Программное обеспечение Cisco IOS и NX-OS : Программное обеспечение Cisco IOS версии 11.3

Ведение журнала стандартного списка IP-доступа

23 марта 2008 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Английский (4 ноября 2007) | Отзыв



Содержание

Ведение журнала стандартного списка IP-доступа

Краткое описание характеристик

Платформы

Задачи настройки

Пример конфигурации

Справочник по командам

Ведение журнала стандартного списка IP-доступа

Краткое описание характеристик

В ПО Cisco IOS теперь поддерживается возможность ведения журнала сообщений об отклоненных и разрешенных пакетах с помощью стандартного списка IP-доступа. Это значит, что любой пакет, соответствующий списку доступа, вызывает отправку на консоль информационного сообщения журнала об этом пакете. Уровень сообщений, отправляемых на консоль, управляется командой logging console. Ранее эта возможность существовала только в расширенных списках IP-доступа.

Первый пакет, который запускает список доступа, приводит к немедленной отправке сообщения журнала, а последующие пакеты собираются в течение 5-минутного интервала перед выводом на экран или записью в журнал. Сообщение журнала включает в себя номер списка доступа, информацию о том, был ли пакет разрешен или отклонен, исходный IP-адрес пакета и число пакетов из этого источника, разрешенных или отклоненных в течение предыдущих 5 минут.

Преимущества

Можно следить за тем, сколько пакетов разрешается и отклоняется определенным списком доступа, учитывая исходный адрес каждого пакета.

Платформы

Эта возможность поддерживается всеми платформами.

Задачи настройки

Выполните одну из следующих задач, чтобы получать сообщения журнала о стандартных списках IP-доступа. Выберите нужную задачу в зависимости от того, используется ли список доступа на основе номеров или имен.

Независимо от того, создается ли список на основе номеров или имен, после создания списка доступа необходимо применить его либо к интерфейсной, либо к терминальной линии. Эта задача описана в разделе «Применение списка доступа к интерфейсной или терминальной линии» в главе «Настройка IP-сервисов» документа Руководство по настройке сетевых протоколов, часть 1.

Создать стандартный список доступа с использованием номеров

Для создания стандартного списка доступа с использованием номеров и получения сообщений журнала выполните одну из следующих задач в режиме глобальной конфигурации:

Задача Команда

Определите стандартный список IP-доступа, используя исходные адреса и групповой символ.

access-list access-list-number {deny | permit} source [source-wildcard] log

Определите стандартный список IP-доступа, используя сокращение для источника и маски источника 0.0.0.0 255.255.255.255.

access-list access-list-number {deny | permit} any log



Создать стандартный список доступа с использованием имен

Для создания стандартного списка доступа на основе имен и получения сообщений журнала выполните следующие действия, запустив режим глобальной конфигурации:

Задача Команда

Шаг 1. Определите стандартный список IP-доступа на основе имен.

ip access-list standard name

Шаг 2. В режиме конфигурации списка доступа укажите одно или более условий для разрешения или запрета. Это определяет, пройдет ли пакет дальше или будет отброшен.

deny {source [source-wildcard] | any} log

или

permit {source [source-wildcard] | any} log

Шаг 3. Выйдите из режима конфигурации списка доступа.

выход



Пример конфигурации

В примере, приведенном ниже, определяются списки доступа 1 и 2 с ведением журнала.

interface ethernet 0
 ip address 1.1.1.1 255.0.0.0
 ip access-group 1 in
 ip access-group 2 out
!
access-list 1 permit 5.6.0.0 0.0.255.255 log
access-list 1 deny 7.9.0.0 0.0.255.255 log
!
access-list 2 permit 1.2.3.4 log
access-list 2 deny 1.2.0.0 0.0.255.255 log
 

Предположим, что интерфейс получает 10 пакетов с адреса 5.6.7.7 и 14 пакетов с адреса 1.2.23.21. Первая запись выглядит следующим образом:

list 1 permit 5.6.7.7 1 packet
list 2 deny 1.2.23.21 1 packet
 

Через пять минут на консоли будет получена следующая запись журнала:

list 1 permit 5.6.7.7 9 packets
list 2 deny 1.2.23.21 13 packets

Справочник по командам

В данном разделе документируются следующие пересмотренные команды для рассматриваемой функции. Все остальные команды, используемые с этой функцией, документированы в справочнике по командам ПО Cisco IOS версии 11.3.

access-list (standard)

Для определения стандартного списка IP-доступа используется стандартная версия команды глобальной конфигурации access-list. Для удаления стандартных списков доступа используется форма no этой команды.

access-list access-list-number {deny | permit} source [source-wildcard] [log]
no access-list access-list-number

Внимание! Расширения этой команды обратно совместимы. При переходе с более ранних версий, чем версия 10.3, ПО списки доступа будут автоматически преобразованы. Но сами более ранние версии, чем версия 10.3, не будут поддерживать работу с этими улучшениями. Следовательно, при сохранении списка доступа с этими образами и дальнейшем использовании программного обеспечения более ранней версии, чем версия 10.3, получившийся список доступа будет интерпретироваться неправильно. Это может привести к серьезным проблемам с безопасностью. Необходимо сохранить старый файл конфигурации перед загрузкой этих образов.
Описание синтаксиса

access-list-number

Номер списка доступа. Это десятичное число от 1 до 99.

deny

При выполнении условий доступ запрещается.

permit

При выполнении условий доступ разрешается.

source

Номер сети или сетевого узла, которым отправляется пакет. Существует два альтернативных способа указания источника.

  • Использовать 32-битное представление, состоящее из четырех частей, в десятичном формате с точками.

  • Использовать ключевое слово any как сокращение для указания в качестве source и source-wildcard значений 0.0.0.0 255.255.255.255.

source-wildcard

(Необязательно) Шаблон адресов, применяемый к source. Существует два альтернативных способа указания шаблона адресов источника.

  • Использовать 32-битное представление, состоящее из четырех частей, в десятичном формате с точками. Поместите единицы в битовые позиции, которые необходимо игнорировать.

  • Использовать ключевое слово any как сокращение для указания в качестве source и source-wildcard значений 0.0.0.0 255.255.255.255.

log

(Необязательно) Создается информационное сообщение журнала о пакете, соответствующее информации, отправляемой на консоль. (Уровень сообщения, регистрируемого на консоли, контролируется командой logging console.)

Сообщение содержит номер списка доступа, информацию о том, был ли пакет разрешен или отклонен, исходный адрес и число пакетов. Сообщение создается для первого соответствующего пакета, а затем, с интервалом в 5 минут, учитывая количество разрешенных и отклоненных пакетов за предыдущие 5 минут.

Значение по умолчанию

В расширенном списке доступа по умолчанию содержится оператор, запрещающий все пакеты. Список доступа всегда ограничен скрытым оператором, запрещающем все пакеты.

Режим команд

Глобальная конфигурация

Инструкции по использованию

Эта команда впервые появилась в ПО Cisco IOS версии 10.3. Ключевое слово log впервые появилось в версии  11.3(3)T.

Необходимо тщательно планировать условия доступа и помнить о скрытом операторе, запрещающем все пакеты, в конце списка доступа.

Можно использовать списки доступа для контроля передачи пакетов по интерфейсу, для доступа к виртуальным терминальным линиям и ограничения содержимого обновлений маршрутизации.

Используйте EXEC-команду show access-lists для вывода на экран содержимого всех списков доступа.

Используйте EXEC-команду show ip access-list для вывода на экран содержимого одного списка доступа.

Примеры

Ниже приводится пример, в котором стандартный список доступа разрешает доступ только для определенных сетевых узлов в трех указанных сетях. Шаблоны адресов применяются к части сетевого адреса, относящейся к узлу сети. Любой сетевой узел с адресом источника, не соответствующим условиям списка доступа, будет отклонен.

access-list 1 permit 192.5.34.0  0.0.0.255
access-list 1 permit 128.88.0.0  0.0.255.255
access-list 1 permit 36.0.0.0  0.255.255.255
! (Note: all other access implicitly denied)

Чтобы упростить задание большого числа отдельных адресов, можно не указывать шаблоны, если они состоят из нулей. Таким образом, результат выполнения следующих двух команд конфигурации будет одинаков.

access-list 2 permit 36.48.0.3
access-list 2 permit 36.48.0.3  0.0.0.0
Связанные команды

access-class
access-list (extended)
distribute-list in
distribute-list out
ip access-group
priority-list
queue-list
show access-lists
show ip access-list

deny

Чтобы настроить условия для именованного списка IP-доступа используется команда конфигурации списка доступа deny. Для удаления условия отклонения из списка доступа используется форма no этой команды.

deny {source [source-wildcard] | any} [log]
no deny {source [source-wildcard] | any}

deny protocol source source-wildcard destination destination-wildcard [precedence
precedence] [tos tos] [log]
no deny protocol source source-wildcard destination destination-wildcard


Для протокола ICMP можно также использовать следующий синтаксис:

deny icmp source source-wildcard destination destination-wildcard [icmp-type [icmp-code] |
icmp-message] [precedence precedence] [tos tos] [log]

Для протокола IGMP можно также использовать следующий синтаксис:

deny igmp source source-wildcard destination destination-wildcard [igmp-type]
[precedence precedence] [tos tos] [log]

Для протокола TCP можно также использовать следующий синтаксис:

deny tcp source source-wildcard [operator port [port]] destination destination-wildcard
[operator port [port]] [established] [precedence precedence] [tos tos] [log]

Для протокола UDP можно также использовать следующий синтаксис:

deny udp source source-wildcard [operator port [port]] destination destination-wildcard
[operator port [port]] [precedence precedence] [tos tos] [log]

Описание синтаксиса

source

Номер сети или сетевого узла, от которого отправляется пакет. Существует два альтернативных способа указания источника.

  • Использовать 32-битное представление, состоящее из четырех частей, в десятичном формате с точками.

  • Использовать ключевое слово any как сокращение для указания в качестве source и source-wildcard значений 0.0.0.0 255.255.255.255.

source-wildcard

(Необязательно) Шаблон адресов, применяемый к source. Существует два альтернативных способа указания шаблона адресов источника.

  • Использовать 32-битное представление, состоящее из четырех частей, в десятичном формате с точками. Поместите единицы в битовые позиции, которые необходимо игнорировать.

  • Использовать ключевое слово any как сокращение для указания в качестве source и source-wildcard значений 0.0.0.0 255.255.255.255.

protocol

Имя или номер IP-протокола. Это может быть одно из ключевых слов eigrp, gre, icmp, igmp, igrp, ip, ipinip, nos, ospf, tcp или udp, а также целое число от 0 до 255, представляющее номер IP-протокола. Для соответствия любому интернет-протоколу (включая ICMP, TCP и UDP) используйте ключевое слово ip. Некоторые протоколы разрешают использование дополнительных спецификаторов, описанных ниже.

source

Номер сети или сетевого узла, с которого отправляется пакет. Существует три альтернативных способа для указания источника.

  • Использовать 32-битное представление, состоящее из четырех частей, в десятичном формате с точками.

  • Использовать ключевое слово any как сокращение для указания в качестве source и source-wildcard значений 0.0.0.0 255.255.255.255.

  • Использовать host source в качестве сокращения для указания в качестве source и source-wildcard значения source 0.0.0.0.

source-wildcard

Шаблон адресов, применяемый к источнику. Существует три альтернативных способа для указания шаблона адресов источника.

  • Использовать 32-битное представление, состоящее из четырех частей, в десятичном формате с точками. Поместите единицы в битовые позиции, которые необходимо игнорировать.

  • Использовать ключевое слово any как сокращение для указания в качестве source и source-wildcard значений 0.0.0.0 255.255.255.255.

  • Использовать host source в качестве сокращения для указания в качестве source и source-wildcard значения source 0.0.0.0.

destination

Номер сети или сетевого узла, куда отправляется пакет. Существует три альтернативных способа указания назначения.

  • Использовать 32-битное представление, состоящее из четырех частей, в десятичном формате с точками.

  • Использовать ключевое слово any как сокращение для указания в качестве destination и destination-wildcard значений 0.0.0.0 255.255.255.255.

  • Использовать host destination в качестве сокращения для указания в качестве destination и destination-wildcard значения destination 0.0.0.0.

destination-wildcard

Шаблон адресов, применяемый к назначению Существует три альтернативных способа указания шаблона адресов назначения.

  • Использовать 32-битное представление, состоящее из четырех частей, в десятичном формате с точками. Поместите единицы в битовые позиции, которые необходимо игнорировать.

  • Использовать ключевое слово any в качестве сокращения для указания в качестве destination и destination-wildcard значений 0.0.0.0 255.255.255.255.

  • Использовать host destination в качестве сокращения для указания в качестве destination и destination-wildcard значения destination 0.0.0.0.

precedence precedence

(Необязательно) Пакеты могут фильтроваться по уровню приоритета, обозначенному числом от 0 до 7, или по имени, указанному в разделе «Инструкции по использованию».

tos tos

(Необязательно) Пакеты могут фильтроваться по уровню типа обслуживания, обозначенному числом от 0 до 15, или по имени, указанному в разделе «Инструкции по использованию» команды access-list (extended).

icmp-type

(Необязательно) ICMP-пакеты могут фильтроваться по типу ICMP-сообщения. Тип обозначается числом от 0 до 255.

icmp-code

(Необязательно) ICMP-пакеты, которые фильтруются по типу ICMP-сообщения, могут также фильтроваться по коду ICMP-сообщения. Код обозначается числом от 0 до 255.

icmp-message

(Необязательно) ICMP-пакеты могут фильтроваться по имени типа ICMP-сообщения или типу ICMP-сообщения и имени кода. Возможные имена перечислены в разделе «Инструкции по использованию» команды access-list (extended).

igmp-type

(Необязательно) IGMP-пакеты могут фильтроваться по типу IGMP-сообщения или имени сообщения. Тип сообщения представляет собой число от 0 до 15. Имена IGMP-сообщений перечислены в разделе «Инструкции по использованию» команды access-list (extended).

operator

(Необязательно) Сравниваются порты источника или назначения. В число допустимых операндов входят lt (меньше), gt (больше), eq (равно), neq (не равно) и range (включающий в себя диапазон).

При помещении оператора после source и source-wildcard он должен соответствовать порту источника.

При помещении оператора после destination и destination-wildcard он должен соответствовать порту назначения.

Для оператора range необходимы два номера порта. Для всех других операторов необходим один номер порта.

port

(Необязательно) Десятичное число или имя порта TCP или UDP. Номер порта представляет собой число от 0 до 65535. Имена портов TCP и UDP перечислены в разделе «Инструкции по использованию» команды access-list (extended). Имена портов TCP могут использоваться только при фильтровании по протоколу TCP. Имена портов UDP могут использоваться только при фильтровании по протоколу UDP.

established

(Необязательно) Только для протокола TCP: указывает на установленное соединение. Если TCP-дейтаграмма содержит наборы битов ACK или RST, происходит совпадение. Случай несовпадения определяется по первоначальной TCP-дейтаграмме для формирования соединения.

log

(Необязательно) Создает информационное сообщение журнала о пакете, соответствующее элементу, отправляемому на консоль. (Уровень сообщения, регистрируемого на консоли, контролируется командой logging console.)

Сообщение для стандартного списка содержит номер списка доступа, был ли пакет разрешен или отклонен, исходный адрес и число пакетов.

Сообщение для расширенного списка включает номер списка доступа, информацию о запрете или разрешении на пакет; протокол — TCP, UDP, ICMP или номер; при необходимости, адреса источника и назначения и номера их портов.

Для стандартного и расширенного списка сообщение создается для первого соответствующего пакета, а затем, с интервалом в 5 минут, учитывая количество разрешенных и отклоненных пакетов за предыдущие 5 минут.

Значение по умолчанию

Не существует специального условия, при котором прохождение пакета запрещается в именованном списке доступа.

Режим команд

Конфигурация списка доступа

Инструкции по использованию

Эта команда впервые появилась в ПО Cisco IOS версии 11.2. Ключевое слово log для стандартного списка доступа впервые появилось в версии 11.3(3)T.

Используйте эту команду после команды ip access-list для указания условий, при которых пакет не проходит именованный список доступа.

Пример

Ниже приводится пример, в котором настраиваются условие отклонения для стандартного списка доступа под именем «Internetfilter»:

ip access-list standard Internetfilter
 deny 192.5.34.0  0.0.0.255
 permit 128.88.0.0  0.0.255.255
 permit 36.0.0.0  0.255.255.255
! (Note: all other access implicitly denied)
Связанные команды

Для поиска документации о связанных командах можно использовать главные индексы или воспользоваться интерактивным поиском.

ip access-group
ip access-list
permit
show ip access-list

permit

Чтобы настроить условия для именованного списка IP-доступа используется команда конфигурации списка доступа permit. Для удаления условия из списка доступа используется форма no этой команды.

permit {source [source-wildcard] | any} [log]
no permit {source [source-wildcard] | any}

permit protocol source source-wildcard destination destination-wildcard [precedence
precedence] [tos tos] [log]
no permit protocol source source-wildcard destination destination-wildcard [precedence
precedence] [tos tos] [log]

Для протокола ICMP можно также использовать следующий синтаксис:

permit icmp source source-wildcard destination destination-wildcard [icmp-type [icmp-code] |
icmp-message] [precedence precedence] [tos tos] [log]

Для протокола IGMP можно также использовать следующий синтаксис:

permit igmp source source-wildcard destination destination-wildcard [igmp-type]
[precedence precedence] [tos tos] [log]

Для протокола TCP можно также использовать следующий синтаксис:

permit tcp source source-wildcard [operator port [port]] destination destination-wildcard
[operator port [port]] [established] [precedence precedence] [tos tos] [log]

Для протокола UDP можно также использовать следующий синтаксис:

permit udp source source-wildcard [operator port [port]] destination destination-wildcard
[operator port [port]] [precedence precedence] [tos tos] [log]

Описание синтаксиса

source

Номер сети или сетевого узла, с которого отправляется пакет. Существует два альтернативных способа указания источника.

  • Использовать 32-битное представление, состоящее из четырех частей, в десятичном формате с точками.

  • Использовать ключевое слово any как сокращение для указания в качестве source и source-wildcard значений 0.0.0.0 255.255.255.255.

source-wildcard

(Необязательно) Шаблон адресов, применяемый к source. Существует два альтернативных способа указания шаблона адресов источника.

  • Использовать 32-битное представление, состоящее из четырех частей, в десятичном формате с точками. Поместите единицы в битовые позиции, которые необходимо игнорировать.

  • Использовать ключевое слово any как сокращение для указания в качестве source и source-wildcard значений 0.0.0.0 255.255.255.255.

protocol

Имя или номер IP-протокола. Это может быть одно из ключевых слов eigrp, gre, icmp, igmp, igrp, ip, ipinip, nos, ospf, tcp или udp, а также целое число от 0 до 255, представляющее номер IP-протокола. Для соответствия любому интернет-протоколу (включая ICMP, TCP и UDP) используйте ключевое слово ip. Некоторые протоколы разрешают использование дополнительных спецификаторов, описанных ниже.

source

Номер сети или сетевого узла, с которого отправляется пакет. Существует три альтернативных способа для указания источника.

  • Использовать 32-битное представление, состоящее из четырех частей, в десятичном формате с точками.

  • Использовать ключевое слово any как сокращение для указания в качестве source и source-wildcard значений 0.0.0.0 255.255.255.255.

  • Использовать host source в качестве сокращения для указания в качестве source и source-wildcard значения source 0.0.0.0.

source-wildcard

Шаблон адресов, применяемый к источнику. Существует три альтернативных способа для указания шаблона адресов источника.

  • Использовать 32-битное представление, состоящее из четырех частей, в десятичном формате с точками. Поместите единицы в битовые позиции, которые необходимо игнорировать.

  • Использовать ключевое слово any как сокращение для указания в качестве source и source-wildcard значений 0.0.0.0 255.255.255.255.

  • Использовать host source в качестве сокращения для указания в качестве source и source-wildcard значения source 0.0.0.0.

destination

Номер сети или сетевого узла, куда отправляется пакет. Существует три альтернативных способа указания назначения.

  • Использовать 32-битное представление, состоящее из четырех частей, в десятичном формате с точками.

  • Использовать ключевое слово any как сокращение для указания в качестве destination и destination-wildcard значений 0.0.0.0 255.255.255.255.

  • Использовать host destination в качестве сокращения для указания в качестве destination и destination-wildcard значения destination 0.0.0.0.

destination-wildcard

Шаблон адресов, применяемый к назначению. Существует три альтернативных способа указания шаблона адресов назначения.

  • Использовать 32-битное представление, состоящее из четырех частей, в десятичном формате с точками. Поместите единицы в битовые позиции, которые необходимо игнорировать.

  • Использовать ключевое слово any в качестве сокращения для указания в качестве destination и destination-wildcard значений 0.0.0.0 255.255.255.255.

  • Использовать host destination в качестве сокращения для указания в качестве destination и destination-wildcard значения destination 0.0.0.0.

precedence precedence

(Необязательно) Пакеты могут фильтроваться по уровню приоритета, обозначенному числом от 0 до 7, или по имени, указанному в разделе «Инструкции по использованию».

tos tos

(Необязательно) Пакеты могут фильтроваться по типу уровня обслуживания, обозначенному числом от 0 до 15, или по имени, указанному в разделе «Инструкции по использованию» для команды access-list (extended).

icmp-type

(Необязательно) ICMP-пакеты могут фильтроваться по типу ICMP-сообщения. Тип обозначается числом от 0 до 255.

icmp-code

(Необязательно) ICMP-пакеты, которые фильтруются по типу ICMP-сообщения, могут также фильтроваться по коду ICMP-сообщения. Код обозначается числом от 0 до 255.

icmp-message

(Необязательно) ICMP-пакеты могут фильтроваться по имени типа ICMP-сообщения или типу ICMP-сообщения и имени кода. Возможные имена перечислены в разделе «Инструкции по использованию» для команды access-list (extended).

igmp-type

(Необязательно) IGMP-пакеты могут фильтроваться по типу IGMP-сообщения или имени сообщения. Тип сообщения представляет собой число от 0 до 15. Имена IGMP-сообщений перечислены в разделе «Инструкции по использованию» для команды access-list (extended).

operator

(Необязательно) Сравниваются порты источника или назначения. В число допустимых операндов входят lt (меньше), gt (больше), eq (равно), neq (не равно) и range (включающий в себя диапазон).

При помещении оператора после source и source-wildcard он должен соответствовать порту источника.

При помещении оператора после destination и destination-wildcard он должен соответствовать порту назначения.

Для оператора range необходимы два номера порта. Для всех других операторов необходим один номер порта.

port

(Необязательно) Десятичное число или имя порта TCP или UDP. Номер порта представляет собой число от 0 до 65535. Имена портов TCP и UDP перечислены в разделе «Инструкции по использованию» для команды access-list (extended). Имена портов TCP могут использоваться только при фильтровании по протоколу TCP. Имена портов UDP могут использоваться только при фильтровании по протоколу UDP.

established

(Необязательно) Только для протокола TCP: указывается установленное соединение. Если TCP-дейтаграмма содержит наборы битов ACK или RST, происходит совпадение. Случай несовпадения определяется по первоначальной TCP-дейтаграмме для формирования соединения.

log

(Необязательно) Создается информационное сообщение журнала о пакете, соответствующее информации, отправляемой на консоль. (Уровень сообщений, отправляемых на консоль, контролируется командой logging console.)

Сообщение для стандартного списка содержит номер списка доступа, информацию о том, был ли пакет разрешен или отклонен, исходный адрес и число пакетов.

Сообщение для расширенного списка включает номер списка доступа, информацию о запрете или разрешении на пакет; протокол — TCP, UDP, ICMP или номер; при необходимости, адреса источника и назначения и номера соответствующих портов.

Для стандартного и расширенного списка сообщение создается для первого соответствующего пакета, а затем, с интервалом в 5 минут, указывая количество разрешенных и отклоненных пакетов за предыдущие 5 минут.

Значение по умолчанию

Не существует специального условия, при котором пакет проходит именованный список доступа.

Режим команд

Конфигурация списка доступа

Инструкции по использованию

Эта команда впервые появилась в ПО Cisco IOS версии 11.2. Ключевое слово log для стандартного списка доступа впервые появилось в версии 11.3(3)T.

Используйте эту команду после команды ip access-list для определения условий, при которых пакет проходит именованный список доступа.

Пример

Ниже приводится пример, в котором настраиваются условия для стандартного списка доступа под именем «Internetfilter»:

ip access-list standard Internetfilter
 deny 192.5.34.0  0.0.0.255
 permit 128.88.0.0  0.0.255.255
 permit 36.0.0.0  0.255.255.255
! (Note: all other access implicitly denied)
Связанные команды

deny
ip access-group
ip access-list
show ip access-list