cisco路由器配置ACL讲解.docx
《cisco路由器配置ACL讲解.docx》由会员分享,可在线阅读,更多相关《cisco路由器配置ACL讲解.docx(9页珍藏版)》请在冰点文库上搜索。
cisco路由器配置ACL讲解
cisco路由器配置ACL详解
什么是ACL?
访问操纵列表简称为ACL,访问操纵列表利用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,依照预先概念好的规那么对包进行过滤,从而达到访问操纵的目的。
该技术初期仅在路由器上支持,近些年来已经扩展到三层互换机,部份最新的二层互换机也开始提供ACL的支持了。
访问操纵列表利用原那么
由于ACL涉及的配置命令很灵活,功能也很壮大,因此咱们不能只通过一个小小的例子就完全把握全数ACL的配置。
在介绍例子前为大伙儿将ACL设置原那么罗列出来,方便列位读者更好的消化ACL知识。
一、最小特权原那么
只给受控对象完成任务所必需的最小的权限。
也确实是说被操纵的总规那么是各个规那么的交集,只知足部份条件的是不允许通过规那么的。
二、最靠近受控对象原那么
所有的层访问权限操纵。
也确实是说在检查规那么时是采纳自上而下在ACL中一条条检测的,只要发觉符合条件了就立刻转发,而不继续检测下面的ACL语句。
3、默许抛弃原那么
在路由互换设备中默许最后一句为ACL中加入了DENYANYANY,也确实是抛弃所有不符合条件的数据包。
这一点要专门注意,尽管咱们能够修改那个默许,但未改前必然要引发重视。
由于ACL是利用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部份信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。
因此,要达到端到端的权限操纵目的,需要和系统级及应用级的访问权限操纵结合利用。
分类:
标准访问操纵列表
扩展访问操纵列表
基于名称的访问操纵列表
反向访问操纵列表
基于时刻的访问操纵列表
标准访问列表:
访问操纵列表ACL分很多种,不同场合应用不同种类的ACL。
其中最简单的确实是标准访问操纵列表,标准访问操纵列表是通过利用IP包中的源IP地址进行过滤,利用的访问操纵列表号1到99来创建相应的ACL
访问操纵列表ACL分很多种,不同场合应用不同种类的ACL。
其中最简单的确实是标准访问操纵列表,他是通过利用IP包中的源IP地址进行过滤,利用的访问操纵列表号1到99来创建相应的ACL。
标准访问操纵列表的格式:
标准访问操纵列表是最简单的ACL。
它的具体魄式如下:
access-listACL号permit|denyhostip地址
例如:
access-list10denyhost这句命令是将所有来自地址的数据包抛弃。
固然咱们也能够用网段来表示,对某个网段进行过滤。
命令如下:
access-list10deny.255
通过上面的配置以后自的所有运算机数据包进行过滤抛弃。
什么缘故后头的子网掩码表示的是.255呢?
这是因为规定在ACL顶用反向掩玛表示子网掩码,反向掩码为的代表他的子网掩码为。
小提示:
关于标准访问操纵列表来讲,默许的命令是HOST,也确实是说access-list10deny表示的是拒绝这台主机数据包通信,能够省去咱们输入host命令。
标准访问操纵列表实例一:
环境介绍:
咱们采纳如下图的网络结构。
连接了二个网段,别离为,。
在网段中有一台提供WWW效劳,IP地址为。
实例1:
禁止网段中除这台运算机访问的运算机。
能够正常访问。
路由器配置命令
access-list1permithost设置ACL,允许的数据包通过。
access-list1denyany设置ACL,阻止其他一切IP地址进行通信传输。
inte1进入E1端口。
ipaccess-group1in将ACL1宣告。
通过设置后E1端口就只允许来自那个IP地址的数据包传输出去了。
来自其他IP地址的数据包都无法通过E1传输。
小提示:
由于默许添加了DENYANY的语句在每一个ACL中,因此上面的access-list1denyany这句命令能够省略。
另外在路由器连接网络不多的情形下也能够在E0端口利用ipaccess-group1out命令来宣告,宣告结果和上面最后两句命令成效一样。
标准访问操纵列表实例二:
配置任务:
禁止那个运算机对网段的访问,而中的其他运算性能够正常访问。
配置命令:
access-list1denyhost设置ACL,禁止的数据包通过
access-list1permitany设置ACL,允许其他地址的运算机进行通信
inte1进入E1端口
ipaccess-group1in将ACL1宣告,同理能够进入E0端口后利用ipaccess-group1out来完成宣告。
配置完毕后除其他IP地址都能够通过路由器正常通信,传输数据包。
总结:
标准ACL占用路由器资源很少,是一种最大体最简单的访问操纵列表格式。
应用比较普遍,常常在要求操纵级别较低的情形下利用。
若是要加倍复杂的操纵数据包的传输就需要利用扩展访问操纵列表了,他能够知足咱们到端口级的要求。
扩展访问操纵列表:
上面咱们提到的标准访问操纵列表是基于IP地址进行过滤的,是最简单的ACL。
那么若是咱们希望将过滤细到端口如何办呢?
或希望对数据包的目的地址进行过滤。
这时就需要利用扩展访问操纵列表了。
利用扩展IP访问列表能够有效的允许用户访问物理LAN而并非允许他利用某个特定效劳(例如WWW,FTP等)。
扩展访问操纵列表利用的ACL号为100到199。
扩展访问操纵列表的格式:
扩展访问操纵列表是一种高级的ACL,配置命令的具体魄式如下:
access-listACL号[permit|deny][协议][概念过滤源主机范围][概念过滤源端口][概念过滤目的主机访问][概念过滤目的端口]
例如:
access-list101denytcpanyhosteqwww这句命令是将所有主机访问那个地址网页效劳(WWW)TCP连接的数据包抛弃。
小提示:
一样在扩展访问操纵列表中也能够概念过滤某个网段,固然和标准访问操纵列表一样需要咱们利用反向掩码概念IP地址后的子网掩码。
扩展访问操纵列表的实例:
环境介绍:
咱们采纳如下图的网络结构。
连接了二个网段,别离为。
在网段中有一台提供WWW效劳,IP地址为。
配置任务:
禁止的运算机访问的运算机,包括那台,只是惟独能够访问上的WWW效劳,而其他效劳不能访问。
路由器配置命令:
access-list101permittcpany.0eqwww设置ACL101,允许源地址为任意IP,目的地址为主机的80端口即WWW效劳。
由于默许添加DENYANY的命令,因此ACL只写此一句即可。
inte0进入E1端口
ipaccess-group101out将ACL101宣告出去
设置完毕后的运算机就无法访问的运算机了,就算是效劳器开启了FTP效劳也无法访问,惟独能够访问的确实是的WWW效劳了。
而的运算机访问的运算机没有任何问题。
扩展ACL有一个最大的益处确实是能够爱惜效劳器,例如很多效劳器为了更好的提供效劳都是暴露在公网上的,若是所有端口都对外界开放,很容易招来黑客和病毒的解决,通过扩展ACL能够将除效劳端口之外的其他端口都封锁掉,降低了被解决的机率。
如本例确实是仅仅将80端口对外界开放。
总结:
扩展ACL功能很壮大,他能够操纵源IP,目的IP,源端口,目的端口等,能实现相当精细的操纵,扩展ACL不仅读取IP包头的源地址/目的地址,还要读取第四层包头中的源端口和目的端口的IP。
只是他存在一个缺点,那确实是在没有硬件ACL加速的情形下,扩展ACL会消耗大量的路由器资源。
因此当利用中低档路由器时应尽可能减少扩展ACL的条款数,将其简化为标准ACL或将多条扩展ACL合一是最有效的方式。
基于名称的访问操纵列表
不管是标准访问操纵列表仍是扩展访问操纵列表都有一个短处,那确实是当设置好ACL的规那么后发觉其中的某条有问题,希望进行修改或删除的话只能将全数ACL信息都删除。
也确实是说修改一条或删除一条都会阻碍到整个ACL列表。
这一个缺点阻碍了咱们的工作,为咱们带来了繁重的负担。
只是咱们能够用基于名称的访问操纵列表来解决那个问题。
一、基于名称的访问操纵列表的格式:
ipaccess-list[standard|extended][ACL名称]
例如:
ipaccess-liststandardsofter就成立了一个名为softer的标准访问操纵列表。
二、基于名称的访问操纵列表的利用方式:
当咱们成立了一个基于名称的访问列表后就能够够进入到那个ACL中进行配置了。
例如咱们添加三条ACL规那么
permit.1permit.2permit.3
若是咱们发觉第二条命令应该是.1而不是,若是利用不是基于名称的访问操纵列表的话,利用nopermit后整个ACL信息都会被删除掉。
正是因为利用了基于名称的访问操纵列表,咱们利用nopermit后第一条和第三条指令仍然存在。
总结:
若是设置ACL的规那么比较多的话,应该利用基于名称的访问操纵列表进行治理,如此能够减轻很多后期保护的工作,方便咱们随时进行调整ACL规那么。
反向访问操纵列表:
咱们利用访问操纵列表除合理治理网络访问之外还有一个更重要的方面,那确实是防范病毒,咱们能够将平常常见病毒传播利用的端口进行过滤,将利用这些端口的数据包抛弃。
如此就能够够有效的防范病毒的解决。
只是即便再科学的访问操纵列表规那么也可能会因为未知病毒的传播而无效,毕竟未知病毒利用的端口是咱们无法估量的,而且随着防范病毒数量的增多会造成访问操纵列表规那么过量,在必然程度上阻碍了网络访问的速度。
这时咱们能够利用反向操纵列表来解决以上的问题。
一、反向访问操纵列表的用途
反向访问操纵列表属于ACL的一种高级应用。
他能够有效的防范病毒。
通过配置反向ACL能够保证AB两个网段的运算机相互PING,A能够PING通B而B不能PING通A。
说得通俗些的话确实是传输数据能够分为两个进程,第一是源主机向目的主机发送连接请求和数据,然后是目的主机在两边成立好连接后发送数据给源主机。
反向ACL操纵的确实是上面提到的连接请求。
二、反向访问操纵列表的格式
反向访问操纵列表格式超级简单,只要在配置好的扩展访问列表最后加上established即可。
咱们仍是通过实例为大伙儿讲解。
反向访问操纵列表配置实例
环境介绍:
咱们采纳如下图的网络结构。
连接了二个网段,别离为。
在网段中的运算机都是,咱们通过反向ACL设置爱惜这些免受来自那个网段的病毒解决。
配置实例:
禁止病毒从那个网段传播到那个效劳器网段。
路由器配置命令:
access-list101permittcp.255established概念ACL101,允许所有来自网段的运算机访问网段中的运算机,前提是TCP连接已经成立了的。
当TCP连接没有成立的话是不允许访问的。
inte1进入E1端口
ipaccess-group101out将ACL101宣告出去
设置完毕后病毒就可不能轻易的从传播到的效劳器区了。
因为病毒要想传播都是主动进行TCP连接的,由于路由器上采纳反向ACL禁止了网段的TCP主动连接,因此病毒无法顺利传播。
小提示:
查验反向ACL是不是顺利配置的一个简单方式确实是拿里的一台效劳器PING在中的运算机,若是能够PING通的话再用那台运算机的效劳器,PING不通那么说明ACL配置成功。
通过上文配置的反向ACL会显现一个问题,那确实是的运算机不能访问效劳器的效劳了,假设图中提供了WWW效劳的话也不能正常访问。
解决的方式是在ESTABLISHED那句前头再添加一个扩展ACL规那么,例如:
access-list101permittcp.255eqwww
如此依照“最靠近受控对象原那么”即在检查ACL规那么时是采纳自上而下在ACL中一条条检测的,只要发觉符合条件了就立刻转发,而不继续检测下面的ACL语句。
的运算机就能够够正常访问该效劳器的WWW效劳了,而下面的ESTABLISHED防病毒命令还能够正常生效。
基于时刻的访问操纵列表:
上面咱们介绍了标准ACL与扩展ACL,事实上咱们只要把握了这两种访问操纵列表就能够够应付大部份过滤网络数据包的要求了。
只是实际工作中总会有人提出如此或那样的苛刻要求,这时咱们还需要把握一些关于ACL的高级技术。
基于时刻的访问操纵列表就属于高级技术之一。
一、基于时刻的访问操纵列表用途:
可能公司会碰到如此的情形,要求上班时刻不能上QQ,下班能够上或平常不能访问某网站只有到了周末能够。
关于这种情形仅仅通过发布通知规定是不能完全杜绝员工非法利用的问题的,这时基于时刻的访问操纵列表应运而生。
二、基于时刻的访问操纵列表的格式:
基于时刻的访问操纵列表由两部份组成,第一部份是概念时刻段,第二部份是用扩展访问操纵列表概念规那么。
那个地址咱们要紧讲解下概念时刻段,具体魄式如下:
time-range时刻段名称
absolutestart[小时:
分钟][日月年][end][小时:
分钟][日月年]
例如:
time-rangesofter
absolutestart0:
001may2005end12:
001june2005
意思是概念了一个时刻段,名称为softer,而且设置了那个时刻段的起始时刻为2005年5月1日零点,终止时刻为2005年6月1日中午12点。
咱们通过那个时刻段和扩展ACL的规那么结合就能够够指定出针对自己公司时刻段开放的基于时刻的访问操纵列表了。
固然咱们也能够概念工作日和周末,具体要利用periodic命令。
咱们将在下面的配置实例中为大伙儿详细介绍。
配置实例:
要想使基于时刻的ACL生效需要咱们配置两方面的命令:
一、概念时刻段及时刻范围。
二、ACL自身的配置,即将详细的规那么添加到ACL中。
3、宣告ACL,将设置好的ACL添加到相应的端口中。
环境介绍:
咱们采纳如下图的网络结构。
连接了二个网段,别离为。
在网段中有一台提供FTP效劳,IP地址为。
配置任务:
只允许网段的用户在周末访问上的FTP资源,工作时刻不能下载该FTP资源。
路由器配置命令:
time-rangesofter概念时刻段名称为softer
periodicweekend00:
00to23:
59概念具体时刻范围,为每周周末(6,日)的0点到23点59分。
固然能够利用periodicweekdays概念工作日或跟礼拜几概念具体的周几。
access-list101denytcpany.0eqftptime-rangesofter设置ACL,禁止在时刻段softer范围内访问的FTP效劳。
access-list101permitipanyany设置ACL,允许其他时刻段和其他条件下的正常访问。
inte1进入E1端口。
ipaccess-group101out宣告ACL101。
基于时刻的ACL比较适合于时刻段的治理,通过上面的设置的用户就只能在周末访问提供的FTP资源了,平常无法访问。
访问操纵列表流量记录
网络治理员确实是要能够合理的治理公司的网络,俗语说知己知彼方能百战百胜,因此有效的记录ACL流量信息能够第一时刻的了解网络流量和病毒的传播方式。
下面这篇文章就为大伙儿简单介绍下如何保留访问操纵列表的流量信息,方式确实是在扩展ACL规那么最后加上LOG命令。
实现方式:
log为指定一个日记地址,该地址为access-list101permittcpany.0eqwwwlog在希望监测的扩展ACL最后加上LOG命令,如此就会把知足该条件的信息保留到指定的日记中。
小提示:
若是在扩展ACL最后加上log-input,那么不仅会保留流量信息,还会将数据包通过的端口信息也进行保留。
利用LOG记录了知足访问操纵列表规那么的数据流量就能够够完整的查询公司网络哪个地址流量大,哪个地址有病毒了。
简单的一句命令就完成了很多专业工具才能完成的工作。
升级会员 