Académique Documents
Professionnel Documents
Culture Documents
Este documento describe cmo IP listas de control de acceso (ACL) se puede filtrar el trfico de red. Tambin contiene una breve descripcin de los tipos IP ACL, disponibilidad de la funcin, y un ejemplo de su uso en una red. Acceda a la Asesora de Software ( registrados clientela) la herramienta para determinar el apoyo de algunos de los ms avanzados de Cisco IOS IP ACL caractersticas
.
RFC 1700 contiene asignan nmeros de puertos bien conocidos. RFC 1918 que normalmente no debe ser visto en Internet.
Nota: ACL tambin puede ser utilizado para fines distintos para filtrar el trfico IP, por ejemplo, la definicin de trfico a direcciones de red Traducir (NAT) o cifrar, o el filtrado de IP no protocolos como AppleTalk o IPX. Una discusin de estas funciones est fuera del alcance de este documento.
Requisitos previos
Requisitos
No hay requisitos previos especficos para este documento. Los conceptos que se discuten actualmente en Cisco IOS en cada funcin de lista de acceso.
Componentes usados
Este documento analiza varios tipos de ACL. Algunos de estos estn presentes desde que Cisco IOS versiones de software 8.3 y otros se introdujeron en versiones de software ms tarde. Esto se nota en la discusin de cada tipo.
La informacin de este documento fue creado a partir de los dispositivos en un entorno de laboratorio especficos. Todos los dispositivos utilizados en este documento se inici con un aprobado (por defecto) de configuracin. Si la red est vivo, asegrese de que entienden el impacto potencial de cualquier comando.
Convenios
Consulte la tcnica de Cisco convenios Consejos para obtener ms informacin sobre los convenios documento.
ACL Conceptos
Esta seccin describe los conceptos de ACL.
Mscaras
Las mscaras se utilizan las direcciones IP en la ACL IP para especificar lo que debe ser permitido y denegado. Las mscaras con el fin de configurar las direcciones IP en las interfaces empiezan con 255 y tienen los valores grandes en el lado izquierdo, por ejemplo, la direccin IP 209.165.202.129 con una mscara 255.255.255.224. Mscaras para ACL IP son el reverso, por ejemplo, la mscara de 0.0.0.255. A veces se denomina una mscara inversa o una mascara. Cuando el valor de la mscara se divide en binario (0s y 1s), los resultados determinan que pedacitos de la direccin deben ser considerados en la tramitacin del trfico. Un 0 indica que los bits de direccin deben ser considerados (resultado exacto), un 1 en la mscara es un "no me importa". Esta tabla explica adems el concepto.
Mscara Ejemplo direccin de red (trfico que se va a procesar) mscara direccin de red (binario) mscara (binario) 10.1.1.0 0.0.0.255 00001010.00000001.00000001.00000000 00000000.00000000.00000000.11111111
Sobre la base de la mscara binaria, se puede ver que los tres primeros conjuntos (octetos) debe coincidir con la direccin que figura la red binaria exactamente (00001010.00000001.00000001). El ltimo conjunto de nmeros "no le importa" (0.11111111). Por lo tanto, todo el trfico que se inicia con 10.1.1. partidos desde el ltimo octeto es "no importa". Por lo tanto, con esta mscara, a travs de direcciones de red 10.1.1.1 10.1.1.255 (10.1.1.x) se procesan.
Reste la mscara normal de 255.255.255.255 con el fin de determinar la mscara inversa ACL. En este ejemplo, la mscara inversa se determina para la direccin de red 172.16.1.0 con una mscara normal de 255.255.255.0.
ACL de resumen
Nota: Las mscaras de subred tambin se puede representar como una notacin de longitud fija. Por ejemplo, 192.168.10.0/24 representa 192.168.10.0 255.255.255.0.
Esta lista describe cmo resumir una serie de redes en una sola red para la optimizacin del ligamento cruzado anterior. Tenga en cuenta estas redes.
El tercer octeto de las redes anteriores se puede escribir como se ve en esta tabla, de acuerdo con la posicin de pedacito octeto y valor de la direccin de cada bit.
Decimales 32 33 34 35 36 37 38 39
128 0 0 0 0 0 0 0 0 M
64 0 0 0 0 0 0 0 0 M
32 1 1 1 1 1 1 1 1 M
16 0 0 0 0 0 0 0 0 M
8 0 0 0 0 0 0 0 0 M
4 0 0 0 0 1 1 1 1 D
2 0 0 1 1 0 0 1 1 D
1 0 1 0 1 0 1 0 1 D
Desde los primeros cinco bits de partido, los ltimos ocho redes se pueden resumir en una sola red (192.168.32.0/21 o 192.168.32.0 255.255.248.0). Las ocho combinaciones posibles de los tres bits de orden inferior son relevantes para los rangos de red en cuestin. Este comando define una ACL que permite esta red. Si se resta 255.255.248.0 (mscara de lo normal) de 255.255.255.255, produce 0.0.7.255.
El tercer octeto de las redes anteriores se puede escribir como se ve en esta tabla, de acuerdo con la posicin de pedacito octeto y valor de la direccin de cada bit.
128 1 1 1 1 M
64 0 0 0 0 M
32 0 0 0 0 M
16 1 1 1 1 M
8 0 0 0 0 M
4 0 0 1 1 ?
2 1 1 0 0 ?
1 0 1 0 1 ?
A diferencia del ejemplo anterior, no se puede resumir estas redes en una sola red. Si se resumen a una sola red, se convierten en 192.168.144.0/21 porque hay cinco bits similar en el tercer octeto. Este resumen de la red 192.168.144.0/21 abarca una serie de redes de 192.168.144.0 a 192.168.151.0. Entre estas redes, 192.168.144.0, 192.168.145.0, 192.168.150.0, 192.168.151.0 y no estn en la lista dada de cuatro redes. A fin de cubrir las redes en cuestin, se necesita un mnimo de dos redes de resumen. La propuesta cuatro redes se pueden resumir en estas dos redes:
Para las redes 192.168.146.x y 192.168.147.x, coinciden todos los bits excepto la ltima, que es un "no me importa." Esto puede ser escrito como 192.168.146.0/23 (o 192.168.146.0 255.255.254.0). Para las redes 192.168.148.x y 192.168.149.x, coinciden todos los bits excepto la ltima, que es un "no me importa." Esto puede ser escrito como 192.168.148.0/23 (o 192.168.148.0 255.255.254.0).
! --- Este comando se utiliza para permitir el acceso el acceso de dispositivos con IP ! --- Direcciones en el rango de 192.168.146.0 a 192.168.147.254. access-list 10 permiten a 192.168.146.0 0.0.1.255
! --- Este comando se utiliza para permitir el acceso el acceso de dispositivos con IP ! --- Direcciones en el rango de 192.168.148.0 a 192.168.149.254 access-list 10 permiten a 192.168.148.0 0.0.1.255
Proceso de ACL
El trfico que entra en el router se compara con las entradas ACL basado en el orden que las entradas se producen en el router. Nuevas declaraciones se agregan a la final de la lista. El router sigue buscando hasta que haya un partido. Si no se encuentran coincidencias cuando el router llega a la final de la lista, el trfico se neg. Por esta razn, usted debe tener las entradas azotada con frecuencia en la parte superior de la lista. Hay una implcita niegan para el trfico que no est permitido. Una ACL de entrada nica con un solo negar la entrada tiene el efecto de negar todo el trfico. Usted debe tener al menos una declaracin de permiso en un ACL o todo el trfico est bloqueado. Estos dos ACL (101 y 102) tienen el mismo efecto.
! --- Este comando se utiliza para permitir el trfico IP de 10.1.1.0 ! --- Red 172.16.1.0 a la red. Todos los paquetes con una fuente ! --- No trata en este rango sern rechazadas. lista de acceso IP 101 permite 10.1.1.0 172.16.1.0 0.0.0.255 0.0.0.255 ! --- Este comando se utiliza para permitir el trfico IP de 10.1.1.0 ! --- Red 172.16.1.0 a la red. Todos los paquetes con una fuente ! --- No trata en este rango sern rechazadas. lista de acceso IP 102 permite 10.1.1.0 172.16.1.0 0.0.0.255 0.0.0.255 access-list 102 deny ip any any
En este ejemplo, la ltima entrada es suficiente. Usted no necesita las tres primeras entradas porque TCP incluye Telnet y IP incluye TCP, User Datagram Protocol (UDP), e Internet Control Message Protocol (ICMP).
! --- Este comando se utiliza para permitir el trfico de Telnet ! --- De la mquina a la mquina 10.1.1.2 172.16.1.1. access-list 101 host TCP permiso 10.1.1.2 host 172.16.1.1 eq telnet ! --- Este comando se utiliza para permitir el trfico TCP de ! --- 10.1.1.2 host de mquina a mquina host 172.16.1.1. access-list 101 host TCP permiso 10.1.1.2 host 172.16.1.1 ! --- Este comando se utiliza para permitir el trfico UDP de ! --- 10.1.1.2 host de mquina a mquina host 172.16.1.1. access-list 101 de acogida udp permiso 10.1.1.2 host 172.16.1.1 ! --- Este comando se utiliza para permitir el trfico IP de ! --- 10.1.1.0 red 172.16.1.10 red. lista de acceso IP 101 permite 10.1.1.0 172.16.1.0 0.0.0.255 0.0.0.255
El router puede mostrar un texto descriptivo sobre algunos de los puertos conocidos. Use un? Para obtener ayuda.
access-list 102 host TCP permiso 10.1.1.1 host 172.16.1.1 eq? bgp Border Gateway Protocolo (179) chargen Generador de caracteres (19) cmd comandos remotos (RCMD, 514)
Durante la configuracin, el router tambin convierte los valores numricos a valores ms fciles de usar. Este es un ejemplo donde se escribe el mensaje ICMP tipo y nmero que hace que el router para convertir el nmero a un nombre.
access-list 102 de acogida icmp permiso 10.1.1.1 host 172.16.1.1 marca de tiempo de respuesta
Aplicar ACL
Puede definir ACL sin aplicarlos. Sin embargo, la ACL no tendr efecto hasta que se aplican a la interfaz del router. Es una buena prctica para aplicar la ACL en la interfaz ms cercana a la fuente del trfico. Como se muestra en este ejemplo, al intentar bloquear el trfico desde el origen al destino, puede aplicar una ACL de entrada a E0 en el router A en lugar de una lista de salida de E1 en el router C. Una lista de acceso tiene una ip negar cualquier cualquier forma implcita al final de cualquier lista de acceso. Si el trfico est relacionado con una solicitud de DHCP y si no est explcitamente permitido, el trfico se ha cado, porque cuando se mira a peticin DHCP en IP, la direccin de origen es s = 0.0.0.0 (ethernet1 / 0), d = 255.255.255.255 , len 604, rcvd dos UDP src = 68, dst = 67. Tenga en cuenta que la direccin IP de origen es 0.0.0.0 y la direccin de destino es 255.255.255.255. Puerto de origen y destino es de 68 67. Por lo tanto, debe permitir este tipo de trfico en su lista de acceso de lo contrario el trfico se redujo debido a negar implcita en la final de la instruccin.
Nota: Para el trfico UDP a pasar, el trfico UDP tambin debe ser PERMITIDO explcitamente por el ligamento cruzado anterior.
Fuera de trfico que ya ha pasado por el router y sale de la interfaz. La fuente es donde ha estado, en el otro lado del router, y el destino es a dnde va. En-El trfico que llega a la interfaz y, a continuacin pasa por el router. La fuente es donde ha sido y es el destino donde va, al otro lado del router. Entrante-Si la lista de acceso es entrante, cuando el router recibe un paquete, el software IOS de Cisco controles de las declaraciones de los criterios de la lista de acceso para un partido. Si el paquete se permite, el software sigue para procesar el paquete. Si el paquete es rechazado, el programa descarta el paquete. Salida-Si la lista de acceso es de salida, despus de que el software recibe y las rutas de un paquete a la interfaz de salida, el software verifica las declaraciones de los criterios de la lista de acceso para un partido. Si el paquete se permite, el programa transmite el paquete. Si el paquete es rechazado, el programa descarta el paquete.
El de ACL tiene una fuente en un segmento de la interfaz a la que se aplica y un destino fuera de cualquier otra interfaz. La ACL a cabo tiene una fuente en un segmento de cualquier otra interfaz de la interfaz a la que se aplica y un destino fuera de la interfaz a la que se aplica.
Modificar ACL
Cuando se edita una ACL, que requiere una atencin especial. Por ejemplo, si tiene la intencin de eliminar una lnea especfica de una ACL numeradas que existe, como se muestra aqu, la ACL se suprimir todo.
! --- La lista de acceso 101 niega icmp de todo a cualquier red de ! --- Pero permite el trfico IP de todo a cualquier red. router # configure terminal Introduzca los comandos de configuracin, uno por lnea. Terminar con CTRL / Z. router (config) # access-list 101 negar icmp any any router (config) # access-list 101 permite cualquier ip cualquier router (config) # ^ Z # Show access-list del router Extendido la lista de acceso IP 101 negar icmp any any permiso de cualquier ip cualquier router # * 09 de marzo 00:43:12.784:% SYS-5-CONFIG_I: configurado desde la consola por consola router # configure terminal Introduzca los comandos de configuracin, uno por lnea. router (config) # no access-list 101 negar icmp any any router (config) # ^ Z Terminar con CTRL / Z.
# Show access-list del router router # * 09 de marzo 00:43:29.832:% SYS-5-CONFIG_I: configurado desde la consola por consola
Copiar la configuracin del router a un servidor TFTP o un editor de texto como Bloc de notas con el fin de modificar las ACL numeradas. A continuacin, realice los cambios y copiar la configuracin de nuevo al router.
router # configure terminal Introduzca los comandos de configuracin, uno por lnea. router (config) # ip access-list prueba ampliada ! --- Los permisos de trfico IP de la mquina host a la mquina host 2.2.2.2 3.3.3.3. router (config-ext-nacl) # ip host 2.2.2.2 permiso de acogida 3.3.3.3 ! --- Www permisos de trfico de la mquina host a la mquina host 1.1.1.1 5.5.5.5. router (config-ext-nacl) # que el sistema que tcp 1.1.1.1 5.5.5.5 eq host www ! --- Trfico ICMP Los permisos de todo a cualquier red. router (config-ext-nacl) # permiso icmp any any ! --- Permite el trfico DNS de la mquina host 6.6.6.6 a 10.10.10.0 red. router (config-ext-nacl) # que el sistema que udp 6.6.6.6 10.10.10.0 0.0.0.255 eq de dominio router (config-ext-nacl) # ^ Z % SYS-5-CONFIG_I:: 1d00h configurado desde la consola de consolas-l # Show access-list del router Extendido de acceso IP lista de pruebas que el sistema que ip 2.2.2.2 3.3.3.3 de acogida permiso de tcp host 1.1.1.1 5.5.5.5 eq host www permiso de icmp any any permitir udp acogida 6.6.6.6 10.10.10.0 0.0.0.255 eq de dominio
Las supresiones son retirados de la ACL y las adiciones se hacen al final de la ACL.
router # configure terminal Introduzca los comandos de configuracin, uno por lnea. router (config) # ip access-list prueba ampliada ! --- Entrada LCA ha sido eliminado. router (config-ext-nacl) # no permite icmp any any ! --- Entrada de ACL agreg.
router (config-ext-nacl) # que el sistema que gre 4.4.4.4 8.8.8.8 de acogida router (config-ext-nacl) # ^ Z % SYS-5-CONFIG_I:: 1d00h configurado desde la consola de consolas-l # Show access-list del router Extendido de acceso IP lista de pruebas que el sistema que ip 2.2.2.2 3.3.3.3 de acogida permiso de tcp host 1.1.1.1 5.5.5.5 eq host www permitir udp acogida 6.6.6.6 10.10.10.0 0.0.0.255 eq de dominio gre permiso de acogida de acogida 8.8.8.8 4.4.4.4
Tambin puede agregar lneas de ACL con la norma nmero o nmeros ACL extendida por el nmero de secuencia en Cisco IOS. Esta es una muestra de la configuracin:
Router (config) # access-list 101 tcp cualquier permiso de cualquier Router (config) # access-list 101 udp cualquier permiso de cualquier Router (config) # access-list 101 permite icmp any any Router (config) # exit Router #
Emita el comando de mostrar la lista de acceso para ver las entradas ACL. Los nmeros de secuencia como 10, 20 y 30 tambin aparecen aqu.
Router # show access-list Extendido la lista de acceso IP 101 10 permiten tcp any any 20 udp cualquier permiso de cualquier 30 icmp cualquier permiso de cualquier
Agregue la entrada de la lista de acceso 101 con el nmero de secuencia 5.
Ejemplo 1:
Router # configure terminal Introduzca los comandos de configuracin, uno por lnea. Terminar con CTRL / Z. Router (config) # ip access-lista ampliada 101 Router (config-ext-nacl) # 5 tcp negar cualquier eq telnet cualquier Router (config-ext-NaCl) la salida # Router (config) # exit Router #
En la lista de acceso comando de salida se presenta, la secuencia nmero 5 ligamento cruzado anterior se aade como la primera entrada a la lista de acceso 101.
Router # show access-list Extendido la lista de acceso IP 101 5 tcp negar cualquier eq telnet cualquier 10 permiten tcp any any 20 udp cualquier permiso de cualquier 30 icmp cualquier permiso de cualquier Router #
Ejemplo 2:
internetrouter # show access-lists Extendido la lista de acceso IP 101 10 permiten tcp any any Permiso de 15 tcp cualquier host 172.162.2.9 20 que el sistema que udp 172.16.1.21 cualquier 30 que el sistema que udp 172.16.1.22 cualquier internetrouter Introduzca los internetrouter internetrouter internetrouter # configure terminal comandos de configuracin, uno por lnea. Terminar con CTRL / Z. (config) # ip access-lista ampliada 101 (config-ext-nacl) # 18 por tcp cualquier host 172.162.2.11 (config-ext-nacl) # ^ Z
internetrouter # show access-lists Extendido la lista de acceso IP 101 10 permiten tcp any any Permiso de 15 tcp cualquier host 172.162.2.9 Permiso de 18 tcp cualquier host 172.162.2.11 20 que el sistema que udp 172.16.1.21 cualquier 30 que el sistema que udp 172.16.1.22 cualquier internetrouter #
Del mismo modo, puede configurar la lista de acceso estndar en esta forma:
internetrouter (config) # access-list 2 permiso de 172.16.1.2 internetrouter (config) # access-list 2 permiso de 172.16.1.10 internetrouter (config) # access-list 2 permiso de 172.16.1.11 internetrouter # show access-lists Norma lista de acceso IP 2 30 permiten 172.16.1.11 20 permiten 172.16.1.10 10 permiten a 172.16.1.2 internetrouter (config) # ip access-list estndar de 2 internetrouter (config-std-NaCl) # 25 por 172.16.1.7 internetrouter (config-std-NaCl) # 15 por 172.16.1.16 internetrouter # show access-lists Norma lista de acceso IP 2 15 permiten 172.16.1.16 30 permiten 172.16.1.11 20 permiten 172.16.1.10 25 permiten 172.16.1.7 10 permiten a 172.16.1.2
La mayor diferencia en una lista de acceso estndar es que el IOS de Cisco agrega una entrada en orden descendente de la direccin IP, no en un nmero de secuencia.
Este ejemplo muestra las entradas diferentes, por ejemplo, cmo permitir una direccin IP (192.168.100.0) o de las redes (10.10.10.0).
internetrouter # show access-lists Norma lista de acceso IP 19 10 permiten a 192.168.100.0 15 permiten 10.10.10.0, los bits de comodn 0.0.0.255 19 permiso de 201.101.110.0, los bits de comodn 0.0.0.255 25 negar cualquier
Agregue la entrada en la lista de acceso 2 con el fin de permitir que la direccin IP 172.22.1.1:
Esta entrada se aade en la parte superior de la lista a fin de dar prioridad a la direccin IP determinada en lugar de la red.
internetrouter # show access-lists Norma lista de acceso IP 19 10 permiten a 192.168.100.0 18 permiten 172.22.1.1 15 permiten 10.10.10.0, los bits de comodn 0.0.0.255 19 permiso de 201.101.110.0, los bits de comodn 0.0.0.255 25 negar cualquier
Nota: Las ACL anteriores no son compatibles con Dispositivo de seguridad tales como el ASA PIX Firewall /.
Directrices para cambiar el acceso de las listas cuando se aplican a los mapas de cifrado
Si se agrega a una configuracin existente lista de acceso, no hay necesidad de quitar el mapa de cifrado. Si se aade a ellos directamente, sin la eliminacin de la hoja de cifrado, a continuacin, que es compatible y aceptable. Si necesita modificar o eliminar tus lista de acceso desde un sistema de acceso-listas, se debe quitar el mapa de cifrado de la interfaz. Despus de quitar mapa cifrado, realizar todos los cambios a la lista de acceso y vuelva a agregar el mapa de cifrado. Si realiza cambios, tales como la supresin de la lista de acceso sin la eliminacin del mapa de cifrado, esto no es compatible y puede provocar un comportamiento impredecible.
Solucin de problemas
Cmo puedo eliminar una ACL de una interfaz?
Entra en el modo de configuracin y no entres en la parte delantera del grupo de comando del acceso, como se muestra en este ejemplo, para eliminar una ACL de una interfaz.
La palabra clave de registro al final del individuo de las entradas ACL muestra el nmero de ligamento cruzado anterior y si el paquete se ha permitido o denegado, adems de informacin especfica de puerto.
Nota: La palabra clave de registro de entrada existe en el software Cisco IOS versin 11.2 y posterior, y en algunos de Cisco IOS Software Release 11.1 de software basado creado especficamente para el mercado de proveedores de servicio. Mayores de software no es compatible con esta palabra clave. El uso de esta palabra clave incluye la interfaz de entrada y la fuente de direcciones MAC en su caso.
Nota: Tenga mucho cuidado cuando se depura un sistema con mucho trfico. Utilice una ACL con el fin de depurar de trfico especficos. Sin embargo, estar seguro de el proceso y el flujo de trfico.
1.
Utilice la lista de comandos de acceso con el fin de capturar los datos deseados.
En este ejemplo, la captura de datos se establece para la direccin de destino de 10.2.6.6 o la direccin de origen de 10.2.6.6.
lista de acceso IP 101 permite cualquier host 10.2.6.6 access-list 101 que el sistema que IP 10.2.6.6 cualquier
2. Deshabilitar el cambio rpido en las interfaces involucradas. Slo ver el primer paquete si el cambio rpido no est deshabilitado.
3. 4.
5. 6. 7. 8.
Utilice el comando terminal del monitor en modo de permitir que el fin de mostrar resultados de la depuracin de comandos y mensajes de error del sistema para la terminal actual y la sesin. Use el paquete debug ip ip 101 o 101 paquetes de depuracin de comandos de detalle con el fin de iniciar el proceso de depuracin. Ejecute el comando no debug all en activar el modo y el comando de configuracin de la interfaz con el fin de detener el proceso de depuracin. Reinicie el almacenamiento en cach.
9. 10.
Tipos de ACL IP
Diagrama de red
ACL estndar
ACL estndar son el tipo ms antiguo de la ACL. Su origen se remonta a tan pronto como Cisco IOS Software Release 8.3. ACL estndar de control de trfico por la comparacin de la direccin de origen de los paquetes IP a las direcciones configuradas en la ACL.
-Lista de acceso de la lista de acceso, nmero de permiso de {| deny} {Host | fuente de origen-comodn | any}
En todas las versiones de software, la lista de acceso, nmero puede ser cualquier cosa, desde 1 a 99. En Cisco IOS Software Release 12.0.1, ACL estndar de comenzar a utilizar los nmeros adicionales (1300 a 1999). Estos nmeros adicionales se denominan ampliado IP ACL. Cisco IOS Software Release 11.2 aadido la posibilidad de utilizar el nombre de la lista de ACL estndar.
Una fuente /-comodn ajuste fuente de 0.0.0.0/255.255.255.255 se puede especificar como cualquier otro. El comodn se puede omitir si se trata de todos los ceros. Por lo tanto, el anfitrin 10.1.1.2 0.0.0.0 es el mismo host 10.1.1.2.
Despus de la ACL se define, se debe aplicar a la interfaz (entrante o saliente). En las versiones de software temprano, era el valor predeterminado a cabo cuando una palabra clave a cabo o no se ha especificado. La direccin se debe especificar en versiones de software ms tarde.
interfaz Ethernet0 / 0 la direccin IP 10.1.1.1 255.255.255.0 ip access-group 1 access-list 1 permit 10.1.1.0 0.0.0.255
Extendido ACL
Extendido ACL se introdujeron en Cisco IOS Software Release 8.3. ACL extendidas de control del trfico por la comparacin de las direcciones de origen y destino de los paquetes IP a las direcciones configuradas en la ACL.
Este es el formato de la sintaxis de comandos de ACL extendida. Las lneas estn envueltos aqu para espaciar consideraciones.
IP
access-list lista de acceso de nmeros [Dinmica dinmica de nombre de tiempo de espera de minutos []] {Negar | permiso} fuente de protocolo de la fuente-comodn destino comodn destino [prioridad prioridad] [TOS] [registro | registro de entrada] [intervalo de tiempo de tiempo-nombre de rango]
ICMP
access-list lista de acceso de nmeros [Dinmica dinmica de nombre de tiempo de espera de minutos []] {Negar | permiso} fuente icmp fuente comodn destino destino comodn [[Tipo icmp icmp-code] |-mensaje icmp]
[Prioridad prioridad] [TOS] [registro | registro de entrada] [Intervalo de tiempo de tiempo-nombre de rango]
TCP
access-list lista de acceso de nmeros [Dinmica dinmica de nombre de tiempo de espera de minutos []] {Negar | permiso} tcp fuente de origen-comodn [operador [puerto]] destino destino comodn [operador [puerto]] [Establecido] [prioridad prioridad] [TOS] [Registro | registro de entrada] [intervalo de tiempo de tiempo-nombre de rango]
UDP
access-list lista de acceso de nmeros [Dinmica dinmica de nombre de tiempo de espera de minutos []] {Negar | permiso} udp fuente de origen-comodn [operador [puerto]] destino destino comodn [operador [puerto]] [Prioridad prioridad] [TOS] [registro | registro de entrada] [Intervalo de tiempo de tiempo-nombre de rango]
En todas las versiones de software, la lista de acceso, nmero puede ser 101 a 199. En Cisco IOS Software Release 12.0.1, extendida ACL comenzar a utilizar los nmeros adicionales (2000 a 2699). Estos nmeros adicionales se denominan ampliado IP ACL. Cisco IOS Software Release 11.2 aadido la posibilidad de utilizar el nombre de la lista de ACL extendida.
El valor de 0.0.0.0/255.255.255.255 se puede especificar como cualquier otro. Despus de la ACL se define, se debe aplicar a la interfaz (entrante o saliente). En las versiones de software temprano, era el valor predeterminado a cabo cuando una palabra clave a cabo o no se ha especificado. La direccin se debe especificar en versiones de software ms tarde.
interfaz Ethernet0 / 1 direccin IP 172.16.1.2 255.255.255.0 ip access-group 101 en access-list 101 negar cualquier icmp 10.1.1.0 0.0.0.255 eco lista de acceso IP 101 permite cualquier 10.1.1.0 0.0.0.255
Nota: Algunas aplicaciones, tales como gestin de redes requieren pings para una funcin keepalive. Si este es el caso, es posible que desee limitar el bloqueo de ping entrante o ser ms granular permite / IP negado.
Bloqueo y configuracin de las teclas se inicia con la aplicacin de una ACL extendida para bloquear el trfico a travs del router. Los usuarios que deseen recorrer el router son bloqueados por la ACL extendida hasta que telnet al router y se autentican. La conexin Telnet a continuacin, gotas y una ACL de una sola entrada dinmica se agrega a la ACL extendida que existe. Esto permite el trfico para un perodo de tiempo determinado; tiempos de inactividad y absoluta es posible.
Este es el formato de la sintaxis de comandos de bloqueo y la configuracin de clave con autenticacin local.
nombre de usuario nombre de usuario Contrasea interfaz <interfaz> ip access-group {nmero | nombre} {in | out}
El ligamento cruzado anterior de una sola entrada de este comando se agrega dinmicamente a la ACL que existe despus de la autenticacin.
lista de acceso access-list-nmero dinmico nombre {permiso | deny} [protocolo] {Fuente de origen-comodn | any} {destino destino comodn | any} [Prioridad prioridad] [TOS] [establecido] [registro | registro de entrada] [Operador de destino, puerto | puerto de destino] lnea vty line_range inicio de sesin local
Este es un ejemplo bsico de cerradura y llave.
! --- Diez (minutos) es el tiempo de inactividad. prueba de nombre de usuario autocomando acceso a habilitar tiempo de espera de acogida 10 interfaz Ethernet0 / 0 la direccin IP 10.1.1.1 255.255.255.0 ip access-group 101 en access-list 101 permite tcp cualquier host 10.1.1.1 eq telnet ! --- 15 (minutos) es el tiempo de espera absoluta. access-list 101 testlist tiempo de espera de 15 ip dinmica permiso 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 lnea vty 0 4 inicio de sesin local
Despus de que el usuario en 10.1.1.2 establece una conexin Telnet con 10.1.1.1, la ACL se aplica dinmica. La conexin se dej caer, y el usuario puede ir a la red 172.16.1.x.
{Permiso | deny} tcp fuente de origen-comodn [operador [puerto]] destino destino comodn [operador [puerto]] [establecido] [Prioridad prioridad] [TOS] [registro] [intervalo de tiempo de tiempo-nombre de rango]
Este es un ejemplo de la utilizacin de una ACL nombrada con el fin de bloquear todo el trfico excepto la conexin Telnet desde el host 10.1.1.2 para acoger 172.16.1.1.
interfaz Ethernet0 / 0 la direccin IP 10.1.1.1 255.255.255.0 ip access-group en in_to_out ip de acceso lista ampliada in_to_out tcp acogida permiso 10.1.1.2 host 172.16.1.1 eq telnet
Reflexivo ACL
Reflexivo ACL se introdujeron en Cisco IOS Software Release 11.3. Reflexivo ACL permitir que los paquetes IP que se filtra sobre la base de informacin de la sesin de capa superior. Se utilizan generalmente para permitir el trfico saliente y para limitar el trfico de entrada en respuesta a las sesiones que se originan dentro del router.
ACL reflexiva slo puede definirse con el nombre IP ACL extendida. No se puede definir con nmeros o estndar llamado ACL IP, o con otro protocolo ACL. Reflexivo ACL se pueden utilizar en combinacin con otros ACL extendida estndar y esttica.
interfaz ip access-group {nmero | nombre} {in | out} ip de acceso lista ampliada nombre permiso de cualquier protocolo cualquier reflejar] [nombre timeoutseconds ip de acceso lista ampliada nombre evaluar nombre
Este es un ejemplo del permiso de trfico ICMP saliente y entrante, mientras que slo permite el trfico TCP que ha puesto en marcha por el trfico en el interior, otros se negaron.
ip-reflexiva lista de espera 120 interfaz Ethernet0 / 1 direccin IP 172.16.1.2 255.255.255.0 ip-grupo de acceso inboundfilters en
ip-grupo de acceso a outboundfilters ip de acceso lista ampliada inboundfilters permiso de icmp 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255 evaluar tcptraffic ! --- Esto se relaciona la parte reflexiva de la ACL outboundfilters ACL, --- Llamado tcptraffic!, A la inboundfilters ACL. ip de acceso lista ampliada outboundfilters permiso de icmp 10.1.1.0 172.16.1.0 0.0.0.255 0.0.0.255 permiso de tcp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 reflejan tcptraffic
! --- Define un rango de tiempo de llamada. tiempo de intervalo de tiempo de alcance de nombre ! --- Define los tiempos peridicos. das peridico de la semana-hh: mm [das de la semana-] hh: mm ! --- O, define los tiempos absolutos. Absoluta] [hora de inicio fecha [finales de fecha y hora] ! --- El rango de tiempo utilizado en la ACL real. ip access-list nombre | tiempo <extended_definition> alcance name_of_time nmero alcance
En este ejemplo, una conexin Telnet se permite desde el interior a la red fuera de los lunes, mircoles y viernes durante horas de oficina:
interfaz Ethernet0 / 0 la direccin IP 10.1.1.1 255.255.255.0 ip access-group 101 en access-list 101 tcp permiso 10.1.1.0 172.16.1.0 0.0.0.255 0.0.0.255 telnet eq tiempo alcance EVERYOTHERDAY rangos de tiempo EVERYOTHERDAY Mircoles peridico de lunes a viernes 08:00-17:00
interfaz Ethernet0 / 0 la direccin IP 10.1.1.1 255.255.255.0 ip access-group 101 en access-list 101 permit_telnet comentario access-list 101 host TCP permiso 10.1.1.2 host 172.16.1.1 eq telnet
ip inspeccionar myfw nombre de tiempo de espera FTP 3600 ip inspeccionar myfw nombre de tiempo de espera http 3600 ip inspeccionar myfw nombre de tiempo de espera TCP 3600 ip inspeccionar myfw nombre de tiempo de espera udp 3600 ip inspeccionar myfw nombre de tiempo de espera tftp 3600 interfaz Ethernet0 / 1 direccin IP 172.16.1.2 255.255.255.0 ip access-group 111 en ip inspeccionar myfw a cabo access-list 111 negar cualquier icmp 10.1.1.0 0.0.0.255 eco access-list 111 permite icmp cualquier 10.1.1.0 0.0.0.255
Autenticacin Proxy
proxy de autenticacin se introdujo en Cisco IOS Software Release 12.0.5.T. Esto requiere que usted tiene la caracterstica de Cisco IOS Firewall de conjunto. proxy de autenticacin se utiliza para autenticar a los usuarios entrante o saliente, o ambas cosas. Los usuarios que son normalmente bloqueados por un ligamento cruzado anterior se puede abrir un explorador para navegar por el servidor de seguridad y autenticacin en un servidor TACACS + o RADIUS. El servidor pasa las entradas ACL adicionales hasta el router con el fin de permitir a los usuarios a travs despus de la autenticacin.
proxy de autenticacin es similar a la llave de acceso (ACL dinmicas). Estas son las diferencias:
Llave se activa mediante una conexin telnet al router. proxy de autenticacin est activada a travs de HTTP a travs del router. proxy de autenticacin debe utilizar un servidor externo. proxy de autenticacin puede controlar la adicin de mltiples listas dinmicas. Cierre con llave slo se puede aadir. proxy de autenticacin tiene un tiempo de espera absoluta, pero no tiempo de inactividad. Llave tiene ambas cosas.
Consulte el Cisco Secure Software Integrado de configuracin libro de cocina para ver ejemplos de proxy de autenticacin.
Turbo ACL
Turbo ACL se introdujeron en Cisco IOS Software Release 12.1.5.T y se encuentran slo en el 7200, 7500, y otras plataformas de gama alta. El turbo funcin ACL est diseada para procesar ACL de manera ms eficiente a fin de mejorar el rendimiento del router.
Utilice la lista de acceso compilado de comandos para ACL turbo. Este es un ejemplo de una ACL compilado.
access-list 101 host TCP permiso 10.1.1.2 host 172.16.1.1 eq telnet access-list 101 host TCP permiso 10.1.1.2 host 172.16.1.1 eq ftp access-list 101 de acogida udp permiso 10.1.1.2 host 172.16.1.1 eq syslog access-list 101 de acogida udp permiso 10.1.1.2 host 172.16.1.1 eq tftp access-list 101 de acogida udp permiso 10.1.1.2 host 172.16.1.1 eq ntp
Despus de la ACL estndar o extendida se define, utilice el comando de configuracin global con el fin de compilar.
! --- Indica al router para compilar. acceso a la lista compilada Interfaz Ethernet0 / 1 direccin IP 172.16.1.2 255.255.255.0 ! --- Se aplica a la interfaz. ip access-group 101 en
El acceso se presenta lista de comandos muestra las estadsticas compiladas sobre la ACL.
La sintaxis de distribucin basado en el tiempo ACL es la misma que la ACL basadas en el tiempo con la adicin de los comandos en lo que respecta a la situacin de la Comisin Interamericana de procesador de comunicacin (IPC), los mensajes entre el procesador y la tarjeta de ruta de la lnea.
depuracin alcance ipc tiempo mostrar el alcance ipc tiempo rangos de tiempo ipc clara
Reciba ACL
Reciba ACL se utilizan con el fin de aumentar la seguridad en los routers Cisco 12000 por la proteccin del procesador ruta gigabit (GRP) del router de trfico innecesario y potencialmente nefasto. Reciba ACL se agrega como una dispensa especial para el acelerador de mantenimiento de Cisco IOS Software Release 12.0.21S2 e integrado en 12.0 (22) S. Consulte la GSR: Recibir las listas de control de acceso para ms informacin.
Trnsito de ACL
ACL de trnsito se utilizan para aumentar la seguridad de la red ya que permite de forma explcita slo el trfico necesarios en la red o redes. Consulte las listas de control de trnsito de Filtros en su ventaja para obtener ms informacin.