关于ACL的知识
在CCNA和NP中我们了解到了ACL---思科为网络访问提供的一种安全手段,它是运行在CISCO的IOS上的一种程序。传统的ACL分三大类:标准ACL/扩展ACL/命名ACL。这里对其做简单的回顾:
ACL的作用:
1.限制网络流量
2.进行流量控制
3.安全
写在前面:子网掩码与通配符掩码的区别
通配符: 与0 匹配,与1忽略
通配符掩码与IP是成对出现的,类似于子网与IP地址对,在通配符掩码的地址位使用1或0,表明如何处理相应的IP地址位,是忽略还是检查。而在IP子网中,1和0用来决定是网络还是子网,还是相应的主机IP
标准列表的格式:
Router(config)#access-list access-list-number
{permit | deny | remark} source [mask]
{permit | deny | remark} source [mask]
对于标准列表它的列表号为(1-99),默认的反掩码为0.0.0.0。列表最后隐式拒绝所有。
对于一个做好的ACL,如不把它用在接口上,那你的前期工作就是徒劳。下面就是把它用在接口上格式。
Router(config-if)#ip access-group
access-list-number {in | out} (默认情况下为出方向)
access-list-number {in | out} (默认情况下为出方向)
扩展列表的格式:
Router(config)#access-list access-list-number
{permit | deny} protocol source source-wildcard[operator port] destination destination-wildcard [operator port] [established] [log]
{permit | deny} protocol source source-wildcard[operator port] destination destination-wildcard [operator port] [established] [log]
对于扩展列表的它的列表号可为(100-199)。它的最大好处就是保护服务器,例如好多服务器为了更好的提供服务将所有的端口开放,这样很容易引起***的***对象。但是它有一缺点,会消耗大量的路由器CPU资源
不管是标准的还是扩展的访问列表都有一个弊病就是设置好ACL的规则后发现其中的某条有问题,希望进行修改或删除时,只能将整个ACL信息删除,这样的话对于有很多条语句时带来了很大的隐患,故出现了命名访问列表。.
格式:
Router(config)#ip access-list {standard | extended} name
(定义一个名称)
Router(config {std- | ext-}nacl)#{permit | deny}
{ip access list test conditions}
{ip access list test conditions}
{permit | deny} {ip access list test conditions}
no {permit | deny} {ip access list test conditions}
命名访问列表可以包含数字和字母,但其不可以包含空格及标点符号,而且第一个字符要是字母。
Router(config-if)#ip access-group name {in | out}
(挂接口使用)
反向ACL
格式很简单,只要在配好的扩展列表最后加上established
补充部分(ACL的高级应用)
1.基于时间访问列表用途:在公司可能会遇到这样的问题,要求员工在上班时间不能上QQ,下班可以或平时不能访问某网站,只有周未可以,对于这种情况,基于时间访问列表就应运而生了.
所以我们就不得不了解它的语法了:
不急!下面听我慢慢道来.
首先它有两部分组成:1.定义时间段2.扩展访问列表定义规则
语法如: time-range QQ
absolute start 00:00 1 april 2009 end 12:00 1 May 2009
也可以根据需要来定义具体时间范围,为每周周末时间命令为:
Time-range pzh
Periodic weekend 00:00 to 23:59 (定义具体时间为每周的一段时间)
Access-list 110 deny tcp any 192.168.4.13 0.0.0.0 eq ftp time-range pzh
设置ACL,禁止在时间段范围内访问192.168.4.13的FTP服务
Access-list 110 permit ip any any
2.基于流量的记录:有效的记录ACL下如何保存访问列表的流量信息.方法就是在ACL规则后加上LOG命令.
Log 192.168.1.1为路由器指定一个日志服务器地址。
Access-list 101 permit tcp any 172.16.4.13 0.0.0.0 eq www log
在希望检测的扩展ACL后加log。如果加入log-input不仅保存流量信息,也会将包通过的端口也保存。