close
IP資料管制(Access Lists)
使用者資料透過網路從一地點傳送到另一地點,為了控制網路上資料,所以需要有方法
加以確認與過濾網路上的資料,因此Access Lists被使用在路由器上檢查網路資料。ACL有
兩種型態:
(一)標準型態的ACL(standard access lists-檢查封包的來源(source)位址,以決定
允許或拒絕該封包經由整套網路協定傳送出去。
1.使用Access-List指令建立一個標準的IP資料過濾機制,語法如下:
Router(config)# Access-List Access-List-number{permit/deny}source-address〔wildcard mask〕
● Access-List-number表示該表列的號碼,其standard IP lists是1到99。
● Permit/deny表示是否允許指定位址送出的資料在網路上傳輸。
● Source-address代表來源IP端位址。
● wildcard mask表示位址欄位中有哪些位元必須一致其default wildcard mask=0.0.0.0
2.利用ip access-group指存在一個ALC運用在一個介面上。
Router(config) # interface seria10(Ethernet0)
Router(config-if) # ip Access-group access-list-number{in/out}.
access-list-number 表示應用在該介面上的ACL號碼。
in/out 用來選擇ACL用在進來或出去的Packet 的篩選上,其系統Default=outbound。
(二)延伸型態ACL-檢測來源與目的端的位址,並須指明檢查網路協定與通信埠號碼,
1.利用Access-list指令建立一個過濾資料機制,語法如下:
Router(config)#Access-list access-list-number{Permit/deny}protocol source source-wildcard〔operator port〕destination destination-wildcard〔operator port〕〔established〕〔log〕
access-list-number 表示該列使用值從100到199號碼。
permit/deny 表示是否允許指定位址送出來的資料在網路上傳輸。
protocol是IP TCP UDP ICMP或IGRP之一。
Source與destination代表來源與目的端的IP位址。
Source-wildcard與destination-wildcard表示萬用字元遮罩,0表示對應位置的位元必
須一致,1表示對應位置的位元可以是任意值。
Operator port可能是一個協定通訊埠的號碼或者It(少於),gt(大於),eq(等於)
,neq(不等於)某個通訊埠的號碼。
Established限用於TCP的資料傳輸。
Log表示將紀錄訊息傳送給主控台。
2.將ip access-group指令存在一個ACL運用在一個介面上。
Router(config)# interface serial0
Router(config-if)# ip access-group access-list-number{in/out}
access-list-number表示使用在該介面上ACL號碼。
in/out用來選擇ACL用在進來或出去的封包篩選,其預設值為out。
範例:
Router(config)# access-list 101 dency tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq log
Router(config)# access-list 101 permit ip any any
Router(config)# interface ethernet
Router(config)# ip access-group 101 out
使用者資料透過網路從一地點傳送到另一地點,為了控制網路上資料,所以需要有方法
加以確認與過濾網路上的資料,因此Access Lists被使用在路由器上檢查網路資料。ACL有
兩種型態:
(一)標準型態的ACL(standard access lists-檢查封包的來源(source)位址,以決定
允許或拒絕該封包經由整套網路協定傳送出去。
1.使用Access-List指令建立一個標準的IP資料過濾機制,語法如下:
Router(config)# Access-List Access-List-number{permit/deny}source-address〔wildcard mask〕
● Access-List-number表示該表列的號碼,其standard IP lists是1到99。
● Permit/deny表示是否允許指定位址送出的資料在網路上傳輸。
● Source-address代表來源IP端位址。
● wildcard mask表示位址欄位中有哪些位元必須一致其default wildcard mask=0.0.0.0
2.利用ip access-group指存在一個ALC運用在一個介面上。
Router(config) # interface seria10(Ethernet0)
Router(config-if) # ip Access-group access-list-number{in/out}.
access-list-number 表示應用在該介面上的ACL號碼。
in/out 用來選擇ACL用在進來或出去的Packet 的篩選上,其系統Default=outbound。
(二)延伸型態ACL-檢測來源與目的端的位址,並須指明檢查網路協定與通信埠號碼,
1.利用Access-list指令建立一個過濾資料機制,語法如下:
Router(config)#Access-list access-list-number{Permit/deny}protocol source source-wildcard〔operator port〕destination destination-wildcard〔operator port〕〔established〕〔log〕
access-list-number 表示該列使用值從100到199號碼。
permit/deny 表示是否允許指定位址送出來的資料在網路上傳輸。
protocol是IP TCP UDP ICMP或IGRP之一。
Source與destination代表來源與目的端的IP位址。
Source-wildcard與destination-wildcard表示萬用字元遮罩,0表示對應位置的位元必
須一致,1表示對應位置的位元可以是任意值。
Operator port可能是一個協定通訊埠的號碼或者It(少於),gt(大於),eq(等於)
,neq(不等於)某個通訊埠的號碼。
Established限用於TCP的資料傳輸。
Log表示將紀錄訊息傳送給主控台。
2.將ip access-group指令存在一個ACL運用在一個介面上。
Router(config)# interface serial0
Router(config-if)# ip access-group access-list-number{in/out}
access-list-number表示使用在該介面上ACL號碼。
in/out用來選擇ACL用在進來或出去的封包篩選,其預設值為out。
範例:
Router(config)# access-list 101 dency tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq log
Router(config)# access-list 101 permit ip any any
Router(config)# interface ethernet
Router(config)# ip access-group 101 out
全站熱搜
留言列表
網路相關技術 (3)
