思科设备上的访问列表是否会根据所使用的协议或端口来阻止流量?

思科设备上的访问列表是否会根据所使用的协议或端口来阻止流量?

思科设备上的访问列表是否会根据所用的协议(即 HTTPS)或所用的端口(即端口 80)阻止流量?我已阅读说明手册,但尚未看到明确的答案。

在每个访问列表中指定要阻止的内容时,会使用协议名称;然而,在整个手册中,它一会儿讨论协议,一会儿又讨论端口。

我想知道如果我更改协议运行的端口,路由器是否会允许流量通过?

答案1

接口上的 IP 访问组(即 ip access-group XXX in/out)可交替使用名称和端口号。我想您是想问路由器是否可以在另一个端口(端口 777)上找到 HTTPS 流量,如果您说“阻止 https”,该流量会被阻止吗?答案是否定的 - 它只会查看实际的端口号,指定名称而不是端口号只是为了方便操作员,避免您翻遍 RFC 来找出某个服务通常在哪个端口上运行。

access-list 101 permit tcp host 1.2.3.4 eq ?
  <0-65535>    Port number
  bgp          Border Gateway Protocol (179)
  chargen      Character generator (19)
  cmd          Remote commands (rcmd, 514)
  daytime      Daytime (13)
  discard      Discard (9)
  domain       Domain Name Service (53)
  drip         Dynamic Routing Information Protocol (3949)
  echo         Echo (7)
  exec         Exec (rsh, 512)
  finger       Finger (79)
  ftp          File Transfer Protocol (21)
  ftp-data     FTP data connections (20)
  gopher       Gopher (70)
  hostname     NIC hostname server (101)
  ident        Ident Protocol (113)
  irc          Internet Relay Chat (194)
  klogin       Kerberos login (543)
  kshell       Kerberos shell (544)
  login        Login (rlogin, 513)
  lpd          Printer service (515)
  nntp         Network News Transport Protocol (119)
  pim-auto-rp  PIM Auto-RP (496)
  pop2         Post Office Protocol v2 (109)
  pop3         Post Office Protocol v3 (110)
  smtp         Simple Mail Transport Protocol (25)
  sunrpc       Sun Remote Procedure Call (111)
  tacacs       TAC Access Control System (49)
  talk         Talk (517)
  telnet       Telnet (23)
  time         Time (37)
  uucp         Unix-to-Unix Copy Program (540)
  whois        Nicname (43)
  www          World Wide Web (HTTP, 80)

相关内容