思科设备上的访问列表是否会根据所用的协议(即 HTTPS)或所用的端口(即端口 80)阻止流量?我已阅读说明手册,但尚未看到明确的答案。
在每个访问列表中指定要阻止的内容时,会使用协议名称;然而,在整个手册中,它一会儿讨论协议,一会儿又讨论端口。
我想知道如果我更改协议运行的端口,路由器是否会允许流量通过?
答案1
接口上的 IP 访问组(即 ip access-group XXX in/out)可交替使用名称和端口号。我想您是想问路由器是否可以在另一个端口(端口 777)上找到 HTTPS 流量,如果您说“阻止 https”,该流量会被阻止吗?答案是否定的 - 它只会查看实际的端口号,指定名称而不是端口号只是为了方便操作员,避免您翻遍 RFC 来找出某个服务通常在哪个端口上运行。
access-list 101 permit tcp host 1.2.3.4 eq ?
<0-65535> Port number
bgp Border Gateway Protocol (179)
chargen Character generator (19)
cmd Remote commands (rcmd, 514)
daytime Daytime (13)
discard Discard (9)
domain Domain Name Service (53)
drip Dynamic Routing Information Protocol (3949)
echo Echo (7)
exec Exec (rsh, 512)
finger Finger (79)
ftp File Transfer Protocol (21)
ftp-data FTP data connections (20)
gopher Gopher (70)
hostname NIC hostname server (101)
ident Ident Protocol (113)
irc Internet Relay Chat (194)
klogin Kerberos login (543)
kshell Kerberos shell (544)
login Login (rlogin, 513)
lpd Printer service (515)
nntp Network News Transport Protocol (119)
pim-auto-rp PIM Auto-RP (496)
pop2 Post Office Protocol v2 (109)
pop3 Post Office Protocol v3 (110)
smtp Simple Mail Transport Protocol (25)
sunrpc Sun Remote Procedure Call (111)
tacacs TAC Access Control System (49)
talk Talk (517)
telnet Telnet (23)
time Time (37)
uucp Unix-to-Unix Copy Program (540)
whois Nicname (43)
www World Wide Web (HTTP, 80)