cisco路由器訪問列表大解密

1、CISCO路由器中的accesslist（訪問列表）最基本的有兩種，分別是標(biāo)準(zhǔn)訪問列表和擴展訪問列表，二者的區(qū)別主要是前者是基于目標(biāo)地址的數(shù)據(jù)包過濾，而后者是基于目標(biāo)地址、源地址和網(wǎng)絡(luò)協(xié)議及其端口的數(shù)據(jù)包過濾。（1）標(biāo)準(zhǔn)型IP訪問列表的格式標(biāo)準(zhǔn)型IP訪問列表的格式如下：accesslist[listnumber][permit|deny][sourceaddress][address][wildcardmask][log]下面解釋一下標(biāo)

2、準(zhǔn)型IP訪問列表的關(guān)鍵字和參數(shù)。首先，在access和list這2個關(guān)鍵字之間必須有一個連字符““；其次，listnumber的范圍在0～99之間，這表明該accesslist語句是一個普通的標(biāo)準(zhǔn)型IP訪問列表語句。因為對于CiscoIOS，在0～99之間的數(shù)字指示出該訪問列表和IP協(xié)議有關(guān)，所以listnumber參數(shù)具有雙重功能:（1）定義訪問列表的操作協(xié)議（2）通知IOS在處理accesslist語句時，把相同的listnumbe

3、r參數(shù)作為同一實體對待。正如本文在后面所討論的，擴展型IP訪問列表也是通過listnumber（范圍是100～199之間的數(shù)字）而表現(xiàn)其特點的。因此，當(dāng)運用訪問列表時，還需要補充如下重要的規(guī)則:在需要創(chuàng)建訪問列表的時候，需要選擇適當(dāng)?shù)膌istnumber參數(shù)。（2）允許拒絕數(shù)據(jù)包通過在標(biāo)準(zhǔn)型IP訪問列表中，使用permit語句可以使得和訪問列表項目匹配的數(shù)據(jù)包通過接口，而deny語句可以在接口過濾掉和訪問列表項目匹配的數(shù)據(jù)包。sourc

4、eaddress代表主機的IP地址，利用不同掩碼的組合可以指定主機。為了更好地了解IP地址和通配符掩碼的作用，這里舉一個例子。假設(shè)您的公司有一個分支機構(gòu)，其IP地址為C類的192.46.28.0。在您的公司，每個分支機構(gòu)都需要通過總部的路由器訪問Inter。要實現(xiàn)這點，您就可以使用一個通配符掩碼0.0.0.255。因為C類IP地址的最后一組數(shù)字代表主機，把它們都置1即允許總部訪問網(wǎng)絡(luò)上的每一臺主機。因此，您的標(biāo)準(zhǔn)型IP訪問列表中的acc

5、esslist語句如下：accesslist1permit192.46.28.00.0.0.255注意，通配符掩碼是子網(wǎng)掩碼的補充。因此，如果您是網(wǎng)絡(luò)高手，您可以先確定子網(wǎng)掩碼，然后把它轉(zhuǎn)換成可應(yīng)用的通配符掩碼。這里，又可以補充一條訪問列表的規(guī)則5。（3）指定地址如果您想要指定一個特定的主機，可以增加一個通配符掩碼0.0.0.0。例如，為了讓來自IP地址為192.46.27.7的數(shù)據(jù)包通過，可以使用下列語句：順便討論一下標(biāo)準(zhǔn)型IP訪問列

6、表的參數(shù)“l(fā)og“，它起日志的作用。一旦訪問列表作用于某個接口，那么包括關(guān)鍵字“l(fā)og“的語句將記錄那些滿足訪問列表中“permit“和“deny“條件的數(shù)據(jù)包。第一個通過接口并且和訪問列表語句匹配的數(shù)據(jù)包將立即產(chǎn)生一個日志信息。后續(xù)的數(shù)據(jù)包根據(jù)記錄日志的方式，或者在控制臺上顯示日志，或者在內(nèi)存中記錄日志。通過CiscoIOS的控制臺命令可以選擇記錄日志方式。擴展型IP訪問列表擴展型IP訪問列表在數(shù)據(jù)包的過濾方面增加了不少功能和靈活性。

7、除了可以基于源地址和目標(biāo)地址過濾外，還可以根據(jù)協(xié)議、源端口和目的端口過濾，甚至可以利用各種選項過濾。這些選項能夠?qū)?shù)據(jù)包中某些域的信息進行讀取和比較。擴展型IP訪問列表的通用格式如下：accesslist[listnumber][permit|deny][protocol|protocolkeywd][sourceaddresssourcewildcardmask][sourcept][destinationaddressdestina

8、tionwildcardmask][destinationpt][logoptions]和標(biāo)準(zhǔn)型IP訪問列表類似，“l(fā)istnumber“標(biāo)志了訪問列表的類型。數(shù)字100～199用于確定100個惟一的擴展型IP訪問列表?！皃rotocol“確定需要過濾的協(xié)議，其中包括IP、TCP、UDP和ICMP等等。如果我們回顧一下數(shù)據(jù)包是如何形成的，我們就會了解為什么協(xié)議會影響數(shù)據(jù)包的過濾，盡管有時這樣會產(chǎn)生副作用。圖2表示了數(shù)據(jù)包的形成。請注意，

9、應(yīng)用數(shù)據(jù)通常有一個在傳輸層增加的前綴，它可以是TCP協(xié)議或UDP協(xié)議的頭部，這樣就增加了一個指示應(yīng)用的端口標(biāo)志。當(dāng)數(shù)據(jù)流入?yún)f(xié)議棧之后，網(wǎng)絡(luò)層再加上一個包含地址信息的IP協(xié)議的頭部。由于IP頭部傳送TCP、UDP、路由協(xié)議和ICMP協(xié)議，所以在訪問列表的語句中，IP協(xié)議的級別比其他協(xié)議更為重要。但是，在有些應(yīng)用中，您可能需要改變這種情況，您需要基于某個非IP協(xié)議進行過濾為了更好地說明，下面列舉2個擴展型IP訪問列表的語句來說明。假設(shè)我們希