问题
问答题
某企业的网络拓扑结构如图4所示,请回答以下有关问题。
为了过滤数据包,需要配置访问控制列表(ACL),规定什么样的数据包可以通过,什么样的数据包不能通过。ACL规则由多条permit或deny语句组成,语句的匹配顺序是从上到下。请解释以下两条语句的含义。
语句access-list 1 deny any any
语句access-list 100 permit tcp anyhost 222.134.135.99 eq ftp
答案
参考答案:
语句1:过滤所有数据包(或:禁止所有IP数据包通过防火墙)
语句2:允许所有主机访问222.134.135.99的FTP服务。
解析:
使用access-list命令配置访问控制列表ACL的格式为:
access-list access-list-number {permit | deny } protocol source wildcard-maskdestination wildcard-mask[operator][operand]
其中permit表示允许数据包通过,而deny则表示拒绝数据包通过。wildcard-mask为通配符掩码,是子网掩码的反码。operator表示操作,有It(小于)、gt(大于)、eq(等于)、neq(不等于);operand表示操作数,指的是端口值。
语句access-list 1 deny any any将禁止所有IP数据包通过防火墙。
语句access-list 100 permit tcp anyhost 222.134.135.99 eq ftp 会允许所有主机访问222.134.135.99的ftp服务。