ACL管理网络利器(1)

作者: 刘安出处:网管员世界　2007-07-27 16:18　砖好评论条　进入论坛

阅读提示：笔者所在的单位由一台路由器将两个以太网段连接到Internet上，路由器通过串行端口S0连到Internet上，而以太网分别通过端口E0和E1连到路由器上。假设我们希望允许任何用户都能通过IP访问198.78.46.12服务器，并允许205.131.175.0网络上的用户通过Web浏览和FTP访问Internet。

笔者所在的单位由一台路由器将两个以太网段连接到Internet上，路由器通过串行端口S0连到Internet上，而以太网分别通过端口E0和E1连到路由器上。假设我们希望允许任何用户都能通过IP访问198.78.46.12服务器，并允许205.131.175.0网络上的用户通过Web浏览和FTP访问Internet。
配置如下：


useranme test password cisco
!
int serial 0
IP add 175.10.1.1 255.255.255.0
IP access-group 100 in
!
access-list 100 permit TCP any host 175.10.1.1 eq telnet
access-list 100 permit udp any eq 53 205.131.175.0 0.0.0.255 gt 1023
access-list 100 permit TCP any eq 21 205.131.175.0 0.0.0.255 gt 1023 established
access-list 100 permit TCP any eq 80 205.131.175.0 0.0.0.255 gt 1023 established
access-list 100 permit TCP any eq 20 205.131.175.0 0.0.0.255 gt 1023
access-list 100 dynamic test timeout 180 permit IP any host 198.76.46.12 log
!
logging buffered 64000
!
line vty 0 2
login local
autocommand access-enable host timeout 10
line vty 3 4
login local
rotary 1

注意：访问表被应用到了串行端口上，将扩展访问表应用到距离过滤源最近的地方，这是一种很好的方法。
在本例中，我们的目的是要过滤Internet上的主机,所以串行端口是路由器上距离被过滤主机最近的端口，访问表应用的方向是向内的，因为从路由器的角度看来，从Internet来的报文是流向路由器的，如果我们将访问列表应用成向外的访问，则过滤的报文将是离开串行接口而通往Internet的报文,而这并非我们所希望的。另外，我们还建立了一个用户名“test”，它可以用来访问路由器。在实际应用中，我们应该为每个用户建立一对用户名和口令。现在，让我们分析访问列表的每一个表项：
第一个表项允许从任何源I P地址来的报文到达主机175.10.1.1，如果其目标端口为telnet的话，我们实际上允许了向内的telnet连接到路由器的串行接口。我们可以允许向内的telnet连接到路由器的其他IP地址，但只允许向内访问路由器的串行接口是一种最佳的选择。

共3页: 1 [2] [3] 下一页

【内容导航】

关于 ACL TCP IP 管理网络的

文章

博文

帖子

· 3.5 TCP/IP与OSI的比较(06/15)

· 3.4.2 TCP/IP的基本工作原理(06/15)

· 3．4 TCP/IP参考模型(06/15)

· TCP/IP网络的信息安全与防火墙技术(09/14)

· 6.9.3 万兆位以太网物理层工作原理(07/13)

· Ip and router教材

· 巧用Cacls.exe修改文件访问控制权限

· LINUX OpenVPN使用User和Pass验证登录

· 迎接IPv6时代，在我们的爱机上安装IPv6协议栈..

· 易通网络资讯出售美.韩.欧.香.台.日等VPN/EB快..

· WIN2000域模式设置管理全攻略

专题

我也说两句

叫好

拍砖

中国领先的 IT 技术网站 ·
技术成就梦想

·广东电信开始全面清查ADSL共享 7月..
·如何解决企业三大IT运维管理难题

· 教你轻松搭建无线局域网
· 无线城市：免费宽带上..
· 北京网通暂停新装宽带..
· OSPF NSSA 容易被忽略..
· Catalyst 6000/6500 系..
· Practice Lab 3:多路由..

· Broadview COSS解决中..
· H3C四大产品线业绩均有..
· 广东电信开始全面清查A..
· 求流VPN管理软件
· 哪位大哥能给个VPN管理..
· 可恶的网络中心!!!

排行榜

·路由器设置与口令恢复 (查看132702次)
·常用交换机典型配置 (查看75835次)
·华为员工自杀频频拷问企业文化 (查看71241次)
·网络管理员考试全真模拟试题(八.. (查看57492次)
·三层交换技术专题 (查看48947次)

·2006无线校园建设与应用大会将召开 (1031个砖)
·51CTO专访：造中国特色VPN产品 (446个砖)
·子网掩码教程 (325个砖)
·三层交换技术专题 (269个砖)
·专访锐捷：校园网现状是少规划性价比差 (168个砖)

·51CTO调查：8成网友不满现在的网速 (674个好)
·51CTO专访：造中国特色VPN产品 (533个好)
·子网掩码教程 (459个好)
·三层交换技术专题 (265个好)
·无线网状网（MESH） (237个好)

·思科全球CEO钱伯斯第七次访华 (04月)
·运营商封堵ADSL共享中小企业如何应对 (12月)
·计算机网络维护入门 (11月)
·十大正在慢慢死去的IT技术 (11月)
·未来五年可能必备的10大网络技术 (11月)

·ARP协议及欺骗原理
·独家体验：在西三环亲历北京免费无..

· 周末病毒预报：视频宝..
· NAC精要指南:什么是网..
· 布线测试中的常见问题..
· ASP.NET Ajax网站开发..
· 网管员必读：网络链路..
· SQL Server 2008中不推..
· 路由器故障排除实例讲解
· Cisco 认证考试费用全..

· 微软针对XP SP2的远程..
· 山东临沂网通联合公安..
· Cisco考试费用全线涨价..
· 企业无线网络设置10大..
· Windows Server 2003网..
· 上海宣判三起网络知识..
· 微软Sever 2008自带虚..
· 金山信息安全技术公司..

订阅技术快讯

电子杂志下载

名称：SQL Server数据库管理精品黄皮书
简介：书中文章经过精挑细选，便于用户能根据自己的实际工作和学习，快速在本书寻找到相关资料。内容涵盖了SQL Server的安装与升级、语句查询、数据备份和恢复、自动化任务、数据同步、数据字典、安全和预防、性能和优化、集群等各方面应用信息，以及DBA管理人员在数据库管理工作中

名称：2007路由技术大全
简介：《2007路由技术大全》由51CTO.com网站特别策划制作，该书包括路由器技术、路由器产品、路由器配置、安全设置、路由器故障处理、路由器密码恢复，以及广大网友在实践使用中的心得经验和技巧文章，内容注重实用性，适用于初学者入门，也适合多年从业者提高，是一本实践和理论完

名称：网络安全精品应用黄皮书
简介：《2007精品网络安全黄皮书》包括了9个大类24个小类， 800余篇文章，内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范，涉及到了安全应用的全部领域, 由浅至深内容全面。

专题

最多好

最多砖