IBM 技术 : 数据链路交换 (DLSw) 和加强版数据链路交换 (DLSW+)

了解业务访问点访问控制列表

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 22 日) | 反馈


目录


简介

本文解释如何读和创建在Cisco路由器的服务接入点(SAP)访问控制列表(ACL)。虽然有ACL的几种类型,本文着重过滤基于SAP值的那个。此种ACL的数字范围是200到299。这些ACL可以应用到令牌环接口过滤源路由网桥(SRB)流量,到以太网接口过滤透明网桥(TB)流量,或者到数据链路交换(DLSW)对等`路由器

与SAP ACL的主要挑战是确切了解什么SAP由特定ACL项允许或拒绝。我们将分析特定协议被过滤的四个不同的方案。

开始使用前

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

先决条件

本文档没有任何特定的前提条件。

使用的组件

本文档不限于特定的软件和硬件版本。

过滤系统网络结构

国际商用机器公司的系统网络体系结构(SNA)流量使用范围从0x00的SAP到0xFF。虚拟电信接入方式V3R4及以后支持SAP值范围4到对0xFC的252 (或0x04在十六进制表示法),其中0xF0为NetBIOS数据流保留。SAP必须是0x04的多个,从0x04开始。(就隐式拒绝所有在每个ACL结束时)而论,以下ACL允许最普通的SNA SAP,并且拒绝其余:

access-list 200 permit 0x0000 0x0D0D

十六进制 二进制
0x0000 0x0D0D
DSAP      SSAP      Wildcard Mask for DSAP and SSAP respectively
|-------| |-------| |-------| |-------|
0000 0000 0000 0000 0000 1101 0000 1101 

请使用位在通配符掩码确定哪些SAP由此特定ACL项允许。请使用以下规则,当解释通配符掩码位时:

  • 0 =要求的完全匹配。这意味着允许SAP必须有同一个值作为在ACL配置的SAP。欲了解更详细的信息参考下面表。

  • 1 =允许SAP能在此位位置有0或1, "do not care"位置。

由ACL的允许Sap, X=0或X=1 通配符掩码 在ACL配置的SAP
0 0 0
0 0 0
0 0 0
0 0 0
X 1 0
X 1 0
0 0 0
X 1 0

使用在个先前的表的结果,见面SAP的列表上述模式下面显示。

允许Sap (二进制) 允许Sap (十六进制)
0 0 0 0 0 0 0 0 0x00
0 0 0 0 0 0 0 1 0x01
0 0 0 0 0 1 0 0 0x04
0 0 0 0 0 1 0 1 0x05
0 0 0 0 1 0 0 0 0x08
0 0 0 0 1 0 0 1 0x09
0 0 0 0 1 1 0 0 0x0C
0 0 0 0 1 1 0 1 0x0D

正如你从上表看到,不是所有可能的SNA SAP在此ACL包括。这些SAP,然而,包括最普通的案件。

要考虑的另一个点,当设计ACL是SAP值更改根据,如果他们是命令或答复。来源服务访问点(SSAP)包括命令/答复(C/R)区分的位在他们之间。C/R设置到0命令的和到1答复的。所以, ACL必须准许或块命令以及答复。例如, SAP 0x05 (用于答复)是与C/R装置的SAP 0x04到1。同样适用于SAP 0x09 (与C/R装置的SAP 0x08对1), 0x0D和0x01。

过滤 NetBIOS

NetBIOS数据流使用SAP值0xF0 (命令)和0xF1 (答复)。一般,网络管理员使用这些SAP值过滤此协议。如下所示的访问列表条目允许NetBIOS数据流并且拒绝一切别的东西(请记住隐式拒绝所有在每个ACL结束时) :

access-list 200 permit 0xF0F0 0x0101

使用在前面部分显示的同一个步骤,您能确定上述ACL允许SAP 0xF0和0xF1。

相反,如果需求是阻塞NetBIOS和允许流量的其余,请使用以下ACL :

access-list 200 deny 0xF0F0 0x0101
access-list 200 permit 0x0000 0xFFFF

过滤 IPX

默认情况下, Cisco路由器网桥IPX数据流。要更改此行为,您必须发出ipx routing命令在路由器。IPX,使用802.2封装,使用SAP 0xE0作为目的地服务访问点(DSAP)和SSAP。所以,如果Cisco路由器桥接IPX,并且需求是允许仅此种流量,请使用以下ACL :

access-list 200 permit 0xE0E0 0x0101

相反,以下ACL阻塞IPX并且允许流量的其余:

access-list 200 deny 0xE0E0 0x0101
access-list 200 permit 0x0000 0xFFFF

允许或拒绝所有通信量

每个ACL包括隐式拒绝所有。当分析已配置的ACL的行为时,您一定知道此条目。如下所示的最后ACL条目否决所有流量。

access-list 200 permit ....
access-list 200 permit ....
access-list 200 deny 0x0000 0xFFFF

请切记,当读通配符掩码(在二进制)时, 1认为"do not care"位位置。在二进制表示的所有1通配符掩码翻译对在十六进制表示法的0xFFFF。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 12403