在向大家详细介绍Cisco 路由器ACL之前,首先让大家了解下ACL,然后全面介绍掩码,以便阻塞哄骗攻击。Cisco 路由器ACL(访问控制列表)中的wildcard-mask(通配符掩码)。
简介:路由器中使用的通配符掩码(或者称作反掩码)与源或目标地址一起来分辨匹配的地址范围。Cisco 路由器ACL通配符掩码告诉路由器为了判断出匹配,它需要检查IP地址中的多少位。这个地址掩码使我们可以只使用两个32位的号码来确定I...热点:Ctrix,HP,EMC,CIW,Oracle,Comptia,IBM,Certification,Exams,Questions,Bootcamp,Braindumps-TestInside
路由器中使用的通配符掩码(或者称作反掩码)与源或目标地址一起来分辨匹配的地址范围。通配符掩码告诉路由器为了判断出匹配,它需要检查IP地址中的多少位。这个地址掩码使我们可以只使用两个32位的号码来确定IP地址的范围。如果不使用掩码,我们必须将每个要匹配的IP地址加入一个单独的访问列表语句中。
这将造成很多额外的输入和路由器大量额外的处理过程。在访问列表中将通配符掩码中的一位设成1表示IP地址中对应的位既可以是1又可以是0,此位又称为“无关”位。掩码位设成0则表示IP地址中相对应的位必须精确匹配。下面介绍Cisco 路由器ACL的相关掩码。如:反掩码为0.0.0.0的192.168.0.1则代表192.168.0.1一个IP。
(反掩码各位均为0,需要各位均匹配)反掩码为255.255.255.255的192.168.0.1则代表所有IP地址范围。(反掩码各位均为1,不需要各位匹配)反掩码为0.0.0.255的192.168.0.1则代表192.168.0.1-255这个地址范围(255.255.255.0转换为二进制形式为00000000.00000000.00000000.11111111,也就是前16位均需要匹配,只有后八位不需要匹配)通配符掩码检测器可以到http://www.boson.com/FreeUtilities.html下载。
Cisco 路由器ACL的执行顺序:从上往下执行,一个包只要遇到一条匹配的语句后就会停止后续语句的执行,写ACL时,一定要遵循最为精确匹配的语句写在最前面的原则只有这样才能保证不会出现无用的ACL语句。当使用路由器连接到internet上,使用ACL时,我们要阻塞来自内部IP地址的入流量,以便阻塞哄骗攻击。即
deny10.0.0.00.255.255.255
deny172.16.0.00.15.255.255
deny192.168.0.00.0.255.255
deny127.0.0.00.255.255.255
