访问控制列表格式

---- access-list 1 deny host 192.46.27.8 ---- access-list 1 permit any ---- access-list 1 deny any

---- 在上述例子里面，由于访问列表中第2条语句明确允许任何数据包都通过，所以隐含的拒绝语句不起作用，但实际情况并不总是如此。例如，如果希望来自源地址为192.46.27.8和192.46.27.12的数据包通过路由器的接口，同时阻止其他一切数据包通过，则访问列表的代码如下：

---- access-list 1 permit host 192.46.27.8 ---- access-list 1 permit host 192.46.27.12

---- 注意，因为所有的访问列表会自动在最后包括该语句.

---- 顺便讨论一下标准型IP访问列表的参数\，它起日志的作用。一旦访问列表作用于某个接口，那么包括关键字\og\的语句将记录那些满足访问列表中\和\条件的数据包。第一个通过接口并且和访问列表语句匹配的数据包将立即产生一个日志信息。后续的数据包根据记录日志的方式，或者在控制台上显示日志，或者在内存中记录日志。通过Cisco I

5

OS的控制台命令可以选择记录日志方式。

扩展型IP访问列表

---- 扩展型IP访问列表在数据包的过滤方面增加了不少功能和灵活性。除了可以基于源地址和目标地址过滤外，还可以根据协议、源端口和目的端口过滤，甚至可以利用各种选项过滤。这些选项能够对数据包中某些域的信息进行读取和比较。扩展型IP访问列表的通用格式如下：

---- access-list[list number][permit|deny] ---- [protocol|protocol key word]

---- [source address source-wildcard mask][source port]

---- [destination address destination-wildcard mask]

---- [destination port][log options]

---- 和标准型IP访问列表类似，\number\标志了访问列表的类型。数字100～199用于确定100个惟一的扩展型IP访问列表。\确定需要过滤的协议，其中包括IP、TCP、UDP和ICMP等等。

6

---- 如果我们回顾一下数据包是如何形成的，我们就会了解为什么协议会影响数据包的过滤，尽管有时这样会产生副作用。图2表示了数据包的形成。请注意，应用数据通常有一个在传输层增加的前缀，它可以是TCP协议或UDP协议的头部，这样就增加了一个指示应用的端口标志。当数据流入协议栈之后，网络层再加上一个包含地址信息的IP协议的头部。

由于IP头部传送TCP、UDP、路由协议和ICMP协议，所以在访问列表的语句中，IP协议的级别比其他协议更为重要。但是，在有些应用中，您可能需要改变这种情况，您需要基于某个非IP协议进行过滤

---- 为了更好地说明，下面列举2个扩展型IP访问列表的语句来说明。假设我们希望阻止TCP协议的流量访问IP地址为192.78.46.8的服务器，同时允许其他协议的流量访问该服务器。那么以下访问列表语句能满足这一要求吗？

---- access-list 101 permit host 192.78.46.8 ---- access-list 101 deny host 192.78.46.12

---- 回答是否定的。第一条语句允许所有的IP流量、同时

7

包括TCP流量通过指定的主机地址。这样，第二条语句将不起任何作用。可是，如果改变上面2条语句的次序 那么就可以做到阻止TCP流量通过指定的地址，而允许其他协议的流量通过。

扩展型IP访问列表还有一个特点，就是它支持以下关键字的操作符，如附表所示。至于端口数，您可以指定一个数字和数字范围，或者是操作符加上数字和数字范围。下面是2条使用操作符的访问列表语句的例子。

access-list 101 permit tcp any host 192.78.46.8 eq www

access-list 101 permit ICMP any host 192.78.46.12 eq 8

在这2条语句中，第一条语句允许来自任何主机的TCP到达指定的IP地址为192.78.46.8的主机，只要数据包传输Web流量。其中可以用80取代www，因为Web流量通过端口80。第二条语句允许所有的Ping流量通过，而对于Ping，其ICMP回波请求信息属于ICMP类型8。 实际应用步骤

把访问列表应用于接口实际上可以分为以下3个步骤。 第1步: 创建一个路由表

8