无论在思科路由器还是思科交换机等网络设备上,标准的ACL访问控制列表都无法同时匹配通信源地址和通信目的地址的特征,无法满足当今网络世界“粒度控制”的要求。比如允许访问某个服务器的某个服务功能,但是不允许Ping服务器。那么,就有必要使用扩展ACL,而不是标准ACL。在实际应用控制中,扩展ACL似乎比标准ACL更受管理员欢迎。
目标:配置扩展ACL,为网络应用提供更精细的控制。
演示环境:使用演示标准ACL的配置部分的ACL演示环境如下图所示。
演示背景:要求主机A(192.168.1.2)可以访问服务器A的WEB服务;但是不允许主机Aping访问服务器A所在的子网;允许主机Aping访问服务器B和服务器C所在的子网。请使用扩展ACL完成以上控制要求,并思考在哪里应用ACL。
演示步骤:
第一步:保留之前实验的所有基本配置,但请删除所有原有的标准ACL,然后根据演示后台的要求完成以下扩展ACL的配置。建议在路由器R1上完成此配置,因为扩展ACL可以同时匹配通信的源地址和目的地址,因此它们可以位于更靠近通信源的位置。
R1(配置)# access-list 101 permittcp 192 . 168 . 1 . 00 . 0 . 0 . 255主机192.168.5.2eqwww
*定义扩展ACL列表101(基于IP的扩展ACL编号的范围是100-199);PermitTCP 192.168.1.00.0.255主机192.168.5.2EQ www表示允许源子网192.168.1.0访问目的地址为192.168.5.2的TCP端口80。请注意,语句中的第一个IP子网和反向代码表示通信的源子网。第二个IP地址192.168.5.2被主机声明为特定主机。
R1(配置)# access-list 101 denyicmp 192 . 168 . 1 . 00 . 0 . 0 . 255主机192.168.5.2
*定义扩展ACL列表101的第二条语句拒绝源子网192.168.1.0通过ICMP协议访问目标主机192.168.5.2。
R1(配置)#访问列表101权限192 . 168 . 1 . 00 . 0 . 0 . 255主机192.168.4.2
*定义扩展ACL列表101的第三条语句允许源子网192.168.1.0通过ICMP协议访问目标主机192.168.4.2。
R1(配置)#访问列表101权限192 . 168 . 1 . 00 . 0 . 0 . 255主机
*定义扩展ACL列表101的第四条语句允许源子网192.168.1.0通过ICMP协议访问目标主机192.168.3.2。
R1(配置)#接口1/0
R1(配置-if)#ipaccess-group101in
R1(配置-if)#退出
建议:ACL101应该应用于路由器R1的E1/0接口,即最靠近源子网的位置,这样可以使ACL的利用率更高,流量更合理。因为扩展ACL可以同时匹配源地址和目的地址,所以理论上只要能满足控制标准,就可以应用于流量经过的任何设备。但是,建议将ACL101应用到离源子网最近的位置,因为不需要将最终过滤的流量转发到目的地或中途丢弃。
第二步:上述配置完成后,在主机A(192.168.1.2)上访问服务器A的WEB服务,然后Ping服务器A、B、c,如果配置正确,应该会得到下图所示的状态,与后台描述中的控制要求一致。
步骤3:为了检查路由器R1的过滤状态,您可以通过在R1上执行showi access-lists命令来检查ACL的匹配状态,如下图10.13所示。可以看出,允许五个WWW分组;发往服务器a的八个ICMP数据包被拒绝;分别有4个到服务器B和C互联网控制消息协议。
其他形式的ACL输入和应用笔记
在前面的章节中,描述了标准ACL和扩展ACL的应用,并演示了具体的配置过程。本节总结了ACL的应用事项,包括ACL的输入和写入形式、ACL的应用位置、ACL条目的添加和删除,具体如下:
ACL语句的输入和书写形式:
access-list 1 permit host 192 . 168 . 100 . 1等同于access-list 1 permit 192 . 168 . 100 . 10 . 0 . 0的功能,语句中的host是指配置的地址是一个主机地址,等于反码的全匹配(0.0.0.0)。
访问列表102 permit TCP 0 . 0 . 0 . 0255 . 255 . 255 . 2550 . 0 . 0255 . 255 . 255 . 255 . 255 . 255 eq www相当于访问列表102 permit CPANYAYEQ80的功能。语句中的源IP地址和目的IP地址都是0,表示源和目的IP地址。源地址和目的地址的倒数都是255,说明你不在乎任何位,相当于扩展ACL中源地址和目的IP地址都和任何关键字一起出现的情况;Www等于eq80,因为TCP80端口80是众所周知的www服务端口,但这里有一个注意事项。如果web服务器端口没有使用众所周知的80端口,并且出于某些安全原因或特殊要求,服务器管理员定义了Web的服务端口号,那么,在录入和写入ACL时,只能在eq关键字后声明具体的端口号,而不是www,否则ACL将无法完成匹配。
访问列表102允许主机192.168.1.2主机192.168.2.2等于访问列表102允许IP 192 . 168 . 1 . 20 . 0 . 0 . 0192 . 168 . 2 . 20 . 0 . 0;ACL语句中的源IP和目标IP都是特定的主机IP地址,所以可以在ACL语句中使用host关键字来声明主机地址,与反码的全匹配形式含义相同。
关于ACL应用位置的设计:
n标准ACL只关心源地址,因此它必须应用于离控制目标最近的接口位置。
n扩展ACL关心源地址和目的地址。建议应用在离控制源最近的接口位置,可以优化流量,减少骨干网不必要的流量开销。
n同一接口、同一协议、同一方向只能应用一个访问控制列表。
n访问控制列表只能过滤通过路由器的流量,对应用访问控制列表的路由器本地生成的流量不起作用。
传统IOS版本中ACL条目的添加和删除
在传统的IOS版本中,添加或删除ACL条目是一件非常痛苦的事情,因为当一个ACL的多条语句被配置在路由器后面时,如果你想给ACL添加一条过滤语句,那么这条添加的语句将出现在所有已有的ACL语句之后,这将导致网络的安全漏洞和风险行为。为了更好地理解这一点,这里有一个例子:
用户第一次写完ACL101:
ACL101第一条语句:访问列表101拒绝IP主机192.168.1.2主机192.168.2.1
ACL101的第二条语句:access-list 101 permit panyany
现在,用户希望更改原来的ACL101,并希望在上述两条语句之间添加以下ACL语句:
访问列表101详细信息主机192 . 168 . 3 . 1主机192.168.4.1
但是在你完成加入之后,这个添加的语句会被放在ACL101的末尾,如下图所示,这样它的匹配顺序也会显示在图中。最后添加的语句放在ACL列表的末尾,第二条语句允许任何流量,所以根本不会给第三条语句匹配的机会。那么第三条语句永远不会生效,即使你可能希望它在permitanyany之前生效,但实际上不会,这和Call first类似。
010-350002所以在传统的IOS中,管理员对ACL的修改就成了一件令人头疼的事情。通常,管理员会将当前ACL复制到文本文件中添加或删除语句,然后通过noaccess-list101清除路由器上原来配置的所有ACL,再将文本文件中修改后的ACL复制到路由器上。逐个修改ACL语句是不可能的。
使用ACL的增强编辑功能来添加和删除ACL条目。
新IOS将打破传统IOS对ACL条目修改的限制,如下图所示。它给每条ACL语句加一个序号,比如第一条ACL语句的序号是10,第二条ACL语句的序号是20,10作为写第一条ACL的基址数字序号。然后每写一条新的ACL语句,就会递增10,所以如果需要添加一条序列号在10到20之间的ACL语句,只需要添加一条即可。
例如,现在,在10和20之间添加一条序列号为15的ACL语句。具体配置如下。在中,配置语句中的15是表示要插入的ACL语句的序列号。配置完成后,您可以在路由器上使用showi access-lists来查看每个ACL的语句,如下图10.16所示。可以看到,在序列号10和20之间出现了一条序列号为15的ACL语句,突破了传统IOS中ACL编辑的难度,增强了编辑ACL的能力。
在两条ACL语句之间插入序列号为15的配置:
R1(配置)#ipaccess-listextended101
R1(配置文件扩展名氯化钠)
#FormatImgID_5#
IOS的版本那么多,在使用的时候,怎么知道哪些IOS版本支持ACL的增强编辑功能,哪些IOS版本不支持?很简单,用户不需要记住IOS的版本号,因为这真的是一件很难记住的事情,你可以直接
