Протокол IP : Списки доступа

Формирование обычно используемого IP ACLs

16 января 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (23 марта 2008) | Английский (18 декабря 2015) | Отзыв


Содержание


Введение

Этот документ обеспечивает типовые конфигурации для обычно используемых Списков контроля доступа IP (ACLs), которые фильтруют пакеты IP, основанные на:

  • Адрес источника

  • Адрес получателя

  • Тип пакета

  • Любая комбинация этих пунктов

Для фильтрации сетевого движения контроль ACLs, отправлены ли разбитые пакеты или заблокированы в интерфейсе маршрутизатора. Ваш маршрутизатор исследует каждый пакет, чтобы определить, ускорить ли или уронить пакет, основанный на критериях, которые вы определяете в пределах ACL. Критерии ACL включают:

  • Адрес источника движения

  • Адрес получателя движения

  • Протокол верхнего слоя

Закончите эти шаги для строительства ACL как примеров на этом шоу документа:

  1. Создайте ACL.

  2. Примените ACL к интерфейсу.

IP ACL является последовательной коллекцией разрешения, и отрицайте условия, который относится к пакету IP. Маршрутизатор проверяет пакеты против условий в ACL по одному.

Первый матч определяет, принимает ли Cisco программное обеспечение IOS или отклоняет пакет. Поскольку программное обеспечение Cisco IOS прекращает проверять условия после того, как первый матч, заказ условий будет важен. Если никакие условия не соответствуют, маршрутизатор отклоняет пакет из-за неявного, отрицают весь пункт.

Это примеры IP ACLs, который может формироваться в программном обеспечении Cisco IOS:

  • Стандартный ACLs

  • Расширенный ACLs

  • Динамичный (замок и ключ) ACLs

  • НАЗВАННЫЙ IP ACLs

  • Рефлексивный ACLs

  • Основанный на времени ACLs то время использования диапазоны

  • Прокомментированный IP записи ACL

  • Основанный на контексте ACLs

  • Полномочие идентификации

  • Турбо ACLs

  • Распределенный основанный на времени ACLs

Этот документ обсуждает некоторый обычно используемый стандарт и расширенный ACLs. Обратитесь к Формированию Списков Доступа IP для получения дополнительной информации о различных типах ACLs, поддержанного в программном обеспечении Cisco IOS и как формировать и отредактировать ACLs.

Формат синтаксиса команды стандартного ACL является числом списка доступа списка доступа {permit|deny} {host|source источник-wildcard|any}.

Стандартные ACLs управляют движением путем сравнения адреса источника пакетов IP к адресам, формируемым в ACL.

Расширенные ACLs управляют движением путем сравнения источника и адресов получателя пакетов IP к адресам, формируемым в ACL. Можно также сделать расширенный ACLs более гранулированным и формируемым для фильтрации движения по критериям, таким как:

  • Протокол

  • Числа порта

  • Стоимость дифференцированной сервисной кодовой точки (DSCP)

  • Стоимость предшествования

  • Государство синхронизировать порядкового номера (SYN) укусило

Форматы синтаксиса команды расширенного ACLs:

IP

access-list access-list-number [dynamic dynamic-name [timeout minutes]]
  {deny | permit} protocol source source-wildcard destination 
    destination-wildcard
  [precedence precedence] [tos tos] [log | log-input] 
    [time-range time-range-name][fragments]

Интернет-протокол сообщения контроля (ICMP)

access-list access-list-number [dynamic dynamic-name [timeout minutes]] 
{deny | permit}
	 icmp source source-wildcard destination destination-wildcard [icmp-type
	 [icmp-code] | [icmp-message]] [precedenceprecedence] [tos tos] [log |
	 log-input] [time-range time-range-name][fragments]

Протокол управления передачей данных (TCP)

access-list access-list-number [dynamic dynamic-name [timeout minutes]] 
{deny | permit} tcp
	 source source-wildcard [operator [port]] destination destination-wildcard
	 [operator [port]] [established] [precedence precedence] [tos tos] [log |
	 log-input] [time-range time-range-name][fragments]

Пользовательский дейтаграммный протокол (UDP)

access-list access-list-number [dynamic dynamic-name [timeout minutes]] 
{deny | permit} udp
	 source source-wildcard [operator [port]] destination destination-wildcard
	 [operator [port]] [precedence precedence] [tos tos] [log | log-input]
	 [time-range time-range-name][fragments]

Обратитесь к Командам IP Services для справки команды для ACL.

Предпосылки

Требования

Гарантируйте, чтобы вы ответили этому требованию перед попыткой этой конфигурации:

  • Основное понимание обращения IP

Обратитесь к Обращению IP и Подсетке для Новых Пользователей для получения дополнительной информации.

Используемые компоненты

Этот документ не ограничен определенными версиями программного и аппаратного обеспечения.

Соглашения

Направьте в Cisco Технические Соглашения Подсказок для получения дополнительной информации о соглашениях документа.

Примеры конфигурации

Эти примеры конфигурации используют наиболее распространенный IP ACLs.

Позвольте избранному хозяину доступа сеть

Эти данные показывают избранного хозяина, предоставляемого разрешение получить доступ к сети. Все движение, поставленное от Хозяина Б, предназначенного к NetA, разрешено, и все другое движение, поставленное от NetB, предназначенного к NetA, отрицается.

http://www.cisco.com/c/dam/en/us/support/docs/ip/access-lists/26448-ACLsamples-1.gif

Продукция на столе R1 показывает, как сеть предоставляет доступ хозяину. Эта продукция показывает что:

  • Конфигурация позволяет только хозяину с IP-адресом 192.168.10.1 через интерфейс Ethernet 0 на R1.

  • У этого хозяина есть доступ к услугам IP NetA.

  • Ни у какого другого хозяина в NetB нет доступа к NetA.

  • Нет опровергните заявление, формируется в ACL.

По умолчанию существует неявное, отрицают весь пункт в конце каждого ACL. Что-либо, что явно не разрешено, отрицается.

R1
hostname R1
!
interface ethernet0
ip access-group 1 in
!
access-list 1 permit host 192.168.10.1

Примечание: ACL фильтрует пакеты IP от NetB до NetA, кроме пакетов, поставленных от NetB. Пакеты, предназначенные Хозяину Б от NetA, все еще разрешены.

Примечание: список доступа 1 ACL разрешает 192.168.10.1 0.0.0.0, другой способ формировать то же самое правило.

Откажите избранному хозяину доступа в сети

Эти данные показывают, что движение, поставленное от Хозяина Б, предназначенного к NetA, отрицается, в то время как разрешено все другое движение от NetB для доступа к NetA.

http://www.cisco.com/c/dam/en/us/support/docs/ip/access-lists/26448-ACLsamples-3.gif

Эта конфигурация отрицает все пакеты от хозяина 192.168.10.1/32 через Ethernet 0 на R1 и разрешает все остальное. Необходимо использовать разрешение на список 1 доступа команды любой для явного разрешения всего остального, потому что существует неявное, отрицают весь пункт с каждым ACL.

R1
hostname R1
!
interface ethernet0
ip access-group 1 in
!
access-list 1 deny host 192.168.10.1
access-list 1 permit any

Примечание: заказ заявлений важен по отношению к операции ACL. Если заказ записей полностью изменен, поскольку эта команда показывает, первая линия соответствует каждому адресу источника пакета. Поэтому, ACL не блокирует хозяина 192.168.10.1/32 от доступа к NetA.

access-list 1 permit any
   access-list 1 deny host 192.168.10.1

Позвольте доступ к диапазону смежных IP-адресов

Эти данные показывают, что все хозяева в NetB с сетевым адресом 192.168.10.0/24 могут сеть доступа 192.168.200.0/24 в NetA.

http://www.cisco.com/c/dam/en/us/support/docs/ip/access-lists/26448-ACLsamples-2.gif

Эта конфигурация позволяет пакеты IP с заголовком IP, который имеет адрес источника в сети 192.168.10.0/24 и адрес получателя в сети 192.168.200.0/24 доступ к NetA. Существует неявное, отрицают весь пункт в конце ACL, который отрицает все другое транспортное прохождение через Ethernet 0 прибывающих на R1.

R1
hostname R1
!
interface ethernet0
ip access-group 101 in
!
access-list 101 permit ip 192.168.10.0  0.0.0.255
  192.168.200.0  0.0.0.255

Примечание: В команде список доступа 101 разрешает, чтобы IP 192.168.10.0 0.0.0.255 192.168.200.0 0.0.0.255, эти "0.0.0.255" был обратной маской сети 192.168.10.0 с маской 255.255.255.0. ACLs используют обратную маску для знания, сколько битов в сетевом адресе должно соответствовать. В столе ACL разрешает всем хозяевам с адресами источника в 192.168.10.0/24 сети и адресами получателя в 192.168.200.0/24 сети.

Обратитесь к разделу Масок Формирования Списков Доступа IP для получения дополнительной информации о маске сетевого адреса и как вычислить обратную маску, необходимую для ACLs.

Отрицайте движение TELNET (TCP, порт 23)

Для встречи более высоких проблем безопасности вам, возможно, придется отключить доступ TELNET к вашей частной сети от общедоступной сети. Эти данные показывают, как движение TELNET от NetB (общественность) предназначило к (частному) NetA, отрицается, который разрешает NetA начинать и устанавливать встречу TELNET с NetB, в то время как разрешено все другое движение IP.

http://www.cisco.com/c/dam/en/us/support/docs/ip/access-lists/26448-ACLsamples-4.gif

TELNET использует TCP, порт 23. Эта конфигурация показывает, что все движение TCP, предназначенное к NetA для порта 23, заблокировано, и все другое движение IP разрешено.

R1
hostname R1
!
interface ethernet0
ip access-group 102 in
!
access-list 102 deny tcp any any eq 23
access-list 102 permit ip any any

Позвольте только внутренним сетям начинать сессию TCP

Эти данные показывают, что движение TCP, поставленное от NetA, предназначенного к NetB, разрешено, в то время как отрицается движение TCP от NetB, предназначенного к NetA.

http://www.cisco.com/c/dam/en/us/support/docs/ip/access-lists/26448-ACLsamples-4.gif

Цель ACL в этом примере к:

  • Позвольте хозяевам в NetA начинать и устанавливать сессию TCP хозяевам в NetB.

  • Откажите хозяевам в NetB от инициирования и установления сессии TCP, предназначенной хозяевам в NetA.

Когда дейтаграмма имеет, эта конфигурация позволяет дейтаграмме проходить через интерфейс Ethernet 0 прибывающих на R1:

  • Признанный (ACK) или сброс (RST) набор долота (указание на установленную сессию TCP)

  • Стоимость порта назначения, больше, чем 1023

R1
hostname R1
!
interface ethernet0
ip access-group 102 in
!
access-list 102 permit tcp any any gt 1023 established

Начиная с большинства известных портов для сервисного использования IP оценивает меньше чем 1023, любую дейтаграмму с портом назначения, который меньше чем 1023 или ACK/RST укусили не, набор отрицается ACL 102. Поэтому, когда хозяин от NetB начинает связь TCP путем отправки первого пакета TCP (без, синхронизируют/начинают пакет (SYN/RST) набор сверл) для числа порта меньше чем 1023, это отрицается, и сессия TCP терпит неудачу. Сессии TCP, начатые от NetA, предназначенного к NetB, разрешены, потому что они имеют набор сверл ACK/RST для возвращения пакетов и используют ценности порта, больше, чем 1023.

Обратитесь к 1700 RFC leavingcisco.com для полного списка портов.

Отрицайте движение FTP (TCP, порт 21)

Эти данные показывают, что FTP (TCP, порт 21) и данные FTP (порт 20) движение, поставленное от NetB, предназначенного к NetA, отрицается, в то время как разрешено все другое движение IP.

http://www.cisco.com/c/dam/en/us/support/docs/ip/access-lists/26448-ACLsamples-4.gif

FTP использует порт 21 и порт 20. Движение TCP, предназначенное для переноса 21 и порт 20, отрицается, и все остальное явно разрешено.

R1
hostname R1
!
interface ethernet0
ip access-group 102 in
!
access-list 102 deny tcp any any eq ftp
access-list 102 deny tcp any any eq ftp-data
access-list 102 permit ip any any

Позвольте движение FTP (активный FTP)

FTP может работать в двух различных способах, названных активными и пассивными. Обратитесь к Операции FTP, чтобы понять, как работает активный и пассивный FTP.

Когда FTP работает в активном способе, Ftp-сервер использует порт 21 для контроля и порта 20 для данных. Ftp-сервер (192.168.1.100) расположен в NetA. Эти данные показывают, что FTP (TCP, порт 21) и данные FTP (порт 20) движение, поставленное от NetB, предназначенного к Ftp-серверу (192.168.1.100), разрешено, в то время как отрицается все другое движение IP.

http://www.cisco.com/c/dam/en/us/support/docs/ip/access-lists/26448-ACLSamples-5.gif

R1
hostname R1
!
interface ethernet0
ip access-group 102 in
!
access-list 102 permit tcp any host 192.168.1.100 eq ftp
access-list 102 permit tcp any host 192.168.1.100 eq ftp-data established
!
interface ethernet1
 ip access-group 110 in
!
access-list 110 permit host 192.168.1.100 eq ftp any established
access-list 110 permit host 192.168.1.100 eq ftp-data any

Позвольте движение FTP (пассивный FTP)

FTP может работать в двух различных способах, названных активными и пассивными. Обратитесь к Операции FTP, чтобы понять, как работает активный и пассивный FTP.

Когда FTP работает в пассивном способе, Ftp-сервер использует порт 21 для контроля и динамических портов, больше, чем или равный 1024 для данных. Ftp-сервер (192.168.1.100) расположен в NetA. Эти данные показывают, что FTP (TCP, порт 21) и данные FTP (порты, больше, чем или равный 1024), движение, поставленное от NetB, предназначенного к Ftp-серверу (192.168.1.100), разрешено, в то время как отрицается все другое движение IP.

http://www.cisco.com/c/dam/en/us/support/docs/ip/access-lists/26448-ACLSamples-6.gif

R1
hostname R1
!
interface ethernet0
ip access-group 102 in
!
access-list 102 permit tcp any host 192.168.1.100 eq ftp
access-list 102 permit tcp any host 192.168.1.100 gt 1024
!
interface ethernet1
 ip access-group 110 in
!
access-list 110 permit host 192.168.1.100 eq ftp any established
access-list 110 permit host 192.168.1.100 gt 1024 any established

Позвольте свистит (ICMP)

Эти данные показывают, что ICMP, поставленный от NetA, предназначенного к NetB, разрешен и свистит поставленный от NetB, предназначенного к NetA, отрицаются.

http://www.cisco.com/c/dam/en/us/support/docs/ip/access-lists/26448-ACLsamples-4.gif

Эта конфигурация разрешает только ответу эха (ответ звона) пакеты входить в интерфейсе Ethernet 0 от NetB к NetA. Однако конфигурация блокирует весь запрос эха пакеты ICMP, когда свистит, поставлены в NetB и предназначены к NetA. Поэтому, хозяева в NetA могут свистеть хозяева в NetB, но хозяева в NetB не могут свистеть хозяева в NetA.

R1
hostname R1
!
interface ethernet0
ip access-group 102 in
!
access-list 102 permit icmp any any echo-reply

Позвольте HTTP, TELNET, почту, POP3, FTP

Эти данные показывают, что только HTTP, TELNET, Простой почтовый протокол передачи (SMTP), POP3 и движение FTP разрешены, и остальная часть движения, поставленного от NetB, предназначенного к NetA, отрицается.

http://www.cisco.com/c/dam/en/us/support/docs/ip/access-lists/26448-ACLsamples-4.gif

Эта конфигурация разрешает движение TCP с ценностями порта назначения, которые соответствуют WWW (порт 80), TELNET (порт 23), SMTP (порт 25), POP3 (порт 110), FTP (порт 21), или данные FTP (порт 20). Заметьте, что неявное отрицает, что весь пункт в конце ACL отрицает все другое движение, которое не соответствует пунктам разрешения.

R1
hostname R1
!
interface ethernet0
ip access-group 102 in
!
access-list 102 permit tcp any any eq www
access-list 102 permit tcp any any eq telnet
access-list 102 permit tcp any any eq smtp
access-list 102 permit tcp any any eq pop3
access-list 102 permit tcp any any eq 21
access-list 102 permit tcp any any eq 20

Позвольте DNS

Эти данные показывают, что только движение Системы доменных имен (DNS) разрешено, и остальная часть движения, поставленного от NetB, предназначенного к NetA, отрицается.

http://www.cisco.com/c/dam/en/us/support/docs/ip/access-lists/26448-ACLsamples-4.gif

Эта конфигурация разрешает, чтобы движение TCP с портом назначения оценило 53. Неявные отрицают, что весь пункт в конце ACL отрицает все другое движение, которое не соответствует пунктам разрешения.

R1
hostname R1
!
interface ethernet0
ip access-group 102 in
!
access-list 112 permit udp any any eq domain 
access-list 112 permit udp any eq domain any
access-list 112 permit tcp any any eq domain 
access-list 112 permit tcp any eq domain any

Обновления направления разрешения

Когда вы применяете прибывающий ACL на интерфейс, гарантируете, что не отфильтрованы обновления направления. Используйте соответствующий ACL из этого списка для разрешения пакетов протокола маршрутизации:

Выпустите эту команду для разрешения Протокола информации о направлении (RIP):

access-list 102 permit udp any any eq rip

Выпустите эту команду для разрешения Внутреннего протокола маршрутизации ворот (IGRP):

access-list 102 permit igrp any any

Выпустите эту команду для разрешения Расширенного IGRP (EIGRP):

access-list 102 permit eigrp any any

Выпустите эту команду для разрешения Открытого кратчайшего пути сначала (OSPF):

access-list 102 permit ospf any any

Выпустите эту команду для разрешения Протокола ворот границы (BGP):

access-list 102 permit tcp any any eq 179 
access-list 102 permit tcp any eq 179 any

Движение отладки, основанное на ACL

Использование команд отладки требует распределения системных ресурсов как память, и вычислительная мощность и в чрезвычайных ситуациях может заставить загруженную в большой степени систему останавливаться. Используйте команды отладки с осторожностью. Используйте ACL для отборного определения движения, которое должно быть исследовано для сокращения воздействия команды thedebug. Такая конфигурация не фильтрует пакетов.

Эта конфигурация включает команду пакета IP отладки только для пакетов между хозяевами 10.1.1.1 и 172.16.1.1.

R1(config)#access-list 199 permit tcp host 10.1.1.1 host 172.16.1.1
   R1(config)#access-list 199 permit tcp host 172.16.1.1 host 10.1.1.1
   R1(config)#end
   R1#debug ip packet 199 detail
   IP packet debugging is on (detailed) for access list 199

Обратитесь к Важной информации о Командах Отладки для получения дополнительной информации о воздействии команд отладки.

Отошлите к Использованию раздел Команды Отладки Понимания Команд Звона и Traceroute для получения дополнительной информации об использовании ACLs с командами отладки.

Фильтрация мак адреса

Можно отфильтровать структуры с особым станционным источником СЛОЯ MAC или адресом получателя. Любое число адресов может формироваться в систему без исполнительного штрафа. Для фильтрации адресом СЛОЯ MAC используйте эту команду в глобальном способе конфигурации:

Router#config terminal
       bridge irb
       bridge 1 protocol ieee
       bridge 1 route ip

Примените протокол моста к интерфейсу, что необходимо отфильтровать движение наряду с созданным списком доступа:

Router#int fa0/0
       no ip address
       bridge-group 1 {input-address-list 700 | output-address-list 700}
       exit

Создайте Соединенный Действительный Интерфейс и примените IP-адрес, который назначен на интерфейс Ethernet:

Router#int bvi1
       ip address 
       exit
							!
							!
       access-list 700 deny <mac address> 0000.0000.0000
       access-list 700 permit 0000.0000.0000 ffff.ffff.ffff

С этой конфигурацией маршрутизатор только позволяет мак адреса, формируемые в списке доступа 700. Со списком доступа отрицайте MAC adddress, который не может иметь доступа и затем разрешить остальным.

Примечание: Создайте каждую линию списка доступа для каждого Мак адреса.

Проверить

В настоящее время нет никакой процедуры проверки, доступной для этой конфигурации.

Расследовать

В настоящее время нет никакой определенной информации о поиске неисправностей, доступной для этой конфигурации.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Соответствующая информация


Document ID: 26448