IT技术互动交流平台

Cisco访问表类型

发布日期:2011-11-26 16:09:55

C i s c o支持两种类型的访问表:标准访问表和扩展访问表。标准的访问表只允许过滤源地址,且功能十分有限。扩展的访问表允许过滤源地址、目的地址和上层应用数据。在本节中,将介绍这两种类型的访问表,将特别注重I P(Internet Protocol,网际协议)访问表,因为I P是I n t e r n e t上唯一支持的传输协议。

一、 标准IP访问表

标准I P访问表的基本格式为:

Cisco访问表类型

注意,在前面的列表中,两个项之间的竖线( |)表示应该选择竖线两边中的某一个项。

我们需要对标准I P访问表中的一些项进行解释。首先, a c c e s s - l i s t中的两个字需要使用连字符。另外, list number是1 ~ 9 9之间的一个数字,这表示它是一条普通的访问表。另外1 ~ 9 9之间的任何号码告诉I O S该访问表是与I P协议联系在一起的。这样,访问表号有两个功能,它定义了访问表操作的协议,并且告诉了I O S将所有标识为同一号码的语句作为一个实体。

在实践中,不管是命名访问表,还是编号访问表, C I S C O都支持在访问表中引用协议。表3 - 1包含了命名访问表和编号访问表所支持的协议。因为本书的主要内容是针对I P相关的访问表,所以书中大量引用的示例的编号都界于1 ~ 9 9或1 0 0 ~ 1 9 9之间。 

下表通过名称和号码指定的访问表所支持的协议

Cisco访问表类型

1. 关键字

关键字p e r m i t和d e n y用来表示满足访问表项的报文是允许通过接口,还是要过滤掉。关键字p e r m i t表示允许报文通过接口,而关键字d e n y表示匹配标准I P访问表源地址的报文要被丢弃掉。

2. 源地址

对于标准的I P访问表,源地址是主机或一组主机的点分十进制表示。在实际应用中,使用一组主机要基于对通配符屏蔽码的使用。这样,首先应该介绍一下通配符屏蔽码,并了解一下I P地址范围的几个实例。

3. 通配符屏蔽码

C i s c o访问表功能所支持的通配符屏蔽码与子网屏蔽码的方式是相反的。这就是说,二进制的0表示一个“匹配”条件,二进制的1表示一个“不关心”条件。
为了说明对通配屏蔽符的操作,假设组织机构拥有一个C类网络1 9 8 . 7 8 . 4 6 . 0。假设不使用子网,则当配置网络中的每一个工作站时,使用子网屏蔽码2 5 5 . 2 5 5 . 2 5 5 . 0。在这种情况下, 1表示一个“匹配”,而0表示一个“不关心”的条件。这样,如果在4字节的子网屏蔽码的前3个字节中指定其值为2 5 5,则传输控制协议/网际协议栈( T C P / I P)只匹配报文中的网络地址,

而不匹配报文中的主机地址。因为C i s c o通配符屏蔽码与子网屏蔽码是相反的,所以下面的标准I P访问表语句能够匹配源网络地址1 9 8 . 7 8 . 4 6 . 0中的所有报文。

Cisco访问表类型

在上述访问表语句中,注意通配符屏蔽码0 . 0 . 0 . 2 5 5与子网屏蔽码是兼容的。这样,指定访问表通配符屏蔽码的另一方法是确定子网屏蔽码并将其取反。

4. 其他关键字

虽然访问表的许多关键字只适应于扩展访问表,但有三个关键字在标准访问表中是支持的,并且值得引起重视。这三个关键字为h o s t、a n y和l o g。前两个关键字h o s t和a n y分别用于指定单个主机和所有主机,前面还没有介绍过它们。

5. Host

H o s t表示一种精确的匹配,其屏蔽码为0 . 0 . 0 . 0。例如,假设我们希望允许从1 9 8 . 7 8 . 4 6 . 8来的报文,则应该使用下面的访问表语句:

Cisco访问表类型

因为关键字h o s t表示一种精确的匹配,所以前面的访问语句也可以使用下面的语句代替:这样,h o s t是0 . 0 . 0 . 0通配符屏蔽码的简写。

Cisco访问表类型

6. Any

在标准访问表中,关键字a n y是源地址/目标地址0 . 0 . 0 . 0 / 2 5 5 . 2 5 5 . 2 5 5 . 2 5 5的简写。假设我们要拒绝从源地址1 9 8 . 7 8 . 4 6 . 8来的报文,并且要允许从其他源地址来的报文。标准的I P访问表可以使用下面的语句达到这个目的:

Cisco访问表类型

注意,这两条语句的顺序。访问表语句的处理顺序是由上到下的。如果我们将两个语句顺序颠倒,将p e r m i t语句放在d e n y语句的前面,则我们将不能过滤来自主机地址1 9 8 . 7 8 . 4 6 . 8的报文,因为p e r m i t语句将允许所有的报文。这不像在一个班级中如果顺序不好并不会造成多大的影响,访问表中的语句顺序是很重要的,因为不合理语句顺序将会在网络中产生安全漏洞,或者使得用户不能很好地利用公司的网络策略。

7. Log

l o g关键字只在I O S版本11 . 3中存在。如果该关键字用于访问表中,则对那些能够匹配访问表中的p e r m i t和d e n y语句的报文作日志。这样,访问表中包含有l o g关键字的访问表也可称为带日志的访问表(logged access list)。

当读者将一个带日志的访问表用于一个接口上时,激活访问表的第一个报文会立即引发一条日志信息。对于后继的报文,如果其检查时间超过5分钟,则被显示到控制台上或记录到内存中,所记录的日志信息格式由I O S命令logging console来控制。

日志信息包含访问表号、报文的允许或拒绝、源I P地址以及在显示了第一个匹配以来每5分钟间隔内的报文数目。例如,有如下的标准I P访问表:

Cisco访问表类型

现在假定访问表在5分钟的周期里有1 0个匹配报文。当第一个匹配出现时,显示如下的信息:

Cisco访问表类型

而后,5分钟后将显示如下的信息:

Cisco访问表类型

使用l o g关键字,会使控制台日志提供测试和报警两种功能。读者可以使用日志来观察不同活动下的报文匹配情况,从而可以测试不同访问表的设计情况。当其用于报警时,读者可以察看显示结果,以定位那些多次尝试活动被拒绝的访问表语句。执行一个访问表语句的多次尝试活动被拒绝,很可能表明有潜在的黑客攻击活动。

Tag标签: Cisco   访问表  
  • 专题推荐

About IT165 - 广告服务 - 隐私声明 - 版权申明 - 免责条款 - 网站地图 - 网友投稿 - 联系方式
本站内容来自于互联网,仅供用于网络技术学习,学习中请遵循相关法律法规