CISCO路由器中的access-list(訪問(wèn)列表)最基本的有兩種��,分別是標(biāo)準(zhǔn)訪問(wèn)列表和擴(kuò)展訪問(wèn)列表���,二者的區(qū)別主要是前者是基于目標(biāo)地址的數(shù)據(jù)包過(guò)濾�,而后者是基于目標(biāo)地址、源地址和網(wǎng)絡(luò)協(xié)議及其端口的數(shù)據(jù)包過(guò)濾��。
(1)標(biāo)準(zhǔn)型IP訪問(wèn)列表的格式
---- 標(biāo)準(zhǔn)型IP訪問(wèn)列表的格式如下:
---- access-list[list number][permit|deny][source address]
---- [address][wildcard mask][log]
---- 下面解釋一下標(biāo)準(zhǔn)型IP訪問(wèn)列表的關(guān)鍵字和參數(shù)��。首先����,在access和list這2個(gè)關(guān)鍵字之間必須有一個(gè)連字符"-";其次�,list number的范圍在0~99之間,這表明該access-list語(yǔ)句是一個(gè)普通的標(biāo)準(zhǔn)型IP訪問(wèn)列表語(yǔ)句���。因?yàn)閷?duì)于Cisco IOS�����,在0~99之間的數(shù)字指示出該訪問(wèn)列表和IP協(xié)議有關(guān)�����,所以list number參數(shù)具有雙重功能: (1)定義訪問(wèn)列表的操作協(xié)議; (2)通知IOS在處理access-list語(yǔ)句時(shí)����,把相同的list number參數(shù)作為同一實(shí)體對(duì)待。正如本文在后面所討論的��,擴(kuò)展型IP訪問(wèn)列表也是通過(guò)list number(范圍是100~199之間的數(shù)字)而表現(xiàn)其特點(diǎn)的��。因此���,當(dāng)運(yùn)用訪問(wèn)列表時(shí)����,還需要補(bǔ)充如下重要的規(guī)則: 在需要?jiǎng)?chuàng)建訪問(wèn)列表的時(shí)候��,需要選擇適當(dāng)?shù)膌ist number參數(shù)�����。
(2)允許/拒絕數(shù)據(jù)包通過(guò)
---- 在標(biāo)準(zhǔn)型IP訪問(wèn)列表中,使用permit語(yǔ)句可以使得和訪問(wèn)列表項(xiàng)目匹配的數(shù)據(jù)包通過(guò)接口�����,而deny語(yǔ)句可以在接口過(guò)濾掉和訪問(wèn)列表項(xiàng)目匹配的數(shù)據(jù)包���。source address代表主機(jī)的IP地址����,利用不同掩碼的組合可以指定主機(jī)��。
---- 為了更好地了解IP地址和通配符掩碼的作用�,這里舉一個(gè)例子��。假設(shè)您的公司有一個(gè)分支機(jī)構(gòu)�,其IP地址為C類的192.46.28.0。在您的公司���,每個(gè) 分支機(jī)構(gòu)都需要通過(guò)總部的路由器訪問(wèn)Internet��。要實(shí)現(xiàn)這點(diǎn)���,您就可以使用一個(gè)通配符掩碼 0.0.0.255����。因?yàn)镃類IP地址的最后一組數(shù)字代表主機(jī)����,把它們都置1即允許總部訪問(wèn)網(wǎng)絡(luò)上的每一臺(tái)主機(jī)。因此��,您的標(biāo)準(zhǔn)型IP訪問(wèn)列表中的 access-list語(yǔ)句如下:
---- access-list 1 permit 192.46.28.0 0.0.0.255
---- 注意���,通配符掩碼是子網(wǎng)掩碼的補(bǔ)充���。因此,如果您是網(wǎng)絡(luò)高手�����,您可以先確定子網(wǎng)掩碼����,然后把它轉(zhuǎn)換成可應(yīng)用的通配符掩碼。這里�����,又可以補(bǔ)充一條訪問(wèn)列表的規(guī)則5。
(3)指定地址
---- 如果您想要指定一個(gè)特定的主機(jī)����,可以增加一個(gè)通配符掩碼0.0.0.0。例如��,為了讓來(lái)自IP地址為192.46.27.7的數(shù)據(jù)包通過(guò)���,可以使用下列語(yǔ)句:
---- Access-list 1 permit 192.46.27.7 0.0.0.0
---- 在Cisco的訪問(wèn)列表中���,用戶除了使用上述的通配符掩碼0.0.0.0來(lái)指定特定的主機(jī)外,還可以使用"host"這一關(guān)鍵字�����。例如�,為了讓來(lái)自IP地址為192.46.27.7的數(shù)據(jù)包通過(guò)��,您可以使用下列語(yǔ)句:
---- Access-list 1 permit host 192.46.27.7
---- 除了可以利用關(guān)鍵字"host"來(lái)代表通配符掩碼0.0.0.0外���,關(guān)鍵字"any"可以作為源地址的縮寫(xiě)����,并代表通配符掩碼0.0.0.0 255.255.255.255。例如�,如果希望拒絕來(lái)自IP地址為192.46.27.8的站點(diǎn)的數(shù)據(jù)包,可以在訪問(wèn)列表中增加以下語(yǔ)句:
---- Access-list 1 deny host 192.46.27.8
---- Access-list 1 permit any
---- 注意上述2條訪問(wèn)列表語(yǔ)句的次序�。第1條語(yǔ)句把來(lái)自源地址為192.46.27.8的數(shù)據(jù)包過(guò)濾掉,第2條語(yǔ)句則允許來(lái)自任何源地址的數(shù)據(jù)包通過(guò)訪問(wèn)列表 作用的接口����。如果改變上述語(yǔ)句的次序,那么訪問(wèn)列表將不能夠阻止來(lái)自源地址為192.46.27.8的數(shù)據(jù)包通過(guò)接口�����。因?yàn)樵L問(wèn)列表是按從上到下的次序執(zhí) 行語(yǔ)句的���。這樣�,如果第1條語(yǔ)句是:
---- Access-list 1 permit any
---- 的話�,那么來(lái)自任何源地址的數(shù)據(jù)包都會(huì)通過(guò)接口。
(4)拒絕的奧秘
---- 在默認(rèn)情況下��,除非明確規(guī)定允許通過(guò)���,訪問(wèn)列表總是阻止或拒絕一切數(shù)據(jù)包的通過(guò)�,即實(shí)際上在每個(gè)訪問(wèn)列表的最后,都隱含有一條"deny any"的語(yǔ)句��。假設(shè)我們使用了前面創(chuàng)建的標(biāo)準(zhǔn)IP訪問(wèn)列表�����,從路由器的角度來(lái)看���,這條語(yǔ)句的實(shí)際內(nèi)容如下:
---- access-list 1 deny host 192.46.27.8
---- access-list 1 permit any
---- access-list 1 deny any
---- 在上述例子里面���,由于訪問(wèn)列表中第2條語(yǔ)句明確允許任何數(shù)據(jù)包都通過(guò),所以隱含的拒絕語(yǔ)句不起作用���,但實(shí)際情況并不總是如此���。例如,如果希望來(lái)自源地址為 192.46.27.8和192.46.27.12的數(shù)據(jù)包通過(guò)路由器的接口��,同時(shí)阻止其他一切數(shù)據(jù)包通過(guò)�,則訪問(wèn)列表的代碼如下:
---- access-list 1 permit host 192.46.27.8
---- access-list 1 permit host 192.46.27.12
---- 注意,因?yàn)樗械脑L問(wèn)列表會(huì)自動(dòng)在最后包括該語(yǔ)句.
---- 順便討論一下標(biāo)準(zhǔn)型IP訪問(wèn)列表的參數(shù)"log"�,它起日志的作用���。一旦訪問(wèn)列表作用于某個(gè)接口�,那么包括關(guān)鍵字"log"的語(yǔ)句將記錄那些滿足訪問(wèn)列表 中"permit"和"deny"條件的數(shù)據(jù)包。第一個(gè)通過(guò)接口并且和訪問(wèn)列表語(yǔ)句匹配的數(shù)據(jù)包將立即產(chǎn)生一個(gè)日志信息����。后續(xù)的數(shù)據(jù)包根據(jù)記錄日志的方 式,或者在控制臺(tái)上顯示日志��,或者在內(nèi)存中記錄日志���。通過(guò)Cisco IOS的控制臺(tái)命令可以選擇記錄日志方式�。
擴(kuò)展型IP訪問(wèn)列表
---- 擴(kuò)展型IP訪問(wèn)列表在數(shù)據(jù)包的過(guò)濾方面增加了不少功能和靈活性���。除了可以基于源地址和目標(biāo)地址過(guò)濾外�,還可以根據(jù)協(xié)議��、源端口和目的端口過(guò)濾��,甚至可以利 用各種選項(xiàng)過(guò)濾���。這些選項(xiàng)能夠?qū)?shù)據(jù)包中某些域的信息進(jìn)行讀取和比較�。擴(kuò)展型IP訪問(wèn)列表的通用格式如下:
---- access-list[list number][permit|deny]
---- [protocol|protocol key word]
---- [source address source-wildcard mask][source port]
---- [destination address destination-wildcard mask]
---- [destination port][log options]
---- 和標(biāo)準(zhǔn)型IP訪問(wèn)列表類似,"list number"標(biāo)志了訪問(wèn)列表的類型����。數(shù)字100~199用于確定100個(gè)惟一的擴(kuò)展型IP訪問(wèn)列表。"protocol"確定需要過(guò)濾的協(xié)議�����,其中包括IP�、TCP、UDP和ICMP等等�。
---- 如果我們回顧一下數(shù)據(jù)包是如何形成的,我們就會(huì)了解為什么協(xié)議會(huì)影響數(shù)據(jù)包的過(guò)濾���,盡管有時(shí)這樣會(huì)產(chǎn)生副作用��。圖2表示了數(shù)據(jù)包的形成�����。請(qǐng)注意��,應(yīng)用數(shù)據(jù) 通常有一個(gè)在傳輸層增加的前綴����,它可以是TCP協(xié)議或UDP協(xié)議的頭部,這樣就增加了一個(gè)指示應(yīng)用的端口標(biāo)志��。當(dāng)數(shù)據(jù)流入?yún)f(xié)議棧之后���,網(wǎng)絡(luò)層再加上一個(gè)包 含地址信息的IP協(xié)議的頭部。
由于IP頭部傳送TCP����、UDP、路由協(xié)議和ICMP協(xié)議���,所以在訪問(wèn)列表的語(yǔ)句中���,IP協(xié)議的級(jí)別比其他協(xié)議更為重要。但是�����,在有些應(yīng)用中����,您可能需要改變這種情況,您需要基于某個(gè)非IP協(xié)議進(jìn)行過(guò)濾
---- 為了更好地說(shuō)明���,下面列舉2個(gè)擴(kuò)展型IP訪問(wèn)列表的語(yǔ)句來(lái)說(shuō)明��。假設(shè)我們希望阻止TCP協(xié)議的流量訪問(wèn)IP地址為192.78.46.8的服務(wù)器��,同時(shí)允許其他協(xié)議的流量訪問(wèn)該服務(wù)器���。那么以下訪問(wèn)列表語(yǔ)句能滿足這一要求嗎�����?
---- access-list 101 permit host 192.78.46.8
---- access-list 101 deny host 192.78.46.12
---- 回答是否定的����。第一條語(yǔ)句允許所有的IP流量���、同時(shí)包括TCP流量通過(guò)指定的主機(jī)地址�。這樣�����,第二條語(yǔ)句將不起任何作用�。
