Cisco IOS訪問列表的應用

2019-11-04 23:22:22

字體：大中小

來源：轉載

供稿：網友

　　Cisco IOS軟件可用于各種Cisco路由器，它提供了QoS、VPN、安全和治理等許多功能，受到廣大網絡治理人員的歡迎。非凡是通過路由器把局域網接入Internet的中小企業， Cisco IOS為他們帶來了許多方便。在Cisco IOS中，訪問列表（access List）是其中一項重要功能。訪問列表是一些語句的有序的集合，它根據網絡中每個數據包所包含信息的內容，決定是否答應該信息包通過接口，訪問列表中的參數也用于對數據包的信息內容做指定的處理。
　　
　　訪問列表的作用
　　
　　---- 對于一個數據包來說，在訪問列表對其進行處理時，訪問列表中的語句按照由上而下的順序依次對數據包進行處理，直到出現匹配的情況，決定是否讓訪問列表通過。這樣，訪問列表中語句的順序是非常重要的。這點在本文的后面還要加以說明。
　　
　　---- 就訪問列表本身來說，它只是放在路由器內部的存儲器中的一串語句。創建訪問列表是針對某個路由器接口的，訪問列表中的語句將對通過接口的數據包產生作用。它可以答應或阻止滿足一定條件的數據包通過接口。在訪問列表中，接口也可以是具體的線路和設備。接口一般以數字編號。
　　
　　---- 在訪問列表的運用方面，有一個重要的問題，就是接口的方向問題。訪問列表即可以用于入口（inbound），也可以用于出口（outbound）。圖1表示了一臺具有1個串口和2個以太網端口的路由器，在每個端口，指向路由器外的箭頭表示出口，而指向路由器內的箭頭表示入口。圖中分別用S0、E0和E1表示串口0、以太網端口0和以太網端口1的接口。根據前述的內容，可以得出訪問列表的規則1和規則2。
　　　

　　標準型ip訪問列表
　　
　　---- Cisco的路由器支持2種類型的訪問列表，即標準型訪問列表和擴展型訪問列表。和其他網絡廠商一樣，Cisco的路由器產品支持多種網絡協議。由于在網絡中，尤其是局域網，主要是應用IP協議，所以本文只涉及IP協議的情況。
　　
　　---- 標準IP訪問列表的功能有限，因為這種列表只能根據數據包的源地址進行過濾。假如需要根據協議、目標地址及傳輸層上的應用進行過濾，或根據上述項目的組合進行過濾，那么就必須使用擴展型訪問列表。基于這種分類方式，可以總結出訪問列表的規則3和規則4。
　　
　　---- （1）標準型IP訪問列表的格式
　　
　　---- 標準型IP訪問列表的格式如下：
　　
　　---- access-list[list number][permitdeny][source address]
　　---- [address][wildcard mask][log]
　　
　　---- 下面解釋一下標準型IP訪問列表的要害字和參數。首先，在access和list這2個要害字之間必須有一個連字符"-"；其次，list number的范圍在0～99之間，這表明該access-list語句是一個普通的標準型IP訪問列表語句。因為對于Cisco IOS，在0～99之間的數字指示出該訪問列表和IP協議有關，所以list number參數具有雙重功能: （1）定義訪問列表的操作協議; （2）通知IOS在處理access-list語句時，把相同的list number參數作為同一實體對待。正如本文在后面所討論的，擴展型IP訪問列表也是通過list number（范圍是100～199之間的數字）而表現其特點的。因此，當運用訪問列表時，還需要補充如下重要的規則: 在需要創建訪問列表的時候，需要選擇適當的list number參數。
　　
　　---- （2）答應/拒絕數據包通過
　　
　　---- 在標準型IP訪問列表中，使用permit語句可以使得和訪問列表項目匹配的數據包通過接口，而deny語句可以在接口過濾掉和訪問列表項目匹配的數據包。source address代表主機的IP地址，利用不同掩碼的組合可以指定主機。
　　
　　---- 為了更好地了解IP地址和通配符掩碼的作用，這里舉一個例子。假設您的公司有一個分支機構，其IP地址為C類的192.46.28.0。在您的公司，每個分支機構都需要通過總部的路由器訪問Internet。要實現這點，您就可以使用一個通配符掩碼 0.0.0.255。因為C類IP地址的最后一組數字代表主機，把它們都置1即答應總部訪問網絡上的每一臺主機。因此，您的標準型IP訪問列表中的access-list語句如下：
　　
　　---- access-list 1 permit 192.46.28.0 0.0.0.255
　　
　　---- 注重，通配符掩碼是子網掩碼的補充。因此，假如您是網絡高手，您可以先確定子網掩碼，然后把它轉換成可應用的通配符掩碼。這里，又可以補充一條訪問列表的規則5。
　　
　　---- （3）指定地址
　　
　　---- 假如您想要指定一個特定的主機，可以增加一個通配符掩碼0.0.0.0。例如，為了讓來自IP地址為192.46.27.7的數據包通過，可以使用下列語句：
　　
　　---- Access-list 1 permit 192.46.27.7 0.0.0.0
　　
　　---- 在Cisco的訪問列表中，用戶除了使用上述的通配符掩碼0.0.0.0來指定特定的主機外，還可以使用"host"這一要害字。例如，為了讓來自IP地址為192.46.27.7的數據包通過，您可以使用下列語句：
　　
　　---- Access-list 1 permit host 192.46.27.7
　　
　　---- 除了可以利用要害字"host"來代表通配符掩碼0.0.0.0外，要害字"any"可以作為源地址的縮寫，并代表通配符掩碼0.0.0.0 255.255.255.255。例如，假如希望拒絕來自IP地址為192.46.27.8的站點的數據包，可以在訪問列表中增加以下語句：
　　
　　---- Access-list 1 deny host 192.46.27.8
　　---- Access-list 1 permit any
　　
　　---- 注重上述2條訪問列表語句的次序。第1條語句把來自源地址為192.46.27.8的數據包過濾掉，第2條語句則答應來自任何源地址的數據包通過訪問列表作用的接口。假如改變上述語句的次序，那么訪問列表將不能夠阻止來自源地址為192.46.27.8的數據包通過接口。因為訪問列表是按從上到下的次序執行語句的。這樣，假如第1條語句是:
　　
　　---- Access-list 1 permit any
　　
　　---- 的話，那么來自任何源地址的數據包都會通過接口。我們由此可以得到規則6。
　　
　　---- （4）拒絕的奧秘
　　
　　---- 在默認情況下，除非明確規定答應通過，訪問列表總是阻止或拒絕一切數據包的通過，即實際上在每個訪問列表的最后，都隱含有一條"deny any"的語句。假設我們使用了前面創建的標準IP訪問列表，從路由器的角度來看，這條語句的實際內容如下：
　　
　　---- access-list 1 deny host 192.46.27.8
　　---- access-list 1 permit any
　　---- access-list 1 deny any
　　
　　---- 在上述例子里面，由于訪問列表中第2條語句明確答應任何數據包都通過，所以隱含的拒絕語句不起作用，但實際情況并不總是如此。例如，假如希望來自源地址為192.46.27.8和192.46.27.12的數據包通過路由器的接口，同時阻止其他一切數據包通過，則訪問列表的代碼如下：
　　
　　---- access-list 1 permit host 192.46.27.8
　　---- access-list 1 permit host 192.46.27.12
　　
　　---- 注重，因為所有的訪問列表會自動在最后包括該語句，于是有了規則7。
　　
　　---- 順便討論一下標準型IP訪問列表的參數"log"，它起日志的作用。一旦訪問列表作用于某個接口，那么包括要害字"log"的語句將記錄那些滿足訪問列表中"permit"和"deny"條件的數據包。第一個通過接口并且和訪問列表語句匹配的數據包將立即產生一個日志信息。后續的數據包根據記錄日志的方式，或者在控制臺上顯示日志，或者在內存中記錄日志。通過Cisco IOS的控制臺命令可以選擇記錄日志方式。
　　
　　擴展型IP訪問列表
　　
　　---- 擴展型IP訪問列表在數據包的過濾方面增加了不少功能和靈活性。除了可以基于源地址和目標地址過濾外，還可以根據協議、源端口和目的端口過濾，甚至可以利用各種選項過濾。這些選項能夠對數據包中某些域的信息進行讀取和比較。擴展型IP訪問列表的通用格式如下：
　　
　　---- access-list[list number][permitdeny]
　　---- [PRotocolprotocol key Word]
　　---- [source address source-wildcard mask][source port]
　　---- [destination address destination-wildcard mask]
　　---- [destination port][log options]
　　
　　---- 和標準型IP訪問列表類似，"list number"標志了訪問列表的類型。數字100～199用于確定100個惟一的擴展型IP訪問列表。"protocol"確定需要過濾的協議，其中包括IP、TCP、UDP和ICMP等等。
　　
　　---- 假如我們回顧一下數據包是如何形成的，我們就會了解為什么協議會影響數據包的過濾，盡管有時這樣會產生副作用。圖2表示了數據包的形成。請注重，應用數據通常有一個在傳輸層增加的前綴，它可以是TCP協議或UDP協議的頭部，這樣就增加了一個指示應用的端口標志。當數據流入協議棧之后，網絡層再加上一個包含地址信息的IP協議的頭部。
　　　

　　---- 由于IP頭部傳送TCP、UDP、路由協議和ICMP協議，所以在訪問列表的語句中，IP協議的級別比其他協議更為重要。但是，在有些應用中，您可能需要改變這種情況，您需要基于某個非IP協議進行過濾。因此，需要增加規則8。
　　
　　---- 為了更好地說明這個規則，下面列舉2個擴展型IP訪問列表的語句來說明。假設我們希望阻止TCP協議的流量訪問IP地址為192.78.46.8的服務器，同時答應其他協議的流量訪問該服務器。那么以下訪問列表語句能滿足這一要求嗎？
　　
　　---- access-list 101 permit host 192.78.46.8
　　---- access-list 101 deny host 192.78.46.12
　　
　　---- 回答是否定的。第一條語句答應所有的IP流量、同時包括TCP流量通過指定的主機地址。這樣，第二條語句將不起任何作用。可是，假如改變上面2條語句的次序，那么就可以做到阻止TCP流量通過指定的地址，而答應其他協議的流量通過。
　　
　　---- 擴展型IP訪問列表還有一個特點，就是它支持以下要害字的操作符，如附表所示。至于端口數，您可以指定一個數字和數字范圍，或者是操作符加上數字和數字范圍。下面是2條使用操作符的訪問列表語句的例子。
　　

　　access-list 101 permit tcp any host 192.78.46.8 eq www
　　---- access-list 101 permit ICMP any host 192.78.46.12 eq 8
　　
　　---- 在這2條語句中，第一條語句答應來自任何主機的TCP到達指定的IP地址為192.78.46.8的主機，只要數據包傳輸Web流量。其中可以用80取代www，因為Web流量通過端口80。第二條語句答應所有的Ping流量通過，而對于Ping，其ICMP回波請求信息屬于ICMP類型8。
　　
　　實際應用步驟
　　
　　---- 把訪問列表應用于接口實際上可以分為以下3個步驟。
　　
　　---- 第1步: 創建一個路由表
　　
　　---- 可以在路由器的控制臺上直接完成這一工作；也可以先在其他計算機上用文字處理軟件（如Word）或文本編輯器輸入，以文本文件的形式存儲，然后通過TFTP程序把該文本文件傳給路由器。
　　
　　---- 第2步: 指定接口
　　
　　---- 必須有一個接口作為路由表的應用對象，這可以通過路由器的接口命令完成。
　　
　　---- 第3步: 定義方向
　　
　　---- 必須確定訪問列表的應用的方向，這可以通過路由器的訪問組命令完成。
　　
　　---- 為了說明上述步驟，下面舉一個以前用過的簡單的例子。對一臺路由器的串行0號端口，為了完成這3個步驟，可以編寫如下代碼：
　　
　　---- interface serial 0 ip access-group 101 in
　　---- access-list 101 deny ICMP any host 192.78.46.8 eq 8
　　---- access-list 101 permit ip any host 192.78.46.8
　　---- access-list 101 permit ICP any host 192.78.46.12 eq 8
　　---- access-list 101 permit tcp any host 192.78.46.8.12 eq 80
　　---- access-list 101 deny ip any any
　　
　　---- 在上面的代碼中，第1條語句定義了訪問列表所應用的端口，第二條語句定義了接口產生過濾的方向。在訪問列表中，第一條語句阻止以ICMP回波請求的形式產生Ping，從而防止對主機地址的窺視。
　　
　　---- 第2條訪問列表語句答應所有其他的IP流量流向主機。第3和第4條語句答應ICMP回波請求和Web流量進入網絡中的第2臺主機。
　　
　　---- 最后一條訪問列表語句鮮明地拒絕所有不需要的訪問。通常在訪問列表的最后都有這樣的語句。
　　
　　---- 在前面訪問列表例子的list number參數都是數字。在這種訪問列表中，不能取消非凡的參數，可以把參數加到底部。但是，假如需要修改參數，就必須首先創建一個新的列表，把舊的列表刪除，然后應用新的列表。假如在訪問列表中，用標識符取代其中的數字，將獲得更多的靈活性。此外，訪問列表也不支持新增加語句。因此，我們有關訪問列表的最后一個規則，即規則9。
　　
　　訪問列表的使用規則
　　
　　訪問列表總是被用于適當的接口。
　　
　　訪問列表規定了接口信息的流向。
　　
　　當只需要根據數據包的源地址進行過濾時，請采用標準型IP訪問列表。
　　
　　假如需要根據更高級的規則實現過濾，則采用擴展型IP訪問列表。
　　
　　在創建通配符掩碼的時候，二進制0表示匹配，二進制1表示不匹配。
　　
　　在訪問列表中，語句的次序是極其重要的。
　　
　　不必在最后把明確拒絕的語句加上。
　　
　　要把根據非IP協議過濾的語句往前放。
　　
　　假如要增加或修改一條語句，就需要刪除現有的列表，并重新應用新的或修改過的列表。

上一篇：思科Router 5300的密碼與7200相同

下一篇：關于Cisco2611xm做nat 轉換