《扩展的IP访问控制列表》由会员分享,可在线阅读,更多相关《扩展的IP访问控制列表(5页珍藏版)》请在金锄头文库上搜索。
1、扩展的IP访问控制列表顾名思义,扩展的IP访问表用于扩展报文过滤能力。一个扩展的IP访问表允许用户根 据如下内容过滤报文:源和目的地址、协议、源和目的端口以及在特定报文字段中允许进行 特殊位比较等等。一个扩展的IP访问表的一般语法格或如下所示:access -1 istlist nurnberJlpermit/denypiotQCflIret? iddress sw H de ar d s our ce poridesi imiion addressdest mat son -wi ldc.irdl|dcjshnat iotfi pof iloyroprior下面简要介绍各个关键字的功能:l.
2、lis t number表号范围扩展IP访问表的表号标识从100到199。2.protocol协议协议项定义了需要被过滤的协议,例如IP、TCP、UDP、1CMP等等。协议选项是很重要 的,因为在TCP/IP协议栈中的各种协议之间有很密切的关系,如果管理员希望根据特殊协 议进行报文过滤,就要指定该协议。另外,管理员应该注意将相对重要的过滤项放在靠前的位置。如果管理员设置的命令中, 允许IP地址的语句放在拒绝TCP地址的语句前面,则后一个语句根本不起作用。但是如果 将这两条语句换一下位置,则在允许该地址上的其他协议的同时,拒绝了 TCP协议。3源端口号和目的端口号源端口号可以用几种不同的方法来指
3、定。它可以显式地指定,使用一个数字或者使用一 个可识别的助记符。例如,我们可以使用80或者http来指定Web的超文本传输协议。对于 TCP和UDP,读者可以使用操作符(小于)、(大于)=(等于)以及(不等于)来进行 设置。目的端口号的指定方法与源端口号的指定方法相同。读者可以使用数字、助记符或者使 用操作符与数字或助记符相结合的格式来指定一个端口范围。下面的实例说明了扩展IP访问表中部分关键字使用方法:accesslist 101 permit tep any host 198.78.46.8 eq smtpaccesslist 101 permit tep any host 198.78.
4、46.3 eq www第一个语句允许来自任何主机的TCP报文到达特定主机198. 78.46.8的smtp服务端口 (25);第二个语句允许任何来自任何主机的TCP报文到达指定的主机198. 78.46.3的www或 http 服务端口 (80)。4. 选项扩展的IP访问表支持很多选项。其中一个常用的选项有log,它已在前面讨论标准访 问表时介绍过了。另一个常用的选项是fistahlishfid,该选项只用于TCP协议并且只在TCP 通信流的一个方向上来响应由另一端发起的会话。为了实现该功能,使用estab1ished选项 的访问表语句检查每个TCP报文,以确定报文的ACK或RST位是否已设置
5、。例如,考虑如下扩展的IP访问表语句:accesslist 101 permit tep any host 198.78.46.8 established该语句的作用是:只要报文的ACK和RST位被设置,该访问表语句就允许来自任何源地 址的TCP报文流到指定的主机198. 78.46.8。这意味着主机198. 78.46.8此前必须发起TCP 会话。5. 其他关键字deny/permit、源地址和通配符屏蔽码、目的地址和通配符屏蔽码以及host/any的使用 均与标准IP访问表中的相同。表2是对部分关键字的具体解释。表2:关賈字说明iny对Q.0 Q.0, 55.255.5.55的地吐和通配蒂
6、屛桜码的缰写*用于添和目的字段赵血喻刮 用于过能ACK或眼T位晏否被酋位f只ffl f TCP)対0趴0,0通配林屛戏码的第舀一同干理和目的地址W 昭 用于过題卯卩涓息类型.用户迪可歐指定-脚胪消息码(02阴)PE用于鼠矢个T卯或虑F端口的十进赴号码威各祢Ptcrol用于定义要辻溝的协议.可以辄含如下的关饕字之:曲肚P胡陀卫吋谓陀.即P, b检翼出时卞p或udp.也可以包督02協之问的一整数,以表是一个e协议F瞅浊険用干按优先騷塞妳威數宇0门来过滤鯛整用于翟爵问炭中漆初畫承注莽T0S用于按软字威帛称特定的毗务ft先紙弐迁滤管理和使用访问表在一个接口上配置访问表需要三个步骤:(1) 定义访问表;
7、(2) 指定访问表所应用的接口;(3) 定义访问表作用于接口上的方向。我们已经讨论了如何定义标准的和扩展的IP访问表,下面将讨论如何指定访问表所用 的接口以及接口应用的方向。一般地,采用interface命令指定一个接口。例如,为了将访问表应用于串口0,应使 用如下命令指定此端口:interface serial0类似地,为将访问表应用于路由器的以太网端口上时,假定端口为EthernetO,则应使 用如下命令来指定此端口:interface ethernetO在上述三个步骤中的第三步是定义访问表所应用的接口方向, 通常使用 ip access-group命令来指定。其中,列表号标识访问表,而关
8、键字in或out则指明访问表所 使用的方向。方向用于指出是在报文进入或离开路由器接口时对其进行过滤。如下的实例将 这三个步骤综合在一起:intface serialOip access-group 1O7 inaccess-list 1O7 remark allow traffic to toms pc access-list 1O7 ip any host 198.78.46.8access-list 1O7 remark allow only web traffic to webserver access-list 1O7 tcp any host 198.78.46.12 eq 8O a
9、ccess-list 1O7 remark block everything elseaccess-list 1O7 deny any any在本例中,先使用interface命令指定串行端口 0,并使用ipaccess-group命令来将 访问表107中的语句应用于串行接口的向内方向上。最后,输入6个访问表语句,其中三条 访问表语句使用关键字remark,以提供关于列表中后继语句的注解说明。注意访问表中的 最后一条语句,它表示了每个访问表相关的隐含denyall设置,并且如果不显式地列出是不 会看到该语句的。如果读者希望从路由器的控制台端口相连的终端上直接输入这些命令和语 句,则应该先使用
10、EXEC 特权命令。这个终端会话过程的实例如下图所示:router it conf tg lerminai亡onf rguraljcn commands-,pgf | me . Lnd withCTRl/ZRouter (conf ig) fl: Inicr face 騒/询0Rqmer, (aanhgif) # ipgroup 107 inRouter(configif) #exitRouter( conbg | tI ist i 07 remark 1 low traffftto rom3s pcReuter (匚onjg ) # access list 1 07 ip any host1
11、 9?./S.46.8Router (conftg) #acc53list 107 cemarfc aflow onl web- iraffrc to web serverRouier ( config j yt access- 1 07 tep any host197.78 4G.12 旳 80Houter(cQr)-iy) # (iccf?3S I is? ,? 07 remark block f?vervthrrig elseRouter ( conJ ig # accesslist 07 deny any neyRouter conf ig #exi Routiar tt write
12、ternnui!此外,当读者配置访问表后使用IOS的show命令查看列表时,有时很容易被显示出来 的内容所迷惑,这是由于当通配符屏蔽码位被置为 1(无关)时, 1OS 将该访问表表项的 IP 地址部分的该位设置为二进制0。例如,输入如下的配置命令,用于创建一个扩展的IP访问表,并将其列表内容显示出 来:rout-er conf ig termina Iruuier I cor ifig ) Ji p 198 78 46 200.0,0.25Ei host 05 131J72 Jroutcir (config) #总蝦“router #siow access-li51 l 01Extended ip 珀比七亡勺宜It飢 101Permit ip 198.78. 6 .0 0.0 Q 255 hosi 205.131 . V5.1在本例中,由于 C 类地址的通配符屏蔽码的主机子段被设置为全 1(255),所以网络 198.78.46.0 上的主机地址198.78.46.20被自动转换为网段地址。
