sangfor新員工必備知識(shí)點(diǎn)

1.3.2，1.3.3的格式ACL：AcessControlList，即控制列表。這張表中包含了匹配關(guān)系、條件和信息點(diǎn)間通信，內(nèi)絡(luò)的通信都是企業(yè)網(wǎng)絡(luò)中必不可少的業(yè)務(wù)需求，但是為了保證內(nèi)網(wǎng)的安全性，需要通過安全策略來保障非用戶只能特定的網(wǎng)絡(luò)資源，一種網(wǎng)絡(luò)技術(shù)。 過濾好的數(shù)據(jù)，進(jìn)行NAT轉(zhuǎn)換。另外，企業(yè)也需要對(duì)服務(wù)器的資源進(jìn)行控制，通ACL過濾出哪些用戶不能，哪些用戶能的，它間接輔助特定的用戶策略，達(dá)到人們所需效果的一種技術(shù)。組網(wǎng)需求：五個(gè)部門分屬5個(gè)VLAN，VLAN間不能互通。要求所有終端都可以1、52、5個(gè)部門都要求能夠OASERVER和公網(wǎng)。以Ciscoaccess-list100permitipanyhostOA的ipaccess-list100denyipanyipaccess-list100permitipanyanyipaccess-group100命令解釋：第一條就是允許OA服務(wù)器上的數(shù)據(jù)進(jìn)入，第二條就是其它四個(gè)部藏了一條deny所有的語句，所以必須人為添加一條permit語句。在邊界路由器上配置上述令，就能滿足需求了，當(dāng)然還需要和其他配置命令相結(jié)合使用，比如劃分VLAN，配置路由協(xié)議等。但無論是怎樣的需求，只要記住ACL控制列表（AccessControlList，ACL)ACL提供對(duì)通信流量的控制。例如，ACL可以限定或簡化路由更新信息的長ACL是提供的基本。ACL允許主機(jī)A人力資源網(wǎng)絡(luò)，而主以允許E-mail通信流量被路由，所有的net通信流量。ACL出口，則該數(shù)據(jù)包將視為被而被丟棄。這里要注意，ACLACLACL第一步:在全局配置模式下，使用下列命令創(chuàng)建Router(config)#access-listaccess-list-number{permit|deny}{test-其中，access-list-number為ACL的表號(hào)。人們使用較頻繁的表號(hào)是標(biāo)準(zhǔn)的IP（1—99）和擴(kuò)展的IPACL（100－199）啟動(dòng)接口，分配IProuter>enablerouter#configureterminalrouter(config)#interfaceTypePortrouter(config-if)#noshutdownrouter(config-if)#ipaddressIP-AddressSubnet-Maskrouter(config-if)#＾z配置RIP路由協(xié)議：30router(config)#routerrouter(config)#routerrouter(config-if)#networkNetwork-Numberrouter(config-if)#配置IGRP路由協(xié)議：90router(config)#router(config)#routerigrpAS-NumberAS-Number范圍1～router(configif)#networkNetwork-NumberA,B,C類網(wǎng)-->router(config-if)#＾z配置NovellIPX路由協(xié)議：NovellRIP60router(config)#ipxrouting[noderouter(config)#ipxrouting[noderouter(config)# um-pathsPaths1～512>router(config)#interfaceTyperouter(config-if)#ipxnetworkNetwork-Number[encapsulationencapsulation-type][secondary]<--通告標(biāo)準(zhǔn)A,B,C類網(wǎng)-->router(config-if)#＾z配置router(config)#router(config)#dialer-listGroup-NumberprotocolProtocol-Typepermit[listACL-Number]router(config)#interfacebri0router(config-if)#router(config)#interfacebri0router(config-if)#dialer-groupGroup-Numberrouter(config-if)#dialermapProtocol-TypeNext-Hop-AddressnameHostnamerouter(config-if)#配置router(config)#isdnswith-typeSwith-router(config)#isdnswith-typeSwith-router(config-if)#＾z配置Framerouter(config-if)#encapsulationframe-relay[ciscoIEtf]router(config-if)#frame-relaylmi-type[ansiciscoq933a]router(config-if)#bandwidthkilobitsrouter(config-if)#frame-relayinvers-arp[Protocol][dlci<--配置靜態(tài)InversARProuter(config)#frame-relayProtocolProtocol-AddressDLCI[Broadcast][ietf cisco][ packet-by-packet]--router(config-if)#keepaliveNumber--<--為本地接口指定router(config-if)#frame-lelaylocal-dlci--router(config-if)#interfaceTypePort.Subininterface-Number[multipointpoint-to-point]router(config-subif)#ipunnumberedInterfacerouter(config-subif)#frame-lelaylocal-dlciNumber--router(config-if)#＾zrouter(config)#access-listAccess-List-Number[router(config)#access-listAccess-List-Number[source[source-maskAccess-List-Number1～99標(biāo)準(zhǔn)ACL；100～199擴(kuò)展ACL；800～899標(biāo)準(zhǔn)IPXdeny900～999擴(kuò)展IPXACL；1000~1099IPXSAPACL；600～699AppleTalkACLrouter(config)#interfaceTyperouter(config-if)#ipaccess-groupAccess-List-Number[in out]router(config-if)#＾z配置擴(kuò)展router(config)#access-listAccess-List-Number[router(config)#access-listAccess-List-Number[deny[ Protocol-Number]sourcesource-wildcard[Source-Portdestinationdestinationdestination-wildcard[Destination-Port][established]router(config)#interfaceTypePortrouter(config-if)#ipaccess-groupAccess-List-Number[in out]router(config-if)#＾z配置命名router(config)#ipaccess-list[router(config)#ipaccess-list[router(config[Test-Conditions]router(config[std-List-Test-Conditions]router(config[ext-]nacl)#[extended]ACL-deny][IP-Access-ext-]nacl)#no[deny][IP-ext-]nacl)#router(config)#interfaceTyperouter(config-if)#ipaccess-group[ACL-router(config-if)#1~199][out配置DCErouter#showcontrollersTypePort<--確定DCE接口-->router(confin-if)#router#showcontrollersTypePort<--確定DCE接口-->router(confin-if)#clockrate64000DCE接口設(shè)置時(shí)鐘速率-->router(config-if)#＾z配置PPProuter(config)#usernameNamepassWordSet-Password-Hererouter(config)#interfaceTyperouter(config)#usernameNamepassWordSet-Password-Hererouter(config)#interfaceTyperouter(config-if)#encapsulationppp<--啟動(dòng)PPProuter(config-if)#pppouthentication[pap]<--選擇PPPchappaprouter(config-if)#ppppapsent-usernameNamepasswordPasswordrouter(config-if)#router-server(config)#username passWordrouter-server(config)#username passWord12345router-server(config)#interfaceserial0router-server(config-if)#encapsulationppprouter-server(config-if)#pppauthenticationpapPAP實(shí)現(xiàn)PPP>router-server(config-if)#(config-if)#encapsulation(config-if)#ppppapsent-password12345(config-if)#路由器A：(config)#usernameBpassword(config)#interfaceserial(config-if)#encapsulation(config-if)#pppauthentication(config-if)#ppppapsent-usernameApassword(config-if)#路由器routerB(config)#routerB(config)#usernameApassword54321routerB(config)#interfaceserial1routerB(config-if)#encapsulationppprouterB(config-if)#pppauthenticationpaprouterB(config-if)#ppppapsent-usernameBpassword12345routerB(config-if)#＾z router-server(config)#router-server(config)#usernamerouter-password12345router-server(config)#interfaceserial0router-server(config-if)#encapsulationppprouter-server(config-if)#pppauthenticationchaprouter-server(config-if)#＾z(config-if)#encapsulation(config-if)#pppauthenticationchap(config-if)#pppchaphostname(config-if)#pppchappassword12345(config-if)#＾z路由器A：(config)#usernamerouterBpassWord(config)#interfaceserial(config-if)#encapsulation(config-if)#pppauthentication(config-if)#pppchaphostname(config-if)#pppchappassword(config-if)#路由器routerB(config)#usernamerou passwordrouterB(config)#usernamerou password54321routerB(config)#interfaceserial1routerB(config-if)#encapsulationppprouterB(config-if)#pppauthenticationchaprouterB(config-if)#pppchaphostnamerouterBrouterB(config-if)#pppchappassword12345terminalmonitorDebug- netIP-Address[Router-Name]<-- routerB#[ logout]<--退 net--routerB#<6>再按<--掛 net----#showsessions<--顯示當(dāng)前所 net的信息，包括Connect-Connect-NumberdisconnectIP-AddressRouter-Name#showuser<--顯 net到本機(jī)的連接信息--#clearline[1234任 net到本機(jī)routerB(config-if)#router(config)#linevty04router(config-line)#router(config)#linevty04router(config-line)#access-classACL-Numberrouter(config)#＾zrouter(config)#hostnameSet-Hostnamerouter(config)#＾zrouter(config)#hostnameSet-Hostnamerouter(config)#＾zrouter(config)#router(config)#lineconsole0router(config-line)#loginrouter(config-line)#passwordSet-Passwordrouter(config-line)#＾z設(shè) router(config)#router(config)#enablepasswordSet-Password>router(config)#enablesecretSet-Password<--經(jīng)過加密的 router(config)#＾z設(shè) 模：router(config)#linevty04router(config-line)#loginrouter(config-line)#passWordSet-Passwordrouter(config-line)#＾zrouter(config)#router(config)#servicepassword-ancryptionSet-Password-Hererouter(config)#noservicepassword-ancryption<--取消加密-->router(config)#＾z設(shè)置登錄router(config)#router(config)#bannermotdSet-Banner-InFORMation-Hererouter(config-if)#router(config-if)#descriptionSet-Port-InFORMation-Hererouter(config)#＾zCDPIP-Protocol[ip]：[Protocol-TypeTargetIPaddress：IP-Address<--輸入測(cè)試地址-->Repeatcount[5]：<--選擇發(fā)送的ICMP包數(shù)量-->Datagramsize[100]：<--選擇每個(gè)包的大小-->Timeoutinseconds[2]：<--設(shè)置每個(gè)包的超時(shí)時(shí)間-->Extendedcommands[n]：y<--使用擴(kuò)展 Sweeprangeofsizesrouter(config-if)#cdpenableCDP，缺省-->router(config-if)#nocdpenable<--在指定端口關(guān)閉CDP-->router(config)#cdprun<--使所有端口啟用CDP-->router(config)#nocdprunCDPTrackerouter#traceIP-Address[Host-Name為Cisco4000路由器指 類型router#traceIP-Address[Host-Namerouter(config-if)#media-typerouter(config-if)#media-typerouter(config-if)#＾zrouter(config)#bootsystemFlashIOS-FileNamerouter(config)#router(config)#bootsystemFlashIOS-FileNamerouter(config)#bootsystemtftpIOS-FileNameTFTP-IP-router(config)#bootsystemromrouter(config)#＾zrouter(config)#router(config)#config-registervalueCisco出廠器），0x2101（使系統(tǒng)從ROM啟動(dòng)），0x2102～0x210F（使系在ROM>o/r路由 的恢復(fù)>o/ro/r0x214225xxconfreg0x2142<--16xx型路由器-->router>router>nrouter>router>nrouter>enablerouter#copystartup-configrunning-configrouter#configureterminalrouter(config)#enablesecretNew-PassWordrouter(config)#config-register0x2102router(config)#＾zrouter#copyrunning-configstartup-configrouter#reload冷關(guān)機(jī)，然后再開機(jī)并在60秒內(nèi)按<Ctrl>進(jìn)入ROM配置名稱－主機(jī)router(config)#router(config)#iphostSet-Name[TCP-Port-Number]IP-Address[IP-Address2]．．．router(config)#＾zrouter(config)#iprouter(config)#ipname-serverServer-Address[Server-Address2]．．．router(config)#禁用router(config)#no-router(config)#router(config-if)#router(config-if)#ipsplit-horizonrouter(config-if)#noipsplit-horizonrouter(config-if)#＾zrouter(config)#router(config)#iprouteIP-AddressSubnet-Mask[Next-Hop- Local-Out-Port][Distace]router(config)#router(config)#router(config)#ipdefoult-networkIP-Address--router(config)#iprouteNext-Hop-AddressLocal-Out-Port][Distace]<--靜態(tài)缺省路由-->router(config)#＾zrouter#showversionrouter#router#showversionrouter#showrunning-configrouter#showstartup-configrouter#showFlashrouter#showinterface[TypePort]router#showbuffersrouter#showprotocolrouter#showmemrouter#showstacksrouter#router#showprotocolrouter#showmemrouter#showstacksrouter#showprocessesrouter#showcdpentryDevice-Name>router#showcdprouter#showcdpneighborsdetailrouter#showiprouterrouter#showipxrouterrouter#showhostrouter#showipprotocolrouter#showipinterfaceTypePortrouter#showipxinterfaceTypePortrouter#showipxserversrouter#showipxrouter#showaccess-lists[ACL-Number]router#showisdnstatusrouter#showdialerISDN撥號(hào)信息-->router#showisdnactiverouter#showframe-relaypvcrouter#showframe-relaymaprouter#showframe-relaylmirouter#erasestartup-configrouter#reloadrouter#router#copyrunning-configstartup-configrouter#copystartup-configrunning-configrouter#copytftprunning-configrouter#copyrunning-configtftprouter#debugipxroutingactivityrouter#debugipxsaprouter#debugisdnq921router#debugisdnq931router#debugdialerrouter#debugipriprouter#clearinterfacebri[ 2要想使基于時(shí)間的ACL生效需要我們配置兩方面令12、ACL自身的配置，即將詳細(xì)的規(guī)則添加到ACL時(shí)間不能該FTP資源。time-rangesofter定義時(shí)間段名稱為periodicweekend00:00to23:59定義具體時(shí)間范圍，為每周周末（6，日）的0點(diǎn)到23點(diǎn)59分。當(dāng)然可以使用periodicweekdays定義工作日或跟星期幾定義具體的周access-list101denytcpanyeqftptime-rangeaccess-list101permitipanyany設(shè)置ACL，容許其他時(shí)間段和其他條件下的inte1進(jìn)入E1ipaccess-group101outACL101由于結(jié)構(gòu)的原因，中端產(chǎn)品的QACL配置較復(fù)雜，給用戶使用帶來了一定的難度，用服人員起來有時(shí)也會(huì)較為棘手，經(jīng)常會(huì)有用戶和用服人員打 【案例1rule0permitipsou80des540rule1denyip認(rèn)為是用戶的需求，它會(huì)起作用。對(duì)于上面的配置，rule0先下發(fā)，rule1后下發(fā)，那么首先其作用的是rule1。這樣會(huì)將所有的報(bào)過濾掉。【案例2 任何網(wǎng)段的ICMP【案例3rule0permitipsource55destinationpacket-filterinboundip-由于ACL102的rule0的原因，只要是從這個(gè)網(wǎng)段上來的報(bào)會(huì)匹配這個(gè)規(guī)則的前半部把rule0denyip變成rule0denyipsource55【案例4某銀行當(dāng)每天造成重起6506后，發(fā)現(xiàn)有部分網(wǎng)段的用戶無法服務(wù)（41和），將配置刪除后再下發(fā)問題消除。配置如下packet-filterinboundip-group125not-care-for-【案例5考慮了，用戶需要如下要求：22.0：能夠其他網(wǎng)段，但不能internet網(wǎng)2．3和4聚合成5和8聚合成則需求可以簡化 A和B,只允許A和B可以互訪 A和 其他配置一個(gè)acl【案例6我配置了如下acl，規(guī)則11和28是同一條規(guī)則，雖然動(dòng)作不同，軟件同一條規(guī)則重復(fù)下發(fā)【案例7用戶配置列表某一網(wǎng)段在周一至周五上互聯(lián)網(wǎng)，在這一網(wǎng)段中的兩個(gè)ip有2個(gè)網(wǎng)段/24/在臺(tái) time-rangestunet08:00to22:00working-#將同一條acl【案例8但可是如果我配置的規(guī)則是DENY【案例9可以通過下面令來選擇使用L2或L3模式的流分類規(guī)則。缺省情況下，選擇使用L3那么是說5516不能同時(shí)使用2層和3層的acl 不能同時(shí)使用層和層的acl【案例10#定義traffic-of-payserver這條高級(jí)控制列表的規(guī)則[Quidway-acl-adv-traffic-對(duì)工資服務(wù)器的流量進(jìn)行流量限#限制工資服務(wù)器向外發(fā)送報(bào)文的平均速率為20M[Quidway-Ethernet1/0/1]traffic-limitinboundip-grouptraffic-of-【錯(cuò)誤分析】6506實(shí)現(xiàn)的是出端口限速，配置入端口限速ACL技術(shù)在路由器中被廣泛采用，它是一種基于濾的流控制技術(shù)。標(biāo)準(zhǔn)控制列表通過把源地址、目的地址及端作為數(shù)據(jù)包檢查的基本元素，并可以規(guī)定符供了一個(gè)有效的安全。樣會(huì)增加管理的復(fù)雜度和難度。另一方面，ACL不僅耗時(shí)，而且在較大程度上增加多大的程度上利用它，是管理效益與之間的一個(gè)權(quán)衡。下面是對(duì)幾種控制列表的簡要總結(jié)◆標(biāo)準(zhǔn)IP控制列取或允許兩個(gè)操作。編號(hào)范圍是從1到99的控制列表是標(biāo)準(zhǔn)IP控制列表?！魯U(kuò)展IP控制列擴(kuò)展IP控制列表比標(biāo)準(zhǔn)IP控制列表具有的匹配項(xiàng)，包括協(xié)議類型、源地◆命名的IP控制列◆標(biāo)準(zhǔn)IPX控制列◆擴(kuò)展IPX控制列◆命名的IPX從而方便定義和列表，同樣有標(biāo)準(zhǔn)和擴(kuò)展之分。ACL接入、報(bào)文竊取、IP地址、服務(wù)等來自網(wǎng)絡(luò)層和應(yīng)用層的常常會(huì)耗盡網(wǎng)絡(luò)資源，讓用戶人員疲于應(yīng)對(duì)。針對(duì)這些問題，二、三層的控制、技術(shù)、檢測(cè)、驗(yàn)證、數(shù)據(jù)加密、防都提供了有效的解決途徑。而在保障網(wǎng)絡(luò)邊際安全方面，控制列表（AccessControlList，ACL）可以說是最先與安全最行交火的生力軍。ACL是對(duì)通過網(wǎng)絡(luò)接口進(jìn)入網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)包進(jìn)行控制的機(jī)制，分為標(biāo)準(zhǔn)ACL和擴(kuò)展（ExtendedACL）兩種。標(biāo)準(zhǔn)ACL只對(duì)數(shù)據(jù)包的源地址進(jìn)行檢查，擴(kuò)展ACL對(duì)數(shù)據(jù)包中的源地址、目的地址、協(xié)議以及端進(jìn)行檢查。作為一種應(yīng)用在路由器接口的指令列表，ACL已經(jīng)在一些路由交換機(jī)和邊緣交換機(jī)上得到應(yīng)用，從原來的網(wǎng)絡(luò)層技術(shù)資源的浪費(fèi)而影響網(wǎng)絡(luò)的整體性能。如果能夠根據(jù)帶寬大小來制定標(biāo)準(zhǔn)，那么運(yùn)有效的通信流量控制ACL提供網(wǎng)絡(luò)的基本安全ACL允許某一主機(jī)一個(gè)網(wǎng)絡(luò)，另一主機(jī)同樣的網(wǎng)絡(luò)，這種功能可以有效防止用戶的接入。如果在邊緣接入層啟用二、三層網(wǎng)絡(luò)的基本安全在交換機(jī)（路由器）接口處，ACL決定哪種類型的通信流量被轉(zhuǎn)發(fā)或被。根據(jù)數(shù)據(jù)在網(wǎng)絡(luò)中，ACL不但可以讓員用來制定網(wǎng)絡(luò)策略，對(duì)個(gè)別用戶或特定數(shù)據(jù)流進(jìn)行控 作用。從簡單的ofDeath、TCPSyn攻擊，到樣化更復(fù)雜的 ，ACL都可以起到一定的作用。如果從邊緣、二層到三層交換機(jī)都具備支持標(biāo)準(zhǔn)ACL及擴(kuò)展ACL的能力，網(wǎng)絡(luò)設(shè)備就可以將安全及需要的是，與速率限制相同，網(wǎng)絡(luò)設(shè)備不僅應(yīng)該能夠執(zhí)行完整的ACL功能，包括進(jìn)數(shù)據(jù)包流收集基本統(tǒng)計(jì)，和安全政策可以被實(shí)現(xiàn)，敏感的設(shè)備可以被保護(hù)，讓許列表能使用或者數(shù)據(jù)包在路由器之間的移動(dòng)，或者（VTY）在路由器之間，和建立dial-ondemand(DDR),有意義交通，觸發(fā)撥號(hào)到一個(gè)位置。ACCESS列表是十分重要條件列表，它控制。強(qiáng)大的工具控制在網(wǎng)段之間，它過濾不需要的數(shù)據(jù)包安全政策，隨著列表，網(wǎng)絡(luò)管理人員將有更大的力量去加強(qiáng)幾乎任何發(fā)明出來的政策，IP和IPXAccessLists工件得非常類擬，他都比較過濾的數(shù)據(jù)包，分類,一旦AccessLists圍網(wǎng)絡(luò)交通在任何接口，應(yīng)用AccessLists將致使路由器去分析每一的穿過接口的數(shù)據(jù)包在指定方向和行為根據(jù)。下面是一些當(dāng)AccessLists開始比較數(shù)據(jù)包的遵循的重要的規(guī)則它總是按順序比較AccessLists的每一條線看，從線1，線2，3它比較AccessLists的線直到匹配為止，，一旦數(shù)據(jù)包匹配AccessLists，它會(huì)遵暗示的將在AccessLists的底部。它的意思是如果一個(gè)數(shù)據(jù)包不有匹配任何AccessLists的線，它將被丟棄每一個(gè)規(guī)則都有某些強(qiáng)大的含義當(dāng)AccessLists過濾IP和IPX有兩類AccessLists類型使用IP和IPX：standardAccessLists:IP地址，基本上或者全部的協(xié)議，IPXstandards可以過濾來源和目標(biāo)IPX地址extendedaccesslist：它檢查來源和目標(biāo)IP地址，網(wǎng)絡(luò)層報(bào)頭的協(xié)議段，和傳輸層報(bào)頭端口編號(hào)，IPXextendedAccessList使用來源和目標(biāo)IPX地址，網(wǎng)絡(luò)層報(bào)頭的協(xié)議段，和傳輸層報(bào)頭socket編號(hào)一旦你建立了一個(gè)AccessLists，你應(yīng)用它到一個(gè)inboundoroutboundlist口inboundAccessLists:outbound接口之前，先通過AccessLists處outboundAccessLists:數(shù)據(jù)包路由到outbound接口然后處理它通過AccessLists。仍有一些AccessLists方針當(dāng)建立AccessLists在一個(gè)路由器時(shí)我們應(yīng)遵循，你可以只分配一個(gè)AccessLists到一個(gè)接口，一個(gè)協(xié)議，或者一個(gè)方向，這個(gè)意思是你只能有一個(gè)inboundAccessLists和一個(gè)ountboundAccessLists在一個(gè)接口組織你AccessLists以便的明確的測(cè)試在AccessLists的頂端，在任何時(shí)候一個(gè)新的Lists加到AccessLists將被放在list的底部你不能移動(dòng)AccessLists里面的line，list,AccessLists到一個(gè)正文編輯。它只例外情況當(dāng)使用名字AccessLists。除非你在到達(dá)AccessLists的結(jié)束之前獲得，所有的數(shù)據(jù)包將會(huì)丟棄，否則你只建立一個(gè)AccessLists和應(yīng)用它他到一個(gè)接口，任何AccessLists用如果沒有一個(gè)AccessLists呈遞。AccessLists是設(shè)計(jì)應(yīng)用到過濾通過路由器交通，所以他們只會(huì)過濾到路由器的數(shù)據(jù)把IPstandardAccessLists盡量放在接近目標(biāo)的地方把IPextendedAccessListsstandardIPaccess這使用來源IP地址，你使用AccessLists編號(hào)1-99建立一個(gè)standardIPAccessRouter(config)#access-list10deny你可以使用hostRouter(config)#Router(config)#access-list10denyhostRouter(config)#access-list10denyRouter(config)#access-list10denyanyRouter(config)#access-list10deny一個(gè)子網(wǎng)，你沒有選擇但可以使用通配符在AccessLists它是AccessLists指定使用一個(gè)主機(jī)，網(wǎng)絡(luò)，或者一部分網(wǎng)絡(luò)，你需要了解blocksizes。blocksizes是使用來指定一個(gè)地址范圍，下面顯示某些不同的blocksizes可6432168當(dāng)你需要指定一個(gè)地址范圍時(shí)，你選擇最接近最大的的blocksize，34networks.你需要64，如果你要指定18主機(jī)，你需要到15-7最接近所以是所以是55從0-7就是8standardIPAccessListexamplerouter(config)#access-liststandardIPAccessListexamplerouter(config)#access-list10denyrouter(config)#access-list10any=router(config)#introuter(config)#introuter(config-if)#ipaccess-group10以上結(jié)果是所有從ethernet0的接，來自的數(shù)據(jù)將被停止extendedipAccessListrouter(config)#access-list110deny?tcp...........iprouter(config)#access-list110deny?tcp...........ip在這里你要選擇列表類型，這是非常重要的，你一定要明白如果你想使用應(yīng)不能允許任何更的過濾。router(config)#access-listrouter(config)#access-list110denytcpanyhosteq23ftp這樣你就防止所有的數(shù)據(jù)包通過FTP經(jīng)過23端口到但這樣其實(shí)你 所有的通信，因 列表里找不到的將全部 ，所showshowaccess-list110:110showipaccess-list:只顯示路由器的 列showipinterface:showrun:顯示所 列表和接IPXaccessIPXstandard:（800-ipxextended:socketnumber（900-999)ipxsapfilter:控制SAP交通(100-IPXstandard:router(config)#access-list810permit2040router(config)#introuter(config-if)#ipxaccess-group810outipxextendedaccess-listnumberpermit/denyprotocolsourcesocketshowaccess-listrouter(config-if)#ipaccess-group110monitoringipaccessrouter(config)#access-list110permitipipxSAP:access-listnumberpermit/denysourceservicetypeaccess-list1010permit-1(=any)4sales(=sapservername)router(config-if)#ipxinput-sap-filter(從項(xiàng)目中停止所有的SAP更新）r