了解业务访问点访问控制列表

简介

本文解释如何读和创建在Cisco路由器的服务接入点(SAP)访问控制列表(ACL)。虽然有ACL的几种类型，本文着重过滤基于SAP值的那个。此种ACL的数字范围是200到299。这些ACL可以应用到令牌环接口过滤源路由网桥(SRB)流量，到以太网接口过滤透明网桥(TB)流量，或者到数据链路交换(DLSW)对等`路由器。

与SAP ACL的主要挑战是确切了解什么SAP由特定ACL项允许或拒绝。我们将分析特定协议被过滤的四个不同的方案。

开始使用前

规则

有关文档规则的详细信息，请参阅 Cisco 技术提示规则。

先决条件

本文档没有任何特定的前提条件。

使用的组件

本文档不限于特定的软件和硬件版本。

过滤系统网络结构

国际商用机器公司的系统网络体系结构(SNA)流量使用范围从0x00的SAP到0xFF。虚拟电信接入方式V3R4及以后支持SAP值范围4到对0xFC的252 (或0x04在十六进制表示法)，其中0xF0为NetBIOS数据流保留。SAP必须是0x04的多个，从0x04开始。(就隐式拒绝所有在每个ACL结束时)而论，以下ACL允许最普通的SNA SAP，并且拒绝其余：

access-list 200 permit 0x0000 0x0D0D

DSAP      SSAP      Wildcard Mask for DSAP and SSAP respectively|-------| |-------| |-------| |-------|0000 0000 0000 0000 0000 1101 0000 1101 

请使用位在通配符掩码确定哪些SAP由此特定ACL项允许。请使用以下规则，当解释通配符掩码位时：

• 0 =要求的完全匹配。这意味着允许SAP必须有同一个值作为在ACL配置的SAP。欲了解更详细的信息参考下面表。

• 1 =允许SAP能在此位位置有0或1， "do not care"位置。

使用在个先前的表的结果，见面SAP的列表上述模式下面显示。

正如你从上表看到，不是所有可能的SNA SAP在此ACL包括。这些SAP，然而，包括最普通的案件。

要考虑的另一个点，当设计ACL是SAP值更改根据，如果他们是命令或答复。来源服务访问点(SSAP)包括命令/答复(C/R)区分的位在他们之间。C/R设置到0命令的和到1答复的。所以， ACL必须准许或块命令以及答复。例如， SAP 0x05 (用于答复)是与C/R装置的SAP 0x04到1。同样适用于SAP 0x09 (与C/R装置的SAP 0x08对1)， 0x0D和0x01。

过滤 NetBIOS

NetBIOS数据流使用SAP值0xF0 (命令)和0xF1 (答复)。一般，网络管理员使用这些SAP值过滤此协议。如下所示的访问列表条目允许NetBIOS数据流并且拒绝一切别的东西(请记住隐式拒绝所有在每个ACL结束时) ：

access-list 200 permit 0xF0F0 0x0101

使用在前面部分显示的同一个步骤，您能确定上述ACL允许SAP 0xF0和0xF1。

相反，如果需求是阻塞NetBIOS和允许流量的其余，请使用以下ACL ：

access-list 200 deny 0xF0F0 0x0101access-list 200 permit 0x0000 0xFFFF

过滤 IPX

默认情况下， Cisco路由器网桥IPX数据流。要更改此行为，您必须发出ipx routing命令在路由器。IPX，使用802.2封装，使用SAP 0xE0作为目的地服务访问点(DSAP)和SSAP。所以，如果Cisco路由器桥接IPX，并且需求是允许仅此种流量，请使用以下ACL ：

access-list 200 permit 0xE0E0 0x0101

相反，以下ACL阻塞IPX并且允许流量的其余：

access-list 200 deny 0xE0E0 0x0101access-list 200 permit 0x0000 0xFFFF

允许或拒绝所有通信量

每个ACL包括隐式拒绝所有。当分析已配置的ACL的行为时，您一定知道此条目。如下所示的最后ACL条目否决所有流量。

access-list 200 permit ....access-list 200 permit ....access-list 200 deny 0x0000 0xFFFF

请切记，当读通配符掩码(在二进制)时， 1认为"do not care"位位置。在二进制表示的所有1通配符掩码翻译对在十六进制表示法的0xFFFF。

相关信息

• DLSw支持页面
• 访问控制列表：概述和指南
• DLSw+ SAP/MAC 过滤技术
• 技术支持 - Cisco Systems