Cisco訪問控制列表

1、ciscc路由器配置ACL詳解如果有人說路由交換設備主要就是路由和交換的功能，僅僅在路由交換數(shù)據(jù)包時應用的話他一定是個門外漢。如果僅僅為了交換數(shù)據(jù)包我們使用普通的HUB就能勝任，如果只是使用路由功能我們完全可以選擇一臺 WINDOWS服務器來做遠程路由訪問配置。實際上路由器和交換機還有一個用途，那就是網(wǎng)絡管理，學會通過硬件設備來方便有效的管理網(wǎng)絡是每個網(wǎng)絡管理員必須掌握的技能。今天我們就為大家簡單介紹訪問控制列表在CISCO路由交換上的配置方法與命令。什么是ACL ？訪問控制列表簡稱為 ACL，訪問控制列表使用包過濾技術，在路由器上讀取第三層及 第四層包頭中的信息如源地址，目的地址，源端口，目

2、的端口等，根據(jù)預先定義好的規(guī)則對包進行過濾，從而達到訪問控制的目的。 該技術初期僅在路由器上支持，近些年來已經(jīng)擴展到三層交換機，部分最新的二層交換機也開始提供ACL的支持了。訪問控制列表使用原則由于ACL涉及的配置命令很靈活，功能也很強大，所以我們不能只通過一個小小的例子 就完全掌握全部ACL的配置。在介紹例子前為大家將 ACL設置原則羅列出來，方便各位讀者 更好的消化ACL知識。1、最小特權原則只給受控對象完成任務所必須的最小的權限。也就是說被控制的總規(guī)則是各個規(guī)則的交集， 只滿足部分條件的是不容許通過規(guī)則的。2、最靠近受控對象原則所有的網(wǎng)絡層訪問權限控制。也就是說在檢查規(guī)則時是采用自上而下

3、在ACL中一條條檢測的，只要發(fā)現(xiàn)符合條件了就立刻轉(zhuǎn)發(fā)，而不繼續(xù)檢測下面的ACL語句。3、默認丟棄原則在CISCO路由交換設備中默認最后一句為 ACL中加入了 DENY ANY ANY，也就是丟棄 所有不符合條件的數(shù)據(jù)包。這一點要特別注意，雖然我們可以修改這個默認，但未改前一定 要引起重視。由于ACL是使用包過濾技術來實現(xiàn)的，過濾的依據(jù)又僅僅只是第三層和第四層包頭中的 部分信息，這種技術具有一些固有的局限性，如無法識別到具體的人，無法識別到應用內(nèi)部的權限級別等。因此，要達到端到端的權限控制目的，需要和系統(tǒng)級及應用級的訪問權限控制結(jié)合使用。分類：標準訪問控制列表擴展訪問控制列表基于名稱的訪問控制列

4、表反向訪問控制列表基于時間的訪問控制列表標準訪問列表：訪問控制列表ACL分很多種，不同場合應用不同種類的 ACL。其中最簡單的就是標準訪 問控制列表，標準訪問控制列表是通過使用 IP包中的源IP地址進行過濾，使用的訪問控制列 表號1到99來創(chuàng)建相應的ACL訪問控制列表ACL分很多種，不同場合應用不同種類的ACL。其中最簡單的就是標準訪問控制列表，他是通過使用IP包中的源IP地址進行過濾，使用的訪問控制列表號1到99來創(chuàng)建相應的ACL。標準訪問控制列表的格式：標準訪問控制列表是最簡單的ACL。它的具體格式如下：access-list ACL 號permit|deny host ip 地址例如：a

5、ccess-list 10 deny host 這句命令是將所有來自 地址的數(shù)據(jù)包丟棄。當然我們也可以用網(wǎng)段來表示，對某個網(wǎng)段進行過濾。命令如下：access-list 10 deny 55通過上面的配置將來自/24的所有計算機數(shù)據(jù)包進行過濾丟棄。為什么后頭 的子網(wǎng)掩碼表示的是55呢？這是因為 CISCO規(guī)定在ACL中用反向掩瑪表示子網(wǎng)掩碼，反向掩碼為55的代表他的子網(wǎng)掩碼為 。小提示：對于標準訪問控制列表來說， 默認的命令是HOST,也就

6、是說access-list 10 deny 表示的是拒絕這臺主機數(shù)據(jù)包通訊，可以省去我們輸入host命令。標準訪問控制列表實例一：網(wǎng)絡環(huán)境介紹：172,16,4.0E0172.16A13我們采用如圖所示的網(wǎng)絡結(jié)構。路由器連接了二個網(wǎng)段，分別為/24，/24。在/24網(wǎng)段中有一臺服務器提供 WWW服務，IP地址為3實例1：禁止/24網(wǎng)段中除3這臺計算機訪問/24的計算 機。3 可以正常訪問 17

7、/24。路由器配置命令access-list 1 permit host 3設置 ACL，容許 3 的數(shù)據(jù)包通過。access-list 1 deny any 設置ACL，阻止其他一切IP地址進行通訊傳輸。int e 1 進入E1端口。ip access-group 1 in將 ACL 1 宣告。經(jīng)過設置后E1端口就只容許來自172.16413這個IP地址的數(shù)據(jù)包傳輸出去了。來自其 他IP地址的數(shù)據(jù)包都無法通過 E1傳輸。小提示：由于CISCO默認添加了 DENY ANY的語句在每個 ACL中，所以上面的access-list 1 den

8、y any這句命令可以省略。另外在路由器連接網(wǎng)絡不多的情況下也可以在E0端口使用ipaccess-group 1 out命令來宣告，宣告結(jié)果和上面最后兩句命令效果一樣。標準訪問控制列表實例二：配置任務： 禁止172.16413這個計算機對/24網(wǎng)段的訪問，而172.1640/24中的其他 計算機可以正常訪問。路由器配置命令：access-list 1 deny host 3設置 ACL，禁止 3 的數(shù)據(jù)包通過access-list 1 permit any 設置ACL，容許其他地址的計算機進行通訊int e 1 進入E1端口ip ac

9、cess-group 1 in將ACL1 宣告，同理可以進入 E0端口后使用 ip access-group 1out來完成宣告。配置完畢后除了 3其他IP地址都可以通過路由器正常通訊，傳輸數(shù)據(jù)包?？偨Y(jié)：標準ACL占用路由器資源很少，是一種最基本最簡單的訪問控制列表格式。應用 比較廣泛，經(jīng)常在要求控制級別較低的情況下使用。如果要更加復雜的控制數(shù)據(jù)包的傳輸就需要使用擴展訪問控制列表了，他可以滿足我們到端口級的要求。擴展訪問控制列表：上面我們提到的標準訪問控制列表是基于IP地址進行過濾的，是最簡單的 ACL。那么如果我們希望將過濾細到端口怎么辦呢？或者希望對數(shù)據(jù)包的目的地址進行

10、過濾。這時候就需要使用擴展訪問控制列表了。 使用擴展IP訪問列表可以有效的容許用戶訪問物理 LAN而并不 容許他使用某個特定服務（例如 WWW，F(xiàn)TP等）。擴展訪問控制列表使用的 ACL號為100 到 199。擴展訪問控制列表的格式：擴展訪問控制列表是一種高級的ACL，配置命令的具體格式如下：access-list ACL號permit|deny協(xié)議定義過濾源主機范圍定義過濾源端口 定義過濾目的主機訪問定義 過濾目的端口 例如：access-list 101 deny tcp any host eq www這句命令是將所有主機訪問這個地址網(wǎng)頁服務（

11、WWW）TCP連接的數(shù)據(jù)包丟棄。小提示：同樣在擴展訪問控制列表中也可以定義過濾某個網(wǎng)段，當然和標準訪問控制列 表一樣需要我們使用反向掩碼定義IP地址后的子網(wǎng)掩碼。擴展訪問控制列表的實例：網(wǎng)絡環(huán)境介紹：17216.4,0EOE1172J6.4.13我們采用如圖所示的網(wǎng)絡結(jié)構。路由器連接了二個網(wǎng)段，分別為/24,/24。在172.1640/24網(wǎng)段中有一臺服務器提供WWW服務，IP地址為172.16413配置任務：禁止172.1630勺計算機訪問172.16.4.啲計算機，包括那臺服務器，不過惟獨 可以訪問172.1641上的WWW服務，而其他服務不能訪問。

12、路由器配置命令：access-list 101 permit tcp any 3 eq www 設置 ACL101，容許源地址為任 意IP，目的地址為3主機的80端口即WWW服務。由于CISCO默認添加DENY ANY 的命令，所以ACL只寫此一句即可。int e 0 進入E1端口ip access-group 101 out將 ACL101 宣告出去設置完畢后的計算機就無法訪問的計算機了，就算是服務器3開啟了 FTP服務也無法訪問，惟獨可以訪問的就是3的WW

13、W服務了。 而的計算機訪問的計算機沒有任何問題。例如很多服務器為了更好的提供服務很容易招來黑客和病毒的攻擊，通過擴降低了被攻擊的機率。 如本例就是僅擴展ACL有一個最大的好處就是可以保護服務器, 都是暴露在公網(wǎng)上的， 如果所有端口都對外界開放， 展ACL可以將除了服務端口以外的其他端口都封鎖掉, 僅將80端口對外界開放。總結(jié)：擴展ACL功能很強大，他可以控制源 IP，目的IP，源端口，目的端口等，能實現(xiàn) 相當精細的控制，擴展 ACL不僅讀取IP包頭的源地址/目的地址，還要讀取第四層包頭中的 源端口和目的端口的IP。不過他存在一個缺點，那就是在沒有硬件AC

14、L加速的情況下，擴展ACL會消耗大量的路由器CPU資源。所以當使用中低檔路由器時應盡量減少擴展ACL的條目數(shù)，將其簡化為標準 ACL或?qū)⒍鄺l擴展ACL合一是最有效的方法?；诿Q的訪問控制列表不管是標準訪問控制列表還是擴展訪問控制列表都有一個弊端，那就是當設置好 ACL 的規(guī)則后發(fā)現(xiàn)其中的某條有問題， 希望進行修改或刪除的話只能將全部 ACL信息都刪除。也 就是說修改一條或刪除一條都會影響到整個 ACL列表。這一個缺點影響了我們的工作，為我 們帶來了繁重的負擔。不過我們可以用基于名稱的訪問控制列表來解決這個問題。、基于名稱的訪問控制列表的格式：ip access-list sta ndard|

15、exte nded ACL 名稱例如：ip access-list standard softer就建立了一個名為 softer的標準訪問控制列表。二、基于名稱的訪問控制列表的使用方法：當我們建立了一個基于名稱的訪問列表后就可以進入到這個ACL中進行配置了。例如我們添加三條ACL規(guī)則permit permit 2222 permit ssicat ionFtCcnterB>enPassword:Password:FtCentHconF:ig tEnter configupditlun commands, one p

16、er line. End uith CNTL/Z- FtCenterH<confaccFtCent-fti*BconfdtccessLF七Centei'H<confaccess1 ist standFtCenteiB<confaccess-1 ist stand?st4ndapdrtCenterR<canfaccessIist standard FtCenteikR<ccnfaccess-list standard ?<l-99> Standard IP access-list number WORD ficcess-List nameFCcn

17、t ci'R <con £ip otccc33Hot 3sdtci-$七Cent ei'FKconf ig(s td-nacl>#perni t 1 _1 _i -1 rtCentei'Econf 15s td-naclitpermit 2 2-2 2 0.3.S.0 rtCcnt«rRCconfi£fstd-nacl>tfperRit FtCentet*B<conf igf-s tdnacl?#如果我們發(fā)現(xiàn)第二條命令應該是 而不是，如果使用

18、不是基于名稱的訪問控 制列表的話，使用no permit 后整個ACL信息都會被刪除掉。正是因為使用了 基于名稱的訪問控制列表，我們使用 no permit 后第一條和第三條指令依然存 在?？偨Y(jié)：如果設置ACL的規(guī)則比較多的話，應該使用基于名稱的訪問控制列表進行管理， 這樣可以減輕很多后期維護的工作，方便我們隨時進行調(diào)整ACL規(guī)則。反向訪問控制列表：我們使用訪問控制列表除了合理管理網(wǎng)絡訪問以外還有一個更重要的方面，那就是防范病毒，我們可以將平時常見病毒傳播使用的端口進行過濾，將使用這些端口的數(shù)據(jù)包丟棄。 這樣就可以有效的防范病毒的攻

19、擊。不過即使再科學的訪問控制列表規(guī)則也可能會因為未知病毒的傳播而無效，畢竟未知病毒使用的端口是我們無法估計的，而且隨著防范病毒數(shù)量的增多會造成訪問控制列表規(guī)則過多，在一定程度上影響了網(wǎng)絡訪問的速度。這時我們可以使用反向控制列表來解決以上的問題。、反向訪問控制列表的用途反向訪問控制列表屬于 ACL的一種高級應用。他可以有效的防范病毒。通過配置反向ACL可以保證AB兩個網(wǎng)段的計算機互相 PING，A可以PING通B而B不能PING通A。說得通俗些的話就是傳輸數(shù)據(jù)可以分為兩個過程，首先是源主機向目的主機發(fā)送連接請 求和數(shù)據(jù)，然后是目的主機在雙方建立好連接后發(fā)送數(shù)據(jù)給源主機。反向ACL控制的就是上面提

20、到的連接請求。二、反向訪問控制列表的格式反向訪問控制列表格式非常簡單, 可。我們還是通過實例為大家講解。反向訪問控制列表配置實例網(wǎng)絡環(huán)境介紹：只要在配置好的擴展訪問列表最后加上established即172,16.4.01；2*1S.3.O我們采用如圖所示的網(wǎng)絡結(jié)構。路由器連接了二個網(wǎng)段，分別為 /24,/24。在172.1640/24網(wǎng)段中的計算機都是服務器，我們通過反向ACL設置保護這些服務器免受來自 這個網(wǎng)段的病毒攻擊。配置實例：禁止病毒從/24這個網(wǎng)段傳播到/24這個服務器網(wǎng)段。路由器配

21、置命令:access-list 101 permit tcp 55 55 established 定義 ACL101 ， 容許所有來自網(wǎng)段的計算機訪問網(wǎng)段中的計算機，前提是 TCP連接已 經(jīng)建立了的。當TCP連接沒有建立的話是不容許 訪問的。int e 1 進入E1端口ip access-group 101 out 將 ACL101 宣告出去設置完畢后病毒就不會輕易的從 傳播到的服務器區(qū)了。因為病毒要 想

22、傳播都是主動進行 TCP連接的，由于路由器上采用反向 ACL禁止了 網(wǎng)段的TCP 主動連接，因此病毒無法順利傳播。里的一臺服務器小提示：檢驗反向ACL是否順利配置的一個簡單方法就是拿PING在中的計算機，如果可以PING通的話再用那臺計算機PING的服務器，PING不通則說明ACL配置成功。通過上文配置的反向 ACL會出現(xiàn)一個問題，那就是的計算機不能訪問服務器的服務了，假如圖中172.16413提供了 WWW服務的話也不能正常訪問。解決的方法是在 ESTABLISHED 那句

23、前頭再添加一個擴展ACL規(guī)則，例如： access-list 101 permit tcp 55 3 eq www這樣根據(jù)“最靠近受控對象原則”即在檢查ACL規(guī)則時是采用自上而下在ACL中一條條檢測的，只要發(fā)現(xiàn)符合條件了就立刻轉(zhuǎn)發(fā)，而不繼續(xù)檢測下面的ACL語句。的計算機就可以正常訪問該服務器的WWW服務了，而下面的ESTABLISHED防病毒命令還可以正常生效?；跁r間的訪問控制列表：上面我們介紹了標準ACL與擴展ACL，實際上我們只要掌握了這兩種訪問控制列表就可 以應付大部分過濾網(wǎng)絡數(shù)據(jù)包的要求了。不過

24、實際工作中總會有人提出這樣或那樣的苛刻要求，這時我們還需要掌握一些關于ACL的高級技巧?；跁r間的訪問控制列表就屬于高級技巧之一。一、基于時間的訪問控制列表用途：可能公司會遇到這樣的情況，要求上班時間不能上QQ，下班可以上或者平時不能訪問某 網(wǎng)站只有到了周末可以。對于這種情況僅僅通過發(fā)布通知規(guī)定是不能徹底杜絕員工非法使用 的問題的，這時基于時間的訪問控制列表應運而生。二、基于時間的訪問控制列表的格式：基于時間的訪問控制列表由兩部分組成，第一部分是定義時間段，第二部分是用擴展訪 問控制列表定義規(guī)則。這里我們主要講解下定義時間段，具體格式如下：time-ra nge 時間段名稱absolute s

25、tart 小時：分鐘日月 年end小時：分鐘日月年例如：time-range softerabsolute start 0:00 1 may 2005 end 12:00 1 june 2005意思是定義了一個時間段，名稱為softer，并且設置了這個時間段的起始時間為2005年5月1日零點，結(jié)束時間為2005年6月1日中午12點。我們通過這個時間段和擴展ACL的規(guī)則結(jié)合就可以指定出針對自己公司時間段開放的基于時間的訪問控制列表了。當然我們也可以定義工作日和周末，具體要使用periodic命令。我們將在下面的配置實例中為大家詳細介紹。配置實例：要想使基于時間的ACL生效需要我們配置兩方面的命令

26、：1、定義時間段及時間范圍。2、 ACL自身的配置，即將詳細的規(guī)則添加到ACL中。3、宣告ACL，將設置好的ACL添加到相應的端口中。網(wǎng)絡環(huán)境介紹：17216.4.0E13我們采用如圖所示的網(wǎng)絡結(jié)構。路由器連接了二個網(wǎng)段，分別為 /24,/24。在172.1640/24網(wǎng)段中有一臺服務器提供 FTP服務，IP地址為 172.16413配置任務：只容許網(wǎng)段的用戶在周末訪問172.1641上的FTP資源，工作時間不 能下載該FTP資源。路由器配置命令：time-range softer定義時間段名稱為 softerpe

27、riodic weekend 00:00 to 23:59定義具體時間范圍，為每周周末（6， 日）的0點到23點59分。當然可以使用periodic weekdays定義工作日或跟星期幾定義具體的周幾。access-list 101 deny tcp any 3 eq ftp time-range softer設置 ACL，禁止在時間段softer范圍內(nèi)訪問3的FTP服務。access-list 101 permit ip any any設置ACL，容許其他時間段和其他條件下的正常訪問。int e 1 進入E1端口。ip access-g

28、roup 101 out 宣告 ACL101。基于時間的ACL比較適合于時間段的管理，通過上面的設置的用戶就只能在周 末訪問服務器提供的FTP資源了，平時無法訪問。訪問控制列表流量記錄網(wǎng)絡管理員就是要能夠合理的管理公司的網(wǎng)絡，俗話說知己知彼方能百戰(zhàn)百勝，所以有效的記錄ACL流量信息可以第一時間的了解網(wǎng)絡流量和病毒的傳播方式。 下面這篇文章就為 大家簡單介紹下如何保存訪問控制列表的流量信息，方法就是在擴展 ACL規(guī)則最后加上 LOG命令。實現(xiàn)方法:log 為路由器指定一個日志服務器地址，該地址為access-list 101 per

29、mit tcp any 3 eq www log在希望監(jiān)測的擴展ACL最后加上LOG命令，這樣就會把滿足該條件的信息保存到指定的日志服務器 中。小提示:如果在擴展 ACL 最后加上 log-input ，則不僅會保存流量信息，還會將數(shù)據(jù)包通過的端口 信息也進行保存。使用 LOG 記錄了滿足訪問控制列表規(guī)則的數(shù)據(jù)流量就可以完整的查詢公司網(wǎng)絡哪個地 方流量大，哪個地方有病毒了。簡單的一句命令就完成了很多專業(yè)工具才能完成的工作?；顒幽夸涬p域控制器DC如何設置DNS 來自In ternet （出處不明）2009-04-02 15:48Activ

30、e Directory 域活動目錄 如何設置域控制器dns如何避免DCDN孤島 如何設置 dns 服務器 雙域控制器 dns 配置活動目錄雙域控制器DC如何設置DNS|dns孤島問題。客戶的網(wǎng)絡中部署了兩個 DC我給他部署的時候，將網(wǎng)卡上的 DNS的設置的主DNS指向了另外一個（即， DC1的z主dns指向DC2的 IP），原意是在一個DC啟動的時候能夠快點。但是, 在我的實驗室里， 我發(fā)現(xiàn)指向 反而快些。 所以我想問的是， 域控制器 的DNS該指向自己還是別的域控制器比較好些（前提是DNSt在域控制器上）？ 為什么有的De會啟動那么慢？ 請問主域控制器與額外域控制器之間的 dns如何 設置，比如我del （主域控）上設置：ip ：子網(wǎng)掩碼： 網(wǎng)關： （主）DNS: （ 輔 ）DNS: dc