6.7.2 创建并应用IP访问列表

6.7.2  创建并应用IP访问列表

1．创建标准访问列表

第1步：进入全局配置模式
Switch# configure terminal

第2步：使用源地址或通配符定义标准IP访问列表。
Switch(config)# access-list access-list-number {deny | permit} source [source-wildcard]

access-list-number：ACL号。ACL号相同的所有ACL形成一个组。在判断一个包时，使用同一组中的条目从上到下逐一进行判断，一遇到满足的条目就终止对该包的判断。1～99或1300～1999为标准的IP ACL号。

deny | permit：当条件匹配时，是允许包通过，还是将包丢弃。

Source：源地址。发送包的网络或主机地址，使用点分十进表示。当表示一组主机时，使用通配符屏蔽码。

source-wildcard：通配符屏蔽码。Cisco访问列表所支持的通配符屏蔽码与子网掩码的方式是相反的。也就是说，二进制“0”表示一个匹配条件，“1”表示一个不关心条件。

Any：表示任何主机。源地址和源通配符0.0.0.0 255.255.255.255的缩写。例如，若欲拒绝从源地址192168.1.100发出的报文，但允许发自其他源地址的报文，应当使用下述语句：

Access-list 1 deny host 192.168.1.100

Access-list 1 permit any

需要注意这两条语句的顺序。访问列表语句的处理是由上至下的。如果将两个语句顺序颠倒，将Permit语句放在Deny语句前面，则不能过滤来自主机的报文，因为Permit语句将允许所有报文通过。访问列表中的语句顺序非常重要，不合理的语句顺序将会在网络中产生安全漏洞，或者使得用户不能很好地利用公司的网络策略。

Host：表示一台主机，是源和源通配符0.0.0.0的缩写。例如，若欲允许从192.168.1.200发出的报文，则应当使用下述语句：

Access-list 1 permit 192.168.1.200 0.0.0.0

上述语句也可以使用下面的语句代替：

Access-list 1 permit host 192.168.1.200

第3步：返回特权配置模式。
Switch(config)# end

第4步：校验当前设置。
Switch# show access-lists number

第5步：保存当前配置。
Switch# copy running-config startup-config

使用no access-list access-list-number全局配置命令，可以删除全部访问列表。需要注意的是，不能从指定的访问列表中删除某个ACE。

2．创建扩展访问列表
标准IP访问列表只能控制源IP地址，不能控制到端口。若欲控制企业用户的网络应用，就需要使用扩展IP访问列表。

第1步：进入全局配置模式。
Switch# configure terminal

第2步：定义扩展IP访问列表，取值范围为100～199或2000～2699。

Switch(config)# access-list access-list-number 
{deny | permit} protocol source source-wildcard 
[operator port] destination 
destination-wildcard [operator port]

或者
access-list access-list-number {deny | permit} 
protocol any [operator port] any [operator port]

或者
access-list access-list-number {deny | permit} 
protocol host source [operator port] host 
destination [operator port]

destination destination-wildcard：目的地址和通配符屏蔽码。

Operator：端口操作符，在协议类型为TCP或UDP时支持端口比较，支持的比较操作有：等于（eq）、大于（gt）、小于（lt）、不等于（neq）或介于（range）；如果操作符为range，则后面需要跟两个端口。

Port：端口号，可以用几种不同方法指定。可以显式地指定，数字或使用一个可识别的助记符。例如，可以使用80或http指定超文本传输协议，使用21或ftp指定文件传输协议。例如，若欲允许来自任何地址的包含有SMTP数据的报文到达192.168.10.10主机，可以在访问列表中添加下述语句：

Access-list 101 permit tcp any host 192.168.10.10 eq smtp

第3步：返回特权配置模式。
Switch(config)# end

第4步：校验当前设置。
Switch# show access-lists number

第5步：保存当前配置。
Switch# copy running-config startup-config

3．创建IP访问列表名称
命名IP访问列表有两个主要优点，一是可以解决ACL号码不足的问题；二是可以自由的删除ACL中的一条语句，而不必删除整个ACL。而主要不足之处在于无法实现在任意位置加入新的ACL条目。

（1）创建标准IP访问列表名称

第1步：进入全局配置模式
Switch# configure terminal

第2步：利用名称定义标准IP访问列表，进入访问列表配置模式。名称可以是1~99。
Switch(config)# ip access-list standard name

第3步：定义一个或多个permit或deny条件，以确定对包实施转发或是丢弃。

 Switch(config-std-nacl)# deny 
{source [source-wildcard] | host source | any}
或者
Switch(config-std-nacl)# permit 
{source [source-wildcard] | host source | any}

（2）创建扩展IP访问列表名称

第1步：进入全局配置模式
Switch# configure terminal

第2步：利用名称定义扩展IP访问列表，进入访问列表配置模式。名称可以是100~199。
Switch(config)# ip access-list extended name

第3步：定义一个或多个permit或deny条件，以确定对包实施转发或是丢弃。
Switch(config-ext-nacl)# {deny | permit} protocol {source [source-wildcard] | host source | any} {destination [destination-wildcard] | host destination | any}

第4步：返回特权配置模式。
Switch(config-std-nacl)# end

第5步：校验当前设置。
Switch# show access-lists name

第6步：保存当前配置。
Switch# copy running-config startup-config

例如，借助扩展IP访问列表，可以在VLAN或端口上阻止蠕虫端口，从而避免蠕虫在网络中的蔓延，保证网络的传输效率。

    
access-list 110 deny   tcp any any eq 135
access-list 110 deny   tcp any any eq 445
access-list 110 deny   tcp any any eq 593
access-list 110 deny   tcp any any eq 1029
access-list 110 deny   tcp any any eq 4444
access-list 110 deny   tcp any any eq 5000
access-list 110 deny   tcp any any eq 5554
access-list 110 deny   tcp any any eq 7955
access-list 110 deny   tcp any any range 9995 9996
access-list 110 deny   udp any any range netbios-ns netbios-dgm
access-list 110 deny   udp any any eq tftp
access-list 110 deny   udp any any range 995 999
access-list 110 deny   udp any any eq 1434
access-list 110 deny   udp any any eq 8998
access-list 110 permit ip any any

然后，再将该访问列表应用至端口或VLAN，在入和出双向上启用该列表。
ip access-group 110 in
ip access-group 110 out

4．基于时间的访问列表
借助基于时间的访问列表，可以控制用户在某个时间段对访问的访问权限。

第1步：进入全局配置模式。
Switch# configure terminal

第2步：为指定的时间范围命名一个有意义的名称。名称不能包括空格和引号，并且必须以字母开头。
Switch(config)# time-range time-range-name

第3步：指定时间范围。

Switch(config-time-range)# absolute [start time date] 
[end time date] 
或者
periodic day-of-the-week hh:mm to [day-of-the-week] 
hh:mm 
或者
periodic {weekdays | weekend | daily} hh:mm to hh:mm 

periodic：尽管每个时间范围只能有一个absolute语句，但是，却可以有多个periodic语句。另外，absolute语句只拥有开始和结束时间，以及日期等少数几个参数，而periodic语句可以使用大量参数，范围可以是一星期中的某一天或几天的组合，或者使用关键字daily、weekdays和weekend等。表6-9列出了在语句中可以使用的每星期天数中的参数。

表6-9  periodic语句中可以使用的每星期天数中的参数

例如，若欲限制所有员工在周一至周五的8:00~18:00使用QQ和MSN聊天，可以在访问列表中添加下述语句：

   time-range deny-qq
!---定义时间范围名称为“deny-qq”
periodic weekdays start 8:00 end 18:00
!---时间范围为周一至周五的8:00~18:00
ip access-list extend internet_limit
!---定义扩展IP访问列表，名称为“qq_limit”
deny tcp 10.1.0.0 0.0.255.255 any eq 1863 time-range deny-qq
deny tcp 10.1.0.0 0.0.255.255 any eq 8000 time-range deny-qq
deny tcp 10.1.0.0 0.0.255.255 any eq 1080 time-range deny-qq
deny udp 10.1.0.0 0.0.255.255 any eq 8000 time-range deny-qq
deny udp 10.1.0.0 0.0.255.255 any eq 4000 time-range deny-qq
deny udp 10.1.0.0 0.0.255.255 any eq 1080 time-range deny-qq
!---定义QQ和MSN聊天使用的协议和端口号
permit ip any any
!---其余访问不予限制

如果在services文件中找不到端口的应用，可以在运行程序前后，运行netstat –ap比较并找出应用所使用的端口号。

5．将IP访问列表应用到接口
如果不将IP访问列表应用到接口，那么，该访问列表将不会发生作用。

第1步，进入全局配置模式。
Switch# configure terminal

第2步：指定欲应用该IP访问列表的接口。该接口既可以是二层接口（端口访问列表），也可以是三层接口（路由访问列表）。
Switch(config)#interface interface-id

第3步：将访问控制应用到指定的接口。二层接口（端口访问列表）不支持out关键字。
Switch(config-if)# ip access-group {access-list-number | name} {in | out}

第4步：返回特权配置模式。
Switch(config-if)# end

第5步：校验当前设置。
Switch# show running-config

第6步：保存当前配置。
Switch# copy running-config startup-config