本文解释如何读和创建在Cisco路由器的服务接入点(SAP)访问控制列表(ACL)。虽然有ACL的几种类型,本文着重过滤基于SAP值的那个。此种ACL的数字范围是200到299。这些ACL可以应用到令牌环接口过滤源路由网桥(SRB)流量,到以太网接口过滤透明网桥(TB)流量,或者到数据链路交换(DLSW)对等`路由器。
与SAP ACL的主要挑战是确切了解什么SAP由特定ACL项允许或拒绝。我们将分析特定协议被过滤的四个不同的方案。
有关文档规则的详细信息,请参阅 Cisco 技术提示规则。
本文档没有任何特定的前提条件。
本文档不限于特定的软件和硬件版本。
国际商用机器公司的系统网络体系结构(SNA)流量使用范围从0x00的SAP到0xFF。虚拟电信接入方式V3R4及以后支持SAP值范围4到对0xFC的252 (或0x04在十六进制表示法),其中0xF0为NetBIOS数据流保留。SAP必须是0x04的多个,从0x04开始。(就隐式拒绝所有在每个ACL结束时)而论,以下ACL允许最普通的SNA SAP,并且拒绝其余:
access-list 200 permit 0x0000 0x0D0D
十六进制 | 二进制 |
---|---|
0x0000 0x0D0D | DSAP SSAP Wildcard Mask for DSAP and SSAP respectively|-------| |-------| |-------| |-------|0000 0000 0000 0000 0000 1101 0000 1101 |
请使用位在通配符掩码确定哪些SAP由此特定ACL项允许。请使用以下规则,当解释通配符掩码位时:
0 =要求的完全匹配。这意味着允许SAP必须有同一个值作为在ACL配置的SAP。欲了解更详细的信息参考下面表。
1 =允许SAP能在此位位置有0或1, "do not care"位置。
由ACL的允许Sap, X=0或X=1 | 通配符掩码 | 在ACL配置的SAP |
---|---|---|
0 | 0 | 0 |
0 | 0 | 0 |
0 | 0 | 0 |
0 | 0 | 0 |
X | 1 | 0 |
X | 1 | 0 |
0 | 0 | 0 |
X | 1 | 0 |
使用在个先前的表的结果,见面SAP的列表上述模式下面显示。
允许Sap (二进制) | 允许Sap (十六进制) | |||||||
---|---|---|---|---|---|---|---|---|
0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0x00 |
0 | 0 | 0 | 0 | 0 | 0 | 0 | 1 | 0x01 |
0 | 0 | 0 | 0 | 0 | 1 | 0 | 0 | 0x04 |
0 | 0 | 0 | 0 | 0 | 1 | 0 | 1 | 0x05 |
0 | 0 | 0 | 0 | 1 | 0 | 0 | 0 | 0x08 |
0 | 0 | 0 | 0 | 1 | 0 | 0 | 1 | 0x09 |
0 | 0 | 0 | 0 | 1 | 1 | 0 | 0 | 0x0C |
0 | 0 | 0 | 0 | 1 | 1 | 0 | 1 | 0x0D |
正如你从上表看到,不是所有可能的SNA SAP在此ACL包括。这些SAP,然而,包括最普通的案件。
要考虑的另一个点,当设计ACL是SAP值更改根据,如果他们是命令或答复。来源服务访问点(SSAP)包括命令/答复(C/R)区分的位在他们之间。C/R设置到0命令的和到1答复的。所以, ACL必须准许或块命令以及答复。例如, SAP 0x05 (用于答复)是与C/R装置的SAP 0x04到1。同样适用于SAP 0x09 (与C/R装置的SAP 0x08对1), 0x0D和0x01。
NetBIOS数据流使用SAP值0xF0 (命令)和0xF1 (答复)。一般,网络管理员使用这些SAP值过滤此协议。如下所示的访问列表条目允许NetBIOS数据流并且拒绝一切别的东西(请记住隐式拒绝所有在每个ACL结束时) :
access-list 200 permit 0xF0F0 0x0101
使用在前面部分显示的同一个步骤,您能确定上述ACL允许SAP 0xF0和0xF1。
相反,如果需求是阻塞NetBIOS和允许流量的其余,请使用以下ACL :
access-list 200 deny 0xF0F0 0x0101access-list 200 permit 0x0000 0xFFFF
默认情况下, Cisco路由器网桥IPX数据流。要更改此行为,您必须发出ipx routing命令在路由器。IPX,使用802.2封装,使用SAP 0xE0作为目的地服务访问点(DSAP)和SSAP。所以,如果Cisco路由器桥接IPX,并且需求是允许仅此种流量,请使用以下ACL :
access-list 200 permit 0xE0E0 0x0101
相反,以下ACL阻塞IPX并且允许流量的其余:
access-list 200 deny 0xE0E0 0x0101access-list 200 permit 0x0000 0xFFFF
每个ACL包括隐式拒绝所有。当分析已配置的ACL的行为时,您一定知道此条目。如下所示的最后ACL条目否决所有流量。
access-list 200 permit ....access-list 200 permit ....access-list 200 deny 0x0000 0xFFFF
请切记,当读通配符掩码(在二进制)时, 1认为"do not care"位位置。在二进制表示的所有1通配符掩码翻译对在十六进制表示法的0xFFFF。