標(biāo)準(zhǔn)型IP訪問列表的格式

　　---- 標(biāo)準(zhǔn)型IP訪問列表的格式如下：

---- access-list[list number][permit|deny][source address][address][wildcard mask][log]

---- 下面解釋一下標(biāo)準(zhǔn)型IP訪問列表的關(guān)鍵字和參數(shù)。首先，在access和list這2個(gè)關(guān)鍵字之間必須有一個(gè)連字符"-"；

一、list nubmer參數(shù)

list number的范圍在0～99之間，這表明該access-list語句是一個(gè)普通的標(biāo)準(zhǔn)型IP訪問列表語句。因?yàn)閷?duì)于Cisco IOS，在0～99之間的數(shù)字指示出該訪問列表和IP協(xié)議有關(guān)，所以list number參數(shù)具有雙重功能:

（1）定義訪問列表的操作協(xié)議;
（2）通知IOS在處理access-list語句時(shí)，把相同的list number參數(shù)作為同一實(shí)體對(duì)待。正如本文在后面所討論的，擴(kuò)展型IP訪問列表也是通過list number（范圍是100～199之間的數(shù)字）而表現(xiàn)其特點(diǎn)的。因此，當(dāng)運(yùn)用訪問列表時(shí)，還需要補(bǔ)充如下重要的規(guī)則: 在需要?jiǎng)?chuàng)建訪問列表的時(shí)候，需要選擇適當(dāng)?shù)膌ist number參數(shù)。

二、permit|deny

允許/拒絕數(shù)據(jù)包通過

　---- 在標(biāo)準(zhǔn)型IP訪問列表中，使用permit語句可以使得和訪問列表項(xiàng)目匹配的數(shù)據(jù)包通過接口，而deny語句可以在接口過濾掉和訪問列表項(xiàng)目匹配的數(shù)據(jù)包。

三、[source address][address][wildcard mask]

代表主機(jī)的IP地址，利用不同掩碼的組合可以指定主機(jī)。

•指定網(wǎng)絡(luò)地址
為了更好地了解IP地址和通配符掩碼的作用，這里舉一個(gè)例子。假設(shè)您的公司有一個(gè)分支機(jī)構(gòu)，其IP地址為C類的192.46.28.0。在您的公司，每個(gè)分支機(jī)構(gòu)都需要通過總部的路由器訪問Internet。要實(shí)現(xiàn)這點(diǎn)，您就可以使用一個(gè)通配符掩碼 0.0.0.255。因?yàn)镃類IP地址的最后一組數(shù)字代表主機(jī)，把它們都置1即允許總部訪問網(wǎng)絡(luò)上的每一臺(tái)主機(jī)。因此，您的標(biāo)準(zhǔn)型IP訪問列表中的access-list語句如下：

---- access-list 1 permit 192.46.28.0 0.0.0.255

---- 注意，通配符掩碼是子網(wǎng)掩碼的補(bǔ)充。因此，如果您是網(wǎng)絡(luò)高手，您可以先確定子網(wǎng)掩碼，然后把它轉(zhuǎn)換成可應(yīng)用的通配符掩碼。這里，又可以補(bǔ)充一條訪問列表的規(guī)則。

•指定主機(jī)地址
如果您想要指定一個(gè)特定的主機(jī)，可以增加一個(gè)通配符掩碼0.0.0.0。例如，為了讓來自IP地址為192.46.27.7的數(shù)據(jù)包通過，可以使用下列語句：

---- Access-list 1 permit 192.46.27.7 0.0.0.0

---- 在Cisco的訪問列表中，用戶除了使用上述的通配符掩碼0.0.0.0來指定特定的主機(jī)外，還可以使用"host"這一關(guān)鍵字。例如，為了讓來自IP地址為192.46.27.7的數(shù)據(jù)包通過，您可以使用下列語句：

---- Access-list 1 permit host 192.46.27.7

---- 除了可以利用關(guān)鍵字"host"來代表通配符掩碼0.0.0.0外，關(guān)鍵字"any"可以作為源地址的縮寫，并代表通配符掩碼0.0.0.0 255.255.255.255。例如，如果希望拒絕來自IP地址為192.46.27.8的站點(diǎn)的數(shù)據(jù)包，可以在訪問列表中增加以下語句：

---- Access-list 1 deny host 192.46.27.8
---- Access-list 1 permit any

---- 注意上述2條訪問列表語句的次序。第1條語句把來自源地址為192.46.27.8的數(shù)據(jù)包過濾掉，第2條語句則允許來自任何源地址的數(shù)據(jù)包通過訪問列表作用的接口。如果改變上述語句的次序，那么訪問列表將不能夠阻止來自源地址為192.46.27.8的數(shù)據(jù)包通過接口。因?yàn)樵L問列表是按從上到下的次序執(zhí)行語句的。這樣，如果第1條語句是:

---- Access-list 1 permit any

---- 那么來自任何源地址的數(shù)據(jù)包都會(huì)通過接口。

•拒絕的奧秘
　　
---- 在默認(rèn)情況下，除非明確規(guī)定允許通過，訪問列表總是阻止或拒絕一切數(shù)據(jù)包的通過，即實(shí)際上在每個(gè)訪問列表的最后，都隱含有一條"deny any"的語句。假設(shè)我們使用了前面創(chuàng)建的標(biāo)準(zhǔn)IP訪問列表，從路由器的角度來看，這條語句的實(shí)際內(nèi)容如下：

　　---- access-list 1 deny host 192.46.27.8
---- access-list 1 permit any
---- access-list 1 deny any

---- 在上述例子里面，由于訪問列表中第2條語句明確允許任何數(shù)據(jù)包都通過，所以隱含的拒絕語句不起作用，但實(shí)際情況并不總是如此。例如，如果希望來自源地址為192.46.27.8和192.46.27.12的數(shù)據(jù)包通過路由器的接口，同時(shí)阻止其他一切數(shù)據(jù)包通過，則訪問列表的代碼如下：

　　---- access-list 1 permit host 192.46.27.8
---- access-list 1 permit host 192.46.27.12

---- 注意，因?yàn)樗械脑L問列表會(huì)自動(dòng)在最后包括該語句.

四、log　　

討論一下標(biāo)準(zhǔn)型IP訪問列表的參數(shù)"log"，它起日志的作用。一旦訪問列表作用于某個(gè)接口，那么包括關(guān)鍵字"log"的語句將記錄那些滿足訪問列表

中"permit"和"deny"條件的數(shù)據(jù)包。第一個(gè)通過接口并且和訪問列表語句匹配的數(shù)據(jù)包將立即產(chǎn)生一個(gè)日志信息。后續(xù)的數(shù)據(jù)包根據(jù)記錄日志的方式，或者在控制臺(tái)上顯示日志，或者在內(nèi)存中記錄日志。通過Cisco IOS的控制臺(tái)命令可以選擇記錄日志方式。

擴(kuò)展型IP訪問列表

---- 擴(kuò)展型IP訪問列表在數(shù)據(jù)包的過濾方面增加了不少功能和靈活性。除了可以基于源地址和目標(biāo)地址過濾外，還可以根據(jù)協(xié)議、源端口和目的端口過濾，甚至可以利用各種選項(xiàng)過濾。這些選項(xiàng)能夠?qū)?shù)據(jù)包中某些域的信息進(jìn)行讀取和比較。擴(kuò)展型IP訪問列表的通用格式如下：

---- access-list[list number][permit|deny]
---- [protocol|protocol key word]
---- [source address source-wildcard mask][source port]
---- [destination address destination-wildcard mask]
---- [destination port][log options]

---- 和標(biāo)準(zhǔn)型IP訪問列表類似，"list number"標(biāo)志了訪問列表的類型。數(shù)字100～199用于確定100個(gè)惟一的擴(kuò)展型IP訪問列表。"protocol"確定需要過濾的協(xié)議，其中包括IP、TCP、UDP和ICMP等等。

---- 如果我們回顧一下數(shù)據(jù)包是如何形成的，我們就會(huì)了解為什么協(xié)議會(huì)影響數(shù)據(jù)包的過濾，盡管有時(shí)這樣會(huì)產(chǎn)生副作用。圖2表示了數(shù)據(jù)包的形成。請(qǐng)注意，應(yīng)用數(shù)據(jù)通常有一個(gè)在傳輸層增加的前綴，它可以是TCP協(xié)議或UDP協(xié)議的頭部，這樣就增加了一個(gè)指示應(yīng)用的端口標(biāo)志。當(dāng)數(shù)據(jù)流入?yún)f(xié)議棧之后，網(wǎng)絡(luò)層再加上一個(gè)包含地址信息的IP協(xié)議的頭部。由于IP頭部傳送TCP、UDP、路由協(xié)議和ICMP協(xié)議，所以在訪問列表的語句中，IP協(xié)議的級(jí)別比其他協(xié)議更為重要。但是，在有些應(yīng)用中，您可能需要改變這種情況，您需要基于某個(gè)非IP協(xié)議進(jìn)行過濾

---- 為了更好地說明，下面列舉2個(gè)擴(kuò)展型IP訪問列表的語句來說明。假設(shè)我們希望阻止TCP協(xié)議的流量訪問IP地址為192.78.46.8的服務(wù)器，同時(shí)允許其他協(xié)議的流量訪問該服務(wù)器。那么以下訪問列表語句能滿足這一要求嗎？

---- access-list 101 permit host 192.78.46.8
---- access-list 101 deny host 192.78.46.12

---- 回答是否定的。第一條語句允許所有的IP流量、同時(shí)包括TCP流量通過指定的主機(jī)地址。這樣，第二條語句將不起任何作用?？墒?，如果改變上面2條語句的次序

反向訪問列表

　　 有5個(gè)VLAN,分別為 管理(63)、辦公(48)、業(yè)務(wù)(49)、財(cái)務(wù)(50)、家庭(51)。 要求: 管理可以訪問其它,而其它不能訪問管理,并且其它VLAN之間不能互相訪問！ 它的應(yīng)用不受影響，例如通過上連進(jìn)行INTERNET的訪問 。

•方法一: 只在管理VLAN的接口上配置,其它VLAN接口不用配置。

　　在入方向放置reflect
ip access-list extended infilter
permit ip any any reflect cciepass
!
在出方向放置evaluate
ip access-list extended outfilter
evaluate cciepass
deny ip 10.54.48.0 0.0.0.255 any
deny ip 10.54.49.0.0.0.0.255 any
deny ip 10.54.50.0 0.0.0.255 any
deny ip 10.54.51.0 0.0.0.255 any
permit ip any any
！應(yīng)用到管理接口
int vlan 63
ip access-group infilter in
ip access-group outfilter out

•方法二：在管理VLAN接口上不放置任何訪問列表，而是在其它VLAN接口都放。
　　
以辦公VLAN為例：

在出方向放置reflect
ip access-list extended outfilter
permit ip any any reflect cciepass
!
在入方向放置evaluate
ip access-list extended infilter
deny ip 10.54.48.0 0.0.0.255 10.54.49.0 0.0.0.255
deny ip 10.54.48.0 0.0.0.255 10.54.50.0 0.0.0.255
deny ip 10.54.48.0 0.0.0.255 10.54.51.0 0.0.0.255
deny ip 10.54.48.0 0.0.0.255 10.54.63.0 0.0.0.255
evaluate cciepass
permit ip any any
!
應(yīng)用到辦公VLAN接口：
int vlan 48
ip access-group infilter in
ip access-group outfilter out

總結(jié)：

1） Reflect放置在允許的方向上（可進(jìn)可出）
2） 放在管理VLAN上配置簡單，但是不如放在所有其它VLAN上直接。
3) 如果在內(nèi)網(wǎng)口上放置: 在入上設(shè)置Reflect

如果在外網(wǎng)口上放置: 在出口上放置Reflect

LAN WAN
-
inbound outbound

4)reflect不對(duì)本地路由器上的數(shù)據(jù)包跟蹤,所以對(duì)待進(jìn)入的數(shù)據(jù)包時(shí)注意,要允許一些數(shù)據(jù)流進(jìn)入 從IOS12.0開始，CISCO路由器新增加了一種基于時(shí)間的訪問列表。通過它，可以根據(jù)一天中的不同時(shí)間，或者根據(jù)一星期中的不同日期，當(dāng)然也可以二者結(jié)合起來，控制對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的轉(zhuǎn)發(fā)。
一、使用方法
這種基于時(shí)間的訪問列表就是在原來的標(biāo)準(zhǔn)訪問列表和擴(kuò)展訪問列表中加入有效的時(shí)間范圍來更合理有效的控制網(wǎng)絡(luò)。它需要先定義一個(gè)時(shí)間范圍，然后在原來的各種訪問列表的基礎(chǔ)上應(yīng)用它。并且，對(duì)于編號(hào)訪問表和名稱訪問表都適用。
二、使用規(guī)則
用time-range 命令來指定時(shí)間范圍的名稱，然后用absolute命令或者一個(gè)或多個(gè)periodic命令來具體定義時(shí)間范圍。 　　IOS命令格式為：
time-range time-range-name absolute [start time date] [end time date]

periodic days-of-the week hh:mm to [days-of-the week] hh:mm
我們分別來介紹下每個(gè)命令和參數(shù)的詳細(xì)情況
time-range ： 用來定義時(shí)間范圍的命令
time-range-name：時(shí)間范圍名稱，用來標(biāo)識(shí)時(shí)間范圍，以便于在后面的訪問列表中引用

absolute： 該命令用來指定絕對(duì)時(shí)間范圍。它后面緊跟這start和 end兩個(gè)關(guān)鍵字。

在這兩個(gè)關(guān)鍵字后面的時(shí)間要以24小時(shí)制、hh:mm（小時(shí)：分鐘）表示，日期要按照日/月/年來表示?？梢钥吹?，他們兩個(gè)可以都省略。如果省略start及其后面的時(shí)間，那表示與之相聯(lián)系的permit 或deny語句立即生效，并一直作用到end處的時(shí)間為止；若省略如果省略end及其后面的時(shí)間，那表示與之相聯(lián)系的permit 或deny語句在start處表示的時(shí)間開始生效，并且永遠(yuǎn)發(fā)生作用，當(dāng)然把訪問列表刪除了的話就不會(huì)起作用了。
怎么樣，看明白了嗎？上面講的就是命令和基本參數(shù)為了便于理解，我們看兩個(gè)例子。
1、如果要表示每天的早8點(diǎn)到晚8點(diǎn)就可以用這樣的語句：
absolute start 8:00 end 20:00
2、再如，我們要使一個(gè)訪問列表從2006年10月1日早5點(diǎn)開始起作用，直到2006年10月31日晚24點(diǎn)停止作用，語句如下：
absolute start 5:00 1 December 2000 end 24:00 31 December 2000
這樣一來，我們就可以用這種基于時(shí)間的訪問列表來實(shí)現(xiàn)，而不用半夜跑到辦公室去刪除那個(gè)訪問列表了。這對(duì)于網(wǎng)絡(luò)管理員來說，是個(gè)很好的事情。如果你恰好是網(wǎng)管。。哇。。。什么也不要講了，快回去好好配置吧：）。好了接下來，讓我們接著看下一個(gè)periodic命令及其參數(shù)。一個(gè)時(shí)間范圍只能有一個(gè)absolute語句，但是可以有幾個(gè)periodic語句。
periodic：主要是以星期為參數(shù)來定義時(shí)間范圍的一個(gè)命令。它的參數(shù)主要有賓Monday,Tuesday,Wednesday,Thursday,Friday,Saturday,Sunday中的一個(gè)或者幾個(gè)的組合，也可以是daily（每天）、 weekday（周一到周五）或者 weekend（周末）。

示例一: 帶Established選項(xiàng)的擴(kuò)展訪問列表

拓?fù)?
R2-(S2/0)-----------------(S2/0)-R1(S2/1)---------------(S2/1)-R3

帶有Established的擴(kuò)展訪問列表允許內(nèi)部用戶訪問外部網(wǎng)絡(luò),而拒絕外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò),而沒帶Established的標(biāo)準(zhǔn)訪問列表和擴(kuò)展訪問列表沒有這個(gè)特性.
這個(gè)示例首先用OSPF來使全網(wǎng)互聯(lián).

R1:

我們讓R2作為內(nèi)部網(wǎng)絡(luò),R3作為內(nèi)部網(wǎng)絡(luò),以下配置使R2發(fā)起訪問R3沒問題,從R3訪問R2則被

拒絕.注意這個(gè)配置方案是針對(duì)基于TCP的應(yīng)用,任何TCP通訊都是雙向的,從R2發(fā)起的訪問外

部網(wǎng)絡(luò)之后,外部網(wǎng)絡(luò)的流量得以通過,這個(gè)時(shí)候TCP報(bào)文,ACK或RST位被設(shè)置為1

R1(configure)access-list 101 permit tcp any any established log-input
R1(configure)access-list 101 permit ospf any any
R1(configure)access-list 101 deny ip any any log-input
R1(configure)int s2/1
R1(configure-if)ip access-group 101 in

以上log-input是為了顯示監(jiān)視數(shù)據(jù)報(bào)文被過濾的情況,接下來用debug ip packet

detailed來監(jiān)視報(bào)文經(jīng)過R1的情況,應(yīng)該路由器還有OSPF報(bào)文產(chǎn)生,因此我們對(duì)DEBUG信息做

了限制.

r1(config)#access-list 102 permit tcp any any

我們這樣做 讓R2發(fā)起telnet訪問R3
r1#telnet 3.3.3.3
Trying 3.3.3.3 ... Open

r3>
*Mar 1 00:55:53.003: IP: tableid=0, s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1),

routed via RIB
*Mar 1 00:55:53.003: IP: s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1), len 44,

sending
*Mar 1 00:55:53.007: TCP src=11001, dst=23, seq=2398697781, ack=0, win=4128 SYN
*Mar 1 00:55:53.179: %SEC-6-IPACCESSLOGP: list 101 permitted tcp 3.3.3.3(23)

(Serial2/1 ) -> 13.1.1.1(11001), 1 packet
*Mar 1 00:55:53.183: IP: tableid=0, s=3.3.3.3 (Serial2/1), d=13.1.1.1

(Serial2/1), routed via RIB
*Mar 1 00:55:53.183: IP: s=3.3.3.3 (Serial2/1), d=13.1.1.1 (Serial2/1), len 44,

rcvd 3
*Mar 1 00:55:53.187: TCP src=23, dst=11001, seq=949632690, ack=2398697782,

win=4128 ACK SYN
*Mar 1 00:55:53.187: IP: tableid=0, s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1),

routed via RIB
*Mar 1 00:55:53.191: IP: s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1), len 40,

sending
*Mar 1 00:55:53.191: TCP src=11001, dst=23, seq=2398697782, ack=949632691,

win=4128 ACK
*Mar 1 00:55:53.199: IP: tableid=0, s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1),

routed via RIB
*Mar 1 00:55:53.203: IP: s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1), len 49,

sending
*Mar 1 00:55:53.203: TCP src=11001, dst=23, seq=2398697782, ack=949632691,

win=4128 ACK PSH
*Mar 1 00:55:53.207: IP: tableid=0, s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1),

routed via RIB
*Mar 1 00:55:53.211: IP: s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1), len 40,

sending
*Mar 1 00:55:53.215: TCP src=11001, dst=23, seq=2398697791, ack=949632691,

win=4128 ACK
*Mar 1 00:55:53.455: IP: tableid=0, s=3.3.3.3 (Serial2/1), d=13.1.1.1

(Serial2/1), routed via RIB
*Mar 1 00:55:53.455: IP: s=3.3.3.3 (Serial2/1), d=13.1.1.1 (Serial2/1), len 52,

rcvd 3
*Mar 1 00:55:53.459: TCP src=23, dst=11001, seq=949632691, ack=2398697791,

win=4119 ACK PSH
*Mar 1 00:55:53.459: IP: tableid=0, s=3.3.3.3 (Serial2/1), d=13.1.1.1

(Serial2/1), routed via RIB
*Mar 1 00:55:53.463: IP: s=3.3.3.3 (Serial2/1), d=13.1.1.1 (Serial2/1), len 45,

rcvd 3
*Mar 1 00:55:53.467: TCP src=23, dst=11001, seq=949632703, ack=2398697791,

win=4119 ACK PSH
*Mar 1 00:55:53.467: IP: tableid=0, s=3.3.3.3 (Serial2/1), d=13.1.1.1

(Serial2/1), routed via RIB
*Mar 1 00:55:53.471: IP: s=3.3.3.3 (Serial2/1), d=13.1.1.1 (Serial2/1), len 43,

rcvd 3
*Mar 1 00:55:53.471: TCP src=23, dst=11001, seq=949632708, ack=2398697791,

win=4119 ACK PSH
*Mar 1 00:55:53.475: IP: tableid=0, s=3.3.3.3 (Serial2/1), d=13.1.1.1

(Serial2/1), routed via RIB
*Mar 1 00:55:53.479: IP: s=3.3.3.3 (Serial2/1), d=13.1.1.1 (Serial2/1), len 46,

rcvd 3
*Mar 1 00:55:53.479: TCP src=23, dst=11001, seq=949632711, ack=2398697791,

win=4119 ACK PSH
*Mar 1 00:55:53.483: IP: tableid=0, s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1),

routed via RIB
*Mar 1 00:55:53.487: IP: s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1), len 43,

sending
*Mar 1 00:55:53.487: TCP src=11001, dst=23, seq=2398697791, ack=949632717,

win=4102 ACK PSH
*Mar 1 00:55:53.491: IP: tableid=0, s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1),

routed via RIB
*Mar 1 00:55:53.495: IP: s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1), len 43,

sending
*Mar 1 00:55:53.495: TCP src=11001, dst=23, seq=2398697794, ack=949632717,

win=4102 ACK PSH
*Mar 1 00:55:53.499: IP: tableid=0, s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1),

routed via RIB
*Mar 1 00:55:53.503: IP: s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1), len 49,

sending
*Mar 1 00:55:53.503: TCP src=11001, dst=23, seq=2398697797, ack=949632717,

win=4102 ACK PSH
*Mar 1 00:55:53.659: IP: tableid=0, s=3.3.3.3 (Serial2/1), d=13.1.1.1

(Serial2/1), routed via RIB
*Mar 1 00:55:53.663: IP: s=3.3.3.3 (Serial2/1), d=13.1.1.1 (Serial2/1), len 43,

rcvd 3
*Mar 1 00:55:53.663: TCP src=23, dst=11001, seq=949632717, ack=2398697797,

win=4113 ACK PSH
*Mar 1 00:55:53.867: IP: tableid=0, s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1),

routed via RIB
*Mar 1 00:55:53.867: IP: s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1), len 40,

sending
*Mar 1 00:55:53.871: TCP src=11001, dst=23, seq=2398697806, ack=949632720,

win=4099 ACK
*Mar 1 00:55:53.963: IP: tableid=0, s=3.3.3.3 (Serial2/1), d=13.1.1.1

(Serial2/1), routed via RIB
*Mar 1 00:55:53.967: IP: s=3.3.3.3 (Serial2/1), d=13.1.1.1 (Serial2/1), len 40,

rcvd 3
*Mar 1 00:55:53.967: TCP src=23, dst=11001, seq=949632720, ack=2398697806,

win=4104 ACK

注意R3返回R2的數(shù)據(jù)報(bào)文得以通過,接下來我們測試從R3發(fā)起訪問R2的情況

r3#telnet 2.2.2.2
Trying 2.2.2.2 ...
% Destination unreachable; gateway or host down
r1#
*Mar 1 01:02:22.779: %SEC-6-IPACCESSLOGP: list 101 denied tcp 13.1.1.3(11002)

(Serial2/1 ) -> 2.2.2.2(23), 1 packet
*Mar 1 01:02:22.783: IP: s=13.1.1.3 (Serial2/1), d=2.2.2.2, len 44, access

denied
*Mar 1 01:02:22.783: IP: tableid=0, s=13.1.1.1 (local), d=13.1.1.3 (Serial2/1),

routed via RIB
*Mar 1 01:02:22.787: IP: s=13.1.1.1 (local), d=13.1.1.3 (Serial2/1), len 56,

sending
*Mar 1 01:02:24.139: IP: s=12.1.1.2 (Serial2/0), d=224.0.0.5, len 80, rcvd 0
*Mar 1 01:02:24.315: IP: s=13.1.1.1 (local), d=224.0.0.5 (Serial2/1), len 80,

sending broad/multicast
*Mar 1 01:02:25.139: IP: s=12.1.1.1 (local), d=224.0.0.5 (Serial2/0), len 80,

sending broad/multicast
 

注意,TCP協(xié)議的第一次發(fā)送是SYN字段,這是用來同步準(zhǔn)備建立一個(gè)新連接的兩端主機(jī),而

ACK位由接收者置位從而向發(fā)送者表明數(shù)據(jù)已經(jīng)成功接收.RST(reset)位說明什么時(shí)候重新

啟動(dòng)連接.帶Eetablished的擴(kuò)展訪問列表只允許ACK或RST位置1的TCP報(bào)文通過.

reflect+evalute實(shí)現(xiàn)單向訪問控制列表的最新實(shí)驗(yàn)結(jié)果

第二步:
將上面的訪問控制列表改為:

器.
觀察發(fā)現(xiàn),我從vlan12的客戶機(jī)上ping 其它vlan里面的任何一臺(tái)機(jī)器的話,就會(huì)自動(dòng)生成一

條動(dòng)態(tài)度的

access-list,(假如 我從vlan12的機(jī)器10.147.18.90 ping vlan1里面的10.147.17.251)
記錄如下:
Reflexive IP access list abcd
permit icmp host 10.147.17.251 host 10.147.18.90 (8 matches) (time left 297)
permit udp host 202.96.170.163 eq 8000 host 10.147.18.90 eq 4000 (6 matches)

(time left 247)
permit udp host 224.0.0.2 eq 1985 host 10.147.18.93 eq 1985 (155 matches) (time

left 299)
Extended IP access list in-filter
permit ip any any reflect abcd
Extended IP access list out-filter
evaluate abcd
deny ip any any (289 matches)

第三步:我想實(shí)現(xiàn)功能:vlan12里的機(jī)器能訪問所有其他vlan,除了vlan 2

(10.147.16.0/255.255.255.128)外均

不能訪問vlan12:
將訪問控制列表改為:
ip access-list extended in-filter
permit ip any any reflect abcd
ip access-list extended out-filter
evaluate abcd
permit ip 10.147.16.0 0.0.0.128 any
deny ip any any
結(jié)果一開始幾分鐘內(nèi),除了定義的VLAN2(10.147.16.0/255.255.255.128)外,其它vlan的機(jī)

器均ping不通vlan 12 的機(jī)器
后來就全部PING
不通,和第二次開發(fā)步的結(jié)果相同

我用你的方法在cisco3560交換機(jī)上測試，應(yīng)用acl后，雙方向都不通了。分析一下怎么回

事，配置如下：
4號(hào)口劃分到vlan3，48號(hào)口劃分到vlan2

最新評(píng)論