|
|
|
|
|
|
|
|
RouterA(config-if)#ip access-group 110 out访问表的包过滤规则:
1、标准包过滤 该种包过滤只对数据包中的源地址进行检查
2、扩展包过滤 该种包过滤对数据包中的源地址,目的地址,协议及端口号进行检查。
包过滤功能配置
1、定义标准包过滤规则,在全局配置状态下access-list 标识号码 deny 或permit 源地址通配符或在全局配置状态下,定义扩展包过滤规则access-list 标识号码 deny或permit 协议标识 源地址 通配符 目地地址 通配符。
可以在指定范围内任意选择一个标识号码定义相应的包过滤规则,deny参数表示禁止,pernit表示允许。通配符也为32位二进制数字,并与相应的地址一一对应。路由器将检查与通配符中的“0”(2进制)位置一样的地址位,对于通配符中“1”(2进制)位置一致的地址位,将忽略不检查。
一个包过滤规则可以包含一系列检查条件,即可以用同一标识号码定义一系列access-list语句,路由器将从最先定义的条件开始依次检查,如数据包满足某个条件,路由器将不再执行下面的包过滤条件,如果数据包不满足规则中的所有条件,Cisco路由器缺省为禁止该数据包,即丢掉该数据包。
2、在需要包过滤功能的端口,引出包过滤规则
ip access-group包过滤规则标识号in或out,其中in 表示对进入该端口的数据包进行检查,out表示对要从该端口送出的数据包进行检查。如果不进行步骤2的配置,则所定义的包过滤规则根本不会执行。
实例:
Currrent configura页码:[1] [2] [3] [4] [5] [6] [7] [8] [9] 第8页、共9页 |
|
|
|
|
设为首页 | 加入收藏 | 广告服务 | 友情链接 | 版权申明
Copyriht 2007 - 2008 © 科普之友 All right reserved |
