《CISCO路由器中的access-list 详解.pdf》由会员分享,可在线阅读,更多相关《CISCO路由器中的access-list 详解.pdf(10页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、本页已使用福昕阅读器进行编辑。福昕软件(),版权所有,仅供试用。CISCO 路由器中的 access-list(访问列表)最基本的有两种,分别是标准访问列表和扩展访问列表,二者的区别主要是前者是基于目标地址的数据包过滤,而后者是基于目标地址、源地址和网络协议及其端口的数据包过滤。(1)标准型 IP 访问列表的格式-标准型 IP 访问列表的格式如下:-access-listlist numberpermit|denysource address-addresswildcard masklog-下面解释一下标准型 IP 访问列表的关键字和参数。首先,在 access 和 list 这 2 个关键字
2、之间必须有一个连字符-;其次,list number 的范围在 099 之间,这表明该 access-list 语句是一个普通的标准型 IP 访问列表语句。因为对于 Cisco IOS,在 099之间的数字指示出该访问列表和 IP 协议有关,所以 list number 参数具有双重功能:(1)定义访问列表的操作协议;(2)通知 IOS 在处理access-list 语句时,把相同的 list number 参数作为同一实体对待。正如本文在后面所讨论的,扩展型 IP 访问列表也是通过 listnumber(范围是 100199 之间的数字)而表现其特点的。因此,当本页已使用福昕阅读器进行编辑。
3、福昕软件(),版权所有,仅供试用。运用访问列表时,还需要补充如下重要的规则:在需要创建访问列表的时候,需要选择适当的 list number 参数。-(2)允许/拒绝数据包通过-在标准型 IP 访问列表中,使用 permit 语句可以使得和访问列表项目匹配的数据包通过接口,而 deny 语句可以在接口过滤掉和访问列表项目匹配的数据包。source address代表主机的IP地址,利用不同掩码的组合可以指定主机。-为了更好地了解 IP 地址和通配符掩码的作用,这里举一个例子。假设您的公司有一个分支机构,其IP 地址为 C 类的 192.46.28.0。在您的公司,每个分支机构都需要通过总部的路
4、由器访问Internet。要实现这点,您就可以使用一个通配符掩码 0.0.0.255。因为C 类 IP 地址的最后一组数字代表主机,把它们都置 1 即允许总部访问网络上的每一台主机。因此,您的标准型IP 访问列表中的 access-list 语句如下:-access-list 1 permit 192.46.28.0 0.0.0.255-注意,通配符掩码是子网掩码的补充。因此,如果您是网络高手,您可以先确定子网掩码,然后把它转换成可应用的通配符掩本页已使用福昕阅读器进行编辑。福昕软件(),版权所有,仅供试用。码。这里,又可以补充一条访问列表的规则 5。-(3)指定地址-如果您想要指定一个特定的
5、主机,可以增加一个通配符掩码 0.0.0.0。例如,为了让来自 IP 地址为 192.46.27.7 的数据包通过,可以使用下列语句:-Access-list 1 permit 192.46.27.7 0.0.0.0-在 Cisco 的访问列表中,用户除了使用上述的通配符掩码0.0.0.0来指定特定的主机外,还可以使用host这一关键字。例如,为了让来自 IP 地址为 192.46.27.7 的数据包通过,您可以使用下列语句:-Access-list 1 permit host 192.46.27.7-除了可以利用关键字host来代表通配符掩码 0.0.0.0外,关键字any可以作为源地址的缩
6、写,并代表通配符掩码 0.0.0.0255.255.255.255。例如,如果希望拒绝来自IP 地址为 192.46.27.8的站点的数据包,可以在访问列表中增加以下语句:本页已使用福昕阅读器进行编辑。福昕软件(),版权所有,仅供试用。-Access-list 1 deny host 192.46.27.8-Access-list 1 permit any-注意上述 2 条访问列表语句的次序。第 1 条语句把来自源地址为192.46.27.8 的数据包过滤掉,第 2条语句则允许来自任何源地址的数据包通过访问列表作用的接口。如果改变上述语句的次序,那么访问列表将不能够阻止来自源地址为 192.4
7、6.27.8 的数据包通过接口。因为访问列表是按从上到下的次序执行语句的。这样,如果第 1 条语句是:-Access-list 1 permit any即在这条语句后面的都 没有作用了-的话,那么来自任何源地址的数据包都会通过接口。-(4)拒绝的奥秘-在默认情况下,除非明确规定允许通过,访问列表总是阻止或拒绝一切数据包的通过,即实际上在每个访问列表的最后,都隐含有一条deny any的语句。假设我们使用了前面创建的标准 IP 访问列表,从路由器的角度来看,这条语句的实际内容如下:-access-list 1 deny host 192.46.27.8本页已使用福昕阅读器进行编辑。福昕软件(),
8、版权所有,仅供试用。-access-list 1 permit any-access-list 1 deny any-在上述例子里面,由于访问列表中第 2 条语句明确允许任何数据包都通过,所以隐含的拒绝语句不起作用,但实际情况并不总是如此。例如,如果希望来自源地址为192.46.27.8 和 192.46.27.12 的数据包通过路由器的接口,同时阻止其他一切数据包通过,则访问列表的代码如下:-access-list 1 permit host 192.46.27.8-access-list 1 permit host 192.46.27.12-注意,因为所有的访问列表会自动在最后包括该语句.
9、-顺便讨论一下标准型 IP 访问列表的参数log,它起日志的作用。一旦访问列表作用于某个接口,那么包括关键字log的语句将记录那些满足访问列表中permit和deny条件的数据包。第一个通过接口并且和访问列表语句匹配的数据包将立即产生一个日志信息。后续的数据包根据记录日志的方式,或者在控制台上显示日志,或者在内存中记录日志。通过 Cisco IOS 的控制台命令可以选择记录日志方式。本页已使用福昕阅读器进行编辑。福昕软件(),版权所有,仅供试用。扩展型 IP 访问列表-扩展型 IP 访问列表在数据包的过滤方面增加了不少功能和灵活性。除了可以基于源地址和目标地址过滤外,还可以根据协议、源端口和目
10、的端口过滤,甚至可以利用各种选项过滤。这些选项能够对数据包中某些域的信息进行读取和比较。扩展型 IP 访问列表的通用格式如下:-access-listlist numberpermit|deny-protocol|protocol key word-source address source-wildcard masksource port-destination address destination-wildcard mask-destination portlog options-和标准型 IP 访问列表类似,list number标志了访问列表的类型。数字100199用于确定 100个
11、惟一的扩展型IP访问列表。protocol确定需要过滤的协议,其中包括 IP、TCP、UDP 和 ICMP 等等。-如果我们回顾一下数据包是如何形成的,我们就会了解为什么协议会影响数据包的过滤,尽管有时这样会产生副作用。图 2 表示了数据包的形成。请注意,应用数据通常有一个在传输层增加的前缀,它可以是 TCP 协议或 UDP 协议的头部,这样就增加了一个指示应用的端口标志。当数据流入协议栈之后,网络层再加上一个包含地址信息的 IP 协议的头部。由于 IP 头部传送 TCP、UDP、路由协议和 ICMP 协议,所以在访问列表的语句中,IP 协议的级别比其他协议更为重要。但是,在有些应用中,您可能
12、需要改变这种情况,您需要基于某个非 IP 协议进行过滤-为了更好地说明,下面列举 2个扩展型 IP 访问列表的语句来说明。假设我们希望阻止TCP 协议的流量访问 IP 地址为 192.78.46.8 的服务器,同时允许其他协议的流量访问该服务器。那么以下访问列表语句能满足这一要求吗?-access-list 101 permit host 192.78.46.8-access-list 101 deny host 192.78.46.12-回答是否定的。第一条语句允许所有的 IP 流量、同时包括TCP 流量通过指定的主机地址。这样,第二条语句将不起任何作用。可是,如果改变上面 2 条语句的次序
13、 那么就可以做到阻止 TCP 流量通过指定的地址,而允许其他协议的流量通过。扩展型IP访问列表还有一个特点,就是它支持以下关键字的操作符,如附表所示。至于端口数,您可以指定一个数字和数字范围,或者是操作符加上数字和数字范围。下面是 2条使用操作符的访问列表语句的例子。access-list 101 permit tcp any host 192.78.46.8 eq wwwaccess-list 101 permit ICMP any host 192.78.46.12 eq 8在这 2 条语句中,第一条语句允许来自任何主机的 TCP 到达指定的 IP 地址为 192.78.46.8 的主机,
14、只要数据包传输 Web 流量。其中可以用 80 取代 www,因为 Web 流量通过端口 80。第二条语句允许所有的Ping 流量通过,而对于 Ping,其 ICMP 回波请求信息属于 ICMP 类型8。实际应用步骤实际应用步骤把访问列表应用于接口实际上可以分为以下 3 个步骤。第第 1 1 步:步:创建一个路由表创建一个路由表可以在路由器的控制台上直接完成这一工作;也可以先在其他计算机上用文字处理软件(如 Word)或文本编辑器输入,以文本文件的形式存储,然后通过 TFTP 程序把该文本文件传给路由器。第第 2 2 步:步:指定接口指定接口必须有一个接口作为路由表的应用对象,这可以通过路由器
15、的接口命令完成。第第 3 3 步:步:定义方向定义方向必须确定访问列表的应用的方向,这可以通过路由器的访问组命令完成。为了说明上述步骤,下面举一个以前用过的简单的例子。对一台路由器的串行 0 号端口,为了完成这 3 个步骤,可以编写如下代码:interface serial 0 ip access-group 101 in-access-list101 deny ICMP any host 192.78.46.8 eq 8-access-list 101 permit ip any host 192.78.46.8-access-list 101 permit ICP any host 192
16、.78.46.12 eq 8-access-list 101 permit tcp any host 192.78.46.8.12 eq 80-access-list 101 deny ip any any在上面的代码中,第 1 条语句定义了访问列表所应用的端口,第二条语句定义了接口产生过滤的方向。在访问列表中,第一条语句阻止以ICMP 回波请求的形式产生 Ping,从而防止对主机地址的窥视。第 2 条访问列表语句允许所有其他的 IP 流量流向主机。第 3 和第 4条语句允许 ICMP 回波请求和 Web 流量进入网络中的第 2 台主机。最后一条访问列表语句鲜明地拒绝所有不需要的访问。通常在访
17、问列表的最后都有这样的语句。在前面访问列表例子的list number 参数都是数字。在这种访问列表中,不能取消特殊的参数,可以把参数加到底部。但是,如果需要修改参数,就必须首先创建一个新的列表,把旧的列表删除,然后应用新的列表。如果在访问列表中,用标识符取代其中的数字,将获得更多的灵活性。此外,访问列表也不支持新增加语句。因此,我们有关访问列表的最后一个规则,即规则 9。访问列表的使用规则 访问列表总是被用于适当的接口。访问列表规定了接口信息的流向。当只需要根据数据包的源地址进行过滤时,请采用标准型 IP 访问列表。如果需要根据更高级的规则实现过滤,则采用扩展型 IP 访问列表。在创建通配符掩码的时候,二进制0表示匹配,二进制1表示不匹配。在访问列表中,语句的次序是极其重要的。不必在最后把明确拒绝的语句加上。要把根据非 IP 协议过滤的语句往前放。如果要增加或修改一条语句,就需要删除现有的列表,并重新应用新的或修改过的列