operator (可选)比较源或目标端口。操作包括lt(小于), gt(大于),eq(等于),neq(不等于)。如果操作符放在source和source-mask之后,那么它必须匹配这个源端口。如果操作符放在destination和destination-mask之后,那么它必须匹配目标端口。
port (可选)TCP或UDP端口的十进制数字或名称。端口号是一个0到65535的数字。TCP端口名列在“使用方针”部分。当过滤TCP时,可以只使用TCP端口名称。UDP端口名称也列在“使用说明”部分。当过滤TCP时,只可使用TCP端口名。当过滤UDP时, 只可使用UDP端口名。
established (可选)只对TCP协议,表示一个已建立的连接。如果TCP数据报ACK或RST位设置时,出现匹配。非匹配的情况是初始化TCP数据报,以形成一个连接。
log (可选)可以进行日志记录。
命令模式:IP访问列表配置态
使用说明:可以使用访问表控制包在接口上的传输,控制虚拟终端线路访问以及限制路由选择更新的内容。在匹配发生以后停止检查扩展的访问表。分段IP包,而不是初始段,立即由任何扩展的IP访问表接收。扩展的访问表用于控制访问虚拟终端线路或限制路由选择更新的内容,不必匹配TCP源端口、服务值的类型或包的优先权。
注意:在初始建立一个访问表后,任何后续的添加内容(可能由终端键入)放置在列表的尾部。
以下显示用于替换端口号的TCP端口名。参看当前的分配号RFC找到这些协议的有关参考。与这些协议相应的端口号也可以通过以键入一个?替代端口号的方式来寻找。
bgp ftp
ftp-data login pop2 pop3 smtp telnet www
以下显示用于替换端口号的UDP端口名。参看当前的分配号RFC找到这些
协议的有关参考。与这些协议相应的端口号也可以通过以键入一个?替代端口号的方式来寻找。
domain snmp syslog tftp
示例:
下面示例禁止192.168.5.0这个网段: ip access-list standard filter deny 192.168.5.0 255.255.255.0
注意:IP访问表由一个隐含的deny规则结束。 相关命令: ip access-group ip access-list permit
show ip access-list 2. ip access-group
为了控制访问一个接口,使用ip access-group接口配置命令。为了删除这个指定的访问组,使用no格式命令。
ip access-group {access-list-name}{in | out} no ip access-group {access-list-name}{in | out}
参数:
access-list-name in out
访问表名。这是一个最长为20个字符的字符串。 在进接口时使用访问列表。 在出接口时使用访问列表。
命令模式:接口配置态
使用说明:访问列表既可用在出接口也可用在入接口。对于标准的入口访问列表,在接收到包之后,对照访问列表检查包的源地址。对于扩展的访问列表,该路由器也检查目标地址。如果访问表允许该地址,那么软件继续处理该包。如果访问表不允许该地址,该软件放弃包并返回一个ICMP主机不可到达报文。
对于标准的出口访问表,在接收和路由一个包到控制接口以后,软件对照访问列表检查包的源地址。对于扩展的访问表,路由器还检查接收端地址。如果访问表允许该软件就传送这个包。如果访问列表不允许该地址,软件放弃这个包并返回一个ICMP主机不可达报文。
如果指定的访问列表不存在,所有的包允许通过。 示例:
下例在以太网接口0的包出口上应用列表filter: interface ethernet 0
ip access-group filter out 相关命令: ip access-list show ip access-list 3. ip access-list
使用此命令后,进入的IP访问列表配置模式。在这状态下可以增加和删除访问规则。命令exit返回配置状态。
使用no前缀,删除IP访问列表。
ip access-list {standard | extended} name no ip access-list {standard | extended} name 参数: standard extended name
指定为标准访问列表 指定为扩展访问列表
访问表名。这是一个最长20的字符串。
缺省:没有IP访问列表被定义。 命令模式:全局配置态
使用说明:使用此命令将进入IP访问列表配置模式,在IP访问列表配置模式中,可以用deny或permit命令来配置访问规则。
示例:
以下的例子配置一个标准访问列表 ip access-list standard filter deny 192.168.1.0 255.255.255.0 permit any 相关命令: deny
ip access-group permit
show ip access-list 4. permit
在IP访问列表配置模式中可使用此命令配置允许规则,要从IP访问列表中删除permit规则,在命令前加no前缀。
permit source [source-mask] [log] no permit source [source-mask] [log]
permit protocol source source-mask destination destination-mask [precedence precedence] [tos tos] [log]
no permit protocol source source-mask destination destination-mask [precedence precedence] [tos tos] [log]
对于互联网控制报文协议(ICMP),也可以使用以下句法:
permit icmp source source-mask destination destination-mask [icmp-type] [precedence precedence] [tos tos] [log]
对于Internet 组管理协议(IGMP),可以使用以下句法:
permit igmp source source-mask destination destination-mask [igmp-type] [precedence precedence] [tos tos] [log]
对于TCP,可以使用以下句法:
permit tcp source source-mask [operator port] destination destination-mask [operator port ] [established] [precedence precedence] [tos tos] [log]
对于数据报协议(UDP),可以使用以下句法:
permit udp source source-mask [operator port [port]] destination destination-mask [operator port] [precedence precedence] [tos tos] [log]
参数: protocol
协议名字或IP协议号。它可以是关键字icmp、igmp、igrp、ip、ospf、tcp或udp,也可以是表IP协议号的0到255的一个整数。为了匹配任何Internet协议(包括ICMP、TCP和UDP)使用关键字ip。某些协议允许进一步限定,如下描述。
source
源网络或主机号。有两种方法指定源:32位二进制数,用四个点隔开的十进制数表示。使用关键字any作为0.0.0.0 0.0.0.0的源和源掩码缩写。
source-mask destination
源地址网络掩码。使用关键字any作为0.0.0.0 0.0.0.0的源和源掩码缩写。
目标网络或主机号。有两种方法指定:
使用四个点隔开的十进制数表示的32位二进制数。 使用关键字any作为0.0.0.0 0.0.0.0的目标和目标掩码的缩写。
destination-mask 目标地址网络掩码。使用关键字any作为0.0.0.0 0.0.0.0
的目标地址和目标地址掩码缩写。
precedence precedence
tos tos icmp-type
(可选) 数据包可以使用服务层过滤。使用数字0-15指定。 (可选)ICMP包可由ICMP报文类型过滤。类型是数字0到(可选)包可以由优先级过滤,用0到7的数字指定。
255。
igmp-type operator
(可选)IGMP包可由IGMP报文类型或报文名过滤。 类型是0到15的数字。
(可选)比较源或目标端口。操作包括lt(小于), gt(大于),eq(等于),neq(不等于)。如果操作符放在source和source-mask之后,那么它必须匹配这个源端口。如果操作符放在destination和destination-mask之后,那么它必须匹配目标端口。
port
(可选)TCP或UDP端口的十进制数字或名称。端口号是一个0到65535的数字。TCP端口名列在“使用方针”部分。当过滤TCP时,可以只使用TCP端口名称。UDP端口名称也列在“使用说明”部分。当过滤TCP时,只可使用TCP端口名。当过滤UDP时, 只可使用UDP端口名。
established
(可选)只对TCP协议,表示一个已建立的连接。如果TCP数据报ACK或RST位设置时,出现匹配。非匹配的情况是初始化TCP数据报,以形成一个连接。
log
(可选)可以进行日志记录。
命令模式:IP访问列表配置态
使用说明:可以使用访问表控制包在接口上的传输,控制虚拟终端线路访问以及限制路由选择更新的内容。在匹配发生以后停止检查扩展的访问表。
分段IP包,而不是初始段,立即由任何扩展的IP访问表接收。扩展的访问表用于控制访问虚拟终端线路或限制路由选择更新的内容,不必匹配TCP源端口、服务值的类型或包的优先权。
注意:在初始建立一个访问表后,任何后续的添加内容(可能由终端键入)放置在列表的尾部。
以下显示用于替换端口号的TCP端口名。参看当前的分配号RFC找到这些协议的有关参考。与这些协议相应的端口号也可以通过以键入一个?替代端口号的方式来寻找。
bgp ftp
ftp-data login pop2 pop3 smtp