扩展IP访问控制列表的编号为100至199,并且功能更加灵活。例如,要阻止192.168.0.45主机Telnet流量,而允许Ping流量。
Router(config)#access-list 101 permit icmp 192.168.0.45 0.0.0.0 any
Router(config)#access-list 101 deny tcp 192.168.0.45 0.0.0.0 any eq 23
Router(config)#access-list 101 permit ip any any
Router(config)#interface ethernet 0
Router(config-if)#ip access-group 101 in
因为Ping命令使用网络层的ICMP协议,所以让ICMP协议通过。而Telnet使用端口23,所以将端口号为23的数据包拒绝了,最终应用到某一接口,这样就可以达到目的。
命名访问控制列表
对于某一给定的协议,在同一路由器上有超过99条的标准ACL,或有超过100条的扩展ACL。想要通过一个字母数字串组成的名字来直观地表示特定的ACL时,并且路由器的IOS版本在11.2及以上时,可以使用命名访问控制列表,也就是用某些字符串来取代标准与扩展ACL的访问列表号。命名访问控制列表的语法格式为:
Router(config)#ip access-list {standard|extended} name
在ACL配置模式下,通过指定一个或多个允许或拒绝条件,来决定一个数据包是允许通过还是被丢弃。语法格式如下:
Router(config{std-|ext-}nacl)#{permit|deny} {source [source-wildcad]|any}
下面是一个配置实例:
ip access-list extended nyist
permit tcp 172.16.0.0 0.0.255.255 any eq 23
deny tcp any any
deny udp 172.16.0.0 0.0.255.255 any lt 1024
interface Ethernet 0
ip access-group nyist in
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/7178747/viewspace-161716/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/7178747/viewspace-161716/
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
