IT資訊-實驗室[MIS LAB ]

IP資料管制（Access Lists） 　　使用者資料透過網路從一地點傳送到另一地點，為了控制網路上資料，所以需要有方法 加以確認與過濾網路上的資料，因此Access Lists被使用在路由器上檢查網路資料。ACL有 兩種型態： （一）標準型態的ACL（standard access lists－檢查封包的來源（source）位址，以決定 允許或拒絕該封包經由整套網路協定傳送出去。 １．使用Access-List指令建立一個標準的IP資料過濾機制，語法如下： 　　Router(config)# Access-List Access-List-number{permit/deny}source-address〔wildcard mask〕 　　● Access-List-number表示該表列的號碼，其standard IP lists是1到99。 　　● Permit/deny表示是否允許指定位址送出的資料在網路上傳輸。 　　● Source-address代表來源IP端位址。 　　● wildcard mask表示位址欄位中有哪些位元必須一致其default wildcard mask＝0.0.0.0 ２．利用ip access-group指存在一個ALC運用在一個介面上。 　　Router(config) # interface seria10(Ethernet0) 　　Router(config-if) # ip Access-group access-list-number｛in/out｝. 　　access-list-number 表示應用在該介面上的ACL號碼。 　　in/out 用來選擇ACL用在進來或出去的Packet 的篩選上，其系統Default=outbound。 （二）延伸型態ACL－檢測來源與目的端的位址，並須指明檢查網路協定與通信埠號碼， １．利用Access-list指令建立一個過濾資料機制，語法如下： 　　Router（config）#Access-list access-list-number｛Permit/deny｝protocol source source-wildcard〔operator port〕destination destination-wildcard〔operator port〕〔established〕〔log〕 　　access-list-number 表示該列使用值從100到199號碼。 　　permit/deny 表示是否允許指定位址送出來的資料在網路上傳輸。 　　protocol是IP TCP UDP ICMP或IGRP之一。 　　Source與destination代表來源與目的端的IP位址。 　　Source-wildcard與destination-wildcard表示萬用字元遮罩，0表示對應位置的位元必 須一致，1表示對應位置的位元可以是任意值。 　　Operator port可能是一個協定通訊埠的號碼或者It（少於），gt（大於），eq（等於） ，neq（不等於）某個通訊埠的號碼。 　　Established限用於TCP的資料傳輸。 　　Log表示將紀錄訊息傳送給主控台。 ２．將ip access-group指令存在一個ACL運用在一個介面上。 　　Router（config）# interface serial0 　　Router（config-if）# ip access-group access-list-number｛in/out｝ 　　access-list-number表示使用在該介面上ACL號碼。 　　in/out用來選擇ACL用在進來或出去的封包篩選，其預設值為out。 　　範例： 　　Router（config）# access-list 101 dency tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq log 　　Router（config）# access-list 101 permit ip any any 　　Router（config）# interface ethernet 　　Router（config）# ip access-group 101 out