6.访问列表配置步骤
第一步是配置访问列表语句;第二步是把配置好的访问列表应用到某个端口上。
7.访问列表注意事项
注意访问列表中语句的次序,尽量把作用范围小的语句放在前面。
新的表项只能被添加到访问表的末尾,这意味着不可能改变已有访问表的功能。如果必须要改变,只有先删除已存在的访问列表,然后创建一个新访问列表、然后将新访问列表用到相应的接口上。
标准的IP访问列表只匹配源地址,一般都使用扩展的IP访问列表以达到精确的要求。
标准的访问列表尽量靠近目的,由于标准访问表只使用源地址,因此将其靠近源会阻止报文流向其他端口。扩展的访问列表尽量靠近过滤源的位置上,以免访问列表影响其他接口上的数据流。
在应用访问列表时,要特别注意过滤的方向。
8.标准IP访问列表的配置命令
access-list(access-list-number)(deny|permit)(source-address) (source-wildcard) [log]
access-list-number:标准访问列表编号只能是1~99之间的一个数字,同时只要访问列表编号在1~99之间,它即可以定义访问控制列表操作的协议,也可以定义访问控制列表的类型;
deny|permit:deny表示匹配的数据包将被过滤;permit表示允许匹配的数据包通过;
source-address:表示单台或一个网段内的主机的IP地址;
source-wildcard:通配符掩码;
Log:访问列表日志,如果该关键字用于访问列表中,则对匹配访问列表中条件的报文作日志。
9.标准IP访问列表的配置命令续
(1)应用访问列表到接口
ip access-group access-list-number in|out
In:通过接口进入路由器的报文;
Out:通过接口离开路由器的报文。
(2)显示所有协议的访问列表配置细节
show access-list [access-list-number]
(3)显示IP访问列表
show ip access-list [access-list-number]
第一步是配置访问列表语句;第二步是把配置好的访问列表应用到某个端口上。
7.访问列表注意事项
注意访问列表中语句的次序,尽量把作用范围小的语句放在前面。
新的表项只能被添加到访问表的末尾,这意味着不可能改变已有访问表的功能。如果必须要改变,只有先删除已存在的访问列表,然后创建一个新访问列表、然后将新访问列表用到相应的接口上。
标准的IP访问列表只匹配源地址,一般都使用扩展的IP访问列表以达到精确的要求。
标准的访问列表尽量靠近目的,由于标准访问表只使用源地址,因此将其靠近源会阻止报文流向其他端口。扩展的访问列表尽量靠近过滤源的位置上,以免访问列表影响其他接口上的数据流。
在应用访问列表时,要特别注意过滤的方向。
8.标准IP访问列表的配置命令
access-list(access-list-number)(deny|permit)(source-address) (source-wildcard) [log]
access-list-number:标准访问列表编号只能是1~99之间的一个数字,同时只要访问列表编号在1~99之间,它即可以定义访问控制列表操作的协议,也可以定义访问控制列表的类型;
deny|permit:deny表示匹配的数据包将被过滤;permit表示允许匹配的数据包通过;
source-address:表示单台或一个网段内的主机的IP地址;
source-wildcard:通配符掩码;
Log:访问列表日志,如果该关键字用于访问列表中,则对匹配访问列表中条件的报文作日志。
9.标准IP访问列表的配置命令续
(1)应用访问列表到接口
ip access-group access-list-number in|out
In:通过接口进入路由器的报文;
Out:通过接口离开路由器的报文。
(2)显示所有协议的访问列表配置细节
show access-list [access-list-number]
(3)显示IP访问列表
show ip access-list [access-list-number]
