CISCO 路由器中的access-list (访谒列表)最根基的有两种,分袂是尺度访谒列表和扩展访谒列表,二者的区别主若是前者是基于方针地址的数据包过滤,尔后者是基于方针地址、源地址和收集和谈及其端口的数据包过滤? (1)尺度型IP访谒列表的名目
! K- l, P4 w: S2 K! z+ I, ^# ?. y2 E ---- 尺度型IP访谒列表的名目如下:
9 h# k6 L/ V2 N; k; _# }0 y9 F 5 k. y t% d$ L& u- _+ [
---- access-list[list number][permit|deny][source address]; x4 G2 G. @; I
---- [address][wildcard mask][log]- f" ]' S. {8 ]
5 X7 \9 r6 h/ {1 C* \ ---- 下面诠释一下尺度型IP访谒列表的关头字和参数。首先,在access和list这2个关头字之间必需有一个连字符"-";其次,list number典型围在0~99之间,这剖明该access-list语句是一个通俗的尺度型IP访谒列表语句。因为对于Cisco IOS,在0~99之间的数字指示出该访谒列表和IP和谈有关,所以list number参数具有双重功能: (1)界说访谒列表的操作和谈; (2)通知IOS在措置access-list语句时,把不异的list number参数作为统一实体看待。正如本文在后面所谈判的,扩展型IP访谒列表也是经由过程list number(规模是100~199之间的数字)而默示其特点的。是以,当运用访谒列表时,还需要填补如下主要的轨则: 在需要建树访谒列表的时辰,需要选择恰当的list number参数。
! T1 k. L& d1 E2 }) o
* h5 Q e- u1 s; C+ a1 e ---- (2)许可/拒绝数据包经由过程
* N& J! H i* b5 C% p
# E( G- m7 [, R3 U* \$ F, m& K ---- 在尺度型IP访谒列表中,使用permit语句可以使得和访谒列表项目匹配的数据包经由过程接口,而deny语句可以在接口过滤失踪和访谒列表项目匹配的数据包。source address代表主机的IP地址,操作分歧掩码的组合可以指定主机。
& O s; m- V6 `8 M3 a9 T2 P
% Z/ Q, ~5 r/ ]# z, ] ---- 为了更好地体味IP地址和通配符掩码的浸染,这里举一个例子。假设您的公司有一个分支机构,其IP地址为C类的192.46.28.0。在您的公司,每个分支机构都需要经由过程总部的路由器访谒Internet。要实现这点,您就可以使用一个通配符掩码 0.0.0.255。因为C类IP地址的最后一组数字代表主机,把它们都置1即许可总部访谒收集上的每一台主机。是以,您的尺度型IP访谒列表中的access-list语句如下:
3 g& T2 a) }: D9 Y1 r- Z. Z. [
" p$ L6 n' v( o) ^- l. c ---- access-list 1 permit 192.46.28.0 0.0.0.255
2 S) L, t d; i! w( a% ~4 m( w7 {
8 s" k4 Z% k# m/ |0 q& @ ---- 注重,通配符掩码是子网掩码的填补。是以,如不美观您是收集高手,您可以先确定子网掩码,然后把它转换成可应用的通配符掩码。这里,又可以填补一条访谒列表的轨则5。
. x5 {9 p, b; m" q( v . l. n" P8 r! ~# j$ m( E
---- (3)指定地址
1 |! t; C6 g! c6 Q8 b7 J' C7 }7 H4 g
' n6 l8 G) H' h ---- 如不美观您想要指定一个特定的主机,可以增添一个通配符掩码0.0.0.0。例如,为了让来自IP地址为192.46.27.7的数据包经由过程,可以使用下列语句:
( w0 C- f$ B; i9 G* [; e8 S* h
4 U, e4 H/ R, C; P5 e& e ---- Access-list 1 permit 192.46.27.7 0.0.0.0
3 ~5 U: u: L2 L) P+ f9 n+ @
2 `; F+ T# u2 ~8 P7 H- ~ ---- 在Cisco的访谒列表中,用户除了使用上述的通配符掩码0.0.0.0来指定特定的主机外,还可以使用"host"这一关头字。例如,为了让来自IP地址为192.46.27.7的数据包经由过程,您可以使用下列语句:2 R* p% z" r- l. a" Z
: s3 I$ Q0 }( Q. E ---- Access-list 1 permit host 192.46.27.7. k' G% ^3 m- E
- `* q1 _1 @" B5 G! z+ J
---- 除了可以操作关头字"host"来代表通配符掩码0.0.0.0外,关头字"any"可以作为源地址的缩写,并代表通配符掩码0.0.0.0 255.255.255.255。例如,如不美观但愿拒绝来自IP地址为192.46.27.8的站点的数据包,可以在访谒列表中增添以下语句:) S! t. @/ U2 Y4 e4 h- U
8 Z6 m8 R4 o0 q( V1 i
---- Access-list 1 deny host 192.46.27.8
! ]2 w9 ]' ^" P g ---- Access-list 1 permit any
/ P8 }* d$ S/ f1 f- U $ v3 y6 W( T/ [5 B6 m$ A7 I
---- 注重上述2条访谒列表语句的顺序。第1条语句把来自源地址为192.46.27.8的数据包过滤失踪,第2条语句则许可来自任何源地址的数据包经由过程访谒列表浸染的接口。如不美观改变上述语句的顺序,那么访谒列表将不能够阻止来自源地址为192.46.27.8的数据包经由过程接口。因为访谒列表是按年夜上到下的顺序执行语句的。这样,如不美观第1条语句是:" U3 c. c7 T/ c0 ~ ^& i) Y
4 R: \1 K8 d# @. ?, | ---- Access-list 1 permit any7 l+ H T* s% H& p
; H# M5 y) U* J! L1 J; u2 j
---- 的话,那么来自任何源地址的数据包城市经由过程接口。
7 Z' S% r+ \7 U1 v* M3 k
( a0 V1 H6 |6 A3 ? m) N" k ---- (4)拒绝的奥秘* M6 z4 Z/ y7 v' m
* V% {/ h) F. H) H
---- 在默认情形下,除非明晰划定许可经由过程,访谕葱内外是阻止或拒绝一切数据包的经由过程,即现实上在每个访谒列表的最后,都隐含有一条"deny any"的语句。假设我们使用了前面建树的尺度IP访谒列表,通衢由器的角度来看,这条语句的现实内容如下:5 ?3 O6 S' d/ [( `4 X3 i* E
! Q. ~: G/ s. L2 [) s
---- access-list 1 deny host 192.46.27.8
$ r3 D X0 k4 q! q; o4 C* D ---- access-list 1 permit any# ]9 h, a& L/ h' T* ~
---- access-list 1 deny any
8 ^! X2 e1 V/ q! @& x+ c9 m6 n * m' w H( ?4 ^# v3 K! O4 z
---- 在上述例子琅缦沔,因为访谒列表中第2条语句明晰许可任何数据包都经由过程,所以隐含的拒绝语句不起浸染,但现实情形并不老是如斯。例如,如不美观但愿来自源地址为192.46.27.8和192.46.27.12的数据包经由过程路由器的接口,同时阻止其他一切数据包经由过程,则访谒列表的代码如下:
; |2 Q: h8 b6 l5 o8 S 0 S# G v+ d/ E6 |( j
---- access-list 1 permit host 192.46.27.8
0 f7 s- _. J6 X* p: q ---- access-list 1 permit host 192.46.27.12- Y& E% X$ t# L: r7 o
2 Y% Y+ X2 ^6 q3 M0 D; E" H; O
---- 注重,因为所有的访谒列表会自动在最后搜罗该语句.
+ e) e3 i$ Q# a/ K 3 c) s2 i+ U5 u( v
---- 顺便谈判一下尺度型IP访谒列表的参数"log",它起日志的浸染。一旦访谒列表浸染于某个接口,那么搜罗关头字"log"的语句将记实那些知足访谒列表中"permit"和"deny"前提的数据包。第一个经由过程接口而且和访谒列表语句匹配的数据包将当即发生一个日志信息。后续的数据包按照记实日志的体例,或者在节制台上显示日志,或者在内存中记实日志。经由过程Cisco IOS的节制台呼吁可以选择记实日志体例。
' M1 s# r8 }* z. O 4 u8 U7 N; j: j9 @ v% A+ R
扩展型IP访谒列表6 E# @# G2 s& k3 e: _1 B2 Y! x$ @
2 N; [! V1 t3 [ ---- 扩展型IP访谒列表在数据包的过滤方面增添了不少功能和矫捷性。除了可以基于源地址和方针地址过滤外,还可以按照和谈、源端口和目的端口过滤,甚至可以操作各类选项过滤。这些选项能够对数据包中某些域的信息进行篡夺和斗劲。扩展型IP访谒列表的通用名目如下:6 q- G" h2 B7 R( N7 N* y! P
6 v# B6 E" B- E! c, ~8 H0 ~& ?8 d3 `
---- access-list[list number][permit|deny]/ u4 T1 s5 J( U. I) y* \5 S& K
---- [protocol|protocol key word]% S/ Y! g9 G$ M
---- [source address source-wildcard mask][source port]
+ _ v/ K0 |4 \. Y3 I ---- [destination address destination-wildcard mask]8 V9 s& k2 d* h( n9 H( j
---- [destination port][log options]" N; G: P2 c! O, a3 M$ `, B
9 y9 ]0 U/ e- }# e9 S7 J0 A, a ---- 和尺度型IP访谒列表近似,"list number"标识表记标帜了访谒列表的类型。数字100~199用于确定100个惟一的扩展型IP访谒列表。"protocol"确定需要过滤的和谈,其中搜罗IP、TCP、UDP和ICMP等等。' _0 M$ M, p0 K" a
T. x! W8 ~ j2 ~- Y" B ---- 如不美观我们回首回头回忆一下数据包是若何形成的,我们就会体味为什么和谈会影响数据包的过滤,尽管有时这样会发生副浸染。图2暗示了数据包的形成。请注重,应用数据凡是有一个在传输层增添的前缀,它可所以TCP和谈或UDP和谈的托目,这样就增添了一个指示应用的端口标识表记标帜。当数据流入和谈栈之后,收集层再加上一个包含地址信息的IP和谈的托目。
2 b X; _- w; r& N/ v8 {& F 因为IP头部传送TCP、UDP、路由和谈和ICMP和谈,所以在访谒列表的语句中,IP和谈的级别比其他和谈更为主要。可是,在有些应用中,您可能需要改蹦这种情形,您需要基于某个非IP和谈进行过滤
$ \1 p0 j+ k8 [0 Y0 q8 g" u 5 ]8 T4 n: ~' G9 w& F
---- 为了更好地声名,下面列举2个扩展型IP访谒列表的语句来声名。假设我们但愿阻止TCP和谈的流量访谒IP地址为192.78.46.8的处事器,同时许可其他和谈的流量访谒该处事器。那么以下访谒列表语句能知足这一要求吗?" F- Q5 v4 T" `% x
. H0 x4 \8 z% A, h% P- H/ `
---- access-list 101 permit host 192.78.46.8# f) I/ M- |8 ^4 A
---- access-list 101 deny host 192.78.46.12- K- Y% Z! k, y% w4 i* }* Q' k
3 _3 R5 O1 e/ ?, c6 b" h4 M
---- 回覆是否认的。第一条语句许可所有的IP流量、同时搜罗TCP流量经由过程指定的主机地址。这样,第二条语句将不起任何浸染。可是,如不美观改变膳缦沔2条语句的顺序? |
发表于 2012-8-3 20:03:30
