引言：擴(kuò)展IP訪問(wèn)控制列表是其中重要的一種,擴(kuò)展IP訪問(wèn)控制列表比標(biāo)準(zhǔn)IP訪問(wèn)控制列表具有更多的匹配項(xiàng)，下面以Cisco設(shè)備為例，簡(jiǎn)單介紹IP擴(kuò)展訪問(wèn)控制列表的配置之方法。

訪問(wèn)控制列表(ACL)是應(yīng)用在路由器接口的指令列表。這些指令列表用來(lái)告訴路由器哪些數(shù)據(jù)包可以收,哪能數(shù)據(jù)包要拒絕。擴(kuò)展IP訪問(wèn)控制列表是其中重要的一種，包括協(xié)議類型、源地址、目的地址、源端口、目的端口和IP優(yōu)先級(jí)等。下面以Cisco設(shè)備為例，簡(jiǎn)單介紹IP擴(kuò)展訪問(wèn)控制列表的配置方法。

擴(kuò)展訪問(wèn)控制列表的配置方法

在全局模式下建立擴(kuò)展訪問(wèn)控制列表，其配置如下：

表1 訪問(wèn)控制列表類型和對(duì)應(yīng)的列表號(hào)

下面對(duì)語(yǔ)句進(jìn)行逐一說(shuō)明。access-list-number對(duì)于IP擴(kuò)展訪問(wèn)控制列表范圍是100-199和2000-2699。不同類型的訪問(wèn)控制列表的列表號(hào)如表1所示。使用permit或者deny關(guān)鍵字可以指定哪些匹配訪問(wèn)控制列表語(yǔ)句的報(bào)文是允許通過(guò)接口或者被拒絕通過(guò)。

表2 RGNOS支持協(xié)議列表

Portocol即協(xié)議表項(xiàng)定義了需要被檢查的協(xié)議，例如 IP、TCP、UDP、ICMP 等。協(xié)議選項(xiàng)是很重要的，因?yàn)樵赥CP/IP協(xié)議簇中的各種協(xié)議之間有很密切的關(guān)系。如果指定IP協(xié)議，訪問(wèn)控制列表將只檢查IP數(shù)據(jù)包進(jìn)行匹配，而不再檢查IP數(shù)據(jù)包所承載的TCP、UDP等上層協(xié)議。如果根據(jù)特殊協(xié)議進(jìn)行報(bào)文過(guò)濾，就要指定該協(xié)議。RGNOS支持過(guò)濾的協(xié)議如表2所示。此外，應(yīng)該將更具體的表項(xiàng)放在訪問(wèn)控制列表靠前的位置。

source source-wildcard指源地址和通配符掩碼。源地址是主機(jī)或一組主機(jī)的點(diǎn)用十進(jìn)制表示，必須與通配符掩碼配合使用。進(jìn)行指定源地址比較操作時(shí)，必須比較匹配的位數(shù)。通配符掩碼是一個(gè)32位二進(jìn)制數(shù)，二進(jìn)制“0”表示該位必須比較匹配，二進(jìn)制“1”表示該位不需要比較匹配，可以忽略。

例如，通配符掩碼0.0.0.255，表示只比較IP地址中前24位，后8位IP地址忽略不關(guān)心。通配符掩碼0.0.7.255，表示只比較IP地址中前21位，后11位IP地址忽略不關(guān)心。通配符掩碼0.0.255.255，表示只比較IP地址中前16位，后16位IP地址忽略不關(guān)心。有兩個(gè)特殊的通配符掩碼0.0.0.0和 255.255.255.255，可 以用關(guān)鍵字host和any表示。host表示一種精確的匹配，使用時(shí)放在IP地址之前，如host192.168.10.8的一臺(tái)主機(jī)。any表示不對(duì)該IP地址進(jìn)行比較，完全忽略。

operator是指操作符，可以使用的操作符有<（大于）、>（小于）、=（等于）、≠（不等于）等，具體的操作符命令如表3所示。

port指端口號(hào)，其范圍是0-65535。放在源IP地址后的端口號(hào)指源端口號(hào)。放在目的IP地址后的端口號(hào)指目的端口號(hào)。端口號(hào)0代表所有TCP或UDP端口。一些特殊的端口號(hào)可以直接用其對(duì)應(yīng)的協(xié)議名稱表示，如TCP端口號(hào)80可以用WWW表示，TCP端口號(hào)23可以用telnet表示，TCP端口號(hào)21可以用ftp表示，UDP端口號(hào)53可以用domain表示，UDP端口號(hào)520可以用rip表示。目的地址和通配符掩碼的結(jié)構(gòu)與源地址和通配符掩碼的結(jié)構(gòu)相同，目的端口號(hào)的指定方法與源端口號(hào)的指定方法相同。

配置命名的訪問(wèn)控制列表

在較高版本的IOS上，都可以配置命名的訪問(wèn)控制列表。它的好處在于可以單獨(dú)地添加或者刪除列表中的一條語(yǔ)句，從而克服了傳統(tǒng)的訪問(wèn)控制列表不能增量更新，難于維護(hù)的弊病。在全局模式下聲明命名的訪問(wèn)控制列表命令如下：

表3 操作符表

執(zhí)行該命令后，就會(huì)進(jìn)入配置命名的訪問(wèn)控制列表語(yǔ)句的模式，可以逐條地編寫(xiě)列表語(yǔ)句，我們以擴(kuò)展的命名訪問(wèn)控制列表為例，它的命令如下：

通過(guò)不斷重復(fù)套用該命令，就可以建立起命名的訪問(wèn)控制列表。例如：

向命名的訪問(wèn)控制列表里添加語(yǔ)句就和配置語(yǔ)句語(yǔ)法格式一樣。如果要?jiǎng)h除一條語(yǔ)句，在該語(yǔ)句前加“no”。在網(wǎng)絡(luò)管理過(guò)程中，合理的使用IP擴(kuò)展訪問(wèn)控制列表對(duì)網(wǎng)絡(luò)應(yīng)用服務(wù)的訪問(wèn)進(jìn)行控制和管理，能對(duì)網(wǎng)絡(luò)安全起到至關(guān)重要的作用，也是網(wǎng)絡(luò)管理的一個(gè)重要途徑和手段。