使用訪問控制列表過濾流量

使用訪問控制列表過濾流量使用訪問控制列表流量過濾企業(yè)網(wǎng)絡(luò)的安全極為重要。必須防止未經(jīng)授權(quán)的用戶訪問網(wǎng)絡(luò)和防御各種攻擊（如DoS攻擊）。未經(jīng)授權(quán)的用戶可能纂改、銷毀或竊取服務(wù)器上的敏感數(shù)據(jù)。DoS攻擊會阻止合法用戶訪問設(shè)備。這兩種情況都會令企業(yè)損失時間和資金。管理員可以通過流量過濾來控制各個網(wǎng)段中的流量。過濾是對數(shù)據(jù)包內(nèi)容進行分析以決定是允許還是阻止該數(shù)據(jù)包的過程。數(shù)據(jù)包的過濾可能很簡單，也可能相當復雜，拒絕或允許流量通過的依據(jù)有：源IP地址目的IP地址MAC地址協(xié)議應(yīng)用類型數(shù)據(jù)包的過濾機制類似于垃圾郵件的過濾機制。許多電子郵件應(yīng)用程序允許用戶調(diào)整配置，以便自動刪除來自特定源地址的電子郵件。數(shù)據(jù)包的過濾方法與此類似，即配置路由器使之識別不受歡迎的流量。流量過濾可以改善網(wǎng)絡(luò)的性能。通過在源地址附近拒絕不受歡迎或限制訪問的流量，可以阻止這些流量在網(wǎng)絡(luò)上傳播并消耗寶貴的資源。最常用的流量過濾設(shè)備有：集成路由器內(nèi)置的防火墻專用的安全設(shè)備服務(wù)器有些設(shè)備只過濾從內(nèi)部網(wǎng)絡(luò)發(fā)出的流量。不過，大多數(shù)先進的安全設(shè)備都能識別和過濾外部發(fā)起的已知類型的攻擊。企業(yè)路由器能夠識別有害流量并阻止它訪問和破壞網(wǎng)絡(luò)。幾乎所有的路由器都可根據(jù)數(shù)據(jù)包的源IP地址和目的IP地址來過濾流量。它們還可根據(jù)特定的應(yīng)用和協(xié)議（例如IP、TCP、HTTP、FTP和 Telnet）過濾流量。Cisco寶全設(shè)備 基于雕務(wù)雜的加火壇聲威防火墟的bnk^ysCisco寶全設(shè)備 基于雕務(wù)雜的加火壇聲威防火墟的bnk^ys無找禺田謂 帶10S防火墟的Cis?掛田囂訪問控制列表最常見的流量過濾方法之一是使用訪問控制列表（ACL）。ACL可用于管理和過濾進出網(wǎng)絡(luò)的流量。ACL的長短不一，短到只有一條語句，長到數(shù)百條語句，前者只能允許或拒絕來自某個源地址的流量，后者則可允許或拒絕來自多個源地址的數(shù)據(jù)包。ACL的主要用途是識別數(shù)據(jù)包的類型，以便決定是接受還是拒絕該數(shù)據(jù)包。ACL識別流量有多個用途，例如：指定用于執(zhí)行NAT的內(nèi)部主機識別或分類流量以便實現(xiàn)QoS和隊列等高級功能限制路由更新的內(nèi)容控制調(diào)試輸出控制虛擬終端對路由器的訪問使用ACL可能會帶來一些問題：路由器對所有數(shù)據(jù)包進行檢查會帶來額外的開銷，從而導致實際轉(zhuǎn)發(fā)數(shù)據(jù)包的時間減少設(shè)計欠佳的ACL會給路由器帶來更加沉重的負載，甚至可能導致網(wǎng)絡(luò)中斷。位置不當?shù)腁CL可能會阻止本應(yīng)允許的流量卻允許本應(yīng)阻止的流量。ACL的類型與用法在創(chuàng)建訪問控制列表時，網(wǎng)絡(luò)管理員將面臨幾種選擇。需要哪種類型的ACL取決于設(shè)計要求的復雜程度。ACL有三種類型：標準ACL標準ACL是其中最簡單的一類。創(chuàng)建標準的IPACL時，ACL根據(jù)數(shù)據(jù)包的源IP地址過濾數(shù)據(jù)包。標準ACL對流量的允許或拒絕是基于整個協(xié)議（例如IP）的。因此，如果某臺主機設(shè)備被標準ACL拒絕訪問，則該主機提供的所有服務(wù)也會被拒絕訪問。標準ACL可用來允許來自某個特定用戶或LAN的所有服務(wù)訪問路由器，同時拒絕其它IP地址訪問路由器。標準ACL通過為其分配的編號進行標識。對于允許或拒絕IP流量的訪問列表，標識號的范圍是1到99和1300到1999。擴展ACL擴展ACL不僅可以根據(jù)源IP地址過濾，也可根據(jù)目的IP地址、協(xié)議和端口號過濾流量。擴展ACL的應(yīng)用比標準ACL更廣泛，因為它們更具體，能夠提供更精確的控制。擴展ACL的編號范圍是100至I」199和2000至I」2699。命名ACL命名ACL（NACL）是通過描述性名稱（而非數(shù)字）引用的訪問列表，命名ACL既可以是標準格式，也可以是擴展格式。配置命名ACL時，路由器的IOS會使用NACL子命令模 式 。105W問列歳的臭車racl曲學型1ani常*丿逐知東11 ■-PJ alupJJM-UJJiFirn | "UMJ ?Router{oon±ig}tBceess-liBt1permithost6-朮許革并IP地址11I t1Q0denytcp0.0-0.2S5anye-q七elnet：?拒蹩從172.1620/24子兩通過telr臥詩冋任伺瓦E主機Router{config}tipacoesb-listporait^ipRouter(config-ext-nacl)ffpeinnitbOBt192,168^5,47?創(chuàng)體窖為permit-ip的標準訪問則表*允許職自IP地址102.1M.5.47的請問?第-條歯令梧示路由郵進ANACL.子館令摸式a訪問控制列表由一條或多條語句組成。每條語句根據(jù)指定的參數(shù)允許或拒絕流量。ACL會將流量與列表中的每條語句逐一進行比較，直至找到匹配項或比較完所有語句為止。ACL的最后一條語句都是隱式拒絕語句。每個ACL的末尾都會自動插入隱含的deny語句，盡管實際上ACL中并不顯示該語句。隱含的deny語句會阻止所有流量，以防不受歡迎的流量意外進入網(wǎng)絡(luò)。在創(chuàng)建訪問控制列表之后，必須將其應(yīng)用到某個接口才可開始生效。ACL控制的對象是進出接口的流量。如果數(shù)據(jù)包與permit語句匹配，則該數(shù)據(jù)包可以進出路由器。如果數(shù)據(jù)包與deny語句匹配，則將停止傳輸。如果ACL中沒有任何permit語句，則會阻止所有流量。這是因為每個ACL的末尾都有一條隱含的deny語句。也正因此，ACL會拒絕所有未明確允許的流量。管理員對路由器接口應(yīng)用入站或出站ACL。所謂的入站或出站，總是相對路由器來說的。進入路由器接口的流量稱為入站流量，流出接口的則稱為出站流量。數(shù)據(jù)包到達接口時，路由器會檢查以下參數(shù)：是否有針對該接口的ACL？該ACL控制的是入站流量還是出站流量？此流量是否符合允許或拒絕的條件？應(yīng)用到接口出站方向的ACL不會影響該接口的入站流量。路由器的每個接口的每個協(xié)議在每個方向（入站和出站）上都可設(shè)置一個ACL。對于IP協(xié)議，一個接口可以同時有一個入站ACL和一個出站ACL。對接口應(yīng)用ACL會加大流量的延遲。一條冗長的ACL便會大大影響路由器的性能。使用通配符掩碼ACL通配符掩碼的用途和結(jié)構(gòu)簡單的ACL僅指定一個要允許或拒絕的地址。要阻止多個地址或某個范圍的地址，需要使用多條語句或使用通配符掩碼。帶有通配符掩碼的IP網(wǎng)絡(luò)地址大大提高了靈活性。利用通配符，只需一條語句便可阻止某個范圍的地址乃至整個網(wǎng)絡(luò)。通配符掩碼使用0表示IP地址中必須完全匹配的部分，用1表示IP地址中不必與指定數(shù)字匹配的部分。通配符掩碼要求IP地址的所有32個比特位均應(yīng)完全匹配。此掩碼相當于使用host參數(shù)。朮許雖6主機的浦配清掩瑪:172.16.22.S70.D.D.0host172.22.S.1/朮許戊4網(wǎng)堆一系更主機兇通配符掩瑪:D.0.D.255允許整個HE黙塔的運配符施碼:■7216.0.C門r.255.2&H尢評整~T■世網(wǎng)皓詰過出舟鼻碼：Q00.0D.25&.25&2&5ACL使用的通配符掩碼與OSPF路由協(xié)議中的通配符掩碼雖然功能相似。但其用途卻并不相同。在ACL語句中，通配符掩碼指定要允許或拒絕的主機或地址范圍。在創(chuàng)建ACL語句時，IP地址和通配符掩碼將作為參照字段。進出接口的所有數(shù)據(jù)包都要與ACL的每條語句進行比較以確定是否匹配。通配符掩碼確定來訪IP地址的多少比特位應(yīng)與參照地址匹配。舉個例子，以下語句允許來自192.168丄0網(wǎng)絡(luò)的所有主機并阻止其它所有主機：access-list1permit55該通配符掩碼指定只需前面三組二進制八位數(shù)匹配。因此，如果傳入數(shù)據(jù)包的前24個比特位與參照字段的前24個比特位相同，則允許傳輸該數(shù)據(jù)。凡是源IP地址介于到55之間的數(shù)據(jù)包都符合本例中的參照地址及掩碼組合條件。所有其它數(shù)據(jù)包均被ACL隱含的denyany語句拒絕。分析通配符掩碼的作用在創(chuàng)建ACL時，可以使用兩個特殊參數(shù)代替通配符掩碼，這兩個參數(shù)分別是：host和any。host參數(shù)要過濾某個特定的主機，請在IP地址后面使用通配符掩碼或者在IP地址前面使用host參數(shù)。R1(config)#access-list9deny9相當于：Rl(config)#access-list9denyhost9any參數(shù)要過濾所有主機，可將參數(shù)的所有位都設(shè)為1,即將通配符掩碼配置為55。使用通配符掩碼55時，所有比特位均視為匹配，因此，其IP地址通常表示為。另一種過濾所有主機的方法是使用any參數(shù)。R1(config)#access-list9permit55相當于：R1(config)#access-list9permitany請看下例，該示例拒絕指定的主機并允許所有其它主機：R1(config)#access-list9denyhost9R1(config)#access-list9permitanypermitany命令允許ACL中未明確拒絕的所有流量。配置該語句后，所有數(shù)據(jù)包都不會與ACL末尾隱含的denyany語句進行比較。在使用分層IP編址方案的企業(yè)網(wǎng)絡(luò)中，經(jīng)常有必要過濾子網(wǎng)流量。以網(wǎng)絡(luò)為例，如果用3個比特位表示其子網(wǎng)，則子網(wǎng)掩碼為24。從掩碼55中減去上述子網(wǎng)掩碼可得通配符掩碼為1。要允許2子網(wǎng)上的主機，可使用以下ACL語句：access-list44permit21每個數(shù)據(jù)包的前27個比特位必須與參照地址的前27個比特位完全匹配。因此，該語句允許的整個地址范圍是3至I」3,而這正是2子網(wǎng)上的所有 地 址 范 圍。子網(wǎng)地址：19Z16B77.32255.255255.224比特快■比特快■1283216各曲為11111111a通配苻鼻00D1421十魚釧11111256D0打a2241111311匹飢的比轉(zhuǎn)也 不匹配的比押拉參腳基準地址:21通過在ACL語句中準確地使用通配符掩碼可以精確地控制流量。對初學者來說，過濾不同子網(wǎng)的流量算是最難的概念。以網(wǎng)絡(luò)為例，如果其子網(wǎng)掩碼為92（或簡寫為/26）,則該網(wǎng)絡(luò)包含以下四個子網(wǎng)：/264/2628/2692/26要創(chuàng)建過濾上述所有子網(wǎng)的ACL，可從掩碼55中減去子網(wǎng)掩碼92，即得通配符掩碼為3。要允許前兩個子網(wǎng)的流量，可使用兩條ACL語句：access-list55permit3access-list55permit43前兩個網(wǎng)絡(luò)也可合并為/25。從掩碼55中減去合并后的子網(wǎng)掩碼28，即得通配符掩碼為27。使用此掩碼可將上述兩個子網(wǎng)合并到一條ACL語句中，而不必再使用兩條語句。access-list5permit27AftA：a&atss-LLst5SpenLc1:92?：1￡0：a&atss-LLst5SpenLc1:92?：1￡0：.77.D口.0.D.63acces-B-lis七5Spenait192.1￡B.77.￡43(ijRplieddenyany)5permit192r16es77,0 0,0,D?T富了業(yè)irl￥去叩192.168^77.0.-"26122.160.77-&4/2628；26192.16877192.'2fi配置訪問控制列表標準和擴展ACL的放置設(shè)計正確的訪問控制列表對網(wǎng)絡(luò)的性能和可用性有積極的影響。在規(guī)劃訪問控制列表的設(shè)計和位置時應(yīng)盡量擴大這種效果。規(guī)劃時的步驟如下：確定流量過濾需求確定哪種類型的ACL最能滿足要求確定要將ACL應(yīng)用到哪個路由器、哪個接口上確定要過濾哪個方向的流量步驟1：確定流量過濾需求從企業(yè)各個部門的利益主體處收集流量過濾需求。這些需求因企業(yè)而異,取決于客戶的要求、流量類型、流量負載以及所關(guān)注的安全問題。步驟2：決定適合要求的ACL類型是采用標準ACL還是采用擴展ACL,這取決于實際的過濾要求。ACL類型的選擇會影響ACL的靈活性以及路由器的性能和網(wǎng)絡(luò)的鏈路帶寬。標準ACL的編寫和應(yīng)用很簡單。但標準ACL只能根據(jù)源地址過濾流量，不能根據(jù)流量的類型或目的地址過濾流量。在多網(wǎng)絡(luò)環(huán)境中，如果標準ACL離源地址太近，則可能會意外地阻止本應(yīng)允許的流量。因此，務(wù)必將標準ACL盡量靠近目的地址。如果過濾要求非常復雜，則應(yīng)使用擴展ACL。與標準ACL相比，擴展ACL通常能夠提供更強大的控制功能。擴展ACL可以根據(jù)源地址和目的地址過濾流量。如有必要，它們還可根據(jù)網(wǎng)絡(luò)層協(xié)議、傳輸層協(xié)議和端口號過濾。借助于更精確的過濾功能，網(wǎng)絡(luò)管理員可以專門針對某個安全計劃編寫滿足其特殊要求的ACL。1盟上山24FaCl/UAl92.16S.3.Db'24192.168.11盟上山24FaCl/UAl92.16S.3.Db'24192.168.1W24i!求:?史用擴展ACl俎止主自192.1確」.門兩蠟的流192.16H.4.0嗣將但允許宣訪冋具它同細"正確的位廈:護展ACL應(yīng)弟近的地址,以阻止叢I'l192.16S.1.U網(wǎng)塔苗流■話問192.16&.40但臉送問直它網(wǎng)絡(luò)■=I/】芒 :I叵幾廠中擊“標進ACL的ACL的也直■賤進肯窮關(guān)說圻和示乳。通過查找源地址和目的地址，ACL會在數(shù)據(jù)包離開源路由器之前就阻止它流向指定的目的網(wǎng)絡(luò)。在數(shù)據(jù)包通過網(wǎng)絡(luò)傳輸之前便對其進行過濾有助于節(jié)約帶寬。步驟3：確定要應(yīng)用ACL的路由器和接口應(yīng)將ACL部署在接入層或分布層的路由器上。網(wǎng)絡(luò)管理員必須能夠控制這些路由器并實施安全策略。如果網(wǎng)絡(luò)管理員不能訪問路由器，則無法在該路由器上配置ACL。接口的選擇取決于過濾要求、ACL類型和指定路由器的位置。最好是在流量進入低帶寬串行鏈路之前便予以過濾。在選擇路由器之后，接口的選擇通常也就豁然明朗。步驟4：確定要過濾的流量方向在確定要對哪個方向的流量應(yīng)用ACL時，應(yīng)從路由器的角度來看流量流。入站流量是指從外部進入路由器接口的流量。路由器會在路由表中查詢目的網(wǎng)絡(luò)之前先將傳入數(shù)據(jù)包與ACL進行比較。此時丟棄數(shù)據(jù)包可以節(jié)約路由查詢的開銷。因此，對路由器來說，入站訪問控制列表的效率比出站訪問列表更高。出站流量系指路由器內(nèi)部通過某個接口離開路由器的流量。對于出站數(shù)據(jù)包，路由器已經(jīng)完

成路由表查詢并且已將數(shù)據(jù)包轉(zhuǎn)發(fā)到正確的接口中。因此，只需在數(shù)據(jù)包離開路由器之前將其與ACL進行比較?；镜腁CL配置過程在收集要求之后，規(guī)劃訪問控制列表，確定ACL的位置并配置ACL。每個ACL都需要有一個唯一的標識符。該標識符可以是一個數(shù)字，也可以是一個描述性名稱。在用數(shù)字標識的訪問控制列表中，數(shù)字標識所建ACL的類型：標準IPACL的數(shù)字范圍是1到99和1300到1999。擴展IPACL的數(shù)字范圍是100到199和2000到2699。也可以創(chuàng)建AppleTalk和IPX的ACL。任何路由器接口都存在一個限制：每個方向每個協(xié)議只有一個ACL。如果路由器只運行IP協(xié)議，則每個接口最多可以處理兩個ACL：一個入站ACL和一個出站ACL。由于每個ACL都會對通過接口傳輸?shù)拿總€數(shù)據(jù)包進行比較，因此ACL會增加延時。昭平協(xié)該的塚個萬勺収B?燙一個訪問到議.應(yīng)周掠準訪謁劌也時應(yīng)爆■律過E的堆址*血月r.s說豈列血時色口鼻過扃絕址"謂呵段試決羅叢列表恿靠向F1C昭平協(xié)該的塚個萬勺収B?燙一個訪問到議.應(yīng)周掠準訪謁劌也時應(yīng)爆■律過E的堆址*血月r.s說豈列血時色口鼻過扃絕址"謂呵段試決羅叢列表恿靠向F1C上最世.場問卩播田句的哺人順序屋從轉(zhuǎn)蚌刃-腔.舌平便Pl ACL卯陽石矗再圾拒（￡.拒絕數(shù)據(jù)包之后，IP舌平便Pl ACL卯陽石矗再圾拒（￡.出站流量過濾不會影響從本地路由器發(fā)出的流量。所有訪問列表的末尾都有一個隱含的denyany語句（不顯示在列表中）?？梢栽谖谋揪庉嬈髦袆?chuàng)建ACL,以便于編輯。您可以將ACL語句復制并粘貼到路由器中。訪問控制列表的配置分兩步：創(chuàng)建和應(yīng)用。ACL的創(chuàng)建進入全局配置模式。使用access-list命令，輸入訪問控制列表語句。以相同的ACL編號輸入所有語句直至訪問控制列表完成為止。標準ACL語句的語法如下：access-list[access-list-number][denylpermit][sourceaddress][source-wildcard][log]既然每個數(shù)據(jù)包都需要與每條ACL語句進行比較直至找到匹配項，該語句在ACL中的順序自然會影響ACL弓|起的延時。因此，應(yīng)當合理安排語句的順序，以使ACL中較常見的條件位于較不常見的條件之前。例如，如果某個語句所查詢的對象流量最高，則該語句應(yīng)置于ACL的開頭。但別忘了，一旦找到某個匹配項，該數(shù)據(jù)包將不會再與ACL中的任何其它語句進行比較。這意味著如果有一行語句允許某個數(shù)據(jù)包，而該ACL中該語句的后面有一行拒絕此數(shù)據(jù)包，則最終會允許傳輸此數(shù)據(jù)包。因此，ACL的規(guī)劃應(yīng)確保較具體的要求排在較籠統(tǒng)的要求之前。換而言之，拒絕某個網(wǎng)絡(luò)的指定主機的語句應(yīng)放在允許整個網(wǎng)絡(luò)的其它主機的語句之前。使用remark命令記錄ACL中每段或每條語句的功能：access-list[listnumber]remark[text]要刪除ACL,請使用以下命令:noaccess-list[listnumber]不能從標準ACL或擴展ACL中單獨刪除某一行，而需要將整個ACL刪除或者整個替換。

床2（configJifacc&ES-listR2liccinfig*facceES-list昭（config*facc&ES-list凹（cqnf：床2（configJifacc&ES-listR2liccinfig*facceES-list昭（config*facc&ES-list凹（cqnf：i罕）t?oc?ss-lictpernut：9i716a.J.￡■D.0.0.255 hF?rmit192.163.l.E?配置采用數(shù)字標號的標準ACLACL在應(yīng)用(或分配)到接口之前不會過濾流量。ACL的應(yīng)用將ACL指派到一個或多個接口，指定是入站流量還是出站流量。盡可能靠近目的地址應(yīng)用標準ACL。R2(config-if)#ipaccess-groupaccesslistnumber[inIout]下列命令將access-list5應(yīng)用于R2Fa0/0接口以過濾入站流量：R2(config)#interfacefastethernet0/0R2(config-if)#ipaccess-group5inACL應(yīng)用到接口上的默認方向是出站。盡管出站是默認設(shè)置，但明確指定方向仍然很重要,這樣可以避免引起混淆并確保流量過濾的方向正確。要從接口中刪除ACL而不破壞ACL，請使用noipaccess-groupinterface命令。R2(config}*acceas-liet3rstnaxkAccess-todepartmentalserverR2(config}fta-cce&s-list3denyhomt2R2(config}#accesfi-liEt3permit192.169.-4.00-0.0.255M(cpnfigi}*?cus?-li$t3permith&st132,ItB,1,t6有幾條ACL命令可以評估語句的語法、順序以及語句在接口上的位置是否正確。showipinterface顯示IP接口信息并顯示任何已分配的ACLoshowaccess-lists[accesslistnumber]顯示路由器上所有ACL的內(nèi)容。還可顯示自應(yīng)用ACL之后每個permit或deny語句的匹配項數(shù)。要查看特定的列表，可添加ACL名稱或編號作為此命令的選項。showrunning-config顯示路由器上所有已配置的ACL,即使這些ACL當前并沒有應(yīng)用到接口上。如果使用數(shù)字編號的ACL，則在最初創(chuàng)建ACL之后輸入的語句將添加到ACL的末尾。這個順序可能會導致不希望的結(jié)果。要解決這個問題，請刪除原始的ACL并重新創(chuàng)建ACLo通常建議在文本編輯器中創(chuàng)建ACLo這樣可以方便地編輯ACL并將其粘貼到路由器配置中。但請切記：在復制并粘貼ACL時，務(wù)必先刪除當前已應(yīng)用的ACL，否則所有語句都將粘貼到ACL的末尾。配置命名ACLCiscoIOS11.2版及更高版本可以創(chuàng)建命名ACL(NACL)。在NACL中，描述性名稱代替了標準ACL和擴展ACL中所需的數(shù)字范圍。命名ACL具備標準ACL和擴展ACL的全部功能和優(yōu)勢；只是其創(chuàng)建語法不同。為ACL分配的名稱是唯一的。在名稱中使用大寫字母可以方便在路由器命令輸出和故障排除中識別。創(chuàng)建命名ACL的語法如下：ipaccess-list{standardIextended}name在調(diào)用此命令后，路由器會切換到NACL配置子命令模式。在最初的命名命令之后，一次性輸入所有的permit和deny語句。之后，NACL使用以permit或deny語句開頭的標準或擴展ACL命令語法。將命名ACL應(yīng)用到接口的方法與應(yīng)用標準ACL或擴展ACL的方法相同?？梢圆捎门c標準ACL相同的命令幫助評估命名ACL的語法、語句順序及語句在接口上的位 置 是 否 正 確。R1(config)#ip鼻&6$事7込七■:KgnJj?寸SALE.S-ONLYR1(eonfig-tKt-nael)fpermitip192,166.1■百百0.D.0.0arkyR1(config-eKt-nacl)ftpezmitip192.Ififi.1.77any(config}#intwrfic?R1(e*nf±g-)Ifipas-Eess-groupSALES-OtiLYIn如果使用早期版本的IOS編輯ACL,則必須:將ACL復制到文本編輯器中。從路由器中刪除ACL。重新創(chuàng)建并應(yīng)用編輯后的版本。問題在于：此過程會讓所有流量在編輯時順利通過接口，因而讓網(wǎng)絡(luò)向潛在的安全風險敞開懷抱。利用最新版本的IOS,可以使用ipaccess-list命令編輯數(shù)字編號式ACL和命名ACL。ACL顯示的行號為10、20、30，依此類推。要查看行號，可使用以下命令：showaccess-lists要編輯現(xiàn)有的行，請執(zhí)行以下操作：使用nolinenumber命令刪除該行使用其行號重新添加該行。要將新行插入到已有的行20和行30之間，請執(zhí)行以下操作：使用newACL語句，以介于兩個現(xiàn)有行號之間的數(shù)字（例如25）開頭調(diào)用showaccess-lists語句顯示重新排序并按10遞增重新編號之后的行。配置路由器VTY訪問網(wǎng)絡(luò)管理員經(jīng)常需要配置位于遠程位置的路由器。要登錄到遠程路由器，網(wǎng)絡(luò)管理員需要使用Telnet或安全外殼（SSH）之類的客戶端。Telnet會以純文本格式傳輸用戶名和口令，因此不是很安全。SSH則以加密格式傳輸用戶名和密碼信息。當網(wǎng)絡(luò)管理員使用Telnet連接到遠程路由器時，路由器會啟動入站會話。Telnet和SSH都是帶內(nèi)網(wǎng)絡(luò)管理工具，需要IP協(xié)議支持和到路由器的網(wǎng)絡(luò)連接。限制VTY（虛擬網(wǎng)絡(luò)電傳終端）訪問的目的是提高網(wǎng)絡(luò)的安全性。外部入侵者可能試圖訪問路由器。若未將訪問控制列表置于相應(yīng)的路由器虛擬端口上，則任何知道Telnet用戶名和口令的用戶都可以訪問路由器。如果ACL應(yīng)用到路由器中僅允許指定IP地址訪問的VTY端口，則任何試圖通過telnet從ACL中未被允許的IP地址訪問路由器的用戶都將被拒絕訪問。但請切記：如果網(wǎng)絡(luò)管理員必須從使用不同IP地址的不同位置連接到路由器,那么上述做法會帶來問題。

Mig)#：aQ^e55-list3peinnithcs^20*9.1&&.202.130R1(cc-nf#1±H4irty04EJL{eemfijg,-l±ft*)i|a&t*ss-elasE3inVTY訪問控制列表的創(chuàng)建過程與接口的ACL創(chuàng)建過程相同。但是，將ACL應(yīng)用到VTY線路所用的命令卻并不相同。此時不是使用ipaccess-group命令，而是使用access-class命令。在對VTY線路配置訪問列表時，請遵循以下原則：對VTY線路要使用數(shù)字編號的ACL（而非命名ACL）。對所有VTY線路應(yīng)用相同的限制，因為無法控制用戶會連接哪條線路。VTY會話在Telnet客戶端軟件和目的路由器之間建立。網(wǎng)絡(luò)管理員通過目的路由器建立會話，輸入用戶名和口令并更改配置。我需姜配庫討TY純路井應(yīng)用A「L{co-nfig) vtyD4R1(dDHf lin-B)*1.口百［巾R1{±o±if E5WotdLtdR1(±o±if )*自口亡#sd-Cl 2lh.192.16&,123配置ACL以便提供應(yīng)用程序和端口過濾功能擴展ACL可根據(jù)源IP地址和目的IP地址過濾流量。在根據(jù)更具體的數(shù)據(jù)包條件過濾流量時，擴展ACL通常更令人稱心如意。OSI第3層網(wǎng)絡(luò)協(xié)議、第4層傳輸協(xié)議和應(yīng)用端口都提供這一功能。還可根據(jù)IP、TCP、UDP和ICMP等協(xié)議過濾流量。擴展ACL還會根據(jù)目的端口號進行過濾。這些端口號描述數(shù)據(jù)包所需的應(yīng)用程序或服務(wù)。每個應(yīng)用都分配有一個注冊端口號。要提取與ACL進行比較所需的所有IP地址和端口號信息，路由器必須分析以太網(wǎng)的數(shù)據(jù)幀。除了輸入端口號以外，在語句匹配之前還需指定條件。最常用的縮寫詞有：eq-等于gt-大于It-小于請看下例:Rl(config)#access-list122permittcp55host9eq80此ACL語句允許源地址為、請求使用端口80進行HTTP訪問的流量。如果用戶試圖通過telnet或FTP訪問主機9，則由于每個訪問列表的末尾都有隱含的deny語句，因此會被拒絕訪問。aeeess-lis-t101perait呂亡ptioft.LGd.1.5hostJL^-i.Lbti00-07^E9-42-AG-2S0D-D7-ES-63-Ct-63192.iM.37102.169.1Bso 』User*DatalruilereOestiniEitiDn□BEllrialjanSourceFCSb 1MACHeaderAddressesIPHeaderAddressesTCPHeaderParts1DataEthernetFrame根據(jù)特定應(yīng)用程序進行過濾需要了解該應(yīng)用程序的端口號。應(yīng)用程序都有相關(guān)聯(lián)的端口號和名稱。ACL可以引用端口80,也可以引用HTTP。如果既不知道應(yīng)用程序的端口號，也不知道其名稱，則可嘗試執(zhí)行以下步驟來查找此信息:1.在Web上研究某個IP編址注冊站點，例如/參閱軟件文檔。參閱應(yīng)用程序供應(yīng)商的網(wǎng)站。4?使用數(shù)據(jù)包嗅探器并從應(yīng)用程序中收集數(shù)據(jù)。5.在access-list命令中使用？選項。該列表包括TCP協(xié)議的已知端口名稱和端口號。某些應(yīng)用程序會使用多個端口號。例如，F(xiàn)TP數(shù)據(jù)傳輸使用端口20，但支持FTP的會話控制則使用端口21。要拒絕所有FTP流量，必須同時拒絕這兩個端口。為了支持多個端口號，CiscoIOSACL可以根據(jù)端口范圍進行過濾?？梢栽贏CL語句中使用gt、lt或range運算符完成上述操作。例如，可以使用以下命令將兩條FTPACL語句合二為一：R1(config)#access-list181denytcpany55range2021配置ACL以便支持已建立的流量創(chuàng)建ACL的目的常常是希望阻止外部源訪問內(nèi)部網(wǎng)絡(luò)。但是，在保護內(nèi)部網(wǎng)的同時，它還應(yīng)允許內(nèi)部用戶訪問所有資源。在內(nèi)部用戶訪問外部資源時，所請求的資源必須通過ACL。例如，內(nèi)部用戶可能希望連接到外部Web服務(wù)器，因此ACL必須允許所請求的html數(shù)據(jù)包。由于ACL會使用隱式拒絕，因此必須通過ACL明確允許訪問該資源。如果為所有要請求的資源都創(chuàng)建一條permit語句，那會導致ACL非常冗長并留下安全漏洞。要解決這個問題，可以請求創(chuàng)建一條語句，允許內(nèi)部用戶建立TCP會話訪問外部資源。完成TCP三次握手并建立連接之后，將允許兩個設(shè)備之間發(fā)送的所有數(shù)據(jù)包。要實現(xiàn)上述功能，請使用關(guān)鍵字：establishedoaccess-list101permittcpanyanyestablished使用此語句，所有外部tcp數(shù)據(jù)包都將被允許，只要它們是對內(nèi)部請求的響應(yīng)。允許對已建立的通信作出傳入響應(yīng)是狀態(tài)包偵測(SPI)的一種形式。除了已建立的流量之外，內(nèi)部用戶可能還需要ping外部設(shè)備。但并不希望允許外部用戶ping或跟蹤內(nèi)部網(wǎng)絡(luò)中的設(shè)備。這種情況下，可以使用關(guān)鍵字echo-reply和unreachable編寫一條語句來允許ping響應(yīng)和無法送達的消息。但除非在另一條語句中明確允許，否則外部發(fā)起的ping將被拒絕。

NAT和PAT對ACL位置的影響實施NAT和PAT可能會給ACL的規(guī)劃帶來問題。網(wǎng)絡(luò)管理員在創(chuàng)建ACL并將ACL應(yīng)用到執(zhí)行NAT的接口上時需要考慮地址轉(zhuǎn)換問題。在同時使用NAT和ACL時，必須了解它們在路由器上會如何相互影響。1.如果數(shù)據(jù)包通過應(yīng)用了NAT的外部接口入站，則路由器將：應(yīng)用入站ACL將目的地址從外部地址轉(zhuǎn)換為內(nèi)部地址或從全局地址轉(zhuǎn)換為本地地址路由數(shù)據(jù)包2.如果數(shù)據(jù)包通過NAT外部接口出站，則路由器將：將源地址從內(nèi)部地址轉(zhuǎn)換為外部地址或從本地地址轉(zhuǎn)換為全局地址應(yīng)用出站ACL規(guī)劃ACL時應(yīng)使其根據(jù)與NAT的關(guān)系過濾私有或公有地址。如果流量是應(yīng)用了NAT的外部接口的入站或出站流量，則要過濾的地址是公有地址。R1(confij)#accesH-listlfllPermit 0.0.25S.255host30&-165.2GG.230Rl(config#interfaceSO/O/DPlL(config—ifJ#ip且cceBB.-group101cut分析網(wǎng)絡(luò)ACL及其位置網(wǎng)絡(luò)管理員在實施ACL之前應(yīng)評估ACL中每條語句的影響。對接口應(yīng)用設(shè)計不當?shù)腁CL后，問題就會接踵而至。這些問題五花八門，從錯誤觸發(fā)安全性警報到給路由器增加不必要的負載直至網(wǎng)絡(luò)無法正常運行。管理員需要逐行檢查ACL并回答以下問題：該語句拒絕什么服務(wù)？源地址是什么，目的地址是什么？拒絕哪些端口號？如果將ACL移到其它接口，將會怎樣？如果讓該ACL過濾相反方向的流量，將會怎樣？NAT是否會帶來問題？在評估擴展ACL時，務(wù)必牢記以下幾點：關(guān)鍵字tcp允許或拒絕FTP、HTTP、Telnet之類的協(xié)議。關(guān)鍵短語permitip用于允許所有IP協(xié)議，包括任何TCP、UDP和ICMP協(xié)議。在啟用VLAN網(wǎng)間路由的情形下配置ACL當網(wǎng)絡(luò)中啟用VLAN網(wǎng)間路由時，有時需要使用ACL控制各個VLAN之間的流量。就像對物理接口應(yīng)用ACL那樣直接對VLAN接口或路由器上的子接口應(yīng)用ACL。企業(yè)網(wǎng)絡(luò)通常將服務(wù)器和用戶組分設(shè)在不同的VLAN上。這種情況下，需要過濾對服務(wù)器VLAN的訪問。對于子接口上的ACL,其創(chuàng)建和應(yīng)用的所有規(guī)則和方法與針對物理接口的ACL相同。VLAN3/脛芬器VLAN3/脛芬器JIF地Ilk192.1M.31.kVLAN3VLAN2i用戶｝使用日志記錄檢驗ACL功能在編寫ACL并將其應(yīng)用到接口之后，網(wǎng)絡(luò)管理員需要計算匹配的項數(shù)。當傳入數(shù)據(jù)包的各個字段與所有ACL參照字段完全相同時，則視為一個匹配項。查看匹配項數(shù)有助于確定ACL語句是否能夠達到預期的效果。默認情況下，ACL語句統(tǒng)計匹配的項數(shù)并在每條語句的末尾顯示該數(shù)字。使用下面的命令查看匹配項：showaccess-listshowaccess-list命令顯示的基本匹配項數(shù)提供了匹配的ACL語句條數(shù)以及處理的數(shù)據(jù)包數(shù)。輸出并不顯示數(shù)據(jù)包的源地址或目的地址，也不顯示正在使用的協(xié)議。有關(guān)允許或拒絕的數(shù)據(jù)包的詳細信息，請啟動稱為日志記錄的進程。日志記錄的跟蹤對象是單條ACL語句。要啟用該功能，請在要跟蹤的每條ACL語句的末尾添加log選項。使用日志記錄功能的時間不宜過長，完成ACL的測試后即應(yīng)停用。事件記錄的過程會給路由器帶來額外的開銷。事件記錄到控制臺會占用路由器的內(nèi)存，而路由器的內(nèi)存資源非常有限。因此，應(yīng)將路由器配置為向外部服務(wù)器發(fā)送日志記錄消息。這些消息稱為syslog消息，用戶可以實時查看或以后查看這些消息。消息類型包括8個消息安全級別。安全級別范圍為從0級（表示危急情況或不可用的系統(tǒng)）到第7級（表示調(diào)試之類的參考性信息）。ACL日志記錄生成的參考性信息包含：ACL編號允許或拒絕的數(shù)據(jù)包源地址和目的地址數(shù)據(jù)包數(shù)先為第一個匹配的數(shù)據(jù)包生成消息，然后每5分鐘生成一條消息。要關(guān)閉日志記錄功能，請使用：nologgingconsole要關(guān)閉所有調(diào)試功能，請使用：undebugall要關(guān)閉某項調(diào)試功能（例如ippacket），請使用：nodebugippacket分析路由器日志事件記錄到控制臺會占用路由器的內(nèi)存，而路由器的內(nèi)存資源非常有限。因此，應(yīng)將路由器配置為向外部服務(wù)器發(fā)送事件日志，事件日志有時稱為syslog消息。使用這種方法可以實時查看消息，也可以后查看。報告的事件類型包括以下各項的狀態(tài)：路由器接口正在使用的協(xié)議帶寬使用率ACL消息配置事件建議同時使用在發(fā)生危急事件時通過電子郵件、尋呼機或移動電話通知網(wǎng)絡(luò)管理員的選項。其它配置選項包括：提供新消息到達通知排序和分組消息根據(jù)嚴重級別過濾消息刪除所有或選定的消息許多資源都提供Syslog軟件。價位不同的軟件提供不同的報告級別和易用性，且Internet上也有一些免費的程序。Syslog是所有網(wǎng)絡(luò)設(shè)備（包括交換機、路由器、防火墻、存儲系統(tǒng)、調(diào)制解調(diào)器、無線設(shè)備和UNIX主機）都支持的協(xié)議。要使用syslog服務(wù)器，請在Windows、Linux、UNIX或MACOS服務(wù)器上安裝該軟件并將路由器配置為向syslog服務(wù)器發(fā)送記錄的事件。指定安裝syslog服務(wù)器的主機IP地址的命令示例如下：logging1在故障排除時，應(yīng)設(shè)置服務(wù)時間戳以便記錄日志。務(wù)必正確設(shè)置路由器的日期和時間，以便日志文件能夠正確地顯示時間戳。使用showclock命令檢查日期和時間設(shè)置。R1>showclock*00:03:45.213UTCMonMar12007要設(shè)置時鐘，請先設(shè)置時區(qū)。時區(qū)以格林尼治標準時間（GMT）為準，然后設(shè)置時鐘。注意:clockset命令不能在配置模式中使用。要設(shè)置時區(qū)，請輸入以下命令：R1（config）#clocktimezoneCST-6要設(shè)置時鐘，請輸入以下命令：R1#clockset10:25:00Sep102007ACL最佳做法ACL是非常強大的過濾工具，它們在應(yīng)用到接口上之后會立即生效。在應(yīng)用ACL之前抽點時間規(guī)劃和排除隱患比在應(yīng)用之后絞盡腦汁排除故障要強得多。在應(yīng)用ACL之前務(wù)必測試基本的連通性。如果由于電纜故障或IP配置出錯導致未能成功ping主機，ACL會與這些問題糾纏在一起，從而更難以排除故障。

在記錄日志時，會在ACL的末尾添加denyipany語句。該語句可以跟蹤被拒數(shù)據(jù)包的匹配項數(shù)。在使用遠程路由器并測試ACL的功能時，請使用reloadin30命令。如果ACL錯誤地阻止了對路由器的訪問，遠程連接可能會被拒絕。通過使用此命令，路由器會在30分鐘內(nèi)重新加載并恢復為啟動配置。對ACL的運行狀況感到滿意之后，請將運行配置復制到