可以在路由器的控制台上直接完成这一工作;也可以先在其他计算机上用文字处理软件(如Word)或文本编辑器输入,以文本文件的形式存储,然后通过TFTP程序把该文本文件传给路由器。
第2步: 指定接口
必须有一个接口作为路由表的应用对象,这可以通过路由器的接口命令完成。 第3步: 定义方向
必须确定访问列表的应用的方向,这可以通过路由器的访问组命令完成。
为了说明上述步骤,下面举一个以前用过的简单的例子。对一台路由器的串行0号端口,为了完成这3个步骤,可以编写如下代码:
interface serial 0 ip access-group 101 in
---- access-list 101 deny ICMP any host 192.78.46.8 eq 8
---- access-list 101 permit ip any host 192.78.46.8 ---- access-list 101 permit ICP any host 192.78.46.12 eq 8
---- access-list 101 permit tcp any host 192.78.46.8.12 eq 80
---- access-list 101 deny ip any any
9
在上面的代码中,第1条语句定义了访问列表所应用的端口,第二条语句定义了接口产生过滤的方向。在访问列表中,第一条语句阻止以ICMP回波请求的形式产生Ping,从而防止对主机地址的窥视。
第2条访问列表语句允许所有其他的IP流量流向主机。第3和第4条语句允许ICMP回波请求和Web流量进入网络中的第2台主机。
最后一条访问列表语句鲜明地拒绝所有不需要的访问。通常在访问列表的最后都有这样的语句。
在前面访问列表例子的list number参数都是数字。在这种访问列表中,不能取消特殊的参数,可以把参数加到底部。但是,如果需要修改参数,就必须首先创建一个新的列表,把旧的列表删除,然后应用新的列表。如果在访问列表中,用标识符取代其中的数字,将获得更多的灵活性。此外,访问列表也不支持新增加语句。因此,我们有关访问列表的最后一个规则,即规则9。 访问列表的使用规则 访问列表总是被用于适当的接口。
访问列表规定了接口信息的流向。
当只需要根据数据包的源地址进行过滤时,请采用标准型IP访问列表。
10
如果需要根据更高级的规则实现过滤,则采用扩展型IP访问列表。
在创建通配符掩码的时候,二进制0表示匹配,二进制1表示不匹配。
在访问列表中,语句的次序是极其重要的。
不必在最后把明确拒绝的语句加上。
要把根据非IP协议过滤的语句往前放。
如果要增加或修改一条语句,就需要删除现有的列表,并重新应用新的或修改过的列
11
相关推荐:
loading