用Cisco IOS Access Lists(上)

Stellungnahme:
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
Vorheriger Artikel:Access数据库规格C++Nächster Artikel:WebService学习笔记5AXIS2基础