我要投搞

标签云

收藏小站

爱尚经典语录、名言、句子、散文、日志、唯美图片

当前位置:热购彩票 > 反码 >

思科交换机图文设置扩展ACL的配置与应用技巧

归档日期:06-27       文本归类:反码      文章编辑:爱尚语录

  无论是在思科路由器还是思科交换机网络设备上,标准ACL访问控制列表始终无法同时匹配通信源地址与目标地址的特性,也不无法满足现今网络世界“粒度化”控制的要求,比如:允许访问某一服务器的某项服务功能,但是不允许Ping通该服务器。那么,就需要使用扩展的ACL来替代标准的ACL的应用,在实际的应用控制中,扩展的ACL较标准ACL而言,似乎更受管理员的喜爱。

  演示背景:要求主机A(192.168.1.2)可以访问服务器A的WEB服务;但是不允许主机Aping通服务器A所在的子网;允许主机Aping通服务器B和服务器C所在的子网。请使用扩展ACL完成上述的控制要求,并思考应用ACL的位置。

  第一步:保持上一个实验的所有基础配置,但是请删除原本的所有标准ACL的配置,然后根据演示背景需求,完成如下扩展ACL的配置,这一配置建议在路由器R1上完成,因为扩展的ACL可以同时匹配通信源地址与目标地址,可以将其应到距离通信源较近的位置。

  建议:将ACL101应用到路由器R1的E1/0接口,也就是距离源子网最近的位置,这样做可以让ACL的利用率更高,流量更合理,因为扩展ACL能同时匹配源地址与目标地址,所以从理论上讲,只要能达到控制标准,在流量经过的任何设备上都可以做应用,但是建议在距离源子网最近的位置应用它,因为没有必要将最终被过滤流量转发到目标或者中途才丢弃,这对于宝贵的带宽利用率不科学。

  第二步:当完成上述配置后,在主机A(192.168.1.2)上去访问服务器A的WEB服务,然后去Ping服务器A、B、C,如果配置无误,应得到如下图所示的状态,这与背景说明中的控制要求一致。

  第三步:为了查看路由器R1上的过滤状态,可以通过在R1上执行showipaccess-lists指令查看ACL的匹配状态如下图10.13所示,可以看出有5个数据包被允许;8个到服务器A的ICMP的数据包被拒绝;分别有4个到服务器B和C的ICMP数据包被允许。

  在前面的几个小节中描述了关于标准与扩展ACL的应用,并演示了具体的配置过程,在本节主要对ACL的应用事项进行一下总结,其中包括ACL的输写形式、ACL的应用位置、ACL条目的增加与删除,具体如下:

  access-list102permittcp0.0.0.0255.255.255.2550.0.0.0255.255.255.255eq于access-list102permittcpanyanyeq80的功能,语句中的源IP地址和目标IP地址都是0,指示源和目标IP地址可以是任意IP地址;源地址和目标地址的反码都是255,指示不关心任何位,它就等同于在扩展ACL中源和目标IP地址都以any关键字出现的情况;eqwww就等于eq80,因为TCP80号端口正是众所周知的www服务端口,但是这里提出一个注意事项,如果Web服务器的端口没有使用众所周知的80号端口,出于某种安全原因或者特殊要求,服务器管理员自定义了Web的服务端口号,那么,在输写ACL时,就只能在eq关键字之后申明具体的端口号,而不是申明www,否则ACL将无法完成匹配。

  n标准ACL只关心源地址,所以必须将其应用到距离控制目标最近的接口位置。

  n扩展ACL既关心源地址,又关心目标地址,建议将其应用到距离控制源最近的接口位置,这样可以优化流量,减少主干网上没有必要的流量开销。

  n访问控制列表,只能过滤穿越路由器的流量,对应用访问控制列表的路由器本地产生的流量不生效。

  在传统的IOS版本中,对ACL条目的增加或者删除是一件非常痛苦的事情,因为当一个ACL的多条语句被配置在路由器之后,如果想要在ACL中增加一条过滤语句,那么这条增加的语句将出现在已存在的所有ACL语句之后,这样就会出现安全漏洞,为网络造成风险行为,为了更好的理解这一点,现在要举一个实例:

  现在用户希望更改原有的ACL101,希望在上述的两条语句之间加入如下所示的ACL语句:

  但是当你完成加入后,这条被加入的语句将被放到ACL101的最后,如下图所示,这样,它的匹配顺序也如图所示,最后加入的语句被放置到ACL列表的最后,而第二条语句是允许任何流量,所以根本不会给第三条语句匹配的机会,那么第三条语句将永远不生效,即便是您可能希望它于permitanyany之前生效,但事实上它不会,这类似于微机原理里面的堆栈原理,先进入。先调用。

  所以在传统IOS中管理员对ACL的修改变得很头痛,通常,管理员会把现在的ACL复制到一个文本文件中进行增加或者删除语句的操作,然后把原本在路由器上配置的ACL通过noaccess-list101全部清除,再将文本文件中修改完成的ACL复制到路由器上,无法做到逐条修改ACL语句的效果。

  新的IOS将打破传统IOS对ACL条目修改的限制,如下图所示,它为每条ACL语句增加了序列号,比如第一条ACL语句的序列号是10,第二条ACL语句的序列号是20,以10作为输写第一条ACL的基数数字序列号,然后,输写一条新的ACL语句就递增10,所以此时如果需要在序列号为10和20之间增加一条ACL语句,那么,只需要增加一条属于10-20之间的序列号,新增的ACL语句就会存在于10和20之间。

  比如,现在,在10和20之间增加一条序列号是15的ACL语句,具体配置如下所示,在,在配置语句中的15是指示即将插入的ACL语句的序列号,完成配置后,可以在路由器上使用showipaccess-lists来查看各条ACL的语句如下图10.16所示,可看出在序列号10和20之间出现了一条序例号是15的ACL语句,这就突破了传统IOS对ACL编辑的困难,它增强了对ACL的编辑能力。

  IOS的版本如此众多,在使用时,怎么知道,哪些IOS版本支持ACL的增强编辑功能,哪些IOS版本不支持ACL的增强编辑功能?很简单,用户不需要去记IOS的版本号,因为这确实是一件很难记住的事情,可以直接通过showipaccess-lists来查看ACL列表,如果在显示结果中,每条ACL的语句前都有一个序列号,那么该设备就支持ACL的增强编辑功能,反之则不能。

  提问:为什么IOS系统自动为ACL语句插入序列号时会以10作为基数(第一条ACL语句的序列号);并以10作为递增数来插入随后的ACL序列号?

  事实上,这也是为了编辑ACL的方便,为第一条ACL语句产生时就将序列号基数设置为10,是为了给原始的第一条ACL语句之前再插入ACL预留了空间,至少用户还可以插入1-9条ACL语句,后继的ACL以10作为递增数也是同理,当然,用户可以根据自已的需求改变第一条ACL自动插入时的基数和后继ACL产生的递增数,但是本人建议保持默认的配置。

本文链接:http://withewind.com/fanma/197.html