路由器访问控制列表基础知识
|
1、什么是访问控制列表?
访问控制列表在Cisco IOS软件中是一个可选机制,可以配置成过滤器来控制数据包,以决定该数据包是继续向前传递到它的目的地还是丢弃。 2、为什么要使用访问控制列表? 最初的网络只是连接有限的LAN和主机,随着路由器连接内部和外部的网络,加上互联网的普及,控制访问成为新的挑战,网络管理员面临两难的局面:如何拒绝不期望的访问而允许需要的访问?访问控制列表增加了在路由器接口上过滤数据包出入的灵活性,可以帮助管理员限制网络流量,也可以控制用户和设备对网络的使用,它根据网络中每个数据包所包含的信息内容决定是否允许该信息包通过接口。 3、访问控制列表有哪些类型? 访问控制列表主要可以分为以下两种: A、标准访问控制列表:标准访问控制列表只能够检查可被路由的数据包的源地址,根据源网络、子网、主机IP地址来决定对数据包的拒绝或允许,使用的局限性大,其序列号范围是1-99。 B、扩展访问控制列表:扩展访问控制列表能够检查可被路由的数据包的源地址和目的地址,同时还可以检查指定的协议、端口号和其他参数,具有配置灵活、精确控制的特点,其序列号的范围是100-199。 以上两种类型都可以基于序列号和命名来配置,我们建议使用命名来配置访问控制列表,这样在以后的修改中也是很方便的。 4、访问控制列表具有什么样的特点? A、它是判断语句,只有两种结果,要么是拒绝(deny),要么是允许(permit); B、它按照由上而下的顺序处理列表中的语句; C、处理时,不匹配规则就一直向下查找,一旦找到匹配的语句就不再继续向下执行; D、在思科中默认隐藏有一条拒绝所有的语句,也就默认拒绝所有(any); 由上面的特点可以总结出,访问控制列表中语句的顺序也是非常重要的,另外就是所配置的列表中必须有一条允许语句。 5、配置访问控制列表需要注意什么? A、访问控制列表只能过滤流经路由器的流量,对路由器自身发出的数据包不起作用。 B、一个访问控制列表中至少有一条允许语句。
6、配置访问控制列表的步骤是什么?
第一步:创建访问控制列表: access-list access-list-number {deny permit} {test conditions} //access-list-number:序列号,这个地方也可以写命名的名称; //deny:拒绝; //permit:允许; //test conditions:过滤条件语句 第二步:应用访问控制列表: A、首先要进入接口模式; B、ip access-group access-list-number {in out} 7、标准访问控制列表的格式: access-list [list number word] [permit deny] [source address] [wildcard mask] //[list number word]列表序列号或者命名 //[permit deny]允许或者拒绝 //[source address]源IP地址 //[wildcard mask]掩码,如果不使用掩码,则使用关键字Host ,例:host 192.168.2.4 8、扩展访问控制列表的格式: access-list [list number word] [permit deny] [protocol protocol key word] [source address] [source-swidcard mask] [source port] [destination address] [destination-wildceard mask] [destination port] //[list number word]访问控制列表的序列号或者命名 //[permit deny]允许或者拒绝 //[protocol protocol key word]协议或者协议号 //[source address]源IP地址 //[source-swidcard mask]源地址掩码,如果使用关键字host,则不用掩码 //[source port]源端口 //[destination address]目的地IP地址 //[destination-wildceard mask]目的地地址掩码,如果使用host关键字,则不用掩码 //[destination port]目的端口 |
访问列表的种类划分
基本访问表控制基于网络地址的信息流,且只允许过滤源地址。
扩展访问表通过网络地址和传输中的数据类型进行信息流控制,允许过滤源地址、目的地址和上层应用数据。
表1列出了路由器所支持的不同访问表的号码范围。
标准IP访问表
access-list [list number][permit|deny][host/any][sourceaddress][wildcard-mask][log]
下面对标准IP访问表基本格式中的各项参数进行解释:
1.list number---表号范围
标准IP访问表的表号标识是从1到99。
2.permit/deny----允许或拒绝
关键字permit和deny用来表示满足访问表项的报文是允许通过接口,还是要过滤掉。permit表示允许报文通过接口,而deny表示匹配标准IP访问表源地址的报文要被丢弃掉。
3.source address----源地址
对于标准的IP访问表,源地址是主机或一组主机的点分十进制表示,如:198.78.46.8。
4.host/any----主机匹配
host和any分别用于指定单个主机和所有主机。host表示一种精确的匹配,其屏蔽码为0.0.0.0。例如,假定我们希望允许从198.78.46.8来的报文,则使用标准的访问控制列表语句如下:
access-list 1 permit 198.78.46.8 0.0.0.0
如果采用关键字host,则也可以用下面的语句来代替:
access-list 1 permit host 198.78.46.8
也就是说,host是0.0.0.O通配符屏蔽码的简写。
与此相对照,any是源地证/目标地址0.O.O.O/255.255.255.255的简写。假定我们要拒绝从源地址198.78.46.8来的报文,并且要允许从其他源地址来的报文,标准的IP访问表可以使用下面的语句达到这个目的:
access-list 1 deny host 198.78.46.8
access-list 1 permit any
注意,这两条语句的顺序;访问表语句的处理顺序是由上到下的。如果我们将两个语句顺序颠倒,将permit语句放在deny语句的前面,则我们将不能过滤来自主机地址198.78.46.8的报文,因为permit语句将允许所有的报文通过。所以说访问表中的语句顺序是很重要的,因为不合理语句顺序将会在网络中产生安全漏洞,或者使得用户不能很好地利用公司的网络策略。
5.wi1dcardmask------通配符屏蔽码
Cisco访问表功能所支持的通配符屏蔽码与子网屏蔽码的方式是刚好相反的,也就是说,二进制的O表示一个"匹配"条件,二进制的1表示一个"不关心"条件。假设组织机构拥有一个C类网络198.78.46.0,若不使用子网,则当配置网络中的每一个工作站时,使用于网屏蔽码255.255.255.O。在这种情况下,1表示一个 "匹配",而0表示一个"不关心"的条件。因为Cisco通配符屏蔽码与子网屏蔽码是相反的,所以匹配源网络地址198.78.46.0中的所有报文的通配符屏蔽码为:0.0.O.255。
6.Log----日志记录
log关键字只在IOS版本11.3中存在。如果该关键字用于访问表中,则对那些能够匹配访问表中的permit和deny语句的报文进行日志记录。日志信息包含访问表号、报文的允许或拒绝、源IP地址以及在显示了第一个匹配以来每5分钟间隔内的报文数目。使用log关键字,会使控制台日志提供测试和报警两种功能。系统管理员可以使用日志来观察不同活动下的报文匹配情况,从而可以测试不同访问表的设计情况。当其用于报警时,管理员可以察看显示结果,以定位那些多次尝试活动被拒绝的访问表语句。执行一个访问表语句的多次尝试活动被拒绝,很可能表明有潜在的******活动。
扩展的IP访问控制列表
1.list number----表号范围
扩展IP访问表的表号标识从l00到199。
2.protocol-----协议
协议项定义了需要被过滤的协议,例如IP、TCP、UDP、1CMP等等。协议选项是很重要的,因为在TCP/IP协议栈中的各种协议之间有很密切的关系,如果管理员希望根据特殊协议进行报文过滤,就要指定该协议。
3.源端口号和目的端口号
源端口号可以用几种不同的方法来指定。它可以显式地指定,使用一个数字或者使用一个可识别的助记符。例如,我们可以使用80或者http来指定Web的超文本传输协议。对于TCP和UDP,读者可以使用操作符 ""(大于)"="(等于)以及""(不等于)来进行设置。
目的端口号的指定方法与源端口号的指定方法相同。读者可以使用数字、助记符或者使用操作符与数字或助记符相结合的格式来指定一个端口范围。
下面的实例说明了扩展IP访问表中部分关键字使用方法:
access-list 101 permit tcp any host 198.78.46.8 eq smtp
access-list 101 permit tcp any host 198.78.46.3 eq www
第一个语句允许来自任何主机的TCP报文到达特定主机198.78.46.8的smtp服务端口(25);第二个语句允许任何来自任何主机的TCP报文到达指定的主机198.78.46.3的www或http服务端口(80)。
4.选项
扩展的IP访问表支持很多选项。其中一个常用的选项有log,它已在前面讨论标准访问表时介绍过了。另一个常用的选项是fistahlishfid,该选项只用于TCP协议并且只在TCP通信流的一个方向上来响应由另一端发起的会话。为了实现该功能,使用estab1ished选项的访问表语句检查每个 TCP报文,以确定报文的ACK或RST位是否已设置。
例如,考虑如下扩展的IP访问表语句:
access-list 101 permit tcp any host 198.78.46.8 established
该语句的作用是:只要报文的ACK和RST位被设置,该访问表语句就允许来自任何源地址的TCP报文流到指定的主机198.78.46.8。这意味着主机198.78.46.8此前必须发起TCP会话。
5.其他关键字
deny/permit、源地址和通配符屏蔽码、目的地址和通配符屏蔽码以及host/any的使用均与标准IP访问表中的相同。
管理和使用访问表
(1)定义访问表;
(2)指定访问表所应用的接口;
(3)定义访问表作用于接口上的方向。
我们已经讨论了如何定义标准的和扩展的IP访问表,下面将讨论如何指定访问表所用的接口以及接口应用的方向。
一般地,采用interface命令指定一个接口。例如,为了将访问表应用于串口0,应使用如下命令指定此端口:
interface serial0
类似地,为将访问表应用于路由器的以太网端口上时,假定端口为Ethernet0,则应使用如下命令来指定此端口:
interface ethernet0
在上述三个步骤中的第三步是定义访问表所应用的接口方向,通常使用ip access-group命令来指定。其中,列表号标识访问表,而关键字in或out则指明访问表所使用的方向。方向用于指出是在报文进入或离开路由器接口时对其进行过滤。如下的实例将这三个步骤综合在一起:
intface serial0
ip access-group 107 in
access-list 107 remark allow traffic to tom's pc
access-list 107 ip any host 198.78.46.8
access-list 107 remark allow .ly web traffic to webserver
access-list 107 tcp any host 198.78.46.12 eq 80
access-list 107 remark block everything else
access-list 107 deny any any
在本例中,先使用interface命令指定串行端口0,并使用ipaccess-group命令来将访问表l07中的语句应用于串行接口的向内方向上。最后,输入6个访问表语句,其中三条访问表语句使用关键字remark,以提供关于列表中后继语句的注解说明。注意访问表中的最后一条语句,它表示了每个访问表相关的隐含denyall设置,并且如果不显式地列出是不会看到该语句的。如果读者希望从路由器的控制台端口相连的终端上直接输入这些命令和语句,则应该先使用EXEC特权命令。这个终端会话过程的实例如下图所示:
此外,当读者配置访问表后使用IOS的show命令查看列表时,有时很容易被显示出来的内容所迷惑,这是由于当通配符屏蔽码位被置为1(无关)时,1OS将该访问表表项的IP地址部分的该位设置为二进制0。
例如,输入如下的配置命令,用于创建一个扩展的IP访问表,并将其列表内容显示出来:
在本例中,由于C类地址的通配符屏蔽码的主机子段被设置为全1(255),所以网络198.78.46.0上的主机地址198.78.46.20被自动转换为网段地址。
Router2(config)#access-list 101 permit ip any any
Router2(config)#access-list 102 permit ip any any
转载于:https://blog.51cto.com/llier/133612
路由器访问控制列表基础知识相关推荐
- [Python学习] 专题五.列表基础知识 二维list排序、获取下标和处理txt文本实例
通常测试人员或公司实习人员需要处理一些txt文本内容,而此时使用Python是比较方便的语言.它不光在爬取网上资料上方便,还在NLP自然语言处理方面拥有独到的优势.这篇文章主要简单的介绍使用Pytho ...
- 路由器访问控制列表详解
路由器访问控制列表详解 路由器访问控制列表详解 网络安全保障的第一道关卡 对于许多网管员来说,配置路由器的访问控制列表是一件经常性的工作,可以说,路由器的访问控制列表是网络安全保障的第一道关卡.访问列 ...
- 迈普路由器访问控制列表配置命令_路由与交换--ACL基本命令及其实验配置
1 ACL的配置 1.1创建 ACL 标准 ACL router(config)#access-list {permit|deny}{|any} //表号1~99 扩展 ACL router(conf ...
- 迈普路由器访问控制列表配置命令_cisco访问控制列表acl所有配置命令详解
路由 器的时间 : #clock set {hh:mm:ss} {data} {month} {year} Router(config)#time-range wangxin (定义时间名称) 以下有 ...
- ACL访问控制列表 基础、创建ACL访问控制列表的两种方式、配置ACL访问控制列表规则、修改ACL规则的默认步长。子网掩码、反掩码、通配符掩码的区别和作用。
目录 ACL的组成: 创建ACL访问控制列表的两种的方式: 1.数字命名: 2.字符串命名方式: ACL创建步骤: 1.先创建ACL列表: 进入acl列表: 2.配置ACL的一条条规则: 3.进入需要 ...
- 迈普路由器访问控制列表配置命令_访问控制列表ACL及配置教程
访问控制列表ACL及配置教程 发布时间:2012-11-28 17:04:38 作者:佚名 我要评论 本文将详细介绍访问控制列表ACL及配置,需要了解更多的朋有可以参考下 访问控制列表: AC ...
- 迈普路由器访问控制列表配置命令_迈普路由器常用使用功能讲解.ppt
MP路由器常用使用功能 东北技术服务部 --牛克伟 TEL4008868669 提 纲 产品简单介绍 命令入门介绍 常用功能讲节 常见故障排查 产品简单介绍 产品简单介绍 命令入门介绍 路由器配置方式 ...
- 迈普路由器访问控制列表配置命令_如何选购企业路由器?选购企业路由器需注意什么...
3.企业自身的需求 选择路由器时,首先考虑的是企业自身的需求,主要表现在下面9个原则: 实用性原则.采用成熟的.经实践证明其实用性的技术.这能满足现行业务的管理,又能适应3-5年内业务发展的要求. 可 ...
- Python学习4 列表基础知识和常用函数
列表 1.格式 2.增删改查 列表下标: 0–n-1 -n-(-1) #对列表进行切片 #0-(n-1) #-n-(-1) list=['dq','python','mm'] print(list[0 ...
最新文章
- 创建存储过程批量插入数据
- Android应用程序安装过程源代码分析(1)
- 3、java基础:抽象类与接口的区别
- windows Virtualbox下配置Ubuntu,且用ssh连接
- 一名小小的SQL Server DBA想谈一下SQL Server的能力
- C++---之动态内存申请new
- DBeaverEE for Mac(数据库管理工具)v21.2.1中文版
- C# web 后台页面间的跳转
- 杨中科:我的大学生活
- 2022年信息安全工程师考试知识点:信息安全管理基础
- 将已有的文件夹添加到git
- java合并果子_经典题-提高组2004年 合并果子
- web前端学习笔记:初识Web前端开发
- Linux扩容swap分区
- oracle查表的更新时间,Oracle 查询倒叙查询所有表更新时间
- 超市小票案例--适合Java初级练习Scanner类以及Java基础语法的例题
- 如何提取PDF文件中的一页或几页——转载,真好用
- 关于数据恢复,记一次修复SD卡 RAW 之后的修复过程
- leetcode——【猫和老鼠】
- L1正则化进行特征选择