cisco访问控制列表及动态访问控制列表.docVIP

访问控制列表及动态访问控制列表 杨振启 （曲阜师范大学日照校区网络中心 山东日照 276825） 摘要：本文主要介绍访问控制列表及动态访问控制列表的概念、工作原理、及具体应用， 并分析了它们的优缺点。 关键词：路由器 控制列表 动态访问控制列表 一 访问控制列表 1、概述：路由器是网络互联的主要设备，也是网络的前沿关口，如果路由器自身的安全都没有保障，那么整个网络便没有安全可言，因此，在网络管理上必须对路由器进行合理规划、配置，采取必要的安全保护措施，通常可以利用路由器访问控制列表功能，实现对网络的安全保护。 访问表（Access List）是一个有序的语句集。它是基于将规则与报文进行匹配，用来允许或拒绝报文流的排序表。用来允许或拒绝报文的标准是基于报文自身包含的信息，通常这些信息只限于第三层和第四层报文头中的包含的信息。当报文到达路由器的接口时，路由器对报文进行检查，如果报文匹配，则执行该语句中的动作；如果报文不匹配，则检查访问表中的下一个语句，直到最后一条结束时仍没有匹配语句，则报文按缺省规则被拒绝。整个过程如图 1所示： 图 1 2、 举例：我们用一个例子具体说明访问控制列表的应用。某单位用C类地址/24 构造局域网，网络拓扑见图2。整个网络采用TCP/IP协议。用Cisco2621路由器经电信2M线线路与Internet互连，电信提供地址段/28用于路由。局域网中IP地址为1、2、3的服务器对内、对外提供Web，Ftp，E-mail服务，现对Cisco2621的广域网接口S0/0施行访问控制以保证局域网安全，路由器参考配置文件如下： interface FastEthernet0/0 ip address duplex auto speed auto ! interface Serial0/0 ip address 40 ip access-group 100 in clockrate 64000 ! interface FastEthernet0/1 no ip address shutdown duplex auto speed auto ! interface Serial0/1 no ip address shutdown ! ip classless ip route no ip http server ! access-list 100 permit tcp any gt 1023 host 1 eq www （允许用户访问WEB服务器） access-list 100 permit tcp any gt 1023 host 2 eq smtp （允许用户访问EMAIL 服务器） access-list 100 permit tcp any gt 1023 host 2 eq pop3 （允许用户访问EMAIL 服务器） access-list 100 permit tcp any gt 1023 host 3 eq ftp （允许用户访问FTP服务器） access-list 100 permit tcp any gt 1023 host 3 eq ftp-data （允许用户访问FTP服务器） access-list 100 permit tcp any 55 established （允许外部响应数据包返回） access-list 100 deny tcp any any eq telnet （禁止外部TELNET内网） access-list 100 deny icmp any any echo （禁止外部PING内网） access-list 100 deny icmp any any traceroute （禁止外部TRACEROUTE内网） access-list 100 deny ip 55 any （禁止非法地址访问内网） access-list 100 deny ip 55 any （禁止非法地址访问内网） access-list 100 deny ip 55 any （禁止非法地址访问内网） ! voice-port 1/0/0 ! voice-port 1/0/1 ! voice-port 1/1/0 ! voice-port 1/1/1 ! dial-peer cor custom ! ! ! ! line con 0 exec-timeout 0 transport input none line aux 0 line vty 0 4 ! no scheduler allocate end