.
示例:ip access-group 3 in */定义该端口入站数据包必须按照访问列表3上的原则.
由于标准访问控制列表对使用的端口不进行区别,所以,引入了扩展访问控制列表(列表号从100--199).扩展访问列表能够对数据包的源地址,目的地址和端口等项目进行检查,这其中,任何一个项目都可以导致某个数据包不被允许经过路由器接口.简单的配置示例:
1) ip access-list 101 permit tcp any host 10.1.1.2 established log
2) ip access-list 101 permit tcp any host 172.30.1.3 eq www log
3) ip access-list 101 permit tcp any host 172.30.1.4 eq ftp log
4) ip access-list 101 permit tcp any host 172.30.1.4 log
注释:
第一行允许通过TCP协议访问主机10.1.1.2,如果没个连接已经在主机10.1.1.2和某个要访问的远程主机之间建立,则该行不会允许任何数据包通过路由器接口,除非回话是从内部企业网内部发起的.第二行允许任何连接到主机172.30.1.3页码:[1] [2] [3] [4] [5] [6] [7] 第3页、共7页 |
