引言:扩展IP访问控制列表是其中重要的一种,扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项,下面以Cisco设备为例,简单介绍IP扩展访问控制列表的配置之方法。
访问控制列表(ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收,哪能数据包要拒绝。扩展IP访问控制列表是其中重要的一种,包括协议类型、源地址、目的地址、源端口、目的端口和IP优先级等。下面以Cisco设备为例,简单介绍IP扩展访问控制列表的配置方法。
在全局模式下建立扩展访问控制列表,其配置如下:
表1 访问控制列表类型和对应的列表号
下面对语句进行逐一说明。access-list-number对于IP扩展访问控制列表范围是100-199和2000-2699。不同类型的访问控制列表的列表号如表1所示。使用permit或者deny关键字可以指定哪些匹配访问控制列表语句的报文是允许通过接口或者被拒绝通过。
表2 RGNOS支持协议列表
Portocol即协议表项定义了需要被检查的协议,例如 IP、TCP、UDP、ICMP 等。协议选项是很重要的,因为在TCP/IP协议簇中的各种协议之间有很密切的关系。如果指定IP协议,访问控制列表将只检查IP数据包进行匹配,而不再检查IP数据包所承载的TCP、UDP等上层协议。如果根据特殊协议进行报文过滤,就要指定该协议。RGNOS支持过滤的协议如表2所示。此外,应该将更具体的表项放在访问控制列表靠前的位置。
source source-wildcard指源地址和通配符掩码。源地址是主机或一组主机的点用十进制表示,必须与通配符掩码配合使用。进行指定源地址比较操作时,必须比较匹配的位数。通配符掩码是一个32位二进制数,二进制“0”表示该位必须比较匹配,二进制“1”表示该位不需要比较匹配,可以忽略。
例如,通配符掩码0.0.0.255,表示只比较IP地址中前24位,后8位IP地址忽略不关心。通配符掩码0.0.7.255,表示只比较IP地址中前21位,后11位IP地址忽略不关心。通配符掩码0.0.255.255,表示只比较IP地址中前16位,后16位IP地址忽略不关心。有两个特殊的通配符掩码0.0.0.0和 255.255.255.255,可 以用关键字host和any表示。host表示一种精确的匹配,使用时放在IP地址之前,如host192.168.10.8的一台主机。any表示不对该IP地址进行比较,完全忽略。
operator是指操作符,可以使用的操作符有<(大于)、>(小于)、=(等于)、≠(不等于)等,具体的操作符命令如表3所示。
port指端口号,其范围是0-65535。放在源IP地址后的端口号指源端口号。放在目的IP地址后的端口号指目的端口号。端口号0代表所有TCP或UDP端口。一些特殊的端口号可以直接用其对应的协议名称表示,如TCP端口号80可以用WWW表示,TCP端口号23可以用telnet表示,TCP端口号21可以用ftp表示,UDP端口号53可以用domain表示,UDP端口号520可以用rip表示。目的地址和通配符掩码的结构与源地址和通配符掩码的结构相同,目的端口号的指定方法与源端口号的指定方法相同。
在较高版本的IOS上,都可以配置命名的访问控制列表。它的好处在于可以单独地添加或者删除列表中的一条语句,从而克服了传统的访问控制列表不能增量更新,难于维护的弊病。在全局模式下声明命名的访问控制列表命令如下:
表3 操作符表
执行该命令后,就会进入配置命名的访问控制列表语句的模式,可以逐条地编写列表语句,我们以扩展的命名访问控制列表为例,它的命令如下:
通过不断重复套用该命令,就可以建立起命名的访问控制列表。例如:
向命名的访问控制列表里添加语句就和配置语句语法格式一样。如果要删除一条语句,在该语句前加“no”。在网络管理过程中,合理的使用IP扩展访问控制列表对网络应用服务的访问进行控制和管理,能对网络安全起到至关重要的作用,也是网络管理的一个重要途径和手段。