關於ACL的知識
在CCNA和NP中我們瞭解到了ACL---思科爲網絡訪問提供的一種安全手段,它是運行在CISCO的IOS上的一種程序。傳統的ACL分三大類:標準ACL/擴展ACL/命名ACL。這裏對其做簡單的回顧:
ACL的作用:
1.限制網絡流量
2.進行流量控制
3.安全
寫在前面:子網掩碼與通配符掩碼的區別
通配符: 與0 匹配,與1忽略
通配符掩碼與IP是成對出現的,類似於子網與IP地址對,在通配符掩碼的地址位使用1或0,表明如何處理相應的IP地址位,是忽略還是檢查。而在IP子網中,1和0用來決定是網絡還是子網,還是相應的主機IP
標準列表的格式:
Router(config)#access-list access-list-number
{permit | deny | remark} source [mask]
{permit | deny | remark} source [mask]
對於標準列表它的列表號爲(1-99),默認的反掩碼爲0.0.0.0。列表最後隱式拒絕所有。
對於一個做好的ACL,如不把它用在接口上,那你的前期工作就是徒勞。下面就是把它用在接口上格式。
Router(config-if)#ip access-group
access-list-number {in | out} (默認情況下爲出方向)
access-list-number {in | out} (默認情況下爲出方向)
擴展列表的格式:
Router(config)#access-list access-list-number
{permit | deny} protocol source source-wildcard[operator port] destination destination-wildcard [operator port] [established] [log]
{permit | deny} protocol source source-wildcard[operator port] destination destination-wildcard [operator port] [established] [log]
對於擴展列表的它的列表號可爲(100-199)。它的最大好處就是保護服務器,例如好多服務器爲了更好的提供服務將所有的端口開放,這樣很容易引起***的***對象。但是它有一缺點,會消耗大量的路由器CPU資源
不管是標準的還是擴展的訪問列表都有一個弊病就是設置好ACL的規則後發現其中的某條有問題,希望進行修改或刪除時,只能將整個ACL信息刪除,這樣的話對於有很多條語句時帶來了很大的隱患,故出現了命名訪問列表。.
格式:
Router(config)#ip access-list {standard | extended} name
(定義一個名稱)
Router(config {std- | ext-}nacl)#{permit | deny}
{ip access list test conditions}
{ip access list test conditions}
{permit | deny} {ip access list test conditions}
no {permit | deny} {ip access list test conditions}
命名訪問列表可以包含數字和字母,但其不可以包含空格及標點符號,而且第一個字符要是字母。
Router(config-if)#ip access-group name {in | out}
(掛接口使用)
反向ACL
格式很簡單,只要在配好的擴展列表最後加上established
補充部分(ACL的高級應用)
1.基於時間訪問列表用途:在公司可能會遇到這樣的問題,要求員工在上班時間不能上QQ,下班可以或平時不能訪問某網站,只有周未可以,對於這種情況,基於時間訪問列表就應運而生了.
所以我們就不得不瞭解它的語法了:
不急!下面聽我慢慢道來.
首先它有兩部分組成:1.定義時間段2.擴展訪問列表定義規則
語法如: time-range QQ
absolute start 00:00 1 april 2009 end 12:00 1 May 2009
也可以根據需要來定義具體時間範圍,爲每週週末時間命令爲:
Time-range pzh
Periodic weekend 00:00 to 23:59 (定義具體時間爲每週的一段時間)
Access-list 110 deny tcp any 192.168.4.13 0.0.0.0 eq ftp time-range pzh
設置ACL,禁止在時間段範圍內訪問192.168.4.13的FTP服務
Access-list 110 permit ip any any
2.基於流量的記錄:有效的記錄ACL下如何保存訪問列表的流量信息.方法就是在ACL規則後加上LOG命令.
Log 192.168.1.1爲路由器指定一個日誌服務器地址。
Access-list 101 permit tcp any 172.16.4.13 0.0.0.0 eq www log
在希望檢測的擴展ACL後加log。如果加入log-input不僅保存流量信息,也會將包通過的端口也保存。