ACL文档格式.docx
《ACL文档格式.docx》由会员分享,可在线阅读,更多相关《ACL文档格式.docx(11页珍藏版)》请在冰豆网上搜索。
//设定访问控制列表;
Router_A(config)#interfaces0/0
Router_A(config-if)#ipaccess-group1in
//应用到端口,这一步总在上一步设定访问表之后。
去除访问表时则相反;
Router_A(config-if)#end
Router_A#
以下为显示的左边路由器A及右边路由器B的配置:
Router_A
……
interfaceSerial0/0
ipaddress192.168.1.1255.255.255.0
ipaccess-group1in//所有从s0/0进入的数据包都经过这个表的过滤;
!
interfaceEthernet0/0
ipaddress138.1.1.1255.255.255.0
ipclassless
!
access-list1permit139.1.1.00.0.0.255
//定义访问表规则,此处只允许一个网络通过;
//注意:
这儿紧跟着隐含有一个省略的语句:
denyanyany;
……
Router_B
interfaceLoopback0
ipaddress140.1.1.1255.255.255.0
noswitchport
ipaddress192.168.1.2255.255.255.0
ipaddress139.1.1.1255.255.255.0
nokeepalive//使该端口在不接设备时,也被激活;
接着,监测标准访问控制列表,使用路由器上扩展的ping命令:
Router_B#ping
Protocol[ip]:
//回车确认默认值;
TargetIPaddress:
192.168.1.1//输入目标地址;
Repeatcount[5]:
Datagramsize[100]:
Timeoutinseconds[2]:
//回车确认以上三项;
Extendedcommands[n]:
y//输入yes,使用扩展
ping命令;
Sourceaddressorinterface:
140.1.1.1//指定数据包发出的地方;
Typeofservice[0]:
SetDFbitinIPheader?
[no]:
Validatereplydata?
Datapattern[0xABCD]:
Loose,Strict,Record,Timestamp,Verbose[none]:
Sweeprangeofsizes[n]:
//回车确认以上个项;
Typeescapesequencetoabort.
Sending5,100-byteICMPEchosto192.168.1.1,timeoutis2seconds:
.....
Successrateis0percent(0/5)
此时,观察到的结果为不通。
重新使用扩展的ping命令,将源地址改成139.1.1.1;
此时,观察到的结果是通的。
两者比较,说明标准访问控制列表在工作、已经起作用了。
2、配置和引用扩展IP访问控制列表
使用扩展访问控制列表进行报文过滤。
如上图连接好设备并按图配置好地址,此处用二级IP地址来替代多台PC机。
我们希望做到路由器A允许所有从PC-C到PC-A的数据通过,而拒绝从PC-C到PC-B的数据通过。
这里对源IP和目的IP地址都要过滤,因此使用扩展访问控制列表。
两个路由器的最后配置如下:
hostnameRouter_A
ipsubnet-zero
ipaccess-group101in
ipaddress198.1.1.2255.255.255.0secondary//使用二级地址;
ipaddress198.1.1.3255.255.255.0secondary//使用二级地址;
ipaddress198.1.1.1255.255.255.0
nokeepalive//使该端口在不接设备时,也被激活;
iproute0.0.0.00.0.0.0192.168.1.2//缺省路由;
access-list101permitiphost199.1.1.2host198.1.1.2log//访问表项;
access-list101denyiphost199.1.1.2host198.1.1.3log
//前面提到,新添表项时,总添在表的末尾,而由于访问表中表项的顺序至关重要,所以,脱机编辑表项不失为一个好方法;
linecon0
lineaux0
linevty04
login
end
ipaddress197.1.1.1255.255.255.0
InterfaceSerial0/0
ipaddress199.1.1.2255.255.255.0secondary
ipaddress199.1.1.1255.255.255.0
nokeepalive
iproute0.0.0.00.0.0.0192.168.1.1
然后,监测所作的配置。
在路由器B上,使用扩展的ping命令:
198.1.1.2
y
199.1.1.2
Sending5,100-byteICMPEchosto198.1.1.2,timeoutis2seconds:
Successrateis100percent(5/5),round-tripmin/avg/max=1/2/4ms
将目的地址换成198.1.1.3,结果是U.U.U,就是目标不可达。
在路由器A上:
Router_A#shipaccess-lists
ExtendedIPaccesslist101
permitiphost199.1.1.2host198.1.1.2log(901matches)
//允许的报文,已有901次;
denyiphost199.1.1.2host198.1.1.3log(5matches)
//被拒绝的报文,已有5次;
可以看出路由器A上被拒绝的和通过的报文的次数。
在路由器A上作debug监测:
Router_A#debugippacket
IPpacketdebuggingison
01:
43:
07:
IP:
s=199.1.1.2(FastEthernet0/0),d=198.1.1.3,len100,accessdenied
09:
可以实时观察到报文被拒绝的情况。
问题与思考:
1、由于访问控制列表末尾总隐含有denyanyany语句,请思考以下问题并作出实验验证:
在上面实验内容3的扩展访问控制列表中,第二条访问控制列表项语句:
access-list101denyiphost199.1.1.2host198.1.1.3log是否可以省略?
2、上面扩展的访问控制列表中,可不可以将ipaccess-group101应用到端口e0/0上,如果可以,请说明是out还是in,如果不可以请说明理由。
并比较应用到端口e0/0和应用到s0/0口的优劣。
实验背景材料:
一、IP访问控制列表
访问控制列表(AaccessControlList,ACL)是一个有序的语句集合,它检测通过路由器的信包中有关字段与访问控制列表参数是否匹配,来允许信包通过或拒绝信包通过某个接口。
访问控制列表可以实现路由器一定的安全控制功能。
Cisco路由器支持两种类型的访问控制列表:
标准IP访问控制列表、扩展IP访问控制列表。
标准IP访问控制列表只允许过滤源地址;
扩展IP访问控制列表允许过滤源地址、目的地址、源端口、目的端口、协议。
1.标准IP访问控制列表
其基本格式为:
access-list[list-number][permit|deny][sourceaddress][wildcard-mask][log]
其中list-number是1到99之间的一个整数,表示访问控制列表编号。
若有多个list-number相同的语句,它们表示一个整体组。
用这样的方法,在这之后,可以方便将该编号组的访问控制规则应用到某个接口上。
permit或deny用来表示满足访问控制列表的信包是允许通过接口还是要过滤掉。
sourceaddress指明源地址。
一般常常过滤某一组地址,这时需要使用通配符掩码wildcard-mask,通常把通配符掩码也称作反向掩码,因为它的意义和普通掩码刚好相反。
例如,用普通掩码表示网络时:
192.168.10.1255.255.255.0表示192.168.10.1的网络地址192.168.10.0,而在访问控制列表中用反向掩码来表示同样的内容是:
192.168.10.00.0.0.255,也就是说,在反向掩码的二进制表示中,0表示“匹配”,1表示“不关心”,这刚好和普通掩码的意义相反,所以也可以说反向掩码是普通掩码的补值。
语句中的其它关键字还包括remark、host、any和log。
关键字remark紧跟在list-number之后,用于对这个访问控制列表的注释。
如果仅仅想表示单个IP地址,可用关键字host,host后跟一个地址就明确表示一个地址被允许或被拒绝。
如果要表示所有地址,则需要用关键字any。
host和any也可以用网段反向掩码表示,其反向掩码分别是0.0.0.0和255.255.255.255。
关键字log指示将所有能匹配访问控制列表permit或deny语句的信包记录进日志。
这样就可以在以后通过showlogging命令检查日志内容,以此判断一些流量(部分地址被允许的次数)或潜在的黑客活动(多次尝试活动被拒绝)。
2.扩展IP访问控制列表
扩展IP访问控制列表扩展了对信包的过滤能力,它可以根据以下内容过滤信包:
协议类型、源地址、目的地址、源端口、目的端口等。
access-list[list-number][permit|deny][protocol|protocolkeyword][sourceaddress]
[source-wildcard][sourceport][destinationaddress][destination-wildcard]
[destinationport][log]
其中list-number的含义和标准IP访问控制列表的相同,只是号码从100-199。
语句中的permit|deny项及sourceaddress,source-wildcard,destinationaddress,destination-wildcard的含义和标准IP访问控制列表的相同,分别表示允许、拒绝,源地址(网段)、目的地址(网段),如果仅过滤单个地址,前面加上host即可。
protocol表项定义了需要被过滤的协议,如IP、TCP、UDP、ICMP等。
source-port,destination-port表示的源和目的端口通常只使用在TCP或UDP协议时。
它们可以使用两种方式表示,显式方式:
用一个端口数字或可识别的助记符,如用80或HTTP来指定WEB服务器端口;
模糊方式:
用比较关系符gt(大于)、lt(小于)、eq(等于)、neq(不等于)后跟某个范围。
其它关键字还有:
remark,host,any,log和established
remark用于注释,和标准IP访问控制列表一样。
host,any,log也同前。
established仅用于TCP协议中,用于TCP在一个方向上响应另一端发起的会话时,使用established关键字的访问控制列表检查每个TCP报文,看它的ACK或RST位是否已经设置而决定允许或拒绝。
二、使用IP访问控制列表
使用IP访问控制列表的步骤包括三步:
1、定义IP访问控制列表
将要过滤哪些信包、如何过滤的策略通过access-list语句定义。
遵循以下规则:
自上而下的顺序、以及末尾隐含的denyany语句。
所谓自上而下的顺序,是指在过滤时,信包经过每条语句的检查,到匹配语句为止,否则一直往下检查,如果没有一条匹配,则最后有一条隐含的denyany将其拒绝。
要切记最后隐含的这条语句。
2、将该访问控制列表引用在哪个接口上
配置好访问控制列表后,要应用到具体的接口上才真正使它起作用。
在接口上使用访问控制列表时要用ipaccess-grouplist-number[in|out]命令。
过滤信包是在接口上实现的,一般在选择接口时,对于扩展IP访问控制列表,要尽量放在靠近过滤源的接口上,这样创建的过滤器就不会影响到其他接口的数据流;
对于标准IP访问控制列表,要尽量放在靠近目的地的接口上,这是因为:
标准IP访问控制列表只以源地址为过滤对象,放在离源地址近的地方会阻止这里的报文流向其他地方。
3、指定信包在接口上过滤的方向
ipaccess-grouplist-number[in|out]命令在接口上使用时还需要指定其过滤方向。
in表示“向内的”,即信包流流向路由器;
out表示“向外的”,即信包流从路由器流出。
三、命名的IP访问控制列表和访问控制列表的编辑
也可以用命名方式的访问控制列表来取代编号方式的访问控制列表,这样,不但不会受编号方式编号个数的限制,而且在命名时可以给出一个易理解、意思明确的名字,以便区分各个访问控制列表的过滤作用和意义,如名字denystudent,名字test,名字denyftp等等。
其具体格式为:
ipaccess-liststandardname或ipaccess-listextendedname,
此后,同一组访问控制列表语句中,跟着的其它语句的ipaccess-list字段就省去了,只从permit|deny开始。
使用命名的访问控制列表还有另一个优点:
编辑同一组访问控制列表语句中的某单个语句时,可以用no命令很方便地删去其中的一条,而用编号方式的访问控制列表时,no一条语句,会删去该编号所有的这一个组。
另外,在添加访问控制列表表项的时候(无论是编号方式的还是命名方式的),新添加的表项总是在访问控制列表的末尾,由于访问表是按序执行的,所以,加在末尾是否能实现想要的功能,也应加以考虑。
Cisco路由器配置软件与CCNA资料参考网址
[1]Cisco路由器模拟器软件router_eSIM_v1.1,
id=34&
filename=download/router_eSIM_v11.zip
[2]Cisco路由器模拟器软件SybexCCNAVirtualLab2.1,
/openfile.asp?
id=51&
filename=download/routersim.zip
[3]BonsonNetSim6.0路由器模拟器软件,
[4]BosonNetSim模拟器入门进阶(上册),
[5]BosonNetSim模拟器入门进阶(下册),
[6]在线教程CCNA1NetworkingBasicsv3.11,
311053022401441/ccna3theme/ccna3/start.html
[7]在线教程CCNA2RoutersandRoutingBasicsv3.11,
311053022482417/ccna3theme/ccna3/start.html
[8]在线教程CCNA3SwitchingBasicsandIntermediateRoutingv3.1,
.html
[9]Cisco教材中文版《CCNA学习指南》,
[10]SybexCCNA2.0StudyGuide,
[11]CCNAICNDExamCertificationGuide(Cisco出版社),
[12]CiscoCCNA认证考试电子书与资料系列,
[13]CiscoCCNA认证培训中文PPT幻灯片,
[14]CiscoCCNA认证新版中文PPT教程,
[15]中国石油大学思科网络技术学院,
[16]中国石油大学思科网络技术学院CCNA课程资料与软件系列,
[17]Cisco命令集,
[18]Cisco模块介绍,
[19]思科网络学院第一学期v3.0,
[20]思科网络学院第二学期v3.0,
[21]思科网络学院第三学期v3.0,http:
//download.c
升级会员 