访问控制列表; p) C: Y, y2 ]' g& O2 ~
建立访问控制列表,可对数据流量进行简单的控制,以及通过这种控制达到一不定程度的安全性,允许或拒绝数据包通过路由器,从而达到对数据包进行过滤的目的。
4 D- f5 z7 A7 ]. `# s% A- f 另外,也可以在VTY线路接口上使用访问控制列表,来保证telnet的连接的安全性。7 J# M5 M! o9 p0 f1 ^6 E
因为接口的数据流是有进口和出口两个方向的,所以在接口上使用访问控制列表也有进和出两个方向。: }# V8 A" H0 i, V$ w$ i% x2 N
进方向的工作流程- E6 d. l; J x# n
进入接口的数据包——进方向的访问控制列表——判断。3 a6 C" O6 Q8 A' H8 x5 y; Q9 H3 r) b
是否匹配——不匹配,丢弃,匹配,进入路由表——判断是否有相应的路由条目——无,丢弃,有从相应接口转发出去。
* X- u5 J2 T: {' |* u" C$ Z 出口方向的工作流程
2 \8 m8 c8 B e; D! i$ y 进入接口数据包——进入路由表,判断是否是相应的路由条目——无,丢弃,有,数据包往相应接口——判断出口是否有访问控制列表——无,数据被转发,有,判断条件是否匹配——不匹配,丢弃,匹配,转发。
( ^; K7 h. ^3 i7 C 比较看,尽可能使用进方向的访问控制列表,但是使用哪个方向的应根据实际情况来定。0 W* r; U/ ?* l9 [
类型" k4 Q+ }* r3 ~3 l2 B2 }
标准访问控制列表: F6 `7 t6 H! W2 z
所依据的条件的判断条件是数据包的源IP地址,只能过滤某个网络或主机的数据包,功能有限,但方便使用。
0 b0 D0 M" ~7 Z# o. ~ 命令格式8 r4 f! D$ C1 ^0 z5 b2 ?
先在全局模式下创建访问控制列表:0 o8 G, `0 H3 L+ B/ T) j; t6 Y. m2 F
Router(config)#access-list access-list-number {permit or deny} soure {soure-wildcard} log
- h0 h- ~3 I' K 注:access-list-number 是访问控制列表号,标准的访问控制列表号为0~99;permit是语句匹配时允许通过,deny是语句不匹配时,拒绝通过。soure是源IP地 址,soure-wildcard是通配符,log是可选项,生成有关分组匹配情况的日志消息,发到控制台& W7 ~) W, z! h C4 t& l
补:当表示某一特定主机时,soure {soure-wildcard}这项例如:192.168.1.1 0.0.0.255 可表示为host 192.168.1.1' r8 T! q! M( W$ R2 Z
创建了访问控制列表后,在接口上应用
9 v3 d: K3 A9 @6 c& u! g& O7 E Router(config-if)#ip access-group access-list-number {in or out}' w0 A7 C; B/ ]+ |
扩展访问控制列表$ o) V" D/ h" C2 z' A" M
扩展访问控制列表所依据的判断条件是目标、源ip地址、协议及数据所要访问的端口。由此可得出,在判断条件上,扩展访问控制列表具有比标准的访问控制列表更加灵活的优势,能够完成很多标准访问不能完成的工作( B% N, d1 J0 Q; g ?0 E5 ^8 @! r
命令格式: z# U/ j5 f; F9 c: t) Y
同样在全局模式下创建列表:
% f/ S( G4 b# @ Router(config)#access-list access-list-number {dynamic dynamic-name}{timeout mintes}{permit or deny}protocol soure soure-wildcard destination destination-wildcard {precdence precedence} {tos tos} {time-range time-range-name}; d* P5 P) b0 l5 o5 o9 c& ] M' V- f
命名访问控制列表9 d4 P( }" s7 k) B0 a. e; B
cisco ios 软件11.2版本中引入了IP命名ACL,其允许在标准和扩展访问控制列表中使用名字代替数字来表示ACL编号" b3 p6 Y% ?4 q/ N
创建命名ACL语法格式:
* X/ q% c% T9 c; V& f; f# ?% S router(config)#ip access-list {extend or standard} name
; P; K# {! D( f0 Y, `/ O router(config-ext-nacl)#{permit or deny } protocols soure soure-wildcard {operator}destination destination-wildcard {operator}{established}& {! X) J7 r1 C4 }0 ^* O
注:established 是可选项,只针对于tcp 协议$ W+ d$ [* h2 e! y. l9 ?! C$ s- i. O2 I
还有vty的限制,其ACL的建立与在端口上建立ACL一样,只是应用在vty ACL 到虚拟连接时,用命令access-class 代替命令access-group+ M3 ^2 T, i/ d3 X8 d0 T
放置ACL
# y. ]8 x4 k H 一般原则:尽可能把扩展acl 放置在距离要被拒绝的通信流量近的地方。标准ACL由于不能指定目的地址,所以它们应该尽可能放置在距离目的地最近的地主。 |
发表于 2012-8-3 20:20:19
