允许且仅允许从源地址4.4.4.4发出的ipfgo日服完整数据包包,访问控制列表如何配置,对不同厂家设备都有什么相
点击联系发帖人
时间:2016-01-08 18:19
华为实训12-1 基本访问控制列表配置_百度文库
两大类热门资源免费畅读
续费一年阅读会员,立省24元!
华为实训12-1 基本访问控制列表配置
上传于||文档简介
&&华​为​培​训​系​列
阅读已结束,如果下载本文需要使用1下载券
想免费下载本文?
定制HR最喜欢的简历
下载文档到电脑,查找使用更方便
还剩5页未读,继续阅读
定制HR最喜欢的简历
你可能喜欢Cisco访问控制列表_百度文库
两大类热门资源免费畅读
续费一年阅读会员,立省24元!
Cisco访问控制列表
上传于||文档简介
&&A​C​L​详​细​说​明
阅读已结束,如果下载本文需要使用2下载券
想免费下载本文?
定制HR最喜欢的简历
下载文档到电脑,查找使用更方便
还剩7页未读,继续阅读
定制HR最喜欢的简历
你可能喜欢配置 IP 访问列表
[an error occurred while processing this directive]
新闻与刊物
商业解决方案
网络解决方案
服务与支持
思科网络技术学院
培训、活动与会议
合作伙伴与代理商
中国:简体中文
TAC中文文档
原文件的链接(英语)
此文档是由人工智能自动翻译系统翻译的,请随时参考。
配置 IP 访问列表
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
本文解释IP访问控制表(ACL)如何能过滤网络流量。 它还包含IP ACL类型的简要描述、可用功能、网络中的用途示例。
确定某些的技术支持更加先进的Cisco IOS ? IP ACL功能,访问(注册的用户)工具。
包含众所周知的端口指定号码。 RFC 1918包含专用互联网的地址分配(互联网上通常不应该看到IP地址)。
注意: ?ACL可能也用于目的除过滤IP数据流之外。 例如,定义数据流到网络地址转换(NAT)或请加密或者过滤非IP协议例如AppleTalk或IPX。 关于这些功能的论述是在本文的范围之外。
本文没有任何具体的前提条件。 讨论的概念是存在Cisco IOS软件版本8.3或以上。 这是着名在每个访问控制列表功能之下。
本文讨论ACL的多种类型。 自从Cisco IOS软件版本8.3和其他在最新软件版本,被引入其中一些存在。 这在关于每种类型的讨论中注释。
本文档中的信息都是在特定的实验室环境中的设备中创建的。 本文所引用的所有设备均采用原始 (缺省)配置。 如果您的网络处于活动状态,确保您了解所有命令的潜在影响。
有关文件规则的更多信息请参见“ Cisco技术提示规则”。
此部分描述ACL概念。
掩码与IP ACL中的IP地址结合使用,指定应该允许和拒绝什么。 在接口上配置IP地址的掩码,左面的最大值为255(例如,IP地址209.165.202.129配有255.255.255.224掩码)。 掩码为IP ACL是撤消(例如,掩码0.0.0.255)。 这有时称为一个相反掩码或通配符屏蔽。 当掩码的值被划分为二进制(0s和1s)时,其结果能够确定处理数据流时会考虑哪些地址位。 0表明必须考虑地址位数(完全匹配); 一1在掩码是"do not care"。 此表更加进一步解释概念。
网络地址(将被处理)的数据流
网络地址(二进制)
掩码(二进制)
基于二进制掩码,您可以看到前三集(八位位组) 必须准确匹配特定的二进制网络地址(01)。 最后一组数字“无关紧要”()。 所以,从10.1.1匹配开始的所有数据流,因为最后八位位组是"do not care"。 所以,与此掩码,网络地址10.1.1.1通过10.1.1.255 (10.1.1.x)被处理。
ACL反向掩码也可以通过从255.255.255.255中减去正常掩码的方法实现。 在本例中,相反掩码为网络地址172.16.1.0确定与一个正常掩码为255.255.255.0。
255.255.255.255 - 255.255.255.0 (正常掩码) = 0.0.0.255 (相反掩码)
注释这些ACL等同。
来源/来源通配符0.0.0.0/255.255.255.255意味着“其中任一”。
来源或通配符10.1.1.2/0.0.0.0是相同作为“主机10.1.1.2"。
注意: ?子网掩码可能也表示作为固定长度符号。 例如, 192.168.10.0/24表示192.168.10.0 255.255.255.0。
此列表如何描述总结网络的范围到单个网络为ACL最优化。 考虑这些网络。
192.168.32.0/24
192.168.33.0/24
192.168.34.0/24
192.168.35.0/24
192.168.36.0/24
192.168.37.0/24
192.168.38.0/24
192.168.39.0/24
前二个八位位组和最后八位位组是相同为每网络。 此表是解释如何总结这些到单个网络。
第三个八位位组为上述网络可以如在此表中看到被写,根据八位位组比特位置和地址值为每位。
因为前五位配比,上述八网络可以被总结到一网络(192.168.32.0/21或192.168.32.0 255.255.248.0)。 三个低阶位的八个可能的全部组合与考虑中的网络范围相关。 此命令定义了允许此网络的ACL。 如果从255.255.255.255减去255.255.248.0 (正常掩码),它产生0.0.7.255。
access-list acl_permit permit ip 192.168.32.0 0.0.7.255
对于进一步解释,请考虑此套网络。
192.168.146.0/24
192.168.147.0/24
192.168.148.0/24
192.168.149.0/24
前二个八位位组和最后八位位组是相同为每网络。 此表是解释如何总结这些。
第三个八位位组为上述网络可以如在此表中看到被写,根据八位位组比特位置和地址值为每位。
不同于前一个示例,您不能总结这些网络到单个网络。 您需要至少二网络。 上述网络可以被总结到二网络,如这里显示。
对于网络192.168.146.x和192.168.147.x,所有位配比除了最后一个,是"do not care"。 这可以被写作为192.168.146.0/23 (或192.168.146.0 255.255.254.0)。
对于网络192.168.148.x和192.168.149.x,所有位配比除了最后一个,是"do not care"。 这可以被写作为192.168.148.0/23 (或192.168.148.0 255.255.254.0)。
此输出定义了被总结的ACL为上述网络。
access-list 10 permit ip 192.168.146.0 0.0.1.255
access-list 10 permit ip 192.168.148.0 0.0.1.255
进入路由器的数据流与根据命令的ACL条目比较条目在路由器发生。 新的语句被添加到结尾的列表。 路由器继续看起来,直到有匹配。 当路由器到达列表末端时,如果没有找到匹配,数据流将被拒绝。 为此,您应该频繁地有命中条目在列表的顶层。 有“暗示的为没有允许的数据流拒绝”。 只带有一个“拒绝”条目的单个条目ACL具有拒绝所有数据流的作用。 您在ACL必须有至少一“许可证”语句或所有数据流被阻塞。 这两个ACL (101和102)有同一个作用。
access-list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
access-list 102 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
access-list 102 deny ip any any
在本例中,最后条目是满足的。 您不需要前三个条目,因为TCP包括Telnet,而IP包括TCP、用户数据协议(UDP)和互联网控制信息协议(ICMP)。
access-list 101 permit tcp host 10.1.1.2 host 172.16.1.1 eq telnet
access-list 101 permit tcp host 10.1.1.2 host 172.16.1.1
access-list 101 permit udp host 10.1.1.2 host 172.16.1.1
access-list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
除了定义ACL源和目的地外,还可能定义端口、ICMP信息类型和其他参数。 一个好信息源为众所周知的端口是。 ICMP消息类型在解释 。
路由器在某些能显示说明性文本众所周知的端口。 请使用a ? 帮助。
access-list 102 permit tcp host 10.1.1.1 host 172.16.1.1 eq ?
Border Gateway Protocol (179)
Character generator (19)
Remote commands (rcmd, 514)
在配置期间,路由器也变换数值成更加用户友好的值。 这是示例,其中键入ICMP消息类型编号造成路由器转换编号成名字。
access-list 102 permit icmp host 10.1.1.1 host 172.16.1.1 14
access-list 102 permit icmp host 10.1.1.1 host 172.16.1.1 timestamp-reply
您能定义ACL,无需适用他们。 然而, ACL没有作用,直到他们适用于路由器接口。 在最接近数据流来源的接口上应用ACL,它便是最好的实践。 如此示例所显示,当您设法阻塞数据流从来源到目的地时,您在路由器A在router C能适用INBOUND ACL于E0而不是出局列表于E1。
术语“在”, “”, “来源”和“目的地”使用作为由路由器参考。 数据流在路由器在高速公路可以与数据流比较。 如果您是宾夕法尼亚州的一名执法人员,想阻拦从马里兰开往纽约的卡车,该卡车的起点站可能是马里兰,目的地可能是纽约。 路障可能是适用在宾夕法尼亚-纽约边界(“”)或马里兰宾夕法尼亚边界(“在”)。
当您是指一个路由器时,这些术语有这些含义。
-已经是到路由器和离开接口的数据流。 来源是(在路由器的另一边)的地方,并且目的地是的地方。
在-在接口到达然后的数据流通过路由器。 来源是的地方,并且目的地是的地方(在路由器的另一边)。
“in”ACL在它所应用的接口的分段上有一个源,在其他任意接口上则有一个目的地。 “out”ACL在它所应用的接口以外的任意接口的分段上有一个源,在它所应用的接口上有一个目的地。
编辑ACL要求特别注意。 例如,如果打算从现有的被编号的ACL删除一条特定线路如这里显示,整个ACL被删除。
router#configure terminal
Enter configuration commands, one per line.
End with CNTL/Z.
router(config)#access-list 101 deny icmp any any
router(config)#access-list 101 permit ip any any
router(config)#^Z
router#show access-list
Extended IP access list 101
deny icmp any any
permit ip any any
9 00:43:12.784: %SYS-5-CONFIG_I: Configured from console by console
router#configure terminal
Enter configuration commands, one per line.
End with CNTL/Z.
router(config)#no access-list 101 deny icmp any any
router(config)#^Z
router#show access-list
9 00:43:29.832: %SYS-5-CONFIG_I: Configured from console by console
要编辑编号了ACL,复制路由器到TFTP服务器或文本编辑的配置例如Notepad。 然后请做所有变动并且复制配置到路由器。
您能也执行此。
router#configure terminal
Enter configuration commands, one per line.
router(config)#ip access-list extended test
router(config-ext-nacl)#permit ip host 2.2.2.2 host 3.3.3.3
router(config-ext-nacl)#permit tcp host 1.1.1.1 host 5.5.5.5 eq www
router(config-ext-nacl)#permit icmp any any
router(config-ext-nacl)#permit udp host 6.6.6.6 10.10.10.0 0.0.0.255 eq domain
router(config-ext-nacl)#^Z
1d00h: %SYS-5-CONFIG_I: Configured from console by consoles-l
router#show access-list
Extended IP access list test
permit ip host 2.2.2.2 host 3.3.3.3
permit tcp host 1.1.1.1 host 5.5.5.5 eq www
permit icmp any any
permit udp host 6.6.6.6 10.10.10.0 0.0.0.255 eq domain
router#configure terminal
Enter configuration commands, one per line.
End with CNTL/Z.
router(config)#ip access-list extended test
!--- ACL entry deleted.
router(config-ext-nacl)#no permit icmp any any
!--- ACL entry added.
router(config-ext-nacl)#permit gre host 4.4.4.4 host 8.8.8.8
router(config-ext-nacl)#^Z
1d00h: %SYS-5-CONFIG_I: Configured from console by consoles-l
router#show access-list
Extended IP access list test
permit ip host 2.2.2.2 host 3.3.3.3
permit tcp host 1.1.1.1 host 5.5.5.5 eq www
permit udp host 6.6.6.6 10.10.10.0 0.0.0.255 eq domain
permit gre host 4.4.4.4 host 8.8.8.8
所有删除从ACL被取消,并且任何添加做对ACL的结尾。
从接口要去除ACL,请进入配置模式并且在access group命令前面没有进入,如此示例所显示。
interface &interface&
no ip access-group # in|out
如果许多数据流被否决,请研究您的列表逻辑或设法定义和运用一张另外的更加清楚的列表。 show ip access-lists命令提供显示的信息包计数哪ACL条目被击中。
除端口特定的信息之外, log关键字在各自的ACL条目的末端显示ACL编号和信息包是否被允许了或拒绝。
注意: ?日志输入关键字存在于Cisco IOS软件版本11.2和更新版本,也存在于专门为服务提供商市场创建的基于特定Cisco IOS软件版本11.1的软件。 旧版本的软件不支持该关键词。 使用此关键字包括输入接口和源MAC地址在可适用地方。
此程序解释调试进程。 在您是,肯定之前没有目前适用的ACL,有ACL,并且快速交换不失效。
注意: ?当您调试一个系统与大流量时,请使用特别警告。 您能使用ACL调试特定数据流。 然而,请务必进程和数据流。
使用access-list命令获取期望数据。
在本例中,数据捕获为10.2.6.6目的地地址或源地址为10.2.6.6设置。
access-list 101 permit ip any host 10.2.6.6
access-list 101 permit ip host 10.2.6.6 any
功能失效快速交换在介入的接口。 如果快速交换不失效,您只将看到第一个信息包。
config interface
no ip route-cache
显示当前终端和会话的debug命令输出和系统错误消息,在激活模式使用terminal monitor命令。
使用debug ip packet 101或debug ip packet 101 detail命令开始调试进程。
要终止调试进程,请执行no debug all命令在激活模式和接口配置命令。
重新启动缓存。
config interface
ip route-cache
本文的此部分描述ACL类型。
标准的ACL是ACL的最旧的类型。 他们建于早在Cisco IOS软件版本8.3。 标准的ACL通过比较IP信息包源地址和在ACL中配置的地址,从而实现数据流控制。
这是标准的ACL的命令语法格式。
access-list access-list-number {permit|deny}
{host|source source-wildcard|any}
在所有软件版本中, access-list-number可以是任何从1到99。 在Cisco IOS软件版本12.0.1,标准的ACL开始使用附加编号(1300 to 1999)。 这些附加数字指膨胀IP ACL。 Cisco IOS软件版本11.2在标准的ACL添加了能力使用列表名。
来源/来源通配符设置0.0.0.0/255.255.255.255可以指定作为其中任一。 如果它是所有零,通配符可以被省略。 所以,主机10.1.1.2 0.0.0.0是相同象主机10.1.1.2。
ACL被定义之后,它必须适用于接口(入局或出局接口)。 在早期的软件版本中,如果没有规定“出”或“入”等关键字时,则默认设置为“出”。 在最新软件版本必须指定方向。
interface &interface&
ip access-group number {in|out}
这是使用的示例标准的ACL阻塞所有数据流,除了从来源10.1.1.x。
interface Ethernet0/0
ip address 10.1.1.1 255.255.255.0
ip access-group 1 in
access-list 1 permit 10.1.1.0 0.0.0.255
扩展ACL在Cisco IOS软件版本8.3介绍。 通过比较IP信息包的起源和目的地址与ACL中配置的地址,扩展ACL可以控制数据流。
这是扩展ACL命令语法格式。 (线路为间距注意事项这里包裹。)
access-list access-list-number [dynamic dynamic-name [timeout minutes]]
{deny | permit} protocol source source-wildcard
destination destination-wildcard [precedence precedence]
[tos tos] [log | log-input] [time-range time-range-name]
access-list access-list-number [dynamic dynamic-name [timeout minutes]]
{deny | permit} icmp source source-wildcard
destination destination-wildcard
[icmp-type | [[icmp-type icmp-code] | [icmp-message]]
[precedence precedence] [tos tos] [log | log-input]
[time-range time-range-name]
access-list access-list-number [dynamic dynamic-name [timeout minutes]]
{deny | permit} tcp source source-wildcard [operator [port]]
destination destination-wildcard [operator [port]] [established]
[precedence precedence] [tos tos] [log | log-input]
[time-range time-range-name]
access-list access-list-number [dynamic dynamic-name [timeout minutes]]
{deny | permit} udp source source-wildcard [operator [port]]
destination destination-wildcard [operator [port]]
[precedence precedence] [tos tos] [log | log-input]
[time-range time-range-name]
在所有软件版本中, access-list-number可以是101到199。 在Cisco IOS软件版本12.0.1,扩展ACL开始使用附加编号(2000 to 2699)。 这些附加数字指膨胀IP ACL。 Cisco IOS软件版本11.2在扩展ACL添加了能力使用列表名。
值为0.0.0.0/255.255.255.255可以指定作为其中任一。 ACL被定义之后,它必须适用于接口(入局或出局接口)。 在早期的软件版本中,如果没有规定“出”或“入”等关键字时,则默认设置为“出”。 在最新软件版本必须指定方向。
interface &interface&
ip access-group {number|name} {in|out}
此扩展ACL在10.1.1.x网络被用于允许数据流(里面)和从外面接受ping响应,当从外部时防止未经请求的ping人(允许其他数据流)。
interface Ethernet0/1
ip address 172.16.1.2 255.255.255.0
ip access-group 101 in
access-list 101 deny icmp any 10.1.1.0 0.0.0.255 echo
access-list 101 permit ip any 10.1.1.0 0.0.0.255
注意: ?一些应用程序(例如网络管理)为保活功能要求ping。 如果这是实际情形,您也许希望限制阻塞入局ping (或者更准确地允许/拒绝IP)。
锁和密钥(亦称动态ACL)在Cisco IOS软件版本11.1介绍。 此功能依靠Telnet、认证(本地或远程)和扩展ACL。
锁和密钥配置开始以适用扩展ACL通过路由器阻塞数据流。 想要横断路由器的用户由扩展ACL阻拦,直到他们远程登录到路由器和验证。 Telnet连接然后开始丢弃,然后单个条目动态ACL被 添加到现有的扩展ACL上。 这允许数据流一个特定的时间(空闲和绝对超时是可能的)。
这是命令语法格式为锁和密钥配置带有本地认证。
username username password password
interface &interface&
ip access-group {number|name} {in|out}
单个条目ACL在此命令动态添加到现有的ACL在认证以后。
access-list access-list-number dynamic name{permit|deny} [protocol]
{source source-wildcard|any} {destination destination-wildcard|any}
[precedence precedence][tos tos][established] [log|log-input]
[operator destination-port|destination port]
line vty line_range
login local
这是锁和密钥基本示例。
username test password 0 test
!--- 10 (minutes) is the idle timeout.
username test autocommand access-enable host timeout 10
interface Ethernet0/0
ip address 10.1.1.1 255.255.255.0
ip access-group 101 in
access-list 101 permit tcp any host 10.1.1.1 eq telnet
!--- 15 (minutes) is the absolute timeout.
access-list 101 dynamic testlist timeout 15 permit ip 10.1.1.0 0.0.0.255
172.16.1.0 0.0.0.255
line vty 0 4
login local
10.1.1.2的用户在远程连接10.1.1.1后,开始应用动态ACL。 连接然后切,并且用户可以去172.16.1.x网络。
IP特定的ACL在Cisco IOS软件版本11.2介绍。 这准许标准和扩展ACL是教名而不是编号。
这是命令语法格式为IP特定的ACL。
ip access-list {extended|standard} name
这是TCP示例:
permit|deny tcp source source-wildcard [operator [port]]
destination destination-wildcard [operator [port]] [established]
[precedence precedence] [tos tos] [log] [time-range time-range-name]
这是用途示例指定的ACL阻塞所有数据流除了Telnet连接从主机10.1.1.2主机172.16.1.1。
interface Ethernet0/0
ip address 10.1.1.1 255.255.255.0
ip access-group in_to_out in
ip access-list extended in_to_out
permit tcp host 10.1.1.2 host 172.16.1.1 eq telnet
自反ACL在Cisco IOS软件版本11.3介绍。 自反ACL允许IP信息包被过滤根据上层的会话信息。 它们通常被用来允许出局流量通过和限制入局数据流,以便回应路由器内部产生的会话。
自反ACL可以仅被定义与延长的名为IP ACL。 它们不可能定义带有被编号或标准命名的IP ACL,或带有其他协议ACL。 自反ACL可以与其他标准和静态扩展ACL一道使用。
这是多种自反ACL命令语法。
ip access-group {number|name} {in|out}
ip access-list extended name
permit protocol any any reflect name [timeoutseconds]
ip access-list extended name
evaluate name
这是允许从里边初始化了的ICMP outbound和Inbound数据流示例,当只允许TCP通信流时(其他数据流被否决)。
ip reflexive-list timeout 120
interface Ethernet0/1
ip address 172.16.1.2 255.255.255.0
ip access-group inboundfilters in
ip access-group outboundfilters out
ip access-list extended inboundfilters
permit icmp 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
evaluate tcptraffic
!--- This ties the reflexive ACL part of the outboundfilters ACL,
!--- called tcptraffic, to the inboundfilters ACL.
ip access-list extended outboundfilters
permit icmp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
permit tcp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 reflect tcptraffic
基于时间的ACL在Cisco IOS软件版本12.0.1.T.介绍 当类似于扩展ACL时在功能,他们允许根据时间的访问控制。 如果要实施基于时间的ACL,则应创建定义了日和星期等特定时间的时间范围。 时间范围是由名字确定的由功能然后参考。 所以,时间限制被强加给功能。 时间范围依靠路由器系统时钟。 路由器时钟可以使用,但是功能工作最好带有网络时间协议(NTP)同步。
这些是基于时间的ACL命令。
!--- Defines a named time range.
time-range time-range-name
!--- Defines the periodic times.
periodic days-of-the-week hh:mm to [days-of-the-week] hh:mm
!--- Or, defines the absolute times.
absolute [start time date] [end time date]
!--- The time range used in the actual ACL.
ip access-list name|number &extended_definition&time-rangename_of_time-range
在本例中, Telnet连接从内部到外部网络在星期一、星期三和星期五允许在工作时间:
interface Ethernet0/0
ip address 10.1.1.1 255.255.255.0
ip access-group 101 in
access-list 101 permit tcp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
eq telnet time-range EVERYOTHERDAY
time-range EVERYOTHERDAY
periodic Monday Wednesday Friday 8:00 to 17:00
被评论的IP ACL条目在Cisco IOS软件版本12.0.2.T.被引入 备注使ACL更加容易了解并且可以用于标准或扩展的IP ACL。
这是commented name ip acl命令语法。
ip access-list {standard|extended} name
remark remark
这是commented numbered ip acl命令语法。
access-list access-list-number remark remark
这是示例评论被编号的ACL。
interface Ethernet0/0
ip address 10.1.1.1 255.255.255.0
ip access-group 101 in
access-list 101 remark permit_telnet
access-list 101 permit tcp host 10.1.1.2 host 172.16.1.1 eq telnet
基于上下文的访问控制(CBAC)在Cisco IOS软件版本12.0.5.T被引入并且要求Cisco IOS防火墙功能设置。 CBAC检测通过防火墙的数据流,以发现和管理TCP和UDP会话的状态信息。 此状态信息在防火墙访问控制列表被用于创建临时空缺数目。 在数据流的传输方向配置IP inspect列表,可允许回程数据流和其他数据连接用于被允许会话(源自被保护内部网络内部的会话)。
这是CBAC语法。
ip inspect name inspection-name protocol [timeoutseconds]
这是检查出局流量的用途示例CBAC。 回程数据流的扩展ACL 111通常块(除ICMP之外)没有CBAC空缺数目为回程数据流钻孔。
ip inspect name myfw ftp timeout 3600
ip inspect name myfw http timeout 3600
ip inspect name myfw tcp timeout 3600
ip inspect name myfw udp timeout 3600
ip inspect name myfw tftp timeout 3600
interface Ethernet0/1
ip address 172.16.1.2 255.255.255.0
ip access-group 111 in
ip inspect myfw out
access-list 111 deny icmp any 10.1.1.0 0.0.0.255 echo
access-list 111 permit icmp any 10.1.1.0 0.0.0.255
认证代理在Cisco IOS软件版本12.0.5.T.被引入 这要求您有Cisco IOS防火墙功能设置。 认证代理用于验证Inbound或Outbound用户或者两个。 由ACL正常阻止的用户在TACACS+或RADIUS服务器能带动浏览器通过防火墙和验证。 服务器将其他ACL条目传输到路由器中,以便在认证后允许用户通过。
认证代理是类似的于锁和密钥(动态ACL)。 区别这里解释。
锁和密钥由Telnet连接起动到路由器。 认证代理由HTTP打开通过路由器。
认证代理必须使用外部服务器。
认证代理能处理多张动态列表的添加。 锁和密钥能只加一。
认证代理没有绝对超时,但是空闲超时。 锁和密钥有两个。
请参见以认证代理为例。
涡轮ACL被引入到Cisco IOS软件版本12.1.5.T,只能在和其他高端平台上找到。 Turbo ACL功能设计效率更高处理ACL为了改进路由器性能。
请使用access-list compiled命令Turbo ACL。 编译ACL的示例这里显示。
access-list 101 permit tcp host 10.1.1.2 host 172.16.1.1 eq telnet
access-list 101 permit tcp host 10.1.1.2 host 172.16.1.1 eq ftp
access-list 101 permit udp host 10.1.1.2 host 172.16.1.1 eq syslog
access-list 101 permit udp host 10.1.1.2 host 172.16.1.1 eq tftp
access-list 101 permit udp host 10.1.1.2 host 172.16.1.1 eq ntp
在标准或扩展ACL被定义之后,请使用全局配置命令编译。
!--- Tells the router to compile.
access-list compiled
Interface Ethernet0/1
ip address 172.16.1.2 255.255.255.0
!--- Applies to the interface.
ip access-group 101 in
show access-list compiled命令显示统计数据关于ACL。
基于时间的分布式ACL在Cisco IOS软件版本12.2.2.T在支持VPN的7500系列路由器介绍实现基于时间的ACL。 引入基于时间的分布式ACL功能之前,Cisco 7500系列路由器的线路卡不支持基于时间的ACL。 如果配置了基于时间的ACL,他们正常运行作为正常ACL。 如果线卡上的某个接口配有基于时间的ACL,交换到接口的数据包则不会通过线卡进行分布式交换,而是转发到路由处理器,进行处理。
基于时间的分布式ACL的语法与基于时间的带有更多命令的ACL的语法相同,更多命令是指路由处理器和线卡之间的处理器间通信(IPC)消息的状态命令。
debug time-range ipc
show time-range ipc
clear time-range ipc
通过防止路由器的千兆路由处理器(GRP)处理多余和潜在恶毒数据流,接收ACL能够用于增强Cisco 12000路由器安全。 Receive ACL被添加了作为特殊放弃到维护节流孔为Cisco IOS软件版本12.0.21S2并且集成12.0(22)S。 请参阅 欲知详情。
通过明确允许只有授权数据流才能传输到基础设施设备,同时允许其他所有数据流传输,基础设施ACL能够用于最小化直接基础设施攻击的风险和影响。 请参阅欲知详情。
通过明确允许只有必要数据流才能进入您的网络或网络,传输ACL可用于提高网络安全。 请参阅 欲知详情。
网络专业人士连接是网络专业人士的一个论坛,它共享网络解决方案、产品和技术的相关问题、建议和信息。 功能链路是此技术可用的一些最近的会话。
Net Pro论坛-专题对话为安全
安全: 入侵检测[Systems]
安全: AAA
安全: 常规
安全: 防火墙
声明:此文档是由为思科 TAC 网页内容翻译所开发的英汉机器自动翻译系统翻译的。在有疑问或作出重要的技术支持决策时,请随时参考英文原文。Updated:
Jun 23, 2004Document ID: 23602
[an error occurred while processing this directive]
[an error occurred while processing this directive]}
两大类热门资源免费畅读
续费一年阅读会员,立省24元!
华为实训12-1 基本访问控制列表配置
上传于||文档简介
&&华​为​培​训​系​列
阅读已结束,如果下载本文需要使用1下载券
想免费下载本文?
定制HR最喜欢的简历
下载文档到电脑,查找使用更方便
还剩5页未读,继续阅读
定制HR最喜欢的简历
你可能喜欢Cisco访问控制列表_百度文库
两大类热门资源免费畅读
续费一年阅读会员,立省24元!
Cisco访问控制列表
上传于||文档简介
&&A​C​L​详​细​说​明
阅读已结束,如果下载本文需要使用2下载券
想免费下载本文?
定制HR最喜欢的简历
下载文档到电脑,查找使用更方便
还剩7页未读,继续阅读
定制HR最喜欢的简历
你可能喜欢配置 IP 访问列表
[an error occurred while processing this directive]
新闻与刊物
商业解决方案
网络解决方案
服务与支持
思科网络技术学院
培训、活动与会议
合作伙伴与代理商
中国:简体中文
TAC中文文档
原文件的链接(英语)
此文档是由人工智能自动翻译系统翻译的,请随时参考。
配置 IP 访问列表
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
本文解释IP访问控制表(ACL)如何能过滤网络流量。 它还包含IP ACL类型的简要描述、可用功能、网络中的用途示例。
确定某些的技术支持更加先进的Cisco IOS ? IP ACL功能,访问(注册的用户)工具。
包含众所周知的端口指定号码。 RFC 1918包含专用互联网的地址分配(互联网上通常不应该看到IP地址)。
注意: ?ACL可能也用于目的除过滤IP数据流之外。 例如,定义数据流到网络地址转换(NAT)或请加密或者过滤非IP协议例如AppleTalk或IPX。 关于这些功能的论述是在本文的范围之外。
本文没有任何具体的前提条件。 讨论的概念是存在Cisco IOS软件版本8.3或以上。 这是着名在每个访问控制列表功能之下。
本文讨论ACL的多种类型。 自从Cisco IOS软件版本8.3和其他在最新软件版本,被引入其中一些存在。 这在关于每种类型的讨论中注释。
本文档中的信息都是在特定的实验室环境中的设备中创建的。 本文所引用的所有设备均采用原始 (缺省)配置。 如果您的网络处于活动状态,确保您了解所有命令的潜在影响。
有关文件规则的更多信息请参见“ Cisco技术提示规则”。
此部分描述ACL概念。
掩码与IP ACL中的IP地址结合使用,指定应该允许和拒绝什么。 在接口上配置IP地址的掩码,左面的最大值为255(例如,IP地址209.165.202.129配有255.255.255.224掩码)。 掩码为IP ACL是撤消(例如,掩码0.0.0.255)。 这有时称为一个相反掩码或通配符屏蔽。 当掩码的值被划分为二进制(0s和1s)时,其结果能够确定处理数据流时会考虑哪些地址位。 0表明必须考虑地址位数(完全匹配); 一1在掩码是"do not care"。 此表更加进一步解释概念。
网络地址(将被处理)的数据流
网络地址(二进制)
掩码(二进制)
基于二进制掩码,您可以看到前三集(八位位组) 必须准确匹配特定的二进制网络地址(01)。 最后一组数字“无关紧要”()。 所以,从10.1.1匹配开始的所有数据流,因为最后八位位组是"do not care"。 所以,与此掩码,网络地址10.1.1.1通过10.1.1.255 (10.1.1.x)被处理。
ACL反向掩码也可以通过从255.255.255.255中减去正常掩码的方法实现。 在本例中,相反掩码为网络地址172.16.1.0确定与一个正常掩码为255.255.255.0。
255.255.255.255 - 255.255.255.0 (正常掩码) = 0.0.0.255 (相反掩码)
注释这些ACL等同。
来源/来源通配符0.0.0.0/255.255.255.255意味着“其中任一”。
来源或通配符10.1.1.2/0.0.0.0是相同作为“主机10.1.1.2"。
注意: ?子网掩码可能也表示作为固定长度符号。 例如, 192.168.10.0/24表示192.168.10.0 255.255.255.0。
此列表如何描述总结网络的范围到单个网络为ACL最优化。 考虑这些网络。
192.168.32.0/24
192.168.33.0/24
192.168.34.0/24
192.168.35.0/24
192.168.36.0/24
192.168.37.0/24
192.168.38.0/24
192.168.39.0/24
前二个八位位组和最后八位位组是相同为每网络。 此表是解释如何总结这些到单个网络。
第三个八位位组为上述网络可以如在此表中看到被写,根据八位位组比特位置和地址值为每位。
因为前五位配比,上述八网络可以被总结到一网络(192.168.32.0/21或192.168.32.0 255.255.248.0)。 三个低阶位的八个可能的全部组合与考虑中的网络范围相关。 此命令定义了允许此网络的ACL。 如果从255.255.255.255减去255.255.248.0 (正常掩码),它产生0.0.7.255。
access-list acl_permit permit ip 192.168.32.0 0.0.7.255
对于进一步解释,请考虑此套网络。
192.168.146.0/24
192.168.147.0/24
192.168.148.0/24
192.168.149.0/24
前二个八位位组和最后八位位组是相同为每网络。 此表是解释如何总结这些。
第三个八位位组为上述网络可以如在此表中看到被写,根据八位位组比特位置和地址值为每位。
不同于前一个示例,您不能总结这些网络到单个网络。 您需要至少二网络。 上述网络可以被总结到二网络,如这里显示。
对于网络192.168.146.x和192.168.147.x,所有位配比除了最后一个,是"do not care"。 这可以被写作为192.168.146.0/23 (或192.168.146.0 255.255.254.0)。
对于网络192.168.148.x和192.168.149.x,所有位配比除了最后一个,是"do not care"。 这可以被写作为192.168.148.0/23 (或192.168.148.0 255.255.254.0)。
此输出定义了被总结的ACL为上述网络。
access-list 10 permit ip 192.168.146.0 0.0.1.255
access-list 10 permit ip 192.168.148.0 0.0.1.255
进入路由器的数据流与根据命令的ACL条目比较条目在路由器发生。 新的语句被添加到结尾的列表。 路由器继续看起来,直到有匹配。 当路由器到达列表末端时,如果没有找到匹配,数据流将被拒绝。 为此,您应该频繁地有命中条目在列表的顶层。 有“暗示的为没有允许的数据流拒绝”。 只带有一个“拒绝”条目的单个条目ACL具有拒绝所有数据流的作用。 您在ACL必须有至少一“许可证”语句或所有数据流被阻塞。 这两个ACL (101和102)有同一个作用。
access-list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
access-list 102 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
access-list 102 deny ip any any
在本例中,最后条目是满足的。 您不需要前三个条目,因为TCP包括Telnet,而IP包括TCP、用户数据协议(UDP)和互联网控制信息协议(ICMP)。
access-list 101 permit tcp host 10.1.1.2 host 172.16.1.1 eq telnet
access-list 101 permit tcp host 10.1.1.2 host 172.16.1.1
access-list 101 permit udp host 10.1.1.2 host 172.16.1.1
access-list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
除了定义ACL源和目的地外,还可能定义端口、ICMP信息类型和其他参数。 一个好信息源为众所周知的端口是。 ICMP消息类型在解释 。
路由器在某些能显示说明性文本众所周知的端口。 请使用a ? 帮助。
access-list 102 permit tcp host 10.1.1.1 host 172.16.1.1 eq ?
Border Gateway Protocol (179)
Character generator (19)
Remote commands (rcmd, 514)
在配置期间,路由器也变换数值成更加用户友好的值。 这是示例,其中键入ICMP消息类型编号造成路由器转换编号成名字。
access-list 102 permit icmp host 10.1.1.1 host 172.16.1.1 14
access-list 102 permit icmp host 10.1.1.1 host 172.16.1.1 timestamp-reply
您能定义ACL,无需适用他们。 然而, ACL没有作用,直到他们适用于路由器接口。 在最接近数据流来源的接口上应用ACL,它便是最好的实践。 如此示例所显示,当您设法阻塞数据流从来源到目的地时,您在路由器A在router C能适用INBOUND ACL于E0而不是出局列表于E1。
术语“在”, “”, “来源”和“目的地”使用作为由路由器参考。 数据流在路由器在高速公路可以与数据流比较。 如果您是宾夕法尼亚州的一名执法人员,想阻拦从马里兰开往纽约的卡车,该卡车的起点站可能是马里兰,目的地可能是纽约。 路障可能是适用在宾夕法尼亚-纽约边界(“”)或马里兰宾夕法尼亚边界(“在”)。
当您是指一个路由器时,这些术语有这些含义。
-已经是到路由器和离开接口的数据流。 来源是(在路由器的另一边)的地方,并且目的地是的地方。
在-在接口到达然后的数据流通过路由器。 来源是的地方,并且目的地是的地方(在路由器的另一边)。
“in”ACL在它所应用的接口的分段上有一个源,在其他任意接口上则有一个目的地。 “out”ACL在它所应用的接口以外的任意接口的分段上有一个源,在它所应用的接口上有一个目的地。
编辑ACL要求特别注意。 例如,如果打算从现有的被编号的ACL删除一条特定线路如这里显示,整个ACL被删除。
router#configure terminal
Enter configuration commands, one per line.
End with CNTL/Z.
router(config)#access-list 101 deny icmp any any
router(config)#access-list 101 permit ip any any
router(config)#^Z
router#show access-list
Extended IP access list 101
deny icmp any any
permit ip any any
9 00:43:12.784: %SYS-5-CONFIG_I: Configured from console by console
router#configure terminal
Enter configuration commands, one per line.
End with CNTL/Z.
router(config)#no access-list 101 deny icmp any any
router(config)#^Z
router#show access-list
9 00:43:29.832: %SYS-5-CONFIG_I: Configured from console by console
要编辑编号了ACL,复制路由器到TFTP服务器或文本编辑的配置例如Notepad。 然后请做所有变动并且复制配置到路由器。
您能也执行此。
router#configure terminal
Enter configuration commands, one per line.
router(config)#ip access-list extended test
router(config-ext-nacl)#permit ip host 2.2.2.2 host 3.3.3.3
router(config-ext-nacl)#permit tcp host 1.1.1.1 host 5.5.5.5 eq www
router(config-ext-nacl)#permit icmp any any
router(config-ext-nacl)#permit udp host 6.6.6.6 10.10.10.0 0.0.0.255 eq domain
router(config-ext-nacl)#^Z
1d00h: %SYS-5-CONFIG_I: Configured from console by consoles-l
router#show access-list
Extended IP access list test
permit ip host 2.2.2.2 host 3.3.3.3
permit tcp host 1.1.1.1 host 5.5.5.5 eq www
permit icmp any any
permit udp host 6.6.6.6 10.10.10.0 0.0.0.255 eq domain
router#configure terminal
Enter configuration commands, one per line.
End with CNTL/Z.
router(config)#ip access-list extended test
!--- ACL entry deleted.
router(config-ext-nacl)#no permit icmp any any
!--- ACL entry added.
router(config-ext-nacl)#permit gre host 4.4.4.4 host 8.8.8.8
router(config-ext-nacl)#^Z
1d00h: %SYS-5-CONFIG_I: Configured from console by consoles-l
router#show access-list
Extended IP access list test
permit ip host 2.2.2.2 host 3.3.3.3
permit tcp host 1.1.1.1 host 5.5.5.5 eq www
permit udp host 6.6.6.6 10.10.10.0 0.0.0.255 eq domain
permit gre host 4.4.4.4 host 8.8.8.8
所有删除从ACL被取消,并且任何添加做对ACL的结尾。
从接口要去除ACL,请进入配置模式并且在access group命令前面没有进入,如此示例所显示。
interface &interface&
no ip access-group # in|out
如果许多数据流被否决,请研究您的列表逻辑或设法定义和运用一张另外的更加清楚的列表。 show ip access-lists命令提供显示的信息包计数哪ACL条目被击中。
除端口特定的信息之外, log关键字在各自的ACL条目的末端显示ACL编号和信息包是否被允许了或拒绝。
注意: ?日志输入关键字存在于Cisco IOS软件版本11.2和更新版本,也存在于专门为服务提供商市场创建的基于特定Cisco IOS软件版本11.1的软件。 旧版本的软件不支持该关键词。 使用此关键字包括输入接口和源MAC地址在可适用地方。
此程序解释调试进程。 在您是,肯定之前没有目前适用的ACL,有ACL,并且快速交换不失效。
注意: ?当您调试一个系统与大流量时,请使用特别警告。 您能使用ACL调试特定数据流。 然而,请务必进程和数据流。
使用access-list命令获取期望数据。
在本例中,数据捕获为10.2.6.6目的地地址或源地址为10.2.6.6设置。
access-list 101 permit ip any host 10.2.6.6
access-list 101 permit ip host 10.2.6.6 any
功能失效快速交换在介入的接口。 如果快速交换不失效,您只将看到第一个信息包。
config interface
no ip route-cache
显示当前终端和会话的debug命令输出和系统错误消息,在激活模式使用terminal monitor命令。
使用debug ip packet 101或debug ip packet 101 detail命令开始调试进程。
要终止调试进程,请执行no debug all命令在激活模式和接口配置命令。
重新启动缓存。
config interface
ip route-cache
本文的此部分描述ACL类型。
标准的ACL是ACL的最旧的类型。 他们建于早在Cisco IOS软件版本8.3。 标准的ACL通过比较IP信息包源地址和在ACL中配置的地址,从而实现数据流控制。
这是标准的ACL的命令语法格式。
access-list access-list-number {permit|deny}
{host|source source-wildcard|any}
在所有软件版本中, access-list-number可以是任何从1到99。 在Cisco IOS软件版本12.0.1,标准的ACL开始使用附加编号(1300 to 1999)。 这些附加数字指膨胀IP ACL。 Cisco IOS软件版本11.2在标准的ACL添加了能力使用列表名。
来源/来源通配符设置0.0.0.0/255.255.255.255可以指定作为其中任一。 如果它是所有零,通配符可以被省略。 所以,主机10.1.1.2 0.0.0.0是相同象主机10.1.1.2。
ACL被定义之后,它必须适用于接口(入局或出局接口)。 在早期的软件版本中,如果没有规定“出”或“入”等关键字时,则默认设置为“出”。 在最新软件版本必须指定方向。
interface &interface&
ip access-group number {in|out}
这是使用的示例标准的ACL阻塞所有数据流,除了从来源10.1.1.x。
interface Ethernet0/0
ip address 10.1.1.1 255.255.255.0
ip access-group 1 in
access-list 1 permit 10.1.1.0 0.0.0.255
扩展ACL在Cisco IOS软件版本8.3介绍。 通过比较IP信息包的起源和目的地址与ACL中配置的地址,扩展ACL可以控制数据流。
这是扩展ACL命令语法格式。 (线路为间距注意事项这里包裹。)
access-list access-list-number [dynamic dynamic-name [timeout minutes]]
{deny | permit} protocol source source-wildcard
destination destination-wildcard [precedence precedence]
[tos tos] [log | log-input] [time-range time-range-name]
access-list access-list-number [dynamic dynamic-name [timeout minutes]]
{deny | permit} icmp source source-wildcard
destination destination-wildcard
[icmp-type | [[icmp-type icmp-code] | [icmp-message]]
[precedence precedence] [tos tos] [log | log-input]
[time-range time-range-name]
access-list access-list-number [dynamic dynamic-name [timeout minutes]]
{deny | permit} tcp source source-wildcard [operator [port]]
destination destination-wildcard [operator [port]] [established]
[precedence precedence] [tos tos] [log | log-input]
[time-range time-range-name]
access-list access-list-number [dynamic dynamic-name [timeout minutes]]
{deny | permit} udp source source-wildcard [operator [port]]
destination destination-wildcard [operator [port]]
[precedence precedence] [tos tos] [log | log-input]
[time-range time-range-name]
在所有软件版本中, access-list-number可以是101到199。 在Cisco IOS软件版本12.0.1,扩展ACL开始使用附加编号(2000 to 2699)。 这些附加数字指膨胀IP ACL。 Cisco IOS软件版本11.2在扩展ACL添加了能力使用列表名。
值为0.0.0.0/255.255.255.255可以指定作为其中任一。 ACL被定义之后,它必须适用于接口(入局或出局接口)。 在早期的软件版本中,如果没有规定“出”或“入”等关键字时,则默认设置为“出”。 在最新软件版本必须指定方向。
interface &interface&
ip access-group {number|name} {in|out}
此扩展ACL在10.1.1.x网络被用于允许数据流(里面)和从外面接受ping响应,当从外部时防止未经请求的ping人(允许其他数据流)。
interface Ethernet0/1
ip address 172.16.1.2 255.255.255.0
ip access-group 101 in
access-list 101 deny icmp any 10.1.1.0 0.0.0.255 echo
access-list 101 permit ip any 10.1.1.0 0.0.0.255
注意: ?一些应用程序(例如网络管理)为保活功能要求ping。 如果这是实际情形,您也许希望限制阻塞入局ping (或者更准确地允许/拒绝IP)。
锁和密钥(亦称动态ACL)在Cisco IOS软件版本11.1介绍。 此功能依靠Telnet、认证(本地或远程)和扩展ACL。
锁和密钥配置开始以适用扩展ACL通过路由器阻塞数据流。 想要横断路由器的用户由扩展ACL阻拦,直到他们远程登录到路由器和验证。 Telnet连接然后开始丢弃,然后单个条目动态ACL被 添加到现有的扩展ACL上。 这允许数据流一个特定的时间(空闲和绝对超时是可能的)。
这是命令语法格式为锁和密钥配置带有本地认证。
username username password password
interface &interface&
ip access-group {number|name} {in|out}
单个条目ACL在此命令动态添加到现有的ACL在认证以后。
access-list access-list-number dynamic name{permit|deny} [protocol]
{source source-wildcard|any} {destination destination-wildcard|any}
[precedence precedence][tos tos][established] [log|log-input]
[operator destination-port|destination port]
line vty line_range
login local
这是锁和密钥基本示例。
username test password 0 test
!--- 10 (minutes) is the idle timeout.
username test autocommand access-enable host timeout 10
interface Ethernet0/0
ip address 10.1.1.1 255.255.255.0
ip access-group 101 in
access-list 101 permit tcp any host 10.1.1.1 eq telnet
!--- 15 (minutes) is the absolute timeout.
access-list 101 dynamic testlist timeout 15 permit ip 10.1.1.0 0.0.0.255
172.16.1.0 0.0.0.255
line vty 0 4
login local
10.1.1.2的用户在远程连接10.1.1.1后,开始应用动态ACL。 连接然后切,并且用户可以去172.16.1.x网络。
IP特定的ACL在Cisco IOS软件版本11.2介绍。 这准许标准和扩展ACL是教名而不是编号。
这是命令语法格式为IP特定的ACL。
ip access-list {extended|standard} name
这是TCP示例:
permit|deny tcp source source-wildcard [operator [port]]
destination destination-wildcard [operator [port]] [established]
[precedence precedence] [tos tos] [log] [time-range time-range-name]
这是用途示例指定的ACL阻塞所有数据流除了Telnet连接从主机10.1.1.2主机172.16.1.1。
interface Ethernet0/0
ip address 10.1.1.1 255.255.255.0
ip access-group in_to_out in
ip access-list extended in_to_out
permit tcp host 10.1.1.2 host 172.16.1.1 eq telnet
自反ACL在Cisco IOS软件版本11.3介绍。 自反ACL允许IP信息包被过滤根据上层的会话信息。 它们通常被用来允许出局流量通过和限制入局数据流,以便回应路由器内部产生的会话。
自反ACL可以仅被定义与延长的名为IP ACL。 它们不可能定义带有被编号或标准命名的IP ACL,或带有其他协议ACL。 自反ACL可以与其他标准和静态扩展ACL一道使用。
这是多种自反ACL命令语法。
ip access-group {number|name} {in|out}
ip access-list extended name
permit protocol any any reflect name [timeoutseconds]
ip access-list extended name
evaluate name
这是允许从里边初始化了的ICMP outbound和Inbound数据流示例,当只允许TCP通信流时(其他数据流被否决)。
ip reflexive-list timeout 120
interface Ethernet0/1
ip address 172.16.1.2 255.255.255.0
ip access-group inboundfilters in
ip access-group outboundfilters out
ip access-list extended inboundfilters
permit icmp 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
evaluate tcptraffic
!--- This ties the reflexive ACL part of the outboundfilters ACL,
!--- called tcptraffic, to the inboundfilters ACL.
ip access-list extended outboundfilters
permit icmp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
permit tcp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 reflect tcptraffic
基于时间的ACL在Cisco IOS软件版本12.0.1.T.介绍 当类似于扩展ACL时在功能,他们允许根据时间的访问控制。 如果要实施基于时间的ACL,则应创建定义了日和星期等特定时间的时间范围。 时间范围是由名字确定的由功能然后参考。 所以,时间限制被强加给功能。 时间范围依靠路由器系统时钟。 路由器时钟可以使用,但是功能工作最好带有网络时间协议(NTP)同步。
这些是基于时间的ACL命令。
!--- Defines a named time range.
time-range time-range-name
!--- Defines the periodic times.
periodic days-of-the-week hh:mm to [days-of-the-week] hh:mm
!--- Or, defines the absolute times.
absolute [start time date] [end time date]
!--- The time range used in the actual ACL.
ip access-list name|number &extended_definition&time-rangename_of_time-range
在本例中, Telnet连接从内部到外部网络在星期一、星期三和星期五允许在工作时间:
interface Ethernet0/0
ip address 10.1.1.1 255.255.255.0
ip access-group 101 in
access-list 101 permit tcp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
eq telnet time-range EVERYOTHERDAY
time-range EVERYOTHERDAY
periodic Monday Wednesday Friday 8:00 to 17:00
被评论的IP ACL条目在Cisco IOS软件版本12.0.2.T.被引入 备注使ACL更加容易了解并且可以用于标准或扩展的IP ACL。
这是commented name ip acl命令语法。
ip access-list {standard|extended} name
remark remark
这是commented numbered ip acl命令语法。
access-list access-list-number remark remark
这是示例评论被编号的ACL。
interface Ethernet0/0
ip address 10.1.1.1 255.255.255.0
ip access-group 101 in
access-list 101 remark permit_telnet
access-list 101 permit tcp host 10.1.1.2 host 172.16.1.1 eq telnet
基于上下文的访问控制(CBAC)在Cisco IOS软件版本12.0.5.T被引入并且要求Cisco IOS防火墙功能设置。 CBAC检测通过防火墙的数据流,以发现和管理TCP和UDP会话的状态信息。 此状态信息在防火墙访问控制列表被用于创建临时空缺数目。 在数据流的传输方向配置IP inspect列表,可允许回程数据流和其他数据连接用于被允许会话(源自被保护内部网络内部的会话)。
这是CBAC语法。
ip inspect name inspection-name protocol [timeoutseconds]
这是检查出局流量的用途示例CBAC。 回程数据流的扩展ACL 111通常块(除ICMP之外)没有CBAC空缺数目为回程数据流钻孔。
ip inspect name myfw ftp timeout 3600
ip inspect name myfw http timeout 3600
ip inspect name myfw tcp timeout 3600
ip inspect name myfw udp timeout 3600
ip inspect name myfw tftp timeout 3600
interface Ethernet0/1
ip address 172.16.1.2 255.255.255.0
ip access-group 111 in
ip inspect myfw out
access-list 111 deny icmp any 10.1.1.0 0.0.0.255 echo
access-list 111 permit icmp any 10.1.1.0 0.0.0.255
认证代理在Cisco IOS软件版本12.0.5.T.被引入 这要求您有Cisco IOS防火墙功能设置。 认证代理用于验证Inbound或Outbound用户或者两个。 由ACL正常阻止的用户在TACACS+或RADIUS服务器能带动浏览器通过防火墙和验证。 服务器将其他ACL条目传输到路由器中,以便在认证后允许用户通过。
认证代理是类似的于锁和密钥(动态ACL)。 区别这里解释。
锁和密钥由Telnet连接起动到路由器。 认证代理由HTTP打开通过路由器。
认证代理必须使用外部服务器。
认证代理能处理多张动态列表的添加。 锁和密钥能只加一。
认证代理没有绝对超时,但是空闲超时。 锁和密钥有两个。
请参见以认证代理为例。
涡轮ACL被引入到Cisco IOS软件版本12.1.5.T,只能在和其他高端平台上找到。 Turbo ACL功能设计效率更高处理ACL为了改进路由器性能。
请使用access-list compiled命令Turbo ACL。 编译ACL的示例这里显示。
access-list 101 permit tcp host 10.1.1.2 host 172.16.1.1 eq telnet
access-list 101 permit tcp host 10.1.1.2 host 172.16.1.1 eq ftp
access-list 101 permit udp host 10.1.1.2 host 172.16.1.1 eq syslog
access-list 101 permit udp host 10.1.1.2 host 172.16.1.1 eq tftp
access-list 101 permit udp host 10.1.1.2 host 172.16.1.1 eq ntp
在标准或扩展ACL被定义之后,请使用全局配置命令编译。
!--- Tells the router to compile.
access-list compiled
Interface Ethernet0/1
ip address 172.16.1.2 255.255.255.0
!--- Applies to the interface.
ip access-group 101 in
show access-list compiled命令显示统计数据关于ACL。
基于时间的分布式ACL在Cisco IOS软件版本12.2.2.T在支持VPN的7500系列路由器介绍实现基于时间的ACL。 引入基于时间的分布式ACL功能之前,Cisco 7500系列路由器的线路卡不支持基于时间的ACL。 如果配置了基于时间的ACL,他们正常运行作为正常ACL。 如果线卡上的某个接口配有基于时间的ACL,交换到接口的数据包则不会通过线卡进行分布式交换,而是转发到路由处理器,进行处理。
基于时间的分布式ACL的语法与基于时间的带有更多命令的ACL的语法相同,更多命令是指路由处理器和线卡之间的处理器间通信(IPC)消息的状态命令。
debug time-range ipc
show time-range ipc
clear time-range ipc
通过防止路由器的千兆路由处理器(GRP)处理多余和潜在恶毒数据流,接收ACL能够用于增强Cisco 12000路由器安全。 Receive ACL被添加了作为特殊放弃到维护节流孔为Cisco IOS软件版本12.0.21S2并且集成12.0(22)S。 请参阅 欲知详情。
通过明确允许只有授权数据流才能传输到基础设施设备,同时允许其他所有数据流传输,基础设施ACL能够用于最小化直接基础设施攻击的风险和影响。 请参阅欲知详情。
通过明确允许只有必要数据流才能进入您的网络或网络,传输ACL可用于提高网络安全。 请参阅 欲知详情。
网络专业人士连接是网络专业人士的一个论坛,它共享网络解决方案、产品和技术的相关问题、建议和信息。 功能链路是此技术可用的一些最近的会话。
Net Pro论坛-专题对话为安全
安全: 入侵检测[Systems]
安全: AAA
安全: 常规
安全: 防火墙
声明:此文档是由为思科 TAC 网页内容翻译所开发的英汉机器自动翻译系统翻译的。在有疑问或作出重要的技术支持决策时,请随时参考英文原文。Updated:
Jun 23, 2004Document ID: 23602
[an error occurred while processing this directive]
[an error occurred while processing this directive]}
我要回帖
更多推荐
- ·微信视频微信号号可以设置谁可以看吗?
- ·阳朔县京东送货桂林京东快递电话号码码多少?
- ·2023年春节新疆快递现在停运了吗2024年具体哪天停运?
- ·度娘软件免费下载是什么软件
- ·我是文明小公民视频怎么拍视频
- ·怎样考上厦门大学怎样?
- ·获得国家奖学金对以后考研究生有用
- ·神木县石窑店煤矿丁家沟有几家煤矿公司
- ·(40チ6ᅮ1x)(20 2x)=1200万精神抚慰金,
- ·父亲今年66,刚做完心脏支架手术,今天是第二个晚上。还患有房颤。晚上睡觉的时候心率时高时低,一般在
- ·有想和他我和蔬菜交朋友手抄报的吗?
- ·请问哪些厂家生产圆磁铁直径规格规格直径45亳米厚8毫米
- ·求助物理大神,帮忙纠正一下这些选择题的答案。明天要交,儿歌你说谢谢我帮忙。
- ·八岁儿童梦到右脚断了骨拆手术后取排血管断了大约8厘米在伤口里,医生用夹子取出排血管导致伤口增大发炎,引起第
- ·2016年湖南工业大学美术在河南音乐类单招2016年设立单招吗?——【我说的是湖南工业大学,不是湖南工业大学科技学院等
- ·百度云资源分享你懂求资源分享
- ·怀玉格格第四部后三部在哪个软件可以缓存
- ·烂土电信拉网小调多少钱
- ·请问查看别人的qq聊天记录信息删除了怎么恢复,电脑上如何查看
- ·QQ邮箱cpc客户端安装教程安不上怎么办
- ·允许且仅允许从源地址4.4.4.4发出的ipfgo日服完整数据包包,访问控制列表如何配置,对不同厂家设备都有什么相
- ·为什么苹果手机用硬件电脑管家硬件检测分数检测序列号会显示参数错误 ???
- ·谁那里有s,q,网啊站呀?分享一下!!!谢谢分享
- ·大皇帝手机苹果6怎么苹果复制粘贴贴到游戏
- ·我想一个朋友用QQ发给我一个王者荣耀体验服账号的应用,我下载下来了,但是进不去,还要申请资格,咋办?跪
- ·请问在,大 发 888,需要什么取保候审的条件和程序?经过那什么程序?
- ·宾馆监控与公安联网吗一体机怎么联网
- ·qq名片点击网页打开后不能点击点击添加为什么会开始下载qq音乐呢
- ·david alliss美图软件
- ·手机幕后玩家 西瓜播放器器当一会就停止运行
- ·问问,安卓游戏破解版下载,告诉我吧,易维帮助台破解版下
- ·怀玉公主第一部后三部在哪个软件可以缓存
- ·找递信网络做网站建站天天快递好不好好?
- ·谁用过电脑版的微信多开宝呢?哪位大神告知下~~感谢信😊
- ·Macbook air找不到无线路由器网络是路由器,但是手机上可以用的
