在我的思科网络课程中,我注意到一些有关扩展访问列表的令我困惑的事情。
在 Cisco NetAcademy 课程中,列出了扩展访问列表的语法示例:
**access-list** acl_number { **deny | permit | remark** } {protocol_name | protocol_number} source [ source_wildcard ] [**operator operand** ] [port port_number_or_name] destination [destination_wildcard] [operator operand ] [port port_number_or_name] [established]
我的问题是:在什么情况下你会使用上述 ACE 示例中直接跟在源/源通配符后面的运算符操作数?
我到处寻找答案,但至今还没有找到。
答案1
当您需要比较 tcp 和 udp 端口号时使用此选项。
运算符可以是以下关键字之一:
- lt(小于)
- gt(大于)
- eq(相等)
- neq(不等于)
- 范围(包括值的范围)
操作数是指定协议的源端口或目标端口的值。
例如以下 ACE:
access-list 100 permit tcp any host 192.168.1.1 eq 22
允许从任何主机连接到主机 192.168.1.1 上的 TCP 端口 22(SSH)
和这个:
access-list 100 permit udp any eq 750 host 192.168.1.2 gt 1023
允许来自任何主机且源端口为 750、目标端口大于 1023 的 UDP 流量,并定向到地址 192.168.1.2