釋義
訪問表。由Cisco路由器保存用來為許多服務控制出/入此路由器的表(例如,為防止具有某一IP位址的數據包停留在路由器某一特殊的接口上)。
概述
訪問表是管理者加入的一系列控制數據包在路由器中輸入、輸出的規則。它不是由路由器自己產生的。訪問表能夠允許或禁止數據包進入或輸出到目的地。訪問表的表項是順序執行的,即數據包到來時,首先看它是否是受第一條表項約束的,若不是,再順序向下執行;如果它與第一條表項匹配,無論是被允許還是被禁止,都不必再執行下面表項的檢查了。
每一個接口的每一種協定只能有一個訪問表。
支持哪些類型的訪問表?
一個訪問表可以由它的編號來確定。具體的協定及其對應的訪問表編號如下:
◎I P標準訪問表編號:1~9 9
◎I P擴展訪問表編號:1 0 0~1 9 9
◎I P X標準訪問表編號:8 0 0~8 9 9
◎I P X擴展訪問表編號:1 0 0 0~1 0 9 9
◎AppleTa l k訪問表編號:6 0 0~6 9 9
提示在Cisco IOS Release11.2或以上版本中,可以用有名訪問表確定編號在1~199的訪問表。
如何創建IP標準訪問表?
一個I P標準訪問表的創建可以由如下命令來完成: Access-list access list number source 【source-mask】
在這條命令中:
◎access list number:確定這個入口屬於哪個訪問表。它是從1到9 9的數字。
◎permit | deny:表明這個入口是允許還是阻塞從特定地址來的信息流量。
◎source:確定源I P地址。
◎s o u r c e - m a s k:確定地址中的哪些比特是用來進行匹配的。如果某個比特是"1",表明地址中該位比特不用管,如果是"0"的話,表明地址中該位比特將被用來進行匹配。可以使用通配符。
以下是一個路由器配置檔案中的訪問表例子:
Router# show access-lists
Standard IP access list 1
deny 204.59.144.0, wildcard bits 0.0.0.255
permit any
一)標準的 IP Access-list 若選用中的任意一個號碼即表示一個標準的Ip Access-list 產生,標準的IP Acces=list 只對數據包中的IP源地址進行檢查限制,因此若要套用一個標準的IP Access-list,我建議將其配置在一個目的端的路由器上.
(二)擴展的IP Access-list 當你要對目的地址,高層協定,高層服務等進行過濾,則需要配置擴展的IP Access-list .其範圍號碼是, 一般來說,在一個源端的路由器上進行此配置.其中,在配置完access-list type 後,你要選一個協定,在這裡如果你選了IP,這將表示你的路由器不會對高層的協定或服務進行過濾.所以IP一般要慎選.
例:
RouterA(config)#access-list ?
IP standard access list
IP extended access list
IPX SAP access list
Extended 48-bit MAC address access list
IPX summary address access list
Protocol type-code access list
DECnet access list
xns standard access list
XNS extended access list
Appletalk access list
48-bit MAC address access list
IPX standard access list
IPX extended access list