<dfn id="w48us"></dfn><ul id="w48us"></ul>
  • <ul id="w48us"></ul>
    • 

    • <del id="w48us"></del>
    <ul id="w48us"></ul>
    

  • 



    
    
    
        
        
        
    
    

    

    
    
    
        
    
            
            
    ACL的其它輸寫形式與應用注意事項
    
            
    
                時間:2024-11-06 03:40:31 
                
                網(wǎng)絡技術
                我要投稿
            
    
            
            
    
                
    
                    
      
                        
                        
    • 相關推薦
      • 
                    
    
                
    
                
    關于ACL的其它輸寫形式與應用注意事項
    
                
    
	  在前面的幾個小節(jié)中描述了關于標準與擴展ACL的應用,并演示了具體的配置過程,在本節(jié)小編主要對ACL的應用事項進行一下總結,其中包括ACL的輸寫形式、ACL的應用位置、ACL條目的增加與刪除,具體如下:
    

    
	  關于ACL語句的輸寫形式:
    

    
	  access-list 1permit host 192.168.100.1等于access-list 1 permit 192.168.100.1 0.0.0.0的功能,語句中的host是申明配置的地址是一個主機地址,它等于反碼的全匹配(0.0.0.0),以全匹配形式出現(xiàn)的反碼,表示匹配的IP地址是一個主機IP地址。
    

    
	  access-list 102permit tcp 0.0.0.0 255.255.255.255 0.0.0.0255.255.255.255 eq www 等于access-list 102 permit tcp any any eq 80的功能,語句中的源IP地址和目標IP地址都是0,指示源和目標IP地址可以是任意IP地址;源地址和目標地址的反碼都是255,指示不關心任何位,它就等同于在擴展ACL中源和目標IP地址都以any關鍵字出現(xiàn)的情況;eqwww就等于eq 80,因為TCP 80號端口正是眾所周知的www服務端口,但是這里提出一個注意事項,如果Web服務器的端口沒有使用眾所周知的80號端口,出于某種安全原因或者特殊要求,服務器管理員自定義了Web的服務端口號,那么,在輸寫ACL時,就只能在eq關鍵字之后申明具體的端口號,而不是申明www,否則ACL將無法完成匹配。
    

    
	  access-list 102permit ip host 192.168.1.2 host 192.168.2.2 等于access-list 102 permit ip 192.168.1.20.0.0.0 192.168.2.2 0.0.0.0;ACL的語句中的源IP和目標IP都是具體的主機IP地址,所以可以在ACL語句中使有host關鍵字申明主機地址,它和反碼的全匹配形式所表示的意義同種。
    

    
	  關于ACL應用位置的設計:
    

    
	  n 標準ACL只關心源地址,所以必須將其應用到距離控制目標最近的接口位置。
    

    
	  n 擴展ACL既關心源地址,又關心目標地址,建議將其應用到距離控制源最近的接口位置,這樣可以優(yōu)化流量,減少主干網(wǎng)上沒有必要的流量開銷。
    

    
	  n 在同一接口、同一協(xié)議、同一方向只能應用一個訪問控制列表。
    

    
	  n 訪問控制列表,只能過濾穿越路由器的流量,對應用訪問控制列表的路由器本地產(chǎn)生的流量不生效。
    

    
	  關于在傳統(tǒng)IOS版本中ACL條目的增加與刪除問題
    

    
	  在傳統(tǒng)的IOS版本中,對ACL條目的增加或者刪除是一件非常痛苦的事情,因為當一個ACL的多條語句被配置在路由器之后,如果想要在ACL中增加一條過濾語句,那么這條增加的語句將出現(xiàn)在已存在的所有ACL語句之后,這樣就會出現(xiàn)安全漏洞,為網(wǎng)絡造成風險行為,為了更好的理解這一點,現(xiàn)在要舉一個實例:
    

    
	  用戶首次已經(jīng)完成了一條ACL 101的編寫:
    

    
	  ACL 101 的第一條語句 :access-list 101 deny ip host 192.168.1.2 host192.168.2.1
    

    
	  ACL 101 的第二條語句: access-list 101 permit ip any any
    

    
	  現(xiàn)在用戶希望更改原有的ACL 101,希望在上述的兩條語句之間加入如下所示的ACL語句:
    

    
	  access-list 101 deny ip host192.168.3.1 host 192.168.4.1
    

    
	  但是當你完成加入后,這條被加入的語句將被放到ACL 101的最后,如下圖所示,這樣,它的匹配順序也如圖所示,最后加入的語句被放置到ACL列表的最后,而第二條語句是允許任何流量,所以根本不會給第三條語句匹配的機會,那么第三條語句將永遠不生效,即便是您可能希望它于permit any any 之前生效,但事實上它不會,這類似于微機原理里面的堆棧原理,先進入。先調用。
    

    
	  所以在傳統(tǒng)IOS中管理員對ACL的修改變得很頭痛,通常,管理員會把現(xiàn)在的ACL復制到一個文本文件中進行增加或者刪除語句的操作,然后把原本在路由器上配置的ACL通過no access-list 101全部清除,再將文本文件中修改完成的ACL復制到路由器上,無法做到逐條修改ACL語句的效果。
    

    【ACL的其它輸寫形式與應用注意事項】相關文章:
    圍棋和其它棋類的區(qū)別06-12
    戶外廣告形式的形式10-07
    IT項目質量管理技巧應用的注意事項09-29
    圍棋和其它棋類有什么不同08-20
    美麗的插花形式10-17
    插花形式-花籃10-09
    項目管理形式08-20
    廣告設計的形式10-04
    置石的常見形式07-07
    家庭插花常用形式08-16
    
            
    
            
        
    
        
    
    
    
    
        
    
    

    

    






主站蜘蛛池模板:
国产亚洲欧美精品久久久|
久久精品国产久精国产|
久久se精品一区二区|
亚洲国产精品自在拍在线播放|
欧美精品在线一区|
少妇人妻精品一区二区三区|
国产亚洲精品自在线观看|
四虎永久在线精品免费一区二区
|
精品无码久久久久久午夜|
国产一级精品高清一级毛片
|
91精品国产高清91久久久久久|
欧美日韩专区麻豆精品在线|
91精品福利在线观看|
成人午夜精品视频在线观看|
午夜不卡久久精品无码免费|
青青热久久国产久精品|
国产精品麻豆欧美日韩ww|
精品九九久久国内精品|
CAOPORM国产精品视频免费
|
成人伊人精品色XXXX视频|
亚洲国产精品国自产拍AV|
宅男宅女精品国产AV天堂|
亚洲av无码成人精品区在线播放|
精品亚洲成α人无码成α在线观看|
亚洲欧美日韩精品久久|
国产精品视频一区二区三区
|
一区二区三区精品高清视频免费在线播放|
国产精品欧美一区二区三区|
中国精品videossex中国高清|
国产精品视频久久|
久久se精品一区二区|
久久国产精品成人免费|
国产精品福利在线观看|
…久久精品99久久香蕉国产|
精品国产一区二区三区久久久狼|
少妇人妻无码精品视频app|
亚洲AV永久无码精品网站在线观看
|
久久综合久久自在自线精品自|
永久无码精品三区在线4|
亚洲欧洲久久久精品|
亚洲精品无码成人AAA片|