管的过于宽泛,不够细化。尽可能远离IP
使用标准访问控制列表--即对IP进行访问控制
查看访问控制列表
show access-list
全局模式下:access-list ID(1-99) 操作(permi/deny) IP MASK
access-list 3 deny 192.168.1.0 0.0.0.255
access-list 3 permit any
ip access-group ID 方向(in/out)
用上述控制访问列表的方式让C类地址不能在公共网络上出现
接下要让这些地址能访问外网,这就需要使用马甲
比较细化,尽可能接近源IP
(config term)
定义规则:
全局模式下:access-list ID(100-199) 操作(permit/deny) protocol 源IP mask 目标IP mask 关系运算 具体网络访问
access-list 101 permit tcp 192.168.1.1 0.0.0.0 60.0.0.1 0.0.0.0 80
access-list 101 deny tcp host 192.168.1.1 host 60.0.0.1 eq ftp
access-list 101 permit tcp host 192.168.1.2 host 60.0.0.1 eq ftp
access-list 101 deny tcp host 192.168.1.2 host 60.0.0.1 eq www
access-list 101 permit ip any any
应用规则:ip access-group ID in/out
ip access-group 101 in
应用该列表:
选择使用该规则的端口
ip access-group 101 out
是对有线网络的扩展
无线网卡,link
原文地址:http://blog.csdn.net/nealgavin/article/details/31796879