❶ cisco訪問列表怎麼寫
cisco acl默認有一條deny any
可以
deny 10.10.2.1/32 (deny host 10.10.2.1)
pernit any
❷ 簡述訪問控制列表應用的一般規則
H3C交換機典型訪問控制列表(ACL)配置實例
一 組網需求:
1.通過配置基本訪問控制列表,實現在每天8:00~18:00時間段內對源IP為10.1.1.2主機發出報文的過濾;
2.要求配置高級訪問控制列表,禁止研發部門與技術支援部門之間互訪,並限制研發部門在上班時間8:00至18:00訪問工資查詢伺服器;
3.通過二層訪問控制列表,實現在每天8:00~18:00時間段內對源MAC為00e0-fc01-0101的報文進行過濾。
二 組網圖:
三配置步驟:
H3C 3600 5600 5100系列交換機典型訪問控制列表配置 共用配置
1.根據組網圖,創建四個vlan,對應加入各個埠
system-view [H3C]vlan 10
[H3C-vlan10]port GigabitEthernet 1/0/1
[H3C-vlan10]vlan 20
[H3C-vlan20]port GigabitEthernet 1/0/2
[H3C-vlan20]vlan 20
[H3C-vlan20]port GigabitEthernet 1/0/3
[H3C-vlan20]vlan 30 [
H3C-vlan30]port GigabitEthernet 1/0/3
[H3C-vlan30]vlan 40
[H3C-vlan40]port GigabitEthernet 1/0/4
[H3C-vlan40]quit
2.配置各VLAN虛介面地址
[H3C]interface vlan 10
[H3C-Vlan-interface10]ip address 10.1.1.1 24
[H3C-Vlan-interface10]quit [H3C]interface vlan 20 [H3C-Vlan-interface20]ip address 10.1.2.1 24
[H3C-Vlan-interface20]quit [H3C]interface vlan 30 [H3C-Vlan-interface30]ip address 10.1.3.1 24
[H3C-Vlan-interface30]quit [H3C]interface vlan 40 [H3C-Vlan-interface40]ip address 10.1.4.1 24
[H3C-Vlan-interface40]quit
3.定義時間段 [H3C] time-range huawei 8:00 to 18:00 working-day 需求1配置(基本ACL配置)
❸ 訪問控制列表的分類
in的時候判斷的是源地址是vlan內的地址,out的時候判斷源地址是非本vlan 內的地址。
18、19兩個不同的網段,在18網段上加訪問列表,
----〉表示能夠訪問,---X-->;表示不能訪問。
ip access-l exte test_liu
deny ip host 10.24.18.5 host 10.24.19.30
permit ip any any
__________________________________________________
inter vlan 18
ip access-g test_liu in
exit
測試:18.5--X-->19.30
19.30--X-->18.5
訪問列表生效,在IN 方向判斷源地址18.5屬於本VLAN
___________________________________________________
inter vlan 18
ip access-g test_liu out
exit
測試:18.5---->19.30
19.30---->18.5
訪問列表不生效,在OUT方向判斷源地址18.5屬於本VLAN,不作限制
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
ip access-l exte test_liu
deny ip host 10.24.19.30 host 10.24.18.5
permit ip any any
----------------------------------------------------
inter vlan 18
ip access-g test_liu in
exit
測試:18.5---->19.30
19.30---->18.5
訪問列表不生效,在in方向判斷源地址19.30不屬於本VLAN,不作限制
__________________________________________________ 配置路由器
動態路由已設好,IP地址分配如下:
RouterA f0/0: 10.65.1.2
RouterA f0/1: 10.66.1.2
RouterA s0/1: 10.68.1.2
RouterC s0/0: 10.68.1.1
RouterC s0/1: 10.78.1.2
RouterB s0/0: 10.78.1.1
RouterB s0/1: 10.69.1.2
RouterB f0/0: 10.70.1.2
SWA:10.65.1.8gateway:10.65.1.2
PCA:10.65.1.1gateway:10.65.1.2
PCB:10.66.1.1gateway:10.66.1.2
PCC:10.69.1.1gateway:10.69.1.2
PCD:10.70.1.1gateway:10.70.1.2
PCE:10.65.1.3gateway:10.65.1.2
PCF:10.65.2.1gateway:10.65.1.2
基本基礎
先從PCA ping PCD:
[root@PCA @root]#ping 10.70.1.1 (通)
在ROC的s0/0寫一個輸入的訪問控制列表:
RouterC(config)#access-list 1 permit 10.65.1.1 0.0.0.0
RouterC(config)#access-list 1 deny any
RouterC(config)#int s0/0
RouterC(config-if)#ip access-group 1 in
RouterC(config-if)#end
RouterC#sh access-list 1
[root@PCA @root]#ping 10.70.1.1(通)
[root@PCE @root]#ping 10.70.1.1(不通)
[root@PCE @root]#ping 10.66.1.1(通)
[root@PCB @root]#ping 10.70.1.1(不通)
[root@PCD @root]#ping 10.66.1.1(通)
第一個ping,PCA的IP地址是10.65.1.1在訪問控制列表access-list 1中是
允許的,所以通。
第二個ping,PCE雖然是65網段,但是access-list 1對10.65.1.1是完全匹配,
所以10.65.1.3的數據包不能通過。
第三個ping,PCE到PCB不通過RouterC的s0/0,所以能通。
第四個ping,PCB的IP地址是10.66.1.1,它是被禁止的,所以不通。
第五個ping,從PCD到PCB的數據包是從RouterC的s0/0口出,不受access-list 1
的控制,所以通。
下面再寫一個訪問控制列表,先刪除原訪問控制列表:
RouterC(config)#no access-list 1
RouterC(config-if)#no ip access-group 1 in
二者都可能實現去掉訪問列表的目的。前者是從列表號角度刪除,後者是從介面
的輸入和輸出角度刪除。
可以通過sh access-list <n> 命令查看訪問控制列表。
下面再寫一個訪問控制列表:
RouterC(config)#access-list 2 deny 10.65.1.1 0.0.0.255
RouterC(config)#access-list 2 permit any
RouterC(config)#int s0/0
RouterC(config-if)#ip access-group 1 out
RouterC(config-if)#end
RouterC#sh access-list 1
這個訪問控制列表比上一個訪問控制列表有以下幾點不同:
⑴ 先deny後permit,
⑵ 禁止的是一個C類
⑶ 一個輸出的訪問控制
[root@PCA @root]#ping 10.69.1.1(不通)
[root@PCE @root]#ping 10.69.1.1(不通)
[root@PCF @root]#ping 10.69.1.1(通)
[root@PCB @root]#ping 10.69.1.1(通)
因為PCA和PCE的IP地址10.65.1.1、10.65.1.3,在deny范圍內,所以不通。
而PCF的IP是10.65.2.1不在10.65.1.0 0.0.0.255范圍內,所以能通。
梯形基本
訪問控制列表一般是順序匹配的,梯形結構,下面是一個參考:
RouterC(config)#access-list 4 permit 10.65.1.1
RouterC(config)#access-list 4 deny 10.65.1.0 0.0.0.255
RouterC(config)#access-list 4 permit 10.65.0.0 0.0.255.255
RouterC(config)#access-list 4 deny 10.0.0.0 0.255.255.255
RouterC(config)#access-list 4 permit any
RouterC(config)#int s0/1
RouterC(config-if)#ip access-group 4 out
[root@PCA @root]#ping 10.69.1.1(通)
[root@PCE @root]#ping 10.69.1.1(不通)
[root@PCF @root]#ping 10.69.1.1(通)
[root@PCB @root]#ping 10.69.1.1(不通) 列表格式
---- 標准型IP訪問列表的格式如下:---- access-list[list number][permit|deny][source address]---- [address][wildcard mask][log]---- 下面解釋一下標准型IP訪問列表的關鍵字和參數。首先,在access和list這2個關鍵字之間必須有一個連字元-;其次,list number的范圍在0~99之間,這表明該access-list語句是一個普通的標准型IP訪問列表語句。因為對於Cisco IOS,在0~99之間的數字指示出該訪問列表和IP協議有關,所以list number參數具有雙重功能: (1)定義訪問列表的操作協議; (2)通知IOS在處理access-list語句時,把相同的list number參數作為同一實體對待。正如本文在後面所討論的,擴展型IP訪問列表也是通過list number(范圍是100~199之間的數字)而表現其特點的。因此,當運用訪問列表時,還需要補充如下重要的規則: 在需要創建訪問列表的時候,需要選擇適當的list number參數。
允許拒絕
---- 在標准型IP訪問列表中,使用permit語句可以使得和訪問列表項目匹配的數據包通過介面,而deny語句可以在介面過濾掉和訪問列表項目匹配的數據包。source address代表主機的IP地址,利用不同掩碼的組合可以指定主機。---- 為了更好地了解IP地址和通配符掩碼的作用,這里舉一個例子。假設您的公司有一個分支機構,其IP地址為C類的192.46.28.0。在您的公司,每個分支機構都需要通過總部的路由器訪問Internet。要實現這點,您就可以使用一個通配符掩碼 0.0.0.255。因為C類IP地址的最後一組數字代表主機,把它們都置1即允許總部訪問網路上的每一台主機。因此,您的標准型IP訪問列表中的access-list語句如下:---- access-list 1 permit 192.46.28.0 0.0.0.255---- 注意,通配符掩碼是子網掩碼的補充。因此,如果您是網路高手,您可以先確定子網掩碼,然後把它轉換成可應用的通配符掩碼。這里,又可以補充一條訪問列表的規則5。
指定地址
---- 如果您想要指定一個特定的主機,可以增加一個通配符掩碼0.0.0.0。例如,為了讓來自IP地址為192.46.27.7的數據包通過,可以使用下列語句:---- Access-list 1 permit 192.46.27.7 0.0.0.0---- 在Cisco的訪問列表中,用戶除了使用上述的通配符掩碼0.0.0.0來指定特定的主機外,還可以使用host這一關鍵字。例如,為了讓來自IP地址為192.46.27.7的數據包可以通過,您可以使用下列語句:---- Access-list 1 permit host 192.46.27.7---- 除了可以利用關鍵字host來代表通配符掩碼0.0.0.0外,關鍵字any可以作為源地址的縮寫,並代表通配符掩碼0.0.0.0 255.255.255.255。例如,如果希望拒絕來自IP地址為192.46.27.8的站點的數據包,可以在訪問列表中增加以下語句:---- Access-list 1 deny host 192.46.27.8---- Access-list 1 permit any---- 注意上述2條訪問列表語句的次序。第1條語句把來自源地址為192.46.27.8的數據包過濾掉,第2條語句則允許來自任何源地址的數據包通過訪問列表作用的介面。如果改變上述語句的次序,那麼訪問列表將不能夠阻止來自源地址為192.46.27.8的數據包通過介面。因為訪問列表是按從上到下的次序執行語句的。這樣,如果第1條語句是:---- Access-list 1 permit any---- 的話,那麼來自任何源地址的數據包都會通過介面。
拒絕列表
---- 在默認情況下,除非明確規定允許通過,訪問列表總是阻止或拒絕一切數據包的通過,即實際上在每個訪問列表的最後,都隱含有一條deny any的語句。假設我們使用了前面創建的標准IP訪問列表,從路由器的角度來看,這條語句的實際內容如下:---- access-list 1 deny host 192.46.27.8---- access-list 1 permit any---- access-list 1 deny any---- 在上述例子裡面,由於訪問列表中第2條語句明確允許任何數據包都通過,所以隱含的拒絕語句不起作用,但實際情況並不總是如此。例如,如果希望來自源地址為192.46.27.8和192.46.27.12的數據包通過路由器的介面,同時阻止其他一切數據包通過,則訪問列表的代碼如下:---- access-list 1 permit host 192.46.27.8---- access-list 1 permit host 192.46.27.12---- 注意,所有的訪問列表會自動在最後包括deny any語句。---- 順便討論一下標准型IP訪問列表的參數log,它起日誌的作用。一旦訪問列表作用於某個介面,那麼包括關鍵字log的語句將記錄那些滿足訪問列表中permit和deny條件的數據包。第一個通過介面並且和訪問列表語句匹配的數據包將立即產生一個日誌信息。後續的數據包根據記錄日誌的方式,或者在控制台上顯示日誌,或者在內存中記錄日誌。通過Cisco IOS的控制台命令可以選擇記錄日誌方式。 (1) 「ACL 的最後一條語句都是隱式拒絕語句」 是什麼意思?
每個 ACL 的末尾都會自動插入一條隱含的 deny 語句,雖然ACL中看不到這條語句,它仍其作用。隱含的 deny 語句會阻止所有流量,以防不受歡迎的流量意外進入網路。
(2) 配置ACL後為什麼沒有生效?
在創建訪問控制列表之後,必須將其應用到某個介面才可開始生效。ACL 控制的對象是進出介面的流量。
❹ 什麼是訪問控制列表
下面是對幾種訪問控制列表的簡要總結。
●標准IP訪問控制列表
一個標准IP訪問控制列表匹配IP包中的源地址或源地址中的一部分,可對匹配的包採取拒絕或允許兩個操作。編號范圍是從1到99的訪問控制列表是標准IP訪問控制列表。
●擴展IP訪問控制列表
擴展IP訪問控制列表比標准IP訪問控制列表具有更多的匹配項,包括協議類型、源地址、目的地址、源埠、目的埠、建立連接的和IP優先順序等。編號范圍是從100到199的訪問控制列表是擴展IP訪問控制列表。
●命名的IP訪問控制列表
所謂命名的IP訪問控制列表是以列表名代替列表編號來定義IP訪問控制列表,同樣包括標准和擴展兩種列表,定義過濾的語句與編號方式中相似。
●標准IPX訪問控制列表
標准IPX訪問控制列表的編號范圍是800-899,它檢查IPX源網路號和目的網路號,同樣可以檢查源地址和目的地址的節點號部分。
●擴展IPX訪問控制列表
擴展IPX訪問控制列表在標准IPX訪問控制列表的基礎上,增加了對IPX報頭中以下幾個宇段的檢查,它們是協議類型、源Socket、目標Socket。擴展IPX訪問控制列表的編號范圍是900-999。
●命名的IPX訪問控制列表
與命名的IP訪問控制列表一樣,命名的IPX訪問控制列表是使用列表名取代列表編號。從而方便定義和引用列表,同樣有標准和擴展之分。
❺ 路由器 訪問列表的設置
什麼是訪問列表
IP Access-list:IP訪問列表或訪問控制列表,簡稱IP ACL
ACL就是對經過網路設備的數據包根據一定的規則進行數據包的過濾
訪問控制列表的作用
內網布署安全策略,保證內網安全許可權的資源訪問
內網訪問外網時,進行安全的數據過濾
防止常見病毒、木馬、攻擊對用戶的破壞
ACL一般配置步驟
1、定義規則(哪些數據允許通過,哪些數據不允許通過);
2、將規則應用在路由器(或三層交換機)的介面上。
兩種類型:
標准ACL(standard IP ACL)
擴展ACL (extended IP ACL)
IP標准訪問列表的配置
1、定義標准ACL
編號的標准訪問列表(路由器和三層交換機支持)Router(config)#access-list <1-99> {permit|deny} 源地址 [反掩碼]
命名的標准訪問列表(路由器、三層交換機和二層交換機支持)
2、應用ACL到介面
Router(config-if)#ip access-group <1-99> { in | out }
3、命名的標准訪問列表(路由器、三層交換機)
switch(config)# ip access-list standard < name >
switch(config-std-nacl)#{permit|deny} 源地址 [反掩碼]
switch(config-if)#ip access-group name { in | out }
IP擴展訪問列表的配置
1.定義擴展的ACL:
編號的擴展ACL (路由器和三層交換機支持)
Router(config)#access-list <100-199> { permit /deny }
協議 源地址 反掩碼 [源埠] 目的地址 反掩碼 [ 目的埠 ]
命名的擴展ACL (路由器、三層交換機和二層交換機支持)
switch(config)# ip access-list extended {name}
switch(config)#{ permit /deny } 協議 源地址 反掩碼 [源埠] 目的地址 反掩碼 [ 目的埠 ]
2.應用ACL到介面:
Router(config-if)#ip access-group <100-199> { in | out }
switch(config-if)#ip access-group name { in | out }
基於時間的訪問控制列表
通過基於時間的定時訪問控制列表,定義在什麼時間允許或拒絕數據包。
只不過在配置ACL之前定義一個時間范圍。然後再通過引用這個時間范圍來對網路中的流量進行科學合理的限制。
對於不同的時間段實施不同的訪問控制規則
在原有ACL的基礎上應用時間段
任何類型的ACL都可以應用時間段
基於時間的列表的配置
校正路由器時鍾
在全局模式
Clock set hh:mm:ss date month year 設置路由器的當前時間
Clock up_calender 保存設置
配置時間段
時間段
絕對時間段(absolute)
周期時間段(periodic)
混合時間段:先絕對,後周期
Router(config)# time-range time-range-name 給時間段取名,配置ACL時通過名字引用
配置絕對時間
Router(config-time-range)# absolute { start time date [ end time date ] | end time date }
start time date:表示時間段的起始時間。time表示時間,格式為「hh:mm」。date表示日期,格式為「日 月 年」
end time date:表示時間段的結束時間,格式與起始時間相同
示例:absolute start 08:00 1 Jan 2007 end 10:00 1 Feb 2008
配置周期時間
Router(config-time-range)# periodic day-of-the-week hh:mm to [ day-of-the-week ] hh:mm
periodic { weekdays | weekend | daily } hh:mm to hh:mm
取值 說明
Monday 星期一
Tuesday 星期二
Wednesday 星期三
Thursday 星期四
Friday 星期五
Saturday 星期六
Sunday 星期日
Daily 每天
Weekdays 平時(星期一至五)
Weekend 周末(星期六至日)
示例:periodic weekdays 09:00 to 18:00
3、關聯ACL與時間段,應用時間段
在ACL規則中使用time-range參數引用時間段
只有配置了time-range的規則才會在指定的時間段內生效,其它未引用時間段的規則將不受影響
access-list 101 permit ip any any time-range time-range-name
驗證訪問列表和time-range介面配置
Router# show access-lists !顯示所有訪問列表配置
Router#show time-range ! 顯示time-range介面配置
註:1、一個訪問列表多條過濾規則
按規則來進行匹配。
規則匹配原則:
從頭到尾,至頂向下的匹配方式
匹配成功,則馬上使用該規則的「允許/拒絕……」
一切未被允許的就是禁止的。定義訪問控制列表規則時,最終的預設規則是拒絕所有數據包通過,即deny any any
顯示全部的訪問列表
Router#show access-lists
顯示指定的訪問列表
Router#show access-lists <1-199>
顯示介面的訪問列表應用
Router#show ip interface 介面名稱 介面編號
一個埠在一個方向上只能應用一組ACL。
銳捷全系列交換機可針對物理介面和SVI介面應用ACL。
針對物理介面,只能配置入棧應用(In);
針對SVI(虛擬VLAN)介面,可以配置入棧(In)和出棧(Out)應用。
訪問列表的預設規則是:拒絕所有。
對於標准ACL,應盡量將ACL設置在離目標網路最近的介面,以盡可能擴大源網路的訪問范圍。
對於擴展ACL,應盡量將ACL設置在離源網路最近的介面,以盡可能減少網路中的無效數據流。
❻ 什麼是訪問列表訪問列表有什麼功能
簡單來說,訪問控制列表是在數據包輸入時,通過檢查包頭內容,按照是否與設置的規則匹配來決定是否轉發。最基本的可以檢查源和目的mac地址、源和目的IP地址、埠號,也有的擴展了可以控制時間段等。
設置了規則後,軟體會將規則寫入硬體表(如Broadcom的晶元就寫入FFP表),數據包輸入後,按照表中的設置位與數據包的對應位比對來決定是否轉發。
若產品有規則自動排序功能的,在寫入硬體表之前還需根據匹配范圍大小將規則重新排序,再寫入硬體表。
因採用硬體處理,可達到線速轉發。
❼ 訪問列表分為哪兩類A 標准訪問列表 B高級訪問列表 C低級訪問列表 D擴展訪問列表
化D盤,就在我的電腦里的D盤點右鍵!
里邊就有格式化!
詳細回答:
格式如形式,格式化就如將一個東西以一種形式表示出來.
格式化硬碟就是把一張空白的盤劃分成一個個小的區域,並編號,供計算機儲存,讀取數據.沒有這個工作的話,計算機就不知道在哪寫,從哪讀.
硬碟必須先經過分區才能使用,磁碟經過分區之後,下一個步驟就是要對硬碟進行格式化(FORMAT)的工作,硬碟都必須格式化才能使用.
格式化是在磁碟中建立磁軌和扇區,磁軌和扇區建立好之後,電腦才可以使用磁碟來儲存數據.
在Windows和DOS操作系統下,都有格式化Format的程序,不過,一旦進行格式化硬碟的工作,硬碟中的數據可是會全部不見喔!所以進行這個動作前,先確定磁碟中的數據是否還有需要,如果是的話先另行備份吧.
高級格式化就是清除硬碟上的數據、生成引導區信息、初始化FAT表、標注邏輯壞道等.
低級格式化就是將空白的磁碟劃分出柱面和磁軌,再將磁軌劃分為若干個扇區,每個扇區又劃分出標識部分ID、間隔區GAP和數據區DATA等.可見,低級格式化是高級格式化之前的一件工作,它只能夠在DOS環境來完成.而且低級格式化只能針對一塊硬碟而不能支持單獨的某一個分區.每塊硬碟在出廠時,已由硬碟生產商進行低級格式化,因此通常使用者無需再進行低級格式化操作.
格式化分區以後分區的文件就消失了,所以格式化應當注意使用,不然刪除了自己的文件就很難恢復了!
❽ 簡述訪問控制列表的作用和組成
訪問控制列表是應用在路由器介面的指令列表,這些指令列表用來告訴路由器哪些數據包可以接收、哪些數據包需要拒絕。至於數據包是被接收還是被拒絕,可以由類似於源地址、目的地址、埠號、協議等特定指示條件來決定。通過靈活地增加訪問控制列表,ACL可以當作一種網路控制的有力工具,用來過濾流入和流出路由器介面的數據包。
建立訪問控制列表後,可以限制網路流量,提高網路性能,對通信流量起到控制的手段,這也是對網路訪問的基本安全手段。在路由器的介面上配置訪問控制列表後,可以對入站介面、出站介面及通過路由器中繼的數據包進行安全檢測。
IP訪問控制列表的分類
標准IP訪問控制列表
當我們要想阻止來自某一網路的所有通信流量,或者充許來自某一特定網路的所有通信流量,或者想要拒絕某一協議簇的所有通信流量時,可以使用標准訪問控制列表來實現這一目標。標准訪問控制列表檢查路由的數據包的源地址,從而允許或拒絕基於網路、子網或主機的IP地址的所有通信流量通過路由器的出口。
擴展IP訪問控制列表
擴展訪問控制列表既檢查數據包的源地址,也檢查數據包的目的地址,還檢查數據包的特定協議類型、埠號等。擴展訪問控制列表更具有靈活性和可擴充性,即可以對同一地址允許使用某些協議通信流量通過,而拒絕使用其他協議的流量通過。
命名訪問控制列表
在標准與擴展訪問控制列表中均要使用表號,而在命名訪問控制列表中使用一個字母或數字組合的字元串來代替前面所使用的數字。使用命名訪問控制列表可以用來刪除某一條特定的控制條目,這樣可以讓我們在使用過程中方便地進行修改。
在使用命名訪問控制列表時,要求路由器的IOS在11.2以上的版本,並且不能以同一名字命名多個ACL,不同類型的ACL也不能使用相同的名字。
通配符掩碼
通配符掩碼是一個32比特位的數字字元串,它被用點號分成4個8位組,每組包含8比特位。在通配符掩碼位中,0表示「檢查相應的位」,1表示「不檢查相應的位」。通配符掩碼與IP地址是成對出現的,通配符掩碼與子網掩碼工作原理是不同的。在IP子網掩碼中,數字1和0用來決定是網路、子網,還是相應的主機的IP地址。如表示172.16.0.0這個網段,使用通配符掩碼應為0.0.255.255。
在通配符掩碼中,可以用255.255.255.255表示所有IP地址,因為全為1說明所有32位都不檢查相應的位,這是可以用any來取代。而0.0.0.0的通配符掩碼則表示所有32位都要進行匹配,這樣只表示一個IP地址,可以用host表示。所以在訪問控制列表中,可以選擇其中一種表示方法來說明網路、子網或主機。
實現方法
首先在全局配置模式下定義訪問列表,然後將其應用到介面中,使通過該介面的數據包需要進行相應的匹配,然後決定被通過還是拒絕。並且訪問列表語句按順序、邏輯地處理,它們在列表中自上向下開始匹配數據包。如果一個數據包頭與訪問許可權表的某一語句不匹配,則繼續檢測列表中的下一個語句。在執行到訪問列表的最後,還沒有與其相匹配的語句,數據包將被隱含的「拒絕」語句所拒絕。
標准IP訪問控制列表
在實現過程中應給每一條訪問控制列表加上相應的編號。標准IP訪問控制列表的編號為1至99,作用是阻止某一網路的所有通信流量,或允許某一網路的所有通信流量。語法為:
Router(config)#access-list access-list-number(1~99){deny|permit} source [source-wildcard]
如果沒有寫通配符掩碼,則默認值會根據源地址自動進行匹配。下面舉例來說明:要阻止源主機為
192.168.0.45的一台主機通過E0,而允許其他的通訊流量通過E0埠。
Router(config)#access-list 1 deny 192.168.0.45 0.0.0.0
或Router(config)#access-list 1 deny host 192.168.0.45
或Router(config)#access-list 1 deny 192.168.0.45
Router(config)#access-list 1 permit any
Router(config)#interface ethernet 0
Router(config-if)#ip access-group 1 in
首先我們在全局配置模式下定義一條拒絕192.168.0.45主機通過的語句,通配符掩碼可以使用0.0.0.0或host,或使用預設值來表示一台主機,然後將其訪問列表應用到介面中。如果現在又修改了計算機的IP地址,那麼這條訪問控制列表將對您不起作用。
擴展IP訪問控制列表
擴展IP訪問控制列表的編號為100至199,並且功能更加靈活。例如,要阻止192.168.0.45主機Telnet流量,而允許Ping流量。
Router(config)#access-list 101 permit icmp 192.168.0.45 0.0.0.0 any
Router(config)#access-list 101 deny tcp 192.168.0.45 0.0.0.0 any eq 23
Router(config)#access-list 101 permit ip any any
Router(config)#interface ethernet 0
Router(config-if)#ip access-group 101 in
因為Ping命令使用網路層的ICMP協議,所以讓ICMP協議通過。而Telnet使用埠23,所以將埠號為23的數據包拒絕了,最終應用到某一介面,這樣就可以達到目的。
命名訪問控制列表
對於某一給定的協議,在同一路由器上有超過99條的標准ACL,或有超過100條的擴展ACL。想要通過一個字母數字串組成的名字來直觀地表示特定的ACL時,並且路由器的IOS版本在11.2及以上時,可以使用命名訪問控制列表,也就是用某些字元串來取代標准與擴展ACL的訪問列表號。命名訪問控制列表的語法格式為:
Router(config)#ip access-list {standard|extended} name
在ACL配置模式下,通過指定一個或多個允許或拒絕條件,來決定一個數據包是允許通過還是被丟棄。語法格式如下:
Router(config{std-|ext-}nacl)#{permit|deny} {source [source-wildcad]|any}
下面是一個配置實例:
ip access-list extended nyist
permit tcp 172.16.0.0 0.0.255.255 any eq 23
deny tcp any any
deny udp 172.16.0.0 0.0.255.255 any lt 1024
interface Ethernet 0
ip access-group nyist in
基於時間訪問列表的應用
隨著網路的發展和用戶要求的變化,從IOS 12.0開始,思科(CISCO)路由器新增加了一種基於時間的訪問列表。通過它,可以根據一天中的不同時間,或者根據一星期中的不同日期,或二者相結合來控制網路數據包的轉發。這種基於時間的訪問列表,就是在原來的標准訪問列表和擴展訪問列表中,加入有效的時間范圍來更合理有效地控制網路。首先定義一個時間范圍,然後在原來的各種訪問列表的基礎上應用它。
基於時間訪問列表的設計中,用time-range 命令來指定時間范圍的名稱,然後用absolute命令,或者一個或多個periodic命令來具體定義時間范圍。IOS命令格式為:
time-range time-range-name absolute
[start time date] [end time date]
periodic days-of-the week hh:mm to [days-of-the week] hh:mm
下面分別來介紹一下每個命令和參數的詳細情況:
time-range 用來定義時間范圍的命令。
time-range-name 時間范圍名稱,用來標識時間范圍,以便於在後面的訪問列表中引用。
absolute 該命令用來指定絕對時間范圍。它後面緊跟著start和end兩個關鍵字。在這兩個關鍵字後面的時間要以24小時制hh:mm表示,日期要按照日/月/年來表示。如果省略start及其後面的時間,則表示與之相聯系的permit 或deny語句立即生效,並一直作用到end處的時間為止。如果省略end及其後面的時間,則表示與之相聯系的permit 或deny語句在start處表示的時間開始生效,並且一直進行下去。
periodic 主要是以星期為參數來定義時間范圍的一個命令。它的參數主要有Monday、Tuesday、Wednesday、Thursday、Friday、Saturday、Sunday中的一個或者幾個的組合,也可以是daily(每天)、weekday(周一至周五),或者weekend(周末)。
下面我們來看一個實例:在一個網路中,路由器的乙太網介面E0連接著202.102.240.0網路,還有一個串口S0連入Internet。為了讓202.102.240.0網路內的公司員工在工作時間內不能進行WEB瀏覽,從2003年5月1日1時到2003年5月31日晚24時這一個月中,只有在周六早7時到周日晚10時才可以通過公司的網路訪問Internet。
我們通過基於時間的擴展訪問控制列表來實現這一功能:
Router# config t
Router(config)# interface Ethernet 0
Router(config-if)#ip access-group 101 in
Router(config-if)#time-range http
Router(config-if)#absolute start 1:00 1
may 2003 end 24:00 31 may 2003 periodic Saturday 7:00 to Sunday 22:00
Router(config-if)#ip access-list 101 permit tcp any any eq 80 http
我們是在一個擴展訪問列表的基礎上,再加上時間控制就達到了目的。因為是控制WEB訪問的協議,所以必須要用擴展列表,那麼編號需在100至199之間。我們定義了這個時間范圍的名稱是http,這樣,我們就在列表中的最後一句方便地引用了。
合理有效地利用基於時間的訪問控制列表,可以更有效、更安全、更方便地保護我們的內部網路,這樣您的網路才會更安全,網路管理人員也會更加輕松。
檢驗
在路由器中用show running-config命令檢查當前正在運行的配置文件,用show ip access-list命令來查看訪問控制列表,並在計算機的命令提示符下用Ping/Telnet命令進行測試。
網路安全保障的第一道關卡
對於許多網管員來說,配置路由器的訪問控制列表是一件經常性的工作,可以說,路由器的訪問控制列表是網路安全保障的第一道關卡。訪問列表提供了一種機制,它可以控制和過濾通過路由器的不同介面去往不同方向的信息流。這種機制允許用戶使用訪問表來管理信息流,以制定公司內部網路的相關策略。這些策略可以描述安全功能,並且反映流量的優先順序別。例如,某個組織可能希望允許或拒絕Internet對內部Web伺服器的訪問,或者允許內部區域網上一個或多個工作站能夠將數據流發到廣域網上。這些情形,以及其他的一些功能都可以通過訪問表來達到目的。
訪問列表的種類劃分
目前的路由器一般都支持兩種類型的訪問表:基本訪問表和擴展訪問表。
基本訪問表控制基於網路地址的信息流,且只允許過濾源地址。
擴展訪問表通過網路地址和傳輸中的數據類型進行信息流控制,允許過濾源地址、目的地址和上層應用數據。
表1列出了路由器所支持的不同訪問表的號碼范圍。