cisco路由器配置ACL詳解

1、c i s c o 路 由 器 配 置 ACL 詳 解如果有人說(shuō)路由交換設(shè)備主要就是路由和交換的功能，僅僅在路由交換數(shù) 據(jù)包時(shí)應(yīng)用的話(huà)他一定是個(gè)門(mén)外漢。如果僅僅為了交換數(shù)據(jù)包我們使用普通的 HUB就能勝任，如果只是使用路 由功能我們完全可以選擇一臺(tái) WINDOWS務(wù)器來(lái)做遠(yuǎn)程路由訪(fǎng)問(wèn)配置。實(shí)際上路由器和交換機(jī)還有一個(gè)用途，那就是網(wǎng)絡(luò)管理，學(xué)會(huì)通過(guò)硬件設(shè) 備來(lái)方便有效的管理網(wǎng)絡(luò)是每個(gè)網(wǎng)絡(luò)管理員必須掌握的技能。今天我們就為大 家簡(jiǎn)單介紹訪(fǎng)問(wèn)控制列表在 CISCC路由交換設(shè)備上的配置方法與命令。什么是 ACL？訪(fǎng)問(wèn)控制列表簡(jiǎn)稱(chēng)為ACL訪(fǎng)問(wèn)控制列表使用包過(guò)濾技術(shù)，在路由器上讀 取第三層及第四層包頭中的

2、信息如源地址，目的地址，源端口，目的端口等， 根據(jù)預(yù)先定義好的規(guī)則對(duì)包進(jìn)行過(guò)濾，從而達(dá)到訪(fǎng)問(wèn)控制的目的。該技術(shù)初期 僅在路由器上支持，近些年來(lái)已經(jīng)擴(kuò)展到三層交換機(jī)，部分最新的二層交換機(jī) 也開(kāi)始提供ACL的支持了。訪(fǎng)問(wèn)控制列表使用原則由于ACL涉及的配置命令很靈活，功能也很強(qiáng)大，所以我們不能只通過(guò)一 個(gè)小小的例子就完全掌握全部ACM配置。在介紹例子前為大家將ACL設(shè)置原則 羅列出來(lái)，方便各位讀者更好的消化 ACL知識(shí)。1、最小特權(quán)原則只給受控對(duì)象完成任務(wù)所必須的最小的權(quán)限。也就是說(shuō)被控制的總規(guī)則是 各個(gè)規(guī)則的交集，只滿(mǎn)足部分條件的是不容許通過(guò)規(guī)則的。2、最靠近受控對(duì)象原則所有的網(wǎng)絡(luò)層訪(fǎng)問(wèn)權(quán)限控制

3、。也就是說(shuō)在檢查規(guī)則時(shí)是采用自上而下在 ACL中一條條檢測(cè)的，只要發(fā)現(xiàn)符合條件了就立刻轉(zhuǎn)發(fā)，而不繼續(xù)檢測(cè)下面的 ACL語(yǔ)句。3、默認(rèn)丟棄原則在CISCO路由交換設(shè)備中默認(rèn)最后一句為 ACL中加入了 DENY ANY ANY也 就是丟棄所有不符合條件的數(shù)據(jù)包。這一點(diǎn)要特別注意，雖然我們可以修改這 個(gè)默認(rèn)，但未改前一定要引起重視。由于ACL是使用包過(guò)濾技術(shù)來(lái)實(shí)現(xiàn)的，過(guò)濾的依據(jù)又僅僅只是第三層和第 四層包頭中的部分信息，這種技術(shù)具有一些固有的局限性，如無(wú)法識(shí)別到具體的人，無(wú)法識(shí)別到應(yīng)用內(nèi)部的權(quán)限級(jí)別等。因此，要達(dá)到端到端的權(quán)限控制目 的，需要和系統(tǒng)級(jí)及應(yīng)用級(jí)的訪(fǎng)問(wèn)權(quán)限控制結(jié)合使用。標(biāo)準(zhǔn)訪(fǎng)問(wèn)列表：訪(fǎng)問(wèn)

4、控制列表ACL分很多種，不同場(chǎng)合應(yīng)用不同種類(lèi)的 ACL其中最簡(jiǎn)單的 就是標(biāo)準(zhǔn)訪(fǎng)問(wèn)控制列表，標(biāo)準(zhǔn)訪(fǎng)問(wèn)控制列表是通過(guò)使用 IP包中的源IP地址進(jìn)行 過(guò)濾，使用的訪(fǎng)問(wèn)控制列表號(hào) 1 到 99 來(lái)創(chuàng)建相應(yīng)的 ACL標(biāo)準(zhǔn)訪(fǎng)問(wèn)控制列表的格式訪(fǎng)問(wèn)控制列表ACL分很多種，不同場(chǎng)合應(yīng)用不同種類(lèi)的 ACL其中最簡(jiǎn)單的 就是標(biāo)準(zhǔn)訪(fǎng)問(wèn)控制列表，他是通過(guò)使用 IP 包中的源 IP 地址進(jìn)行過(guò)濾，使用的訪(fǎng) 問(wèn)控制列表號(hào) 1 到 99 來(lái)創(chuàng)建相應(yīng)的 ACL。標(biāo)準(zhǔn)訪(fǎng)問(wèn)控制列表是最簡(jiǎn)單的 ACL。它的具體格式如下： access-list ACL 號(hào) permit|deny host ip 地址標(biāo)準(zhǔn)訪(fǎng)問(wèn)控制列表實(shí)例一路由器配置

5、命令access-list 1 deny any 設(shè)置ACL阻止其他一切IP地址進(jìn)行通訊傳輸。int e 1 進(jìn)入 E1 端口。ip access-group 1 in 將 ACL 1 宣告。小提示：由于CISCO默認(rèn)添加了 DENY AN的語(yǔ)句在每個(gè)ACL中，所以上面 的 access-list 1 deny any 這句命令可以省略。另外在路由器連接網(wǎng)絡(luò)不多的 情況下也可以在E0端口使用ip access-group 1 out命令來(lái)宣告，宣告結(jié)果和上面最后兩句命令效果一樣。標(biāo)準(zhǔn)訪(fǎng)問(wèn)控制列表實(shí)例二路由器配置命令：access-list 1 permit any 設(shè)置ACL容許其他地址的計(jì)算

6、機(jī)進(jìn)行通訊int e 1 進(jìn)入 E1 端口ip access-group 1 in 將ACL1宣告，同理可以進(jìn)入 E0端口后使用ip access-group 1 out 來(lái)完成宣告?？偨Y(jié)：標(biāo)準(zhǔn)ACL占用路由器資源很少，是一種最基本最簡(jiǎn)單的訪(fǎng)問(wèn)控制列 表格式。應(yīng)用比較廣泛，經(jīng)常在要求控制級(jí)別較低的情況下使用。如果要更加 復(fù)雜的控制數(shù)據(jù)包的傳輸就需要使用擴(kuò)展訪(fǎng)問(wèn)控制列表了，他可以滿(mǎn)足我們到 端口級(jí)的要求。擴(kuò)展訪(fǎng)問(wèn)控制列表：上面我們提到的標(biāo)準(zhǔn)訪(fǎng)問(wèn)控制列表是基于 IP 地址進(jìn)行過(guò)濾的，是最簡(jiǎn)單的 ACL那么如果我們希望將過(guò)濾細(xì)到端口怎么辦呢？或者希望對(duì)數(shù)據(jù)包的目的地址進(jìn)行過(guò)濾。這時(shí)候就需要使用擴(kuò)展訪(fǎng)

7、問(wèn)控制列表了。使用擴(kuò)展 IP 訪(fǎng)問(wèn)列表 可以有效的容許用戶(hù)訪(fǎng)問(wèn)物理 LAN而并不容許他使用某個(gè)特定服務(wù)（例如WWW FTP等）。擴(kuò)展訪(fǎng)問(wèn)控制列表使用的 ACL號(hào)為100到199。擴(kuò)展訪(fǎng)問(wèn)控制列表的格式剛剛我們提到了標(biāo)準(zhǔn)訪(fǎng)問(wèn)控制列表，他是基于 IP 地址進(jìn)行過(guò)濾的，是最簡(jiǎn) 單的ACL那么如果我們希望將過(guò)濾細(xì)到端口怎么辦呢？或者希望對(duì)數(shù)據(jù)包的目的地址進(jìn)行過(guò)濾。這時(shí)候就需要使用擴(kuò)展訪(fǎng)問(wèn)控制列表了。使用擴(kuò)展 IP 訪(fǎng)問(wèn) 列表可以有效的容許用戶(hù)訪(fǎng)問(wèn)物理 LAN而并不容許他使用某個(gè)特定服務(wù)（例如 WWWFTP等）。擴(kuò)展訪(fǎng)問(wèn)控制列表使用的 ACL號(hào)為100到199。擴(kuò)展訪(fǎng)問(wèn)控制列表的格式：擴(kuò)展訪(fǎng)問(wèn)控制列表是

8、一種高級(jí)的 ACL配置命令的具體格式如下：access-list ACL 號(hào) permit|deny 協(xié)議 定義過(guò)濾源主機(jī)范圍 ? 定義過(guò)濾源端口 定義過(guò)濾目的主機(jī)訪(fǎng)問(wèn) 定義過(guò)濾目的端口 小提示：同樣在擴(kuò)展訪(fǎng)問(wèn)控制列表中也可以定義過(guò)濾某個(gè)網(wǎng)段，當(dāng)然和標(biāo) 準(zhǔn)訪(fǎng)問(wèn)控制列表一樣需要我們使用反向掩碼定義 IP 地址后的子網(wǎng)掩碼。擴(kuò)展訪(fǎng)問(wèn)控制列表實(shí)例路由器配置命令：int e 1 進(jìn)入 E1 端口ip access-group 101 out?將 ACL101 宣告出去擴(kuò)展ACL有一個(gè)最大的好處就是可以保護(hù)服務(wù)器，例如很多服務(wù)器為了更 好的提供服務(wù)都是暴露在公網(wǎng)上的，這時(shí)為了保證服務(wù)正常提供所有端口都對(duì)

9、外界開(kāi)放，很容易招來(lái)黑客和病毒的攻擊，通過(guò)擴(kuò)展ACL可以將除了服務(wù)端口以外的其他端口都封鎖掉，降低了被攻擊的機(jī)率。如本例就是僅僅將 80 端口對(duì) 外界 開(kāi)放?？偨Y(jié)：擴(kuò)展ACL功能很強(qiáng)大，他可以控制源IP，目的IP，源端口，目的端 口等，能實(shí)現(xiàn)相當(dāng)精細(xì)的控制，擴(kuò)展 ACL不僅讀取IP包頭的源地址/目的地 址，還要讀取第四層包頭中的源端口和目的端口的IP。不過(guò)他存在一個(gè)缺點(diǎn)，那就是在沒(méi)有硬件ACL加速的情況下，擴(kuò)展ACL會(huì)消耗大量的路由器CPU資 源。所以當(dāng)使用中低檔路由器時(shí)應(yīng)盡量減少擴(kuò)展ACL的條目數(shù)，將其簡(jiǎn)化為標(biāo)準(zhǔn)ACL或?qū)⒍鄺l擴(kuò)展ACL合一是最有效的方法。基于名稱(chēng)的訪(fǎng)問(wèn)控制列表不管是標(biāo)準(zhǔn)訪(fǎng)問(wèn)

10、控制列表還是擴(kuò)展訪(fǎng)問(wèn)控制列表都有一個(gè)弊端， 那就是當(dāng)設(shè) 置好ACL的規(guī)則后發(fā)現(xiàn)其中的某條有問(wèn)題，希望進(jìn)行修改或刪除的話(huà)只能將 全 部ACL信息都刪除。也就是說(shuō)修改一條或刪除一條都會(huì)影響到整個(gè) ACL列表。這 一個(gè)缺點(diǎn)影響了我們的工作， 為我們帶來(lái)了繁重的負(fù)擔(dān)。 不過(guò)我們可以用基于 名 稱(chēng)的訪(fǎng)問(wèn)控制列表來(lái)解決這個(gè)問(wèn)題。一、基于名稱(chēng)的訪(fǎng)問(wèn)控制列表的格式：ip access-list standard|extended ACL名稱(chēng) 例如： ip access-list standard softer就建立了一個(gè)名為 softer 的標(biāo)準(zhǔn)訪(fǎng)問(wèn)控制列表。二、基于名稱(chēng)的訪(fǎng)問(wèn)控制列表的使用方法：當(dāng)我們建立了

11、一個(gè)基于名稱(chēng)的訪(fǎng)問(wèn)列表后就可以進(jìn)入到這個(gè)ACL中進(jìn)行配置了。例如我們添加三條ACL規(guī)則permit permit permit 如果我們發(fā)現(xiàn)第二條命令應(yīng)該是 總結(jié)：如果設(shè)置ACL的規(guī)則比較多的話(huà)，應(yīng)該使用基于名稱(chēng)的訪(fǎng)問(wèn)控制列表 進(jìn)行管理，這樣可以減輕很多后期維護(hù)的工作，方便我們隨時(shí)進(jìn)行調(diào)整ACL規(guī)則。反向訪(fǎng)問(wèn)控制列表：我們使用訪(fǎng)問(wèn)控制列表除了合理管理網(wǎng)絡(luò)訪(fǎng)問(wèn)以外還有一個(gè)更重要的方面， 那就是防范病毒， 我們可以將平時(shí)常見(jiàn)病毒傳播使用的端口進(jìn)行過(guò)濾， 將使用這 些端口的數(shù)據(jù)包丟棄。這樣就可以有效的防范病毒的攻擊。不過(guò)即使再科學(xué)的訪(fǎng)問(wèn)控制列表規(guī)則也可能會(huì)因?yàn)槲粗《镜膫鞑ザ鵁o(wú)效， 畢竟未知病毒使用

12、的端口是我們無(wú)法估計(jì)的， 而且隨著防范病毒數(shù)量的增多會(huì)造 成訪(fǎng)問(wèn)控制列表規(guī)則過(guò)多， 在一定程度上影響了網(wǎng)絡(luò)訪(fǎng)問(wèn)的速度。 這時(shí)我們可以 使用反向控制列表來(lái)解決以上的問(wèn)題。反向訪(fǎng)問(wèn)控制列表的用途及格式一、反向訪(fǎng)問(wèn)控制列表的用途反向訪(fǎng)問(wèn)控制列表屬于ACL的一種高級(jí)應(yīng)用。他可以有效的防范病毒。通過(guò) 配置反向ACL可以保證AB兩個(gè)網(wǎng)段的計(jì)算機(jī)互相 PING A可以PING通B而B(niǎo) 不能PING通Ao說(shuō)得通俗些的話(huà)就是傳輸數(shù)據(jù)可以分為兩個(gè)過(guò)程， 首先是源主機(jī)向目的主機(jī) 發(fā)送連接請(qǐng)求和數(shù)據(jù)，然后是目的主機(jī)在雙方建立好連接后發(fā)送數(shù)據(jù)給源主機(jī)。 反向ACL控制的就是上面提到的連接請(qǐng)求。二、反向訪(fǎng)問(wèn)控制列表的格式

13、反向訪(fǎng)問(wèn)控制列表格式非常簡(jiǎn)單，只要在配置好的擴(kuò)展訪(fǎng)問(wèn)列表最后加上 established即可。我們還是通過(guò)實(shí)例為大家講解。路由器配置命令：int e 1 進(jìn)入 E1 端口ip access-group 101 out將 ACL101 宣告出去筆者所在公司就使用的這種反向 ACL的方式進(jìn)行防病毒的，運(yùn)行了一年多效 果很不錯(cuò)，也非常穩(wěn)定?；跁r(shí)間的訪(fǎng)問(wèn)控制列表：上面我們介紹了標(biāo)準(zhǔn)ACL與擴(kuò)展ACL實(shí)際上我們數(shù)量掌握了這兩種訪(fǎng)問(wèn)控 制列表就可以應(yīng)付大部分過(guò)濾網(wǎng)絡(luò)數(shù)據(jù)包的要求了。 不過(guò)實(shí)際工作中總會(huì)有人提 出這樣或那樣的苛刻要求，這時(shí)我們還需要掌握一些關(guān)于 ACL的高級(jí)技巧?；?時(shí)間的訪(fǎng)問(wèn)控制列表就

14、屬于高級(jí)技巧之一。配置實(shí)例：要想使基于時(shí)間的ACL生效需要我們配置兩方面的命令：1、定義時(shí)間段及時(shí)間范圍。2、ACL自身的配置，即將詳細(xì)的規(guī)則添加到 ACL中。3、宣告ACL將設(shè)置好的ACL添加到相應(yīng)的端口中。網(wǎng)絡(luò)環(huán)境介紹：路由器配置命令：time-range softer 定義時(shí)間段名稱(chēng)為 softerperiodic weekend 00:00 to 23:59 定義具體時(shí)間范圍，為每周周末（ 6， 日）的0點(diǎn)到23點(diǎn)59分。當(dāng)然可以使用periodic weekdays定義工作日或跟星 期幾定義具體的周幾。access-list 101 permit ip any any設(shè)置ACL容許其他時(shí)間段和其他條件下的正常訪(fǎng)問(wèn)。int e 1 進(jìn)入 E1 端口。ip access-group 101 out宣告 ACL101。訪(fǎng)問(wèn)控制列表流量記錄網(wǎng)絡(luò)管理員就是要能夠合理的管理公司的網(wǎng)絡(luò)， 俗話(huà)說(shuō)知己知彼方能百戰(zhàn)百 勝，所以有效的記錄ACL