谁都知道Cisco 路由器ACL在Cisco 路由器的安全策略中具有相当重要的地位,所以掌握这些知识点是每一个网友必备的。其实在很多地方都会涉及到这些内容。访问列表(Access List)是一个有序的语句集。它是基于将规则与报文进行匹配,用来允许或拒绝报文流的排序表。用来允许或拒绝报文的标准是基于报文自身包含的信息,通常这些信息只限于第三层和第四层报文头中的包含的信息。当报文到达路由器的接口时,路由器对报文进行检查,如果报文匹配,则执行该语句中的动作;如果报文不匹配,则检查访问表中的下一个语句。
直到***一条结束时仍没有匹配语句,则报文按缺省规则被拒绝。正确的使用和配置访问列表是Cisco 路由器ACL配置中至关重要的一部分。因为,有了它不仅使管理员有强大的控制互联网络流量的能力,而且还可以实现安全策略,也可以保护敏感设备防止非授权的访问。访问列表基本上是一系列条件,这些条件控制对一个网段的访问也控制来自一个网段的访问。访问列表可以过滤不必要的数据包,并用于实现安全策略。通过恰当的组合访问列表,网络管理员具有了实现任何创造性的访问策略的能力。
IP和IPX访问列表工作原理非常相似——它们都是包过滤器,包被比较、被分类并遵照规定行事。一旦建立了列表,可以在任何接口上应用入站(inbound)或出站(outbound)流量。这里有一些数据包和访问列表相比较时遵循的重要规则:通常是按照顺序比较访问列表的每一行,例如,通常从***行开始,然后转到第二行,第三行,等等。比较访问列表的各行直到比较到匹配的一行。一旦数据包与访问列表的某一行匹配,它就遵照规定行事,不再进行后续比较。
在每个访问列表的***有一行隐含式的“deny(拒绝)”语句——意味着如果数据包与访问列表中的所有行都不匹配,将被丢弃。当使用访问列表过滤IP和IPX包时,每个规则都有很强的含义。IP和IPX有两种类型访问列表:标准访问列表 这种访问列表在过滤网络时只使用IP数据包的源IP地址。这基本上允许或拒绝了整个协议组。IPX标准访问列表可以根据源IPX地址和目的IPX地址进行过滤。扩展访问列表 这种访问列表检查源IP地址和目的IP地址、网络层报头中的协议字段和传输层报头中的端口号。IPX扩展访问列表使用源IPX地址和目的IPX地址、网络层协议字段和传输层报头中的套接字号。
一旦创建了一个访问列表,可应用于输出型或者输入型的接口上:输入型访问列表 数据包在被路由到输出接口前通过访问列表而被处理。输出型访问列表 数据包被路由到输出接口,然后通过访问列表而被处理。这里还有一些在Cisco 路由器ACL上创建和实现访问列表时应当遵循的访问列表指南:每个接口、每个协议或每个方向只可以分派一个访问列表。这意味着如果创建了IP访问列表,每个接口只能有一个输入型访问列表和一个输出型访问列表。组织好访问列表,要将更特殊的测试放在访问列表的最前面。任何时候访问列表添加新条目的时候,将把新条目放置到列表的末尾。不能从访问列表中删除一行。
如果试着这样做,将删除整个访问列表。除非在访问列表末尾有permitany命令,否则所有和列表的测试条件都不符合的数据包将被丢弃。每个列表应当至少有一个允许语句,否则可能会关闭接口。先创建访问列表,然后将列表应用到一个接口。任何应用到一个接口的访问列表如果不是现成的访问列表,那么此列表不会过滤流量。
访问列表设计为过滤通过路由器的流量。不过滤Cisco 路由器ACL产生的流量。将IP标准访问列表尽可能放置在靠近目的地址的位置。将IP扩展访问列表尽可能放置在靠近源地址的位置。标准IP访问列表,表1列出了和标准IP访问列表相关的配置命令,表2列出了相关的EXEC命令。标准IPX访问列表,同标准IP访问列表配置方法类似:
access-list{numer} {permit | deny} {source_address} {destination_address}
ipx access-group {number|name}{in| out}
扩展IPX访问列表,扩展IPX访问列表可以根据下列任何内容进行过滤:源网络/节点地址,目的网络/节点地址IPX协议(SAP、SPX,等等),IPX套接字,同标准访问列表的配置方法一致,只是增加了协议和套接字信息:access-list{numer} {permit | deny} {protocol} {source} {socket}{destination } {socket},(由于IPX不是我们介绍的重点,所以只是稍微介绍J)值得注意的是访问列表的号码,下面是一个可以用于过滤网络的访问列表举例。访问列表可以使用的不同协议依赖于IOS版本。下面是Cisco 路由器ACL的具体码子!
Router(config)#access-list?
<1-99> IPstandard access list
<100-199>IP extended access list
<1000-1099>IPX SAP access list
<1100-1199>Extended 48-bit MAC address access list
<1200-1299>IPX summary address access list
<200-299>Protocol type-code accesslist
<300-399>DECnet access list
<400-499>XNS standard access list
<500-599>XNS extended access list
<600-699>Appletalk access list
<700-799>48-bit MAC address accesslist
<800-899>IPX standard access list
<900-999>IPX extended access list