無論是在思科路由器還是思科交換機等網(wǎng)絡設備上��,標準ACL訪問控制列表始終無法同時匹配通信源地址與目標地址的特性���,也不無法滿足現(xiàn)今網(wǎng)絡世界“粒度化”控制的要求�,比如:允許訪問某一服務器的某項服務功能�,但是不允許Ping通該服務器。那么�����,就需要使用擴展的ACL來替代標準的ACL的應用�,在實際的應用控制中,擴展的ACL較標準ACL而言����,似乎更受管理員的喜愛。
演示目標:配置擴展ACL為網(wǎng)絡應用提供更“粒度化”的控制�����。
演示環(huán)境:使用演示標準ACL的配置部分的如下圖ACL的演示環(huán)境所示����。
演示背景:要求主機A(192.168.1.2)可以訪問服務器A的WEB服務;但是不允許主機Aping通服務器A所在的子網(wǎng);允許主機Aping通服務器B和服務器C所在的子網(wǎng)。請使用擴展ACL完成上述的控制要求����,并思考應用ACL的位置。
演示步驟:
第一步:保持上一個實驗的所有基礎配置���,但是請刪除原本的所有標準ACL的配置�����,然后根據(jù)演示背景需求���,完成如下擴展ACL的配置,這一配置建議在路由器R1上完成�����,因為擴展的ACL可以同時匹配通信源地址與目標地址����,可以將其應到距離通信源較近的位置。
R1(config)#access-list101permittcp192.168.1.00.0.0.255host192.168.5.2eqwww
*定義擴展ACL列表101(基于IP的擴展ACL編號的取值范圍是100-199);permittcp192.168.1.00.0.0.255host192.168.5.2eqwww指示允許源子網(wǎng)192.168.1.0對目標地址192.168.5.2的TCP端口80進行訪問�����,注意�����,語句中的第一個IP子網(wǎng)和反碼指示通信的源子網(wǎng)與對應的反碼;第二個IP地址192.168.5.2被host申明為是一臺具體的主機。
R1(config)#access-list101denyicmp192.168.1.00.0.0.255host192.168.5.2
*定義擴展ACL列表101的第二條語句拒絕源子網(wǎng)192.168.1.0通過ICMP協(xié)議訪問目標主機192.168.5.2���。
R1(config)#access-list101permiticmp192.168.1.00.0.0.255host192.168.4.2
*定義擴展ACL列表101的第三條語句允許源子網(wǎng)192.168.1.0通過ICMP協(xié)議訪問目標主機192.168.4.2����。
R1(config)#access-list101permiticmp192.168.1.00.0.0.255host192.168.3.2
*定義擴展ACL列表101的第四條語句允許源子網(wǎng)192.168.1.0通過ICMP協(xié)議訪問目標主機192.168.3.2�。
R1(config)#interfacee1/0
R1(config-if)#ipaccess-group101in
R1(config-if)#exit
建議:將ACL101應用到路由器R1的E1/0接口,也就是距離源子網(wǎng)最近的位置���,這樣做可以讓ACL的利用率更高�,流量更合理�,因為擴展ACL能同時匹配源地址與目標地址,所以從理論上講����,只要能達到控制標準,在流量經(jīng)過的任何設備上都可以做應用����,但是建議在距離源子網(wǎng)最近的位置應用它,因為沒有必要將最終被過濾流量轉(zhuǎn)發(fā)到目標或者中途才丟棄�����,這對于寶貴的帶寬利用率不科學。
第二步:當完成上述配置后�����,在主機A(192.168.1.2)上去訪問服務器A的WEB服務�����,然后去Ping服務器A��、B����、C�,如果配置無誤,應得到如下圖所示的狀態(tài)���,這與背景說明中的控制要求一致���。
第三步:為了查看路由器R1上的過濾狀態(tài),可以通過在R1上執(zhí)行showipaccess-lists指令查看ACL的匹配狀態(tài)如下圖10.13所示���,可以看出有5個WWW的數(shù)據(jù)包被允許;8個到服務器A的ICMP的數(shù)據(jù)包被拒絕;分別有4個到服務器B和C的ICMP數(shù)據(jù)包被允許�����。
關于ACL的其它輸寫形式與應用注意事項
在前面的幾個小節(jié)中描述了關于標準與擴展ACL的應用�,并演示了具體的配置過程,在本節(jié)主要對ACL的應用事項進行一下總結(jié)����,其中包括ACL的輸寫形式、ACL的應用位置�����、ACL條目的增加與刪除�����,具體如下:
關于ACL語句的輸寫形式:
access-list1permithost192.168.100.1等于access-list1permit192.168.100.10.0.0.0的功能��,語句中的host是申明配置的地址是一個主機地址���,它等于反碼的全匹配(0.0.0.0),以全匹配形式出現(xiàn)的反碼��,表示匹配的IP地址是一個主機IP地址����。
access-list102permittcp0.0.0.0255.255.255.2550.0.0.0255.255.255.255eqwww等于access-list102permittcpanyanyeq80的功能,語句中的源IP地址和目標IP地址都是0����,指示源和目標IP地址可以是任意IP地址;源地址和目標地址的反碼都是255,指示不關心任何位���,它就等同于在擴展ACL中源和目標IP地址都以any關鍵字出現(xiàn)的情況;eqwww就等于eq80�,因為TCP80號端口正是眾所周知的www服務端口�,但是這里提出一個注意事項���,如果Web服務器的端口沒有使用眾所周知的80號端口�,出于某種安全原因或者特殊要求����,服務器管理員自定義了Web的服務端口號,那么�,在輸寫ACL時,就只能在eq關鍵字之后申明具體的端口號�,而不是申明www,否則ACL將無法完成匹配�。
