1、CISCO路由器中的accesslist（訪問(wèn)列表）最基本的有兩種，分別是標(biāo)準(zhǔn)訪問(wèn)列表和擴(kuò)展訪問(wèn)列表，二者的區(qū)別主要是前者是基于目標(biāo)地址的數(shù)據(jù)包過(guò)濾，而后者是基于目標(biāo)地址、源地址和網(wǎng)絡(luò)協(xié)議及其端口的數(shù)據(jù)包過(guò)濾。（1）標(biāo)準(zhǔn)型IP訪問(wèn)列表的格式標(biāo)準(zhǔn)型IP訪問(wèn)列表的格式如下：accesslist[listnumber][permit|deny][sourceaddress][address][wildcardmask][log]下面解釋一下標(biāo)

2、準(zhǔn)型IP訪問(wèn)列表的關(guān)鍵字和參數(shù)。首先，在access和list這2個(gè)關(guān)鍵字之間必須有一個(gè)連字符““；其次，listnumber的范圍在0～99之間，這表明該accesslist語(yǔ)句是一個(gè)普通的標(biāo)準(zhǔn)型IP訪問(wèn)列表語(yǔ)句。因?yàn)閷?duì)于CiscoIOS，在0～99之間的數(shù)字指示出該訪問(wèn)列表和IP協(xié)議有關(guān)，所以listnumber參數(shù)具有雙重功能:（1）定義訪問(wèn)列表的操作協(xié)議（2）通知IOS在處理accesslist語(yǔ)句時(shí)，把相同的listnumbe

3、r參數(shù)作為同一實(shí)體對(duì)待。正如本文在后面所討論的，擴(kuò)展型IP訪問(wèn)列表也是通過(guò)listnumber（范圍是100～199之間的數(shù)字）而表現(xiàn)其特點(diǎn)的。因此，當(dāng)運(yùn)用訪問(wèn)列表時(shí)，還需要補(bǔ)充如下重要的規(guī)則:在需要?jiǎng)?chuàng)建訪問(wèn)列表的時(shí)候，需要選擇適當(dāng)?shù)膌istnumber參數(shù)。（2）允許拒絕數(shù)據(jù)包通過(guò)在標(biāo)準(zhǔn)型IP訪問(wèn)列表中，使用permit語(yǔ)句可以使得和訪問(wèn)列表項(xiàng)目匹配的數(shù)據(jù)包通過(guò)接口，而deny語(yǔ)句可以在接口過(guò)濾掉和訪問(wèn)列表項(xiàng)目匹配的數(shù)據(jù)包。sourc

4、eaddress代表主機(jī)的IP地址，利用不同掩碼的組合可以指定主機(jī)。為了更好地了解IP地址和通配符掩碼的作用，這里舉一個(gè)例子。假設(shè)您的公司有一個(gè)分支機(jī)構(gòu)，其IP地址為C類(lèi)的192.46.28.0。在您的公司，每個(gè)分支機(jī)構(gòu)都需要通過(guò)總部的路由器訪問(wèn)Inter。要實(shí)現(xiàn)這點(diǎn)，您就可以使用一個(gè)通配符掩碼0.0.0.255。因?yàn)镃類(lèi)IP地址的最后一組數(shù)字代表主機(jī)，把它們都置1即允許總部訪問(wèn)網(wǎng)絡(luò)上的每一臺(tái)主機(jī)。因此，您的標(biāo)準(zhǔn)型IP訪問(wèn)列表中的acc

5、esslist語(yǔ)句如下：accesslist1permit192.46.28.00.0.0.255注意，通配符掩碼是子網(wǎng)掩碼的補(bǔ)充。因此，如果您是網(wǎng)絡(luò)高手，您可以先確定子網(wǎng)掩碼，然后把它轉(zhuǎn)換成可應(yīng)用的通配符掩碼。這里，又可以補(bǔ)充一條訪問(wèn)列表的規(guī)則5。（3）指定地址如果您想要指定一個(gè)特定的主機(jī)，可以增加一個(gè)通配符掩碼0.0.0.0。例如，為了讓來(lái)自IP地址為192.46.27.7的數(shù)據(jù)包通過(guò)，可以使用下列語(yǔ)句：順便討論一下標(biāo)準(zhǔn)型IP訪問(wèn)列

6、表的參數(shù)“l(fā)og“，它起日志的作用。一旦訪問(wèn)列表作用于某個(gè)接口，那么包括關(guān)鍵字“l(fā)og“的語(yǔ)句將記錄那些滿足訪問(wèn)列表中“permit“和“deny“條件的數(shù)據(jù)包。第一個(gè)通過(guò)接口并且和訪問(wèn)列表語(yǔ)句匹配的數(shù)據(jù)包將立即產(chǎn)生一個(gè)日志信息。后續(xù)的數(shù)據(jù)包根據(jù)記錄日志的方式，或者在控制臺(tái)上顯示日志，或者在內(nèi)存中記錄日志。通過(guò)CiscoIOS的控制臺(tái)命令可以選擇記錄日志方式。擴(kuò)展型IP訪問(wèn)列表擴(kuò)展型IP訪問(wèn)列表在數(shù)據(jù)包的過(guò)濾方面增加了不少功能和靈活性。

7、除了可以基于源地址和目標(biāo)地址過(guò)濾外，還可以根據(jù)協(xié)議、源端口和目的端口過(guò)濾，甚至可以利用各種選項(xiàng)過(guò)濾。這些選項(xiàng)能夠?qū)?shù)據(jù)包中某些域的信息進(jìn)行讀取和比較。擴(kuò)展型IP訪問(wèn)列表的通用格式如下：accesslist[listnumber][permit|deny][protocol|protocolkeywd][sourceaddresssourcewildcardmask][sourcept][destinationaddressdestina

8、tionwildcardmask][destinationpt][logoptions]和標(biāo)準(zhǔn)型IP訪問(wèn)列表類(lèi)似，“l(fā)istnumber“標(biāo)志了訪問(wèn)列表的類(lèi)型。數(shù)字100～199用于確定100個(gè)惟一的擴(kuò)展型IP訪問(wèn)列表?！皃rotocol“確定需要過(guò)濾的協(xié)議，其中包括IP、TCP、UDP和ICMP等等。如果我們回顧一下數(shù)據(jù)包是如何形成的，我們就會(huì)了解為什么協(xié)議會(huì)影響數(shù)據(jù)包的過(guò)濾，盡管有時(shí)這樣會(huì)產(chǎn)生副作用。圖2表示了數(shù)據(jù)包的形成。請(qǐng)注意，

9、應(yīng)用數(shù)據(jù)通常有一個(gè)在傳輸層增加的前綴，它可以是TCP協(xié)議或UDP協(xié)議的頭部，這樣就增加了一個(gè)指示應(yīng)用的端口標(biāo)志。當(dāng)數(shù)據(jù)流入?yún)f(xié)議棧之后，網(wǎng)絡(luò)層再加上一個(gè)包含地址信息的IP協(xié)議的頭部。由于IP頭部傳送TCP、UDP、路由協(xié)議和ICMP協(xié)議，所以在訪問(wèn)列表的語(yǔ)句中，IP協(xié)議的級(jí)別比其他協(xié)議更為重要。但是，在有些應(yīng)用中，您可能需要改變這種情況，您需要基于某個(gè)非IP協(xié)議進(jìn)行過(guò)濾為了更好地說(shuō)明，下面列舉2個(gè)擴(kuò)展型IP訪問(wèn)列表的語(yǔ)句來(lái)說(shuō)明。假設(shè)我們希