做路由这部分工作时普遍认为在做ACL时很伤脑筋,其实你只要理清思路,按照合适的原则做,也不是很难的.
做ACL时一般原则是:先规划再书写. 一定要在做之前先规划好,把针对单一个体(也就是具体的主机)的写在列表的前面,把描述整个网段的写在后面. 然后分析那个要做ACL的数据包的流向,例如:内网192.168.0.2(假设做了NAT了他对应的公网IP是202.106.0.2)要提供www服务,在企业的末端路由器(有2个接口,一个LAN口接内网,一个WAN口接ISP)上做ACL .
就可以这样分析:
外网要访问他的www,在WAN的入方向:
源IP any 源端口 any 目的IP202.106.0.2 目的端口 80
然后www服务器要给回包,在LAN的入方向:
源IP 192.168.0.2 源端口 80 目的any 目的端口 any
在WAN的出方向:
源IP 202.106.0.2 源端口 80 目的any 目的端口 any
分析完之后,就可以写列表了,这样就能很直观的写出来
ip access-list extend inwan
permit tcp any host 202.106.0.2 eq 80
ip access-list extend inlan
permit tcp host 192.168.0.2 eq 80 any
ip access-list extend outwan
permit tcp host 202.106.0.2 eq 80 any
posted on 2007-01-23 10:39
anfengmin 阅读(538)
评论(1) 编辑 收藏 引用 所属分类:
技术交流篇