CISCO路由器中的access-list-詳解

1、精選優(yōu)質(zhì)文檔-傾情為你奉上CISCO路由器中的access-list（訪問列表）最基本的有兩種，分別是標準訪問列表和擴展訪問列表，二者的區(qū)別主要是前者是基于目標地址的數(shù)據(jù)包過濾，而后者是基于目標地址、源地址和網(wǎng)絡協(xié)議及其端口的數(shù)據(jù)包過濾。 （1）標準型IP訪問列表的格式 - 標準型IP訪問列表的格式如下： - access-listlist numberpermit|denysource address - addresswildcard masklog - 下面解釋一下標準型IP訪問列表的關鍵字和參數(shù)。首先，在access和list這2個關鍵字之間必須有一個連字符-；其次，list numb

2、er的范圍在099之間，這表明該access-list語句是一個普通的標準型IP訪問列表語句。因為對于Cisco IOS，在099之間的數(shù)字指示出該訪問列表和IP協(xié)議有關，所以list number參數(shù)具有雙重功能: （1）定義訪問列表的操作協(xié)議; （2）通知IOS在處理access-list語句時，把相同的list number參數(shù)作為同一實體對待。正如本文在后面所討論的，擴展型IP訪問列表也是通過list number（范圍是100199之間的數(shù)字）而表現(xiàn)其特點的。因此，當運用訪問列表時，還需要補充如下重要的規(guī)則: 在需要創(chuàng)建訪問列表的時候，需要選擇適當?shù)膌ist number參數(shù)。 -

3、（2）允許/拒絕數(shù)據(jù)包通過 - 在標準型IP訪問列表中，使用permit語句可以使得和訪問列表項目匹配的數(shù)據(jù)包通過接口，而deny語句可以在接口過濾掉和訪問列表項目匹配的數(shù)據(jù)包。source address代表主機的IP地址，利用不同掩碼的組合可以指定主機。 - 為了更好地了解IP地址和通配符掩碼的作用，這里舉一個例子。假設您的公司有一個分支機構(gòu)，其IP地址為C類的。在您的公司，每個分支機構(gòu)都需要通過總部的路由器訪問Internet。要實現(xiàn)這點，您就可以使用一個通配符掩碼 55。因為C類IP地址的最后一組數(shù)字代表主機，把它們都置1即允許總部訪問網(wǎng)絡上的每一臺

4、主機。因此，您的標準型IP訪問列表中的access-list語句如下： - access-list 1 permit 55 - 注意，通配符掩碼是子網(wǎng)掩碼的補充。因此，如果您是網(wǎng)絡高手，您可以先確定子網(wǎng)掩碼，然后把它轉(zhuǎn)換成可應用的通配符掩碼。這里，又可以補充一條訪問列表的規(guī)則5。 - （3）指定地址 - 如果您想要指定一個特定的主機，可以增加一個通配符掩碼。例如，為了讓來自IP地址為的數(shù)據(jù)包通過，可以使用下列語句： - Access-list 1 permit - 在Cisco的訪

5、問列表中，用戶除了使用上述的通配符掩碼來指定特定的主機外，還可以使用host這一關鍵字。例如，為了讓來自IP地址為的數(shù)據(jù)包通過，您可以使用下列語句： - Access-list 1 permit host - 除了可以利用關鍵字host來代表通配符掩碼外，關鍵字any可以作為源地址的縮寫，并代表通配符掩碼 55。例如，如果希望拒絕來自IP地址為的站點的數(shù)據(jù)包，可以在訪問列表中增加以下語句： - Access-list 1 deny host 192.46.27

6、.8 - Access-list 1 permit any - 注意上述2條訪問列表語句的次序。第1條語句把來自源地址為的數(shù)據(jù)包過濾掉，第2條語句則允許來自任何源地址的數(shù)據(jù)包通過訪問列表作用的接口。如果改變上述語句的次序，那么訪問列表將不能夠阻止來自源地址為的數(shù)據(jù)包通過接口。因為訪問列表是按從上到下的次序執(zhí)行語句的。這樣，如果第1條語句是: - Access-list 1 permit any - 的話，那么來自任何源地址的數(shù)據(jù)包都會通過接口。 - （4）拒絕的奧秘 - 在默認情況下，除非明確規(guī)定允許通過，訪問列表總是阻止或拒絕一切數(shù)據(jù)包的通過，即實

7、際上在每個訪問列表的最后，都隱含有一條deny any的語句。假設我們使用了前面創(chuàng)建的標準IP訪問列表，從路由器的角度來看，這條語句的實際內(nèi)容如下： - access-list 1 deny host - access-list 1 permit any - access-list 1 deny any - 在上述例子里面，由于訪問列表中第2條語句明確允許任何數(shù)據(jù)包都通過，所以隱含的拒絕語句不起作用，但實際情況并不總是如此。例如，如果希望來自源地址為和2的數(shù)據(jù)包通過路由器的接口，同時阻止其他一切數(shù)據(jù)包通過，則訪問列表的代碼如下

8、： - access-list 1 permit host - access-list 1 permit host 2 - 注意，因為所有的訪問列表會自動在最后包括該語句. - 順便討論一下標準型IP訪問列表的參數(shù)log，它起日志的作用。一旦訪問列表作用于某個接口，那么包括關鍵字log的語句將記錄那些滿足訪問列表中permit和deny條件的數(shù)據(jù)包。第一個通過接口并且和訪問列表語句匹配的數(shù)據(jù)包將立即產(chǎn)生一個日志信息。后續(xù)的數(shù)據(jù)包根據(jù)記錄日志的方式，或者在控制臺上顯示日志，或者在內(nèi)存中記錄日志。通過Cisco IOS的控制臺命令可以選擇記錄日志方式。

9、 擴展型IP訪問列表 - 擴展型IP訪問列表在數(shù)據(jù)包的過濾方面增加了不少功能和靈活性。除了可以基于源地址和目標地址過濾外，還可以根據(jù)協(xié)議、源端口和目的端口過濾，甚至可以利用各種選項過濾。這些選項能夠?qū)?shù)據(jù)包中某些域的信息進行讀取和比較。擴展型IP訪問列表的通用格式如下： - access-listlist numberpermit|deny - protocol|protocol key word - source address source-wildcard masksource port - destination address destination-wildcard mask -

10、destination portlog options - 和標準型IP訪問列表類似，list number標志了訪問列表的類型。數(shù)字100199用于確定100個惟一的擴展型IP訪問列表。protocol確定需要過濾的協(xié)議，其中包括IP、TCP、UDP和ICMP等等。 - 如果我們回顧一下數(shù)據(jù)包是如何形成的，我們就會了解為什么協(xié)議會影響數(shù)據(jù)包的過濾，盡管有時這樣會產(chǎn)生副作用。圖2表示了數(shù)據(jù)包的形成。請注意，應用數(shù)據(jù)通常有一個在傳輸層增加的前綴，它可以是TCP協(xié)議或UDP協(xié)議的頭部，這樣就增加了一個指示應用的端口標志。當數(shù)據(jù)流入?yún)f(xié)議棧之后，網(wǎng)絡層再加上一個包含地址信息的IP協(xié)議的頭部。 由于IP

11、頭部傳送TCP、UDP、路由協(xié)議和ICMP協(xié)議，所以在訪問列表的語句中，IP協(xié)議的級別比其他協(xié)議更為重要。但是，在有些應用中，您可能需要改變這種情況，您需要基于某個非IP協(xié)議進行過濾 - 為了更好地說明，下面列舉2個擴展型IP訪問列表的語句來說明。假設我們希望阻止TCP協(xié)議的流量訪問IP地址為的服務器，同時允許其他協(xié)議的流量訪問該服務器。那么以下訪問列表語句能滿足這一要求嗎？ - access-list 101 permit host - access-list 101 deny host 2 - 回答是否定的。第一條語句允許

12、所有的IP流量、同時包括TCP流量通過指定的主機地址。這樣，第二條語句將不起任何作用?？墒?，如果改變上面2條語句的次序 那么就可以做到阻止TCP流量通過指定的地址，而允許其他協(xié)議的流量通過。 擴展型IP訪問列表還有一個特點，就是它支持以下關鍵字的操作符，如附表所示。至于端口數(shù)，您可以指定一個數(shù)字和數(shù)字范圍，或者是操作符加上數(shù)字和數(shù)字范圍。下面是2條使用操作符的訪問列表語句的例子。access-list 101 permit tcp any host eq www access-list 101 permit ICMP any host 2 eq 8

13、 在這2條語句中，第一條語句允許來自任何主機的TCP到達指定的IP地址為的主機，只要數(shù)據(jù)包傳輸Web流量。其中可以用80取代www，因為Web流量通過端口80。第二條語句允許所有的Ping流量通過，而對于Ping，其ICMP回波請求信息屬于ICMP類型8。 實際應用步驟 把訪問列表應用于接口實際上可以分為以下3個步驟。 第1步: 創(chuàng)建一個路由表 可以在路由器的控制臺上直接完成這一工作；也可以先在其他計算機上用文字處理軟件（如Word）或文本編輯器輸入，以文本文件的形式存儲，然后通過TFTP程序把該文本文件傳給路由器。 第2步: 指定接口 必須有一個接口作為路由表的應用對象

14、，這可以通過路由器的接口命令完成。 第3步: 定義方向 必須確定訪問列表的應用的方向，這可以通過路由器的訪問組命令完成。 為了說明上述步驟，下面舉一個以前用過的簡單的例子。對一臺路由器的串行0號端口，為了完成這3個步驟，可以編寫如下代碼： interface serial 0 ip access-group 101 in - access-list 101 deny ICMP any host eq 8 - access-list 101 permit ip any host - access-list 101 permit ICP any ho

15、st 2 eq 8 - access-list 101 permit tcp any host .12 eq 80 - access-list 101 deny ip any any 在上面的代碼中，第1條語句定義了訪問列表所應用的端口，第二條語句定義了接口產(chǎn)生過濾的方向。在訪問列表中，第一條語句阻止以ICMP回波請求的形式產(chǎn)生Ping，從而防止對主機地址的窺視。 第2條訪問列表語句允許所有其他的IP流量流向主機。第3和第4條語句允許ICMP回波請求和Web流量進入網(wǎng)絡中的第2臺主機。 最后一條訪問列表語句鮮明地拒絕所有不需要的訪問。通常在訪問列表的最后都有這樣的語句。 在前面訪問列表例子的list number參數(shù)都是數(shù)字。在這種訪問列表中，不能取消特殊的參數(shù)，可以把參數(shù)加到底部。但是，如果需要修改參數(shù)，就必須首先創(chuàng)建一個新的列表，把舊的列表刪除，然后應用新的列表。如果在訪問列表中，用標識符取代其中的數(shù)字，將獲得更多的靈活性。此外，訪問列表也不支持新增加語句。因此，我們有關訪問列表的最后一個規(guī)則