access-lists的中文笔记.docVIP

正确使用和配置访问列表是一个路由器至关重要的部分，贡献出有效率的和优化你的网络，访问列表给网络管理带来了贯穿网络的巨大交通流动控制，管理人员可以数据包流收集基本统计，和安全政策可以被实现，敏感的设备可以被保护，让未经许可访问不能访问到它。 访问列表能使用或者拒绝数据包在路由器之间的移动，许可或者拒绝Telnet（VTY）在路由器之间访问，和建立dial-on demand(DDR), 有意义交通，触发拨号到一个远程位置。 ACCESS LIST 访问列表是十分重要条件列表，它控制访问。强大的工具控制访问在网段之间，它过滤不需要的数据包和实现安全政策，随着访问列表，网络管理人员将有更大的力量去加强几乎任何发明出来的访问政策，IP 和IPX Access Lists 工件得非常类拟，他都比较过滤的数据包，分类,一旦Access Lists建立起来，他们可以应用到内范围和外范围网络交通在任何接口，应用Access Lists将致使路由器去分析每一的穿过接口的数据包在指定方向和行为根据。 下面是一些当Access Lists开始比较数据包的遵循的重要的规则 它总是按顺序比较Access Lists的每一条线看，从线1，线2， 线3 它比较Access Lists的线直到匹配为止，，一旦数据包匹配Access Lists，它会遵循，并且比较不再发生 暗示的拒绝将在Access Lists的底部。它的意思是如果一个数据包不有匹配任何Access Lists的线，它将被丢弃 每一个规则都有某些强大的含义当Access Lists过滤IP和IX数据包的时候。 有两类Access Lists类型使用IP和IPX： standard Access Lists: 只过滤网络来源IP地址，基本上许可或者拒绝全部的协议，IPX standards可以过滤来源和目标IPX地址 extended access list：它检查来源和目标IP地址，网络层报头的协议段，和传输层报头端口编号，IPX extended Access List 使用来源和目标IPX地址，网络层报头的协议段，和传输层报头socket 编号 一旦你建立了一个Access Lists，你应用它到一个inbound or outbound list 接口 inbound Access Lists: 数据包路由到outbound接口之前，先通过Access Lists处理。 outbound Access Lists:数据包路由到outbound接口然后处理它通过Access Lists。 仍有一些Access Lists方针当建立和实现Access Lists在一个路由器时我们应该遵循， 你可以只分配一个Access Lists到一个接口，一个协议，或者一个方向，这个意思是你只能有一个inbound Access Lists和一个ountbound Access Lists在一个接口 组织你Access Lists以便更多的明确的测试在Access Lists的顶端， 在任何时候一个新的Lists加到Access Lists将被放在list的底部 你不能移动Access Lists里面的line， 如果你想移动它你将移动全部的list, 最好在编辑它之前拷贝Access Lists到一个正文编辑。它只例外情况当使用名字Access Lists。 除非你在到达Access Lists的结束之前获得许可，所有的数据包将会丢弃，否则你只有关闭接口了。 建立一个Access Lists和应用它他到一个接口，任何Access Lists 到接口的将无法应用如果没有一个Access Lists呈递。 Access Lists是设计应用到过滤通过路由器交通，所以他们只会过滤到路由器的数据包而不会过滤来自路由器的数据包。 把IP standard Access Lists尽量放在接近目标的地方 把IP extended Access Lists尽量放在接近来源的地方 standard IP access lists 这使用来源IP地址，你使用Access Lists编号1-99建立一个standard IP Access Lists Router(config)# access-list 10 deny .......... 现在有三个选择可供使用，你可以使用任何命令去许可或者拒绝任何主机或者网络， 你可以使用一个IP地址去指定或者匹配一个明确的网络或者IP主机， 你可以使用host命令去只指定一个明确的的主机 Router(config)# access-list 10 deny host 11 Router(config)# access-list 10 deny 11也可以 Router(confi