国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

1．創(chuàng)建標準訪問列表Switch# configure terminalSwitch(config)# access-list access-list-number {deny | permit} source [source-wildcard]  使用源地址或通配符定義標準IP訪問列表。access-list-number：ACL號。ACL號相同的所有ACL形成一個組。在判斷一個包時，使用同一組中的條目從上到下逐一進行判斷，一遇到滿足的條目就終止對該包的判斷。1～99或1300～1999為標準的IP ACL號。deny | permit：        當條件匹配時，是允許包通過，還是將包丟棄。Source：                 源地址。發(fā)送包的網(wǎng)絡(luò)或主機地址，使用點分十進表示。當表示一組主機時，使用通配符屏蔽碼。source-wildcard：   通配符屏蔽碼。Cisco訪問列表所支持的通配符屏蔽碼與子網(wǎng)掩碼的方式是相反的。也就是說，二進制“0”表示一個匹配條件，“1”表示一個不關(guān)心條件。Any：                      表示任何主機。源地址和源通配符0.0.0.0 255.255.255.255的縮寫。例如，若欲拒絕從源地址192168.1.100發(fā)出的報文，但允許發(fā)自其他源地址的報文，應(yīng)當使用下述語句：Access-list 1 deny host 192.168.1.100Access-list 1 permit需要注意這兩條語句的順序。訪問列表語句的處理是由上至下的。如果將兩個語句順序顛倒，將Permit語句放在Deny語句前面，則不能過濾來自主機的報文，因為Permit語句將允許所有報文通過。訪問列表中的語句順序非常重要，不合理的語句順序?qū)诰W(wǎng)絡(luò)中產(chǎn)生安全漏洞，或者使得用戶不能很好地利用公司的網(wǎng)絡(luò)策略。Host：                     表示一臺主機，是源和源通配符0.0.0.0的縮寫。例如，若欲允許從192.168.1.200發(fā)出的報文，則應(yīng)當使用下述語句：Access-list 1 permit 192.168.1.200 0.0.0.0上述語句也可以使用下面的語句代替：Access-list 1 permit host 192.168.1.200Switch(config)# endSwitch# show access-lists numberSwitch# copy running-config startup-config使用no access-list access-list-number全局配置命令，可以刪除全部訪問列表。需要注意的是，不能從指定的訪問列表中刪除某個ACE。2．創(chuàng)建擴展訪問列表標準IP訪問列表只能控制源IP地址，不能控制到端口。若欲控制企業(yè)用戶的網(wǎng)絡(luò)應(yīng)用，就需要使用擴展IP訪問列表。Switch# configure terminal第2步：定義擴展IP訪問列表，取值范圍為100～199或2000～2699。Switch(config)# access-list access-list-number{deny | permit} protocol source source-wildcard[operator port] destinationdestination-wildcard [operator port]或者access-list access-list-number {deny | permit}protocol any [operator port] any [operator port]或者access-list access-list-number {deny | permit}protocol host source [operator port] hostdestination [operator port]protocol：欲過濾的協(xié)議，如IP、TCP、UDP、ICMP等。默認過濾所有協(xié)議，若欲根據(jù)特殊協(xié)議進行報文過濾，需指定協(xié)議。destination destination-wildcard：目的地址和通配符屏蔽碼。Operator：端口操作符，在協(xié)議類型為TCP或UDP時支持端口比較，支持的比較操作有：等于（eq）、大于（gt）、小于（lt）、不等于（neq）或介于（range）；如果操作符為range，則后面需要跟兩個端口。Port：端口號，可以用幾種不同方法指定?？梢燥@式地指定，數(shù)字或使用一個可識別的助記符。例如，可以使用80或http指定超文本傳輸協(xié)議，使用21或ftp指定文件傳輸協(xié)議。例如，若欲允許來自任何地址的包含有SMTP數(shù)據(jù)的報文到達192.168.10.10主機，可以在訪問列表中添加下述語句：Access-list 101 permit tcp any host 192.168.10.10 eq smtpSwitch(config)# endSwitch# show access-lists numberSwitch# copy running-config startup-config3．創(chuàng)建IP訪問列表名稱命名IP訪問列表有兩個主要優(yōu)點，一是可以解決ACL號碼不足的問題；二是可以自由的刪除ACL中的一條語句，而不必刪除整個ACL。而主要不足之處在于無法實現(xiàn)在任意位置加入新的ACL條目。???（1）創(chuàng)建標準IP訪問列表名稱Switch# configure terminalSwitch(config)# ip access-list standard name  利用名稱定義標準IP訪問列表，進入訪問列表配置模式。名稱可以是1~99。第3步：定義一個或多個permit或deny條件，以確定對包實施轉(zhuǎn)發(fā)或是丟棄。Switch(config-std-nacl)# deny{source [source-wildcard] | host source | any}或者Switch(config-std-nacl)# permit{source [source-wildcard] | host source | any}第4步：返回特權(quán)配置模式。Switch(config-std-nacl)# endSwitch# show access-lists nameSwitch# copy running-config startup-config（2）創(chuàng)建擴展IP訪問列表名稱Switch# configure terminalSwitch(config)# ip access-list extended name  利用名稱定義擴展IP訪問列表，進入訪問列表配置模式。名稱可以是100~199。Switch(config-ext-nacl)# {deny | permit} protocol {source [source-wildcard] | host source | any} {destination [destination-wildcard] | host destination | any}定義一個或多個permit或deny條件，以確定對包實施轉(zhuǎn)發(fā)或是丟棄。Switch(config-std-nacl)# endSwitch# show access-lists nameSwitch# copy running-config startup-config例如，借助擴展IP訪問列表，可以在VLAN或端口上阻止蠕蟲端口，從而避免蠕蟲在網(wǎng)絡(luò)中的蔓延，保證網(wǎng)絡(luò)的傳輸效率。access-list 110 deny   tcp any any eq 135access-list 110 deny   tcp any any eq 445access-list 110 deny   tcp any any eq 593access-list 110 deny   tcp any any eq 1029access-list 110 deny   tcp any any eq 4444access-list 110 deny   tcp any any eq 5000access-list 110 deny   tcp any any eq 5554access-list 110 deny   tcp any any eq 7955access-list 110 deny   tcp any any range 9995 9996access-list 110 deny   udp any any range netbios-ns netbios-dgmaccess-list 110 deny   udp any any eq tftpaccess-list 110 deny   udp any any range 995 999access-list 110 deny   udp any any eq 1434access-list 110 deny   udp any any eq 8998access-list 110 permit ip any any然后，再將該訪問列表應(yīng)用至端口或VLAN，在入和出雙向上啟用該列表。ip access-group 110 inip access-group 110 out4．基于時間的訪問列表借助基于時間的訪問列表，可以控制用戶在某個時間段對訪問的訪問權(quán)限。Switch# configure terminalSwitch(config)# time-range time-range-name 為指定的時間范圍命名一個有意義的名稱。名稱不能包括空格和引號，并且必須以字母開頭。第3步：指定時間范圍。Switch(config-time-range)# absolute [start time date][end time date]或者periodic day-of-the-week hh:mm to [day-of-the-week]hh:mm或者periodic {weekdays | weekend | daily} hh:mm to hh:mmabsolute：指定絕對時間范圍。該關(guān)鍵字之后緊跟著start和end關(guān)鍵字。若欲訪問列表中相關(guān)的permit或deny語句生效，則start和end之后應(yīng)當緊跟開始和結(jié)束的時間。需要注意的是，時間以24小時格式表示，日期以“日/月/年”格式表示。periodic：盡管每個時間范圍只能有一個absolute語句，但是，卻可以有多個periodic語句。另外，absolute語句只擁有開始和結(jié)束時間，以及日期等少數(shù)幾個參數(shù)，而periodic語句可以使用大量參數(shù)，范圍可以是一星期中的某一天或幾天的組合，或者使用關(guān)鍵字daily、weekdays和weekend等。表6-9列出了在語句中可以使用的每星期天數(shù)中的參數(shù)。表6-9  periodic語句中可以使用的每星期天數(shù)中的參數(shù)參    數(shù)意    義Monday, Tuesday, Wednesday, Thursday, Friday, Saturday, Sunday某一天或某幾天的組合Daily從星期一至星期天weekdays從星期一至星期五weekend星期六和星期日Switch(config-time-range)# endSwitch# show time-rangeSwitch# copy running-config startup-config例如，若欲限制所有員工在周一至周五的8:00~18:00使用QQ和MSN聊天，可以在訪問列表中添加下述語句：time-range deny-qq!---定義時間范圍名稱為“deny-qq”periodic weekdays start 8:00 end 18:00!---時間范圍為周一至周五的8:00~18:00ip access-list extend internet_limit!---定義擴展IP訪問列表，名稱為“qq_limit”deny tcp 10.1.0.0 0.0.255.255 any eq 1863 time-range deny-qqdeny tcp 10.1.0.0 0.0.255.255 any eq 8000 time-range deny-qqdeny tcp 10.1.0.0 0.0.255.255 any eq 1080 time-range deny-qqdeny udp 10.1.0.0 0.0.255.255 any eq 8000 time-range deny-qqdeny udp 10.1.0.0 0.0.255.255 any eq 4000 time-range deny-qqdeny udp 10.1.0.0 0.0.255.255 any eq 1080 time-range deny-qq!---定義QQ和MSN聊天使用的協(xié)議和端口號permit ip any any!---其余訪問不予限制需要注意的是，網(wǎng)絡(luò)應(yīng)用程序所使用的端口號，大多都可以在下述下文件中找到：Win9x:%windir%\servicesWinNT/2000/XP：%windir%\system32\drivers\etc\servicesLinux：/etc/services如果在services文件中找不到端口的應(yīng)用，可以在運行程序前后，運行netstat –ap比較并找出應(yīng)用所使用的端口號。5．將IP訪問列表應(yīng)用到接口如果不將IP訪問列表應(yīng)用到接口，那么，該訪問列表將不會發(fā)生作用。Switch# configure terminalSwitch(config)#interface interface-id  指定欲應(yīng)用該IP訪問列表的接口。該接口既可以是二層接口（端口訪問列表），也可以是三層接口（路由訪問列表）。Switch(config-if)# ip access-group {access-list-number | name} {in | out}將訪問控制應(yīng)用到指定的接口。二層接口（端口訪問列表）不支持out關(guān)鍵字。Switch(config-if)# endSwitch# show running-configSwitch# copy running-config startup-config