关于ACL的知识

在CCNA和NP中我们了解到了ACL---思科为网络访问提供的一种安全手段,它是运行在CISCO的IOS上的一种程序。传统的ACL分三大类:标准ACL/扩展ACL/命名ACL。这里对其做简单的回顾:

ACL的作用:

1. 限制网络流量

2. 进行流量控制

3. 安全

写在前面:子网掩码与通配符掩码的区别

通配符: 与0 匹配,与1忽略

通配符掩码与IP是成对出现的,类似于子网与IP地址对,在通配符掩码的地址位使用1或0,表明如何处理相应的IP地址位,是忽略还是检查。而在IP子网中,1和0用来决定是网络还是子网,还是相应的主机IP

标准列表的格式:

Router(config)#access-list access-list-number 
{permit | deny | remark} source [mask]

对于标准列表它的列表号为(1-99),默认的反掩码为0.0.0.0。列表最后隐式拒绝所有。

对于一个做好的ACL,如不把它用在接口上,那你的前期工作就是徒劳。下面就是把它用在接口上格式。

Router(config-if)#ip access-group 
access-list-number  {in | out} (默认情况下为出方向)

扩展列表的格式:

Router(config)#access-list access-list-number 
{permit | deny} protocol source source-wildcard[operator port] destination destination-wildcard [operator port]  [established] [log]

对于扩展列表的它的列表号可为(100-199)。它的最大好处就是保护服务器,例如好多服务器为了更好的提供服务将所有的端口开放,这样很容易引起***的***对象。但是它有一缺点,会消耗大量的路由器CPU资源

不管是标准的还是扩展的访问列表都有一个弊病就是设置好ACL的规则后发现其中的某条有问题,希望进行修改或删除时,只能将整个ACL信息删除,这样的话对于有很多条语句时带来了很大的隐患,故出现了命名访问列表。.

格式:

Router(config)#ip access-list {standard | extended} name

(定义一个名称)

Router(config {std- | ext-}nacl)#{permit | deny} 
{ip access list test conditions}

{permit | deny} {ip access list test conditions} 

no {permit | deny} {ip access list test conditions}

命名 访问列表可以包含数字和字母,但其不可以包含空格及标点符号,而且第一个字符要是字母。

Router(config-if)#ip access-group name {in | out} 

(挂接口使用)

反向ACL

格式很简单,只要在配好的扩展列表最后加上established

补充部分(ACL的高级应用)

1.基于时间访问列表用途:在公司可能会遇到这样的问题,要求员工在上班时间不能上QQ,下班可以或平时不能访问某网站,只有周未可以,对于这种情况,基于时间访问列表就应运而生了.

所以我们就不得不了解它的语法了:

不急!下面听我慢慢道来.

首先它有两部分组成:1.定义时间段2.扩展访问列表定义规则

语法如:  time-range QQ

       absolute start 00:00 1 april 2009 end 12:00 1 May 2009

也可以根据需要来定义具体时间范围,为每周周末时间命令为:

        Time-range pzh

        Periodic weekend 00:00 to 23:59 (定义具体时间为每周的一段时间)

        Access-list  110 deny tcp any 192.168.4.13 0.0.0.0 eq ftp time-range pzh

设置ACL,禁止在时间段范围内访问192.168.4.13的FTP服务

         Access-list 110 permit ip any any

2. 基于流量的记录:有效的记录ACL下如何保存访问列表的流量信息.方法就是在ACL规则后加上LOG命令.

         Log  192.168.1.1为路由器指定一个日志服务器地址。

            Access-list  101 permit tcp any 172.16.4.13 0.0.0.0 eq www log

在希望检测的扩展ACL后加log。如果加入log-input不仅保存流量信息,也会将包通过的端口也保存。