访问控制列表: ?* X, ^9 j( `! g$ e, Q
建立访问控制列表,可对数据流量进行简单的控制,以及通过这种控制达到一不定程度的安全性,允许或拒绝数据包通过路由器,从而达到对数据包进行过滤的目的。$ S1 t r! w, V) R. m* I) r' U- @3 B
另外,也可以在VTY线路接口上使用访问控制列表,来保证telnet的连接的安全性。% G6 A8 q n# A( ?
因为接口的数据流是有进口和出口两个方向的,所以在接口上使用访问控制列表也有进和出两个方向。) q! m% g( C4 V N3 e6 j' U
进方向的工作流程4 f( S2 c# {* i! w
进入接口的数据包——进方向的访问控制列表——判断。! T) Y5 R" h2 G. U& {% M2 J
是否匹配——不匹配,丢弃,匹配,进入路由表——判断是否有相应的路由条目——无,丢弃,有从相应接口转发出去。
( ]! U' n. w7 J; i( U1 `/ Z& W( K* x 出口方向的工作流程' P% e% l! c A% l) n9 h
进入接口数据包——进入路由表,判断是否是相应的路由条目——无,丢弃,有,数据包往相应接口——判断出口是否有访问控制列表——无,数据被转发,有,判断条件是否匹配——不匹配,丢弃,匹配,转发。
9 c! Z" g5 f$ F6 p l# O4 j7 ?. u 比较看,尽可能使用进方向的访问控制列表,但是使用哪个方向的应根据实际情况来定。8 |0 h. d) a+ l
类型
0 }$ l) H ^' c 标准访问控制列表
6 }' n3 a4 j q& N) |! d8 b 所依据的条件的判断条件是数据包的源IP地址,只能过滤某个网络或主机的数据包,功能有限,但方便使用。6 D2 }8 a+ g, g" y2 l& b, j( H
命令格式
/ ]% L- f7 z6 g 先在全局模式下创建访问控制列表:/ \- i6 y7 W- X+ X" h0 I( ~2 c
Router(config)#access-list access-list-number {permit or deny} soure {soure-wildcard} log, B' n, C" q" z2 G- }
注:access-list-number 是访问控制列表号,标准的访问控制列表号为0~99;permit是语句匹配时允许通过,deny是语句不匹配时,拒绝通过。soure是源IP地 址,soure-wildcard是通配符,log是可选项,生成有关分组匹配情况的日志消息,发到控制台$ t. x5 P8 U0 A- |- H3 Q* i2 o
补:当表示某一特定主机时,soure {soure-wildcard}这项例如:192.168.1.1 0.0.0.255 可表示为host 192.168.1.1
! D3 t% X. j! ]8 p/ ^3 p 创建了访问控制列表后,在接口上应用
, W$ Y& E& X8 x Router(config-if)#ip access-group access-list-number {in or out}8 h" Y, M: `/ y: x( L3 ^ m2 o9 J1 H
扩展访问控制列表: r$ Y0 y% O, X3 w2 z( V5 c
扩展访问控制列表所依据的判断条件是目标、源ip地址、协议及数据所要访问的端口。由此可得出,在判断条件上,扩展访问控制列表具有比标准的访问控制列表更加灵活的优势,能够完成很多标准访问不能完成的工作) }* I. t% j$ `1 V
命令格式# ~" C8 I4 i; E2 L# M, W2 S$ O- H
同样在全局模式下创建列表:
* J) `$ N i Y7 `. ~* t. f Router(config)#access-list access-list-number {dynamic dynamic-name}{timeout mintes}{permit or deny}protocol soure soure-wildcard destination destination-wildcard {precdence precedence} {tos tos} {time-range time-range-name}3 g$ a" c* S! @6 Z5 Q) ~
命名访问控制列表
$ e7 k7 a& b: _% S2 k cisco ios 软件11.2版本中引入了IP命名ACL,其允许在标准和扩展访问控制列表中使用名字代替数字来表示ACL编号) c) ?1 c r, {, H
创建命名ACL语法格式:/ L1 G2 |) a. w2 O8 W
router(config)#ip access-list {extend or standard} name
6 h8 l: u8 M/ [) H! O! F: m router(config-ext-nacl)#{permit or deny } protocols soure soure-wildcard {operator}destination destination-wildcard {operator}{established}2 X7 I8 C ~( l' v* L6 s& w
注:established 是可选项,只针对于tcp 协议
: d' x. Z& }/ E/ S9 h 还有vty的限制,其ACL的建立与在端口上建立ACL一样,只是应用在vty ACL 到虚拟连接时,用命令access-class 代替命令access-group5 S. k2 p P& c* N8 b0 t6 K
放置ACL
) i2 _! |' n1 |) W5 g+ C1 U 一般原则:尽可能把扩展acl 放置在距离要被拒绝的通信流量近的地方。标准ACL由于不能指定目的地址,所以它们应该尽可能放置在距离目的地最近的地主。 |
发表于 2012-8-3 20:20:19
