IP擴(kuò)展訪問控制列表的配置

引言：本文討論利用IP擴(kuò)展訪問控制列表來實(shí)現(xiàn)網(wǎng)絡(luò)應(yīng)用服務(wù)訪問控制的配置，其過程采用Cisco設(shè)備來進(jìn)行演示。包括擴(kuò)展訪問控制列表的配置方法與配置命名的訪問控制列表。

本文討論利用IP擴(kuò)展訪問控制列表來實(shí)現(xiàn)網(wǎng)絡(luò)應(yīng)用服務(wù)訪問控制的配置方法（采用Cisco設(shè)備）。

擴(kuò)展訪問控制列表配置方法

在全局模式下建立擴(kuò)展訪問控制列表，配置如下：

Router(config)#access-list access-list-number{permit|deny}protocol source source-wildcard[operator port] destination destionation-wildcard[operator port]

以上中的“access-listnumber”對IP擴(kuò)展訪問控制列表范圍是100-199和2000-2699.不同類型訪問控制列表列表號如圖1所示。

而“permit”或者“deny”關(guān)鍵字可以指定哪些匹配訪問控制列表語句的報文是允許通過接口或被拒絕通過。該選項(xiàng)所提供的功能與標(biāo)準(zhǔn)IP訪問控制列表相同。

圖1 列表類型和對應(yīng)的列表號

圖2 RGNOS支持協(xié)議列表

“portocol”即協(xié)議表項(xiàng)定義了需要被檢查的協(xié)議，例如 IP、TCP、UDP、ICMP等。協(xié)議選項(xiàng)是很重要的，因?yàn)樵赥CP/IP協(xié)議簇中的各種協(xié)議之間有密切關(guān)系。如IP數(shù)據(jù)包可用于TCP、UDP協(xié)議及各種路由協(xié)議的傳輸，如果指定IP協(xié)議，訪問控制列表將只檢查IP數(shù)據(jù)包進(jìn)行匹配，而不再檢查IP數(shù)據(jù)包所承載的TCP、UDP等上層協(xié)議。如果根據(jù)特殊協(xié)議進(jìn)行報文過濾，就要指定該協(xié)議。此外，應(yīng)將更具體的表項(xiàng)放在訪問控制列表靠前的位置。例如，如果允許IP地址的語句放在拒絕TCP地址的語句前，則后一個語句將不起作用。但如果將這兩條語句換位置，則允許改地址上其他協(xié)議的同時拒絕了該地址的TCP協(xié)議。RGNOS支持過濾的協(xié)議如圖2所示。

“source sourcewildcard”指源地址和通配符掩碼，源地址是主機(jī)或一組主機(jī)的點(diǎn)用十進(jìn)制表示，必須與通配符掩碼配合使用，用來指定源地址比較操作時必須比較匹配的位數(shù)。……