《Cisco access-list 访问控制列表配置全解》由会员分享,可在线阅读,更多相关《Cisco access-list 访问控制列表配置全解(12页珍藏版)》请在金锄头文库上搜索。
1、ACL(Access Control List,访问控制列表) 技术从来都是一把双刃剑,网络应用与互联网的普及在大幅提高企业的生产经营效率的同时,也带来了诸如数据的安全性,员工利用互联网做与工作不相干事等负面影响。如何将一个网络有效的管理起来,尽可能的降低网络所带来的负面影响就成了摆在网络管理员面前的一个重要课题。 A公司的某位可怜的网管目前就面临了一堆这样的问题。A公司建设了一个企业网,并通过一台路由器接入到互联网。在网络核心使用一台基于IOS的多层交换 机,所有的二层交换机也为可管理的基于IOS的交换机,在公司内部使用了VLAN技术,按 能的不同 为了6个VLAN。 是网络设 与网管 (V
2、LAN1,10.1.1.0/24) 内部 器(VLAN2) Internet 接(VLAN3) 部 VLAN4 部 (VLAN5) 部 VLAN6 , 路由器 Fa0/0接公司内部网,通过s0/0 接到Internet。 个网 的 层设 也就是 机 的 网 都从高位 ,所有的 从低位 。从网络建成currency1就一“过,一fi有fl 网络设 要 一fi 在”互联网通,员工成 就 网一fi 的fl 部 的员工了不的数据。这”都这位可怜的网管, 都大了。 有 能 这问题 就是使用网络层的访问 制控制技术 访问控制列表 ACL 。 , 是ACL ACL是 样的技术,能做 ,在一 样的 性 ACL
3、的基 理 能与 性 网络 的ACL是Cisco IOS所提 的一 访问控制技术, 在路由器 ,来经 到层交换机,部 的二层交换机如2950 也提 ACL的 。 不过 的 性不是 。在 的路由器多层交换机 也提 的技术,不过 都可能有细微的差 。 所有的 实例基于 Cisco IOS的ACL进行编写。 基 理:ACL使用包过滤技术,在路由器 读取第 层及第四层包 的信息如源 目的 源端 目的端 等,根据预先定义好的规则对包进行过滤,从 达到访问控制的目的。 能:网络 的资源 用 两大 , 资源提 数据,用 访问资源所提的 与数据。ACL的主要 能就是一 面保护资源,阻止非用 对资源的访问,另一
4、面 制定的用 所能具 的访问权 。 ACL的基 则:在实施ACL的过程 ,应当遵循如 两个基 则: u 小 权 则: 给受控对象 成任 所必须的 小的权 u 靠受控对象 则:所有的网络层访问权 控制 性:由于ACL是使用包过滤技术来实现的,过滤的依据 是第 层 第四层包 的部 信息,这 技术具有一固有的 性,如无识 到具体的 fl,无识 到应用内部的权 级 等。因此,要达到end to end的权 控制目的,需要 系统级及应用级的访问权 控制结合使用。ACL 技术详 “ 多废话做 ,赶快进行 吧。”,A公司的网管。呵呵,并不是我想 多废话,因为理这基础的概念与 单的 理对续的 排错都是相当有用
5、的。,你的第一个需求是 。 “做为一个网管,我不 望普通用 能telnet到网络设 ” ACL基础 “补充一,要求能从我现在的机器( VLAN的10.1.6.66) telnet到网络设 去。”。hamm,是个不错的主意,谁都不希望有fl 在己的花园 撤野。让我们 析一 ,在A公司的网络 ,除 路由器外,所有的网络设 的是放在Vlan1 ,个我 需要在到VLAN 1的路由器接 允许源为10.1.6.66的包通过,的包通通过滤掉。这 管源IP 的ACL就叫做 标准IP ACL: 我们在SWA 进行如 的 : access-list 1 permit host 10.1.6.66 access-l
6、ist 1 deny any int vlan 1 ip access-group 1 out 这几条命令 的相应 键字的意义如 : access-list: ACL的 键字,所有的ACL使用这个命令进行 。 access-list面的1:ACL号,ACL号相同的所有ACL形成一个组。在判一个包时,使用同一组 的条目从 到 逐一进行判,一遇到满足 的条目就终止对包的判。1-99为标准的IP ACL号,标准IP ACL由于 读取IP包 的源 部 , 资源 。 permit/deny: 作。Permit是允许通过,deny是 包。 host 10.1.6.66/any: 条 ,等同于10.1.6.
7、66 0.0.0.0。 过,标准的ACL 制源 。Host 10.1.6.66(10.1.6.66 0.0.0.0)的意 是 源 为10.1.6.66的包。0.0.0.0是wildcards,某位的wildcards为0表 IP 的对应 位必须 合,为1表 IP 的对应位不管是都行。 单,就是255.255.255.255 去 网 的 ,0.0.0.0的 wildcards就是意 IP 必须 合10.1.6.66,可 为host 10.1.6.66。any表 所有 。 意:IOS 的ACL使用wildcards,并 用wildcards对IP 进行 的对 ,如你 入一条access-list
8、1 permit 10.1.1.129 0.0.0.31,在你show access-list时, 成access-list 1 permit 10.1.1.128 0.0.0.31,PIXOS 的ACL使用subnet masks,并 不进行对 作。vlan1/ip access-group 1 out:这两 将access-list 1应用到vlan1接 的out 。 1是ACL号, 相应的ACL进行 联。Out是对路由器接 个 的包进行过滤,可 有in out两。 意:这 的in/out都是在路由器 层 R 的,in表 从接 进入R的包,out表 从接 去的包。 好了,这就是一个 基 的
9、ACL的 。 ,你普通用 能telnet到RTA 你在int vlan3现一个ip access-group 1 out吧。Hammmm,等等,你这样 去普通用 就访问不了internet了。让我们把 的ACL去掉,重 写一个。 一 ,我们的目的是除了10.1.6.66能进行telnet 作外,用 都不允许进行telnet 作。我们过,标准的IP ACL 能控制源IP ,不能控制到端 。要控制到第四层的端 ,就需要使用到: 的IP ACL的 先 实例吧。在SWA 进行如 : int vlan 1 no ip access-group 1 out exit no access-list 1 ac
10、cess-list 101 permit tcp host 10.1.6.66 any eq telnet access-list 101 deny tcp any any eq telnet int vlan 1 ip access-group 101 out int vlan 3 ip access-group 101 out 你应 意到到这 的ACL有一 currency1了,现在对 currency1的部 做一: access-list 101: 意这 的101, 的标准ACL 的1一样,101是ACL号,表 这是一个 的IP ACL。 的IP ACL号“是100-199, 的IP A
11、CL可 控制源IP 目的IP 源端 目的端等,能实现相当细的控制, ACL不 读取IP包 的源 /目的 ,要读取第四层包 的源 端 目的端 ,的IP在有 ACLfifl , 大的CPU资源。 int vlan 1/no ip access-group 1 out/exit/no access-list 1:取 access-list1,对于非命的ACL,可 需要这一 就可 全部取 。 意,在取 一个ACL前,必须先在所应用的接 先把应用给no掉,则 相当 重的。 tcp host 10.1.6.66 any eq telnet: 条 。 为: 源 源wildcards 系源端 目的 目的wil
12、dcards 系 目的端 。 可 是IP TCP UDP EIGRP等,内为可 字 。 在为tcp/udp等具 端 号的 有用。 系可 是 eq(等于) neq 不等于 lt(大于) range “ 等。端 一”为数字的1-65535,对于端 ,如23( 为telnet) 等可 用 。源端 目的端 不定义时表 所有端 。 把这个ACL应用 去,用 们 话来 了,因为们都访问不了Internet了,是 了问题了 意:所有的ACL, fl ,从安全, 都一 deny any(标准ACL)deny ip any any IP ACL 。所 在不了业 使用到 端 的fl , 好在ACL的 一 perm
13、it ip any any,在这 就是access-list 101 permit ip any any。 现在用 是能访问Internet了, 我们的可怜的网管 现普通用 是能telnet到的SWA 面,因为SWA 面有多个网络接 , 使用 的ACL 多的资源。有 单的能控制用 对网络设 的Telnet访问, 不 多的资源 这就需要使用到:对网络设 的访问如何进行控制的技术 让我们先把 的ACL都取掉(具体 ,不读 为我在 了。), 在 台网络设 进行如 : access-list 1 permit host 10.1.6.66 line vty 0 4(部 设 是15) access-cl
14、ass 1 in 这样就行了,telnet都是访问的设 的line vty,在line vty 面使用access-class与ACL组进行 联,in 键字表 控制进入的 接。 就这 单 wk,你 是不是在 我们,为 要 一大 在70的 。(5555555, 也 是想 大 把ACL的基础识 的 一的)。经过 的 ,我们可 理 一个单的ACL 了: u 析需求, 需求 要保护 控制 为 , 好能 表 形 列 。在 的面例的。 u 析 合条 的数据 的路 ,一个 合进行控制的位 u 写ACL,并将ACL应用到接 u 并ACL。 当A公司的 在网管能控制普通用 对网络设 的访问,我们的可怜的网管就到了多起来的要求。要求网管: “使用ACL技术对网络访问进行细currency1控制” ACL进 命的IP ACL 由于 器网 的机器是fl用telnet rsh等 进行 ,我们 对员工放web 器(10.1.2.20)所提 的http FTP 器(10.1.2.22)提 的FTP 数据 器(10.1.2.21:1521)。好吧,我们 进行 ,可是我们的ACL 写到一 , 现前面写的几 好 有问题,一个no命令 进去,个ACL都了,唉,一切都重来, 就有一个
