Cisco訪問控制列表

1、c i s c o 路 由配 置 A C L 詳 解如果有人說路由交換設(shè)備主要就是路由和交換的功能， 僅僅在路由交換數(shù)據(jù)包時應(yīng)用的 話他一定是個門外漢。如果僅僅為了交換數(shù)據(jù)包我們使用普通的 HUB 就能勝任，如果只是使用路由功能我們 完全可以選擇一臺 WINDOWS 服務(wù)器來做遠(yuǎn)程路由訪問配置。實際上路由器和交換機(jī)還有一個用途， 那就是網(wǎng)絡(luò)管理， 學(xué)會通過硬件設(shè)備來方便有效 的管理網(wǎng)絡(luò)是每個網(wǎng)絡(luò)管理員必須掌握的技能。 今天我們就為大家簡單介紹訪問控制列 表在CISCO路由交換上的配置方法與命令。什么是ACL ？ACL的支持了。訪問控制列表簡稱為 AC L ，訪問控制列表使用包過濾技術(shù)，在路由器

2、上讀取第三 層及第四層包頭中的信息如源地址，目的地址，源端口，目的端口等，根據(jù)預(yù)先定義好 的規(guī)則對包進(jìn)行過濾， 從而達(dá)到訪問控制的目的。 該技術(shù)初期僅在路由器上支持， 近些 年來已經(jīng)擴(kuò)展到三層交換機(jī)，部分最新的二層交換機(jī)也開始提供 訪問控制列表使用原則由于ACL涉及的配置命令很靈活，功能也很強(qiáng)大，所以我們不能只通過一個小小的 例子就完全掌握全部ACL的配置。在介紹例子前為大家將ACL設(shè)置原則羅列出來，方便 各位讀者更好的消化ACL知識。1、最小特權(quán)原則只給受控對象完成任務(wù)所必須的最小的權(quán)限。 也就是說被控制的總規(guī)則是各個規(guī)則的交 集，只滿足部分條件的是不容許通過規(guī)則的。2、最靠近受控對象原則所

3、有的層訪問權(quán)限控制。也就是說在檢查規(guī)則時是采用自上而下在 ACL中一條條檢 測的，只要發(fā)現(xiàn)符合條件了就立刻轉(zhuǎn)發(fā)，而不繼續(xù)檢測下面的ACL語句。3、默認(rèn)丟棄原則在路由交換設(shè)備中默認(rèn)最后一句為 ACL中加入了 DENY ANY ANY，也就是丟棄所 有不符合條件的數(shù)據(jù)包。 這一點(diǎn)要特別注意， 雖然我們可以修改這個默認(rèn)， 但未改前一 定要引起重視。由于ACL是使用包過濾技術(shù)來實現(xiàn)的，過濾的依據(jù)又僅僅只是第三層和第四層包頭 中的部分信息， 這種技術(shù)具有一些固有的局限性， 如無法識別到具體的人， 無法識別到 應(yīng)用內(nèi)部的權(quán)限級別等。 因此，要達(dá)到端到端的權(quán)限控制目的， 需要和系統(tǒng)級及應(yīng)用級 的訪問權(quán)限控制

4、結(jié)合使用。分類：標(biāo)準(zhǔn)訪問控制列表擴(kuò)展訪問控制列表 基于名稱的訪問控制列表 反向訪問控制列表 基于時間的訪問控制列表 標(biāo)準(zhǔn)訪問列表：訪問控制列表ACL分很多種，不同場合應(yīng)用不同種類的 ACL。其中最簡單的就是標(biāo) 準(zhǔn)訪問控制列表，標(biāo)準(zhǔn)訪問控制列表是通過使用IP包中的源IP地址進(jìn)行過濾，使用的訪 問控制列表號 1到99來創(chuàng)建相應(yīng)的 ACL訪問控制列表ACL分很多種，不同場合應(yīng)用不同種類的ACL。其中最簡單的就是標(biāo)準(zhǔn)訪 問控制列表，他是通過使用IP包中的源IP地址進(jìn)行過濾，使用的訪問控制列表號1到99 來創(chuàng)建相應(yīng)的 ACL 。標(biāo)準(zhǔn)訪問控制列表的格式：標(biāo)準(zhǔn)訪問控制列表是最簡單的 ACL。它的具體格式如下

5、： access-list ACL 號 permit|deny host ip 地址當(dāng)然我們也可以用網(wǎng)段來表示，對某個網(wǎng)段進(jìn)行過濾。命令如下： 55 55 呢？這是因為小提示：標(biāo)準(zhǔn)訪問控制列表實例一：環(huán)境介紹：我們采用如圖所示的網(wǎng)絡(luò)結(jié)構(gòu)。實例1：路由器配置命令設(shè)置ACL,阻止其他一切IP地址進(jìn)行通訊傳輸。access-list 1 deny any int e 1 進(jìn)入E1端口。將ACL 1宣告。DENY ANY的語句在每個ACL中，所以上面的access-list 1另外在路由器連接網(wǎng)絡(luò)不多的情況下也可以在 E0端口使ip access-group 1 in小提示

6、：由于默認(rèn)添加了 deny any 這句命令可以省略。 用ip access-group 1 out命令來宣告，宣告結(jié)果和上面最后兩句命令效果一樣。 標(biāo)準(zhǔn)訪問控制列表實例二：配置任務(wù)：配置命令：access-list 1 permit any設(shè)置ACL，容許其他地址的計算機(jī)進(jìn)行通訊int e 1 進(jìn)入E1端口ip access-group 1 in將ACL1宣告，同理可以進(jìn)入E0端口后使用ipaccess-group 1 out 來完成宣告?？偨Y(jié)：標(biāo)準(zhǔn)ACL占用路由器資源很少，是一種最基本最簡單的訪問控制列表格式。 應(yīng)用比較廣泛， 經(jīng)常在要求控制級別較低的情況下使用。 如果要更加復(fù)雜的控制數(shù)據(jù)

7、包 的傳輸就需要使用擴(kuò)展訪問控制列表了，他可以滿足我們到端口級的要求。擴(kuò)展訪問控制列表：上面我們提到的標(biāo)準(zhǔn)訪問控制列表是基于IP地址進(jìn)行過濾的，是最簡單的ACL 0那 么如果我們希望將過濾細(xì)到端口怎么辦呢？或者希望對數(shù)據(jù)包的目的地址進(jìn)行過濾。 這 時候就需要使用擴(kuò)展訪問控制列表了。使用擴(kuò)展IP訪問列表可以有效的容許用戶訪問物 理LAN而并不容許他使用某個特定服務(wù)（例如 WWW , FTP等）。擴(kuò)展訪問控制列表使 用的ACL號為100到199 0擴(kuò)展訪問控制列表的格式：擴(kuò)展訪問控制列表是一種高級的ACL，配置命令的具體格式如下：access-list ACL 號 permit|deny 協(xié)議 定

8、義過濾源主機(jī)范圍 定義過濾源端口 定義過濾目的主機(jī)訪 問 定義過濾目的端口 例如這句命令是將所有主機(jī)訪問這個地址網(wǎng)頁服務(wù)（WWW ） TCP連接的數(shù)據(jù)包丟 棄。小提示： 同樣在擴(kuò)展訪問控制列表中也可以定義過濾某個網(wǎng)段，當(dāng)然和標(biāo)準(zhǔn)訪問控 制列表一樣需要我們使用反向掩碼定義IP地址后的子網(wǎng)掩碼。擴(kuò)展訪問控制列表的實例：環(huán)境介紹：我們采用如圖所示的網(wǎng)絡(luò)結(jié)構(gòu)。配置任務(wù)： 路由器配置命令： eq www默認(rèn)添加DENY ANY的命令，所以ACL只寫此一句即可。 int e 0 進(jìn)入E1端口ip access-group 101 out將 ACL101 宣告出去擴(kuò)展ACL有一個最大的好處就是

9、可以保護(hù)服務(wù)器，例如很多服務(wù)器為了更好的提供服務(wù)都是暴露在公網(wǎng)上的， 如果所有端口都對外界開放， 很容易招來黑客和病毒的攻擊， 通過擴(kuò)展ACL可以將除了服務(wù)端口以外的其他端口都封鎖掉，降低了被攻擊的機(jī)率。如本例就是僅僅將 80端口對外界開放。總結(jié)：擴(kuò)展ACL功能很強(qiáng)大，他可以控制源IP，目的IP，源端口，目的端口等，能 實現(xiàn)相當(dāng)精細(xì)的控制，擴(kuò)展ACL不僅讀取IP包頭的源地址/目的地址，還要讀取第四層 包頭中的源端口和目的端口的IP0不過他存在一個缺點(diǎn)，那就是在沒有硬件ACL加速的 情況下，擴(kuò)展ACL會消耗大量的路由器資源。所以當(dāng)使用中低檔路由器時應(yīng)盡量減少擴(kuò) 展ACL的條目數(shù)，將其簡化為標(biāo)準(zhǔn)A

10、CL或?qū)⒍鄺l擴(kuò)展ACL合一是最有效的方法。 基于名稱的訪問控制列表不管是標(biāo)準(zhǔn)訪問控制列表還是擴(kuò)展訪問控制列表都有一個弊端，那就是當(dāng)設(shè)置好 ACL的規(guī)則后發(fā)現(xiàn)其中的某條有問題，希望進(jìn)行修改或刪除的話只能將全部 ACL信息都 刪除。也就是說修改一條或刪除一條都會影響到整個 ACL列表。這一個缺點(diǎn)影響了我們 的工作，為我們帶來了繁重的負(fù)擔(dān)。 不過我們可以用基于名稱的訪問控制列表來解決這 個問題。一、基于名稱的訪問控制列表的格式：ip access-list sta ndard|exte nded AC名稱例如：ip access-list standard softer就建立了一個名為softer的

11、標(biāo)準(zhǔn)訪問控制列表。 二、基于名稱的訪問控制列表的使用方法：當(dāng)我們建立了一個基于名稱的訪問列表后就可以進(jìn)入到這個ACL中進(jìn)行配置了。例如我們添加三條ACL規(guī)則permit 1.1.1permit 2.2.2permit 3.3.3如果我們發(fā)現(xiàn)第二條命令應(yīng)該是 2.2.2總結(jié)：如果設(shè)置ACL的規(guī)則比較多的話，應(yīng)該使用基于名稱的訪問控制列表進(jìn)行管 理，這樣可以減輕很多后期維護(hù)的工作，方便我們隨時進(jìn)行調(diào)整ACL規(guī)則。反向訪問控制列表：我們使用訪問控制列表除了合理管理網(wǎng)絡(luò)訪問以外還有一個更重要的方面， 那就是 防范病毒，我們可以將平時常見病毒傳播使用的端口進(jìn)行過濾， 將使用這些端口的數(shù)據(jù) 包丟棄。這樣就

12、可以有效的防范病毒的攻擊。不過即使再科學(xué)的訪問控制列表規(guī)則也可能會因為未知病毒的傳播而無效，畢竟 未知病毒使用的端口是我們無法估計的， 而且隨著防范病毒數(shù)量的增多會造成訪問控制 列表規(guī)則過多， 在一定程度上影響了網(wǎng)絡(luò)訪問的速度。 這時我們可以使用反向控制列表 來解決以上的問題。一、反向訪問控制列表的用途反向訪問控制列表屬于ACL的一種高級應(yīng)用。他可以有效的防范病毒。通過配置反 向ACL可以保證AB兩個網(wǎng)段的計算機(jī)互相PING，A可以PING通B而B不能PING通A。說得通俗些的話就是傳輸數(shù)據(jù)可以分為兩個過程，首先是源主機(jī)向目的主機(jī)發(fā)送連 接請求和數(shù)據(jù)，然后是目的主機(jī)在雙方建立好連接后發(fā)送數(shù)據(jù)給

13、源主機(jī)。反向ACL控制的就是上面提到的連接請求。二、反向訪問控制列表的格式反向訪問控制列表格式非常簡單，只要在配置好的擴(kuò)展訪問列表最后加上 established 即可。我們還是通過實例為大家講解。反向訪問控制列表配置實例環(huán)境介紹：我們采用如圖所示的網(wǎng)絡(luò)結(jié)構(gòu)。，我們通過反向 ACL 設(shè)置保護(hù)這些 配置實例：路由器配置命令：0.0.0int e 1 進(jìn)入E1端口ip access-group 101 out將ACL101宣告出去小提示：0.0.0這樣根據(jù)“最靠近受控對象原則”基于時間的訪問控制列表：上面我們介紹了標(biāo)準(zhǔn)ACL與擴(kuò)展ACL，實際上我們只要掌握了這兩種訪問控制列表 就可以應(yīng)付大部分過濾

14、網(wǎng)絡(luò)數(shù)據(jù)包的要求了。 不過實際工作中總會有人提出這樣或那樣 的苛刻要求，這時我們還需要掌握一些關(guān)于ACL的高級技巧。基于時間的訪問控制列表 就屬于高級技巧之一。一、基于時間的訪問控制列表用途：可能公司會遇到這樣的情況，要求上班時間不能上QQ,下班可以上或者平時不能訪 問某網(wǎng)站只有到了周末可以。 對于這種情況僅僅通過發(fā)布通知規(guī)定是不能徹底杜絕員工 非法使用的問題的，這時基于時間的訪問控制列表應(yīng)運(yùn)而生。二、基于時間的訪問控制列表的格式：基于時間的訪問控制列表由兩部分組成，第一部分是定義時間段，第二部分是用擴(kuò) 展訪問控制列表定義規(guī)則。這里我們主要講解下定義時間段，具體格式如下：time-range

15、時間段名稱absolute start 小時：分鐘 日 月 年 end 小時：分鐘 日 月 年例如： time-range softerabsolute start 0:00 1 may 2005 end 12:00 1 june 2005意思是定義了一個時間段， 名稱為 softer ，并且設(shè)置了這個時間段的起始時間為 2005 年5月1日零點(diǎn)，結(jié)束時間為2005年6月1日中午12點(diǎn)。我們通過這個時間段和擴(kuò)展ACL的 規(guī)則結(jié)合就可以指定出針對自己公司時間段開放的基于時間的訪問控制列表了。 當(dāng)然我 們也可以定義工作日和周末，具體要使用 periodic 命令。我們將在下面的配置實例中為 大家詳

16、細(xì)介紹。配置實例：要想使基于時間的 ACL 生效需要我們配置兩方面的命令：1、定義時間段及時間范圍。2、ACL 自身的配置，即將詳細(xì)的規(guī)則添加到 ACL 中。3、宣告ACL，將設(shè)置好的ACL添加到相應(yīng)的端口中。 環(huán)境介紹：我們采用如圖所示的網(wǎng)絡(luò)結(jié)構(gòu)。 配置任務(wù)： 路由器配置命令： time-range softer 定義時間段名稱為 softerperiodie weekend 00:00 to 23:59 定義具體時間范圍，為每周周末（ 6，日）的 0 點(diǎn)到23點(diǎn)59分。當(dāng)然可以使用 periodie weekdays 定義工作日或跟星期幾定義具體的周 幾。 eq ftp ti

17、me-range softeraeeess-list 101 permit ip any any設(shè)置ACL，容許其他時間段和其他條件下的正常訪問。int e 1 進(jìn)入E1端口。ip access-group 101 out 宣告 ACL101。 提供的FTP資源了，平時無法訪問。訪問控制列表流量記錄網(wǎng)絡(luò)管理員就是要能夠合理的管理公司的網(wǎng)絡(luò)，俗話說知己知彼方能百戰(zhàn)百勝，所 以有效的記錄ACL流量信息可以第一時間的了解網(wǎng)絡(luò)流量和病毒的傳播方式。下面這篇 文章就為大家簡單介紹下如何保存訪問控制列表的流量信息，方法就是在擴(kuò)展ACL規(guī)則 最后加上 LOG 命令。實現(xiàn)方法：為指定一個日志 e

18、q www log在希望監(jiān)測的擴(kuò)展ACL最后加上LOG命令，這樣就會把滿足該條件的信息保存到指定的日志小提示：如果在擴(kuò)展ACL最后加上log-input，則不僅會保存流量信息，還會將數(shù)據(jù)包通過的 端口信息也進(jìn)行保存。使用LOG記錄了滿足訪問控制列表規(guī)則的數(shù)據(jù)流量就可以完整的查詢公司網(wǎng)絡(luò)哪 個地方流量大， 哪個地方有病毒了。 簡單的一句命令就完成了很多專業(yè)工具才能完成的 工作?；顒幽夸涬p域控制器 DC如何設(shè)置DNS 來自In ternet （出處不明） 2009-04-02 15:48Active Directory域活動目錄 如何設(shè)置域控制器dns如何避免DCDN孤島 如何設(shè)置dns 服務(wù)器 雙域控制器 dns 配置我想問