【正文】 某些強(qiáng)大的含義當(dāng)Access Lists過(guò)濾IP和IPX數(shù)據(jù)包的時(shí)候。 有兩類Access Lists類型使用IP和IPX： standard Access Lists: 只過(guò)濾網(wǎng)絡(luò)來(lái)源IP地址，基本上許可或者拒絕全部的協(xié)議，IPX standards可以過(guò)濾來(lái)源和目標(biāo)IPX地址 extended access list：它檢查來(lái)源和目標(biāo)IP地址，網(wǎng)絡(luò)層報(bào)頭的協(xié)議段，和傳輸層報(bào)頭端口編號(hào)，IPX extended Access List 使用來(lái)源和目標(biāo)IPX地址，網(wǎng)絡(luò)層報(bào)頭的協(xié)議段，和傳輸層報(bào)頭socket 編號(hào) 一旦你建立了一個(gè)Access Lists，你應(yīng)用它到一個(gè)inbound or outbound list 接口 inbound Access Lists: 數(shù)據(jù)包路由到outbound接口之前，先通過(guò)Access Lists處理。 outbound Access Lists:數(shù)據(jù)包路由到outbound接口然后處理它通過(guò)Access Lists。 仍有一些Access Lists方針當(dāng)建立和實(shí)現(xiàn)Access Lists在一個(gè)路由器時(shí)我們應(yīng)該遵循，你可以只分配一個(gè)Access Lists到一個(gè)接口，一個(gè)協(xié)議，或者一個(gè)方向，這個(gè)意思是你只能有一個(gè)inbound Access Lists和一個(gè)ountbound Access Lists在一個(gè)接口組織你Access Lists以便更多的明確的測(cè)試在Access Lists的頂端，在任何時(shí)候一個(gè)新的Lists加到Access Lists將被放在list的底部你不能移動(dòng)Access Lists里面的line， 如果你想移動(dòng)它你將移動(dòng)全部的list, 最好在編輯它之前拷貝Access Lists到一個(gè)正文編輯。它只例外情況當(dāng)使用名字Access Lists。 除非你在到達(dá)Access Lists的結(jié)束之前獲得許可，所有的數(shù)據(jù)包將會(huì)丟棄，否則你只有關(guān)閉接口了。 建立一個(gè)Access Lists和應(yīng)用它他到一個(gè)接口，任何Access Lists 到接口的將無(wú)法應(yīng)用如果沒(méi)有一個(gè)Access Lists呈遞。 Access Lists是設(shè)計(jì)應(yīng)用到過(guò)濾通過(guò)路由器交通，所以他們只會(huì)過(guò)濾到路由器的數(shù)據(jù)包而不會(huì)過(guò)濾來(lái)自路由器的數(shù)據(jù)包。 把IP standard Access Lists盡量放在接近目標(biāo)的地方 把IP extended Access Lists盡量放在接近來(lái)源的地方 standard IP access lists 這使用來(lái)源IP地址，你使用Access Lists編號(hào)199建立一個(gè)standard IP Access Lists Router(config) accesslist 10 deny .......... 現(xiàn)在有三個(gè)選擇可供使用，你可以使用任何命令去許可或者拒絕任何主機(jī)或者網(wǎng)絡(luò)， 你可以使用一個(gè)IP地址去指定或者匹配一個(gè)明確的網(wǎng)絡(luò)或者IP主機(jī)， 你可以使用host命令去只指定一個(gè)明確的的主機(jī) Router(config) accesslist 10 deny host Router(config) accesslist 10 deny Router(config) accesslist 10 deny any 也可以用下面的 Router(config) accesslist 10 deny 不過(guò)也有另一個(gè)方法來(lái)指定一個(gè)主機(jī)，你可以使用通配符，去指定一個(gè)網(wǎng)絡(luò)或者一個(gè)子網(wǎng)，你沒(méi)有選擇但可以使用通配符在Access Lists Wildcards 它是Access Lists指定使用一個(gè)主機(jī)，網(wǎng)絡(luò)，或者一部分網(wǎng)絡(luò)，你需要了解block sizes。block sizes是使用來(lái)指定一個(gè)地址范圍，下面顯示某些不同的block sizes可供使用。 64 32 16 8 4 當(dāng)你需要指定一個(gè)地址范圍時(shí)，你選擇最接近最大的的block size，如果你需要指定34 networks. 你需要64，如果你要指定18 主機(jī)，你需要32， 到 158=7 7最接近8 從07就是8的原因 standard IP Access List example router(config)accesslist 10 deny router(config)accesslist 10 permit any= 訪問(wèn)列表設(shè)完，下面是應(yīng)用到接口 router(config)int e0 router(configif) ip accessgroup 10 out 以上結(jié)果是所有從ethernet 0的接， extended ip Access List 在標(biāo)準(zhǔn)IP訪問(wèn)列表里，注意到你該如果阻止全部來(lái)自某處的子網(wǎng), 如果你想他們只能獲得訪問(wèn)幾個(gè)服務(wù)器該如何做呢？在標(biāo)準(zhǔn)的訪問(wèn)列表里，你不能允許用戶只用網(wǎng)絡(luò)的一部份，不過(guò)擴(kuò)展IP訪問(wèn)列表可能解決這個(gè)問(wèn)題，它允許你選擇你的IP來(lái)源和目標(biāo)地址，還有可以選擇端口號(hào)碼。 router(config)accesslist 110 deny ? tcp ........... ip .................. 在這里你要選擇訪問(wèn)列表類型，這是非常重要的，你一定要明白如果你想使用應(yīng)用程序過(guò)濾，你必須選擇一個(gè)允許你通IOS模式的網(wǎng)絡(luò)協(xié)議項(xiàng)目，實(shí)例1，如果你要過(guò)濾telnet或者ftp，你必須選擇TCP，如果你選擇IP，你將不能離開網(wǎng)絡(luò)層，這樣你就不能允許任何更高層的過(guò)濾。 router(config)accesslist 110 deny tcp any host eq 23 ftp 但這樣其實(shí)你會(huì)拒絕所有的通信，因?yàn)樵L問(wèn)列表里找不到的將全部被拒絕，所以你要 router(config)accesslist 110 permit ip any any router(configif) ip accessgroup 110 in monitoring ip access lists show accesslist : 顯示所有，但看不到訪問(wèn)列表接到哪一種接口 show accesslist 110: 顯示110的所有，但看不到訪問(wèn)列表接到哪一種接口 show ip accesslist: 只顯示路由器的IP訪問(wèn)列表 show ip interface: 顯示哪一個(gè)接口設(shè)置哪一種訪問(wèn)列表 show run: 顯示所有訪問(wèn)列表和接口 IPX access lists IPX standard: 過(guò)濾來(lái)源，目標(biāo)，主機(jī)，網(wǎng)絡(luò)號(hào)碼（800899） ipx extended: 過(guò)濾來(lái)源，目標(biāo)，主機(jī)，網(wǎng)絡(luò)號(hào)碼, socket number（900999) ipx sap filter:控制SAP交通(1001099) IPX standard: router(config)accesslist 810 permit 20 40 router(config)int e0 router(configif)ipx accessgroup 810 out ipx extended accesslist number permit/deny protocol source socket destination socket ipx SAP: accesslist number permit/deny source service type accesslist 1010 permit 1(=any) 4 sales(=sap server name) router(configif)ipx inputsapfilter(從項(xiàng)目中停止所有的 SAP更新） router(configif)ipx outputsapfilter（停止某些SAP傳出定期的60秒SAP更新） verity ipx access list routersh ipx int routersh ipx access 傳統(tǒng)的Linux文件系統(tǒng)的權(quán)限控制是通過(guò)user、group、other與r（讀）、w（寫）、x（執(zhí)行）的不同組合來(lái)實(shí)現(xiàn)的。隨著應(yīng)用的發(fā)展，這些權(quán)限組合已不能適應(yīng)現(xiàn)時(shí)復(fù)雜的文件系統(tǒng)權(quán)限控制要求。例如，我們可能需把一個(gè)文件的讀權(quán)限和寫權(quán)限分別賦予兩個(gè)不同的用戶或一個(gè)用戶和一個(gè)組這樣的組合。傳統(tǒng)的權(quán)限管理設(shè)置起來(lái)就力不從心了。為了解決這些問(wèn)題，Linux開發(fā)出了一套新的文件系統(tǒng)權(quán)限管理方法，叫文件訪問(wèn)控制列表（Access Control Lists，ACL）。要啟用ACL，需內(nèi)核提供ACL支持和安裝ACL管理工具。，在編譯內(nèi)核時(shí)只要在file systems分支下，把Ext2 POSIX Access Control Lists或Ext3 POSIX Access Control Lists選中就可以了。用以下命令掛接硬盤啟用文件系統(tǒng)ACL。debian:~ mount t ext2 o acl /dev/hda1 /mnt/hda1我們也可把選項(xiàng)寫到/etc/fstab文件中，在需啟用acl的分區(qū)選項(xiàng)包含acl參數(shù)。ACL有兩種，一種是存取ACL（access ACLs），針對(duì)文件和目錄設(shè)置訪問(wèn)控制列表。一種是默認(rèn)ACL（default ACLs），只能針對(duì)目錄設(shè)置。如果目錄中的文件沒(méi)有設(shè)置ACL，它就會(huì)使用該目錄的默認(rèn)ACL。要設(shè)置ACL，首先要安裝管理工具，它們分別是getfacl和setfacl，在debian中只要安裝acl軟件包即可。debian:~ aptget install aclsetfacl工具可為文件和目錄ACL，命令格式如下：setfacl m rules的格式如下，多條規(guī)則間可用逗號(hào)分隔。u:uid:perms 為用戶設(shè)置ACL，perms為r、w、x的組合g:gid:perms 為組設(shè)置ACLo:perms 為其它組設(shè)置ACLm:perms 設(shè)置有效權(quán)限屏蔽下面是setfacl的實(shí)例：debian:~ setfacl m u:jims:rw m選項(xiàng)表示添加或修改文件或目錄的權(quán)限訪問(wèn)列表debian:~ setfacl x u:jims:rw x選項(xiàng)表示刪除文件或目錄的訪問(wèn)列表要設(shè)置默認(rèn)的ACL，只在rules前加一個(gè)d:，以表示指定一個(gè)目錄，如：debian:getfacl file: owner: jims group: jimsuser::rwxgroup::rother::r什么是訪問(wèn)控制列表？訪問(wèn)控制列表在Cisco IOS軟件中是一個(gè)可選機(jī)制，可以配置成過(guò)濾器來(lái)控制數(shù)據(jù)包，以決定該數(shù)據(jù)包是繼續(xù)向前傳遞到它的目的地還是丟棄。為什么要使用訪問(wèn)控制列表？最初的網(wǎng)絡(luò)只是連接有限的LAN和主機(jī)，隨著路由器連接內(nèi)部和外部的網(wǎng)絡(luò)，加上互聯(lián)網(wǎng)的普及，控制訪問(wèn)成為新的挑戰(zhàn)，網(wǎng)絡(luò)管理員面臨兩難的局面：如何拒絕不期望的訪問(wèn)而允許需要的訪問(wèn)？訪問(wèn)控制列表增加了在路由器接口上過(guò)濾數(shù)據(jù)包出入的靈活性，可以幫助管理員限制網(wǎng)絡(luò)流量，也可以控制用戶和設(shè)備對(duì)網(wǎng)絡(luò)的使用，它根據(jù)網(wǎng)絡(luò)中每個(gè)數(shù)據(jù)包所包含的信息內(nèi)容決定是否允許該信息包通過(guò)接口。訪問(wèn)控制列表有哪些類型？訪問(wèn)控制列表主要可以分為以下兩種：A、標(biāo)準(zhǔn)訪問(wèn)控制列表：標(biāo)準(zhǔn)訪問(wèn)控制列表只能夠檢查可被路由的數(shù)據(jù)包的源地址，根據(jù)源網(wǎng)絡(luò)、子網(wǎng)、主機(jī)IP地址來(lái)決定對(duì)數(shù)據(jù)包的拒絕或允許，使用的局限性大，其序列號(hào)范圍是199。B、擴(kuò)展訪問(wèn)控制列表：擴(kuò)展訪問(wèn)控制列表能夠檢查可被路由的數(shù)據(jù)包的源地址和目的地址，同時(shí)還可以檢查指定的協(xié)議、端口號(hào)和其他參數(shù)，具有配置靈活、精確控制的特點(diǎn)，其序列號(hào)的范圍是100199。以上兩種類型都可以基于序列號(hào)和命名來(lái)配置，我們建議使用命名來(lái)配置訪問(wèn)控制列表，這樣在以后的修改中也是很方便的。訪問(wèn)控制列表具有什么樣的特點(diǎn)？A、它是判斷語(yǔ)句，只有兩種結(jié)果，要么是拒絕(deny),要么是允許(permit)；B、它按照由上而下的順序處理列表中的語(yǔ)句；C、處理時(shí)，不匹配規(guī)則就一直向下查找，一旦找到匹配的語(yǔ)句就不再繼續(xù)向下執(zhí)行；D、在思科中默認(rèn)隱藏有一條拒絕所有的語(yǔ)句，也就默認(rèn)拒絕所有(any)。由上面的特點(diǎn)可以總結(jié)出，訪問(wèn)控制列表中語(yǔ)句的順序也是非常重要的，另外就是所配置的列表中必須有一條允許語(yǔ)句。配置訪問(wèn)控制列表需要注意什么？A、訪問(wèn)控制列表只能過(guò)濾流經(jīng)路由器的流量，對(duì)路由器自身發(fā)出的數(shù)據(jù)包不起作用。B、一個(gè)訪問(wèn)控制列表中至少有一條允許語(yǔ)句。配置訪問(wèn)控制列表的步驟是什么？第一步：創(chuàng)建訪問(wèn)控制列表：accesslist accesslistnumber {deny|permit} {test conditions}//accesslistnumber：序列號(hào)，這個(gè)地方也可以寫命名的名稱；//deny：拒絕；//permit：允許；//test conditions：過(guò)濾條件語(yǔ)句第二步：應(yīng)用訪問(wèn)控制列表：A、首先要進(jìn)入接口模式；B、ip accessgroup accesslistnumber {in|out}標(biāo)準(zhǔn)訪問(wèn)控制列表的格式：accesslist [list number| word] [permit|deny] [source address] [wildcard mask]//[list number|word]列表序列號(hào)或者命名//[permit|deny]允許或者拒絕//[source address]源IP地址//[wildc