深入剖析Cisco交换机访问列表（Cisco交换机访问控制策略）

CISCO路由器中的-list（访问列表）有两种基本类型，即标准访问列表和扩展访问列表。 两者的主要区别在于，前者根据目的地址过滤数据包，而后者根据目的地址过滤数据包。 针对源地址和网络协议及其端口的数据包过滤。

(1) 标准IP访问列表的格式

---- 标准IP访问列表的格式如下：

---- -list[列表][|拒绝][ ]

---- [][掩码][日志]

----下面对标准IP访问列表的关键字和参数进行说明。 首先，两个关键字“list”之间必须有一个连字符“-”； 其次，“list”的范围在0到99之间，这表明-list语句是普通的标准IP访问列表语句。 因为对于 Cisco IOS，0 到 99 之间的数字表示访问列表与 IP 协议相关，因此 list 参数具有双重功能： (1) 定义访问列表的操作协议； (2)通知IOS在处理-list语句时，将相同的列表参数视为相同的实体。 正如本文后面所讨论的，扩展 IP 访问列表也具有列表（数字范围从 100 到 199）的特征。 因此，在使用访问列表时，需要添加以下重要规则： 当需要创建访问列表时，需要选择适当的列表参数。

(2)允许/拒绝数据包通过

---- 在标准IP访问列表中，可以使用该语句允许与访问列表项匹配的数据包通过该接口，而使用deny语句可以过滤掉该接口上与访问列表项匹配的数据包。 代表主机的IP地址。 可以使用不同掩码的组合来指定主机。

---- 为了更好地理解IP地址和通配符掩码的作用，这里举一个例子。 假设您的公司有一个分支机构，其 C 类 IP 地址为 192.46.28.0。 在您的公司中，每个分支机构都需要通过总部的路由器进行访问。 为此，您可以使用通配符掩码 0.0.0.255。 由于C类IP地址中的最后一组数字代表主机，因此将它们全部设置为1允许总部访问网络上的每台主机。 因此，标准 IP 访问列表中的 -list 语句如下：

---- -列表 1 192.46.28.0 0.0.0.255

---- 注意，通配符掩码是子网掩码的补充。 因此，如果您是网络专家，您可以首先确定子网掩码，然后将其转换为适用的通配符掩码。 在这里，您可以为访问列表添加另一条规则 5。

(3) 指定地址

---- 如果要指定特定主机，可以添加通配符掩码0.0.0.0。 例如，要允许来自IP地址192.46.27.7的数据包通过，可以使用以下语句：

---- -列表 1 192.46.27.7 0.0.0.0

---- 在Cisco的访问列表中，除了使用上面的通配符掩码0.0.0.0来指定特定主机外，用户还可以使用“host”关键字。 例如，要允许来自 IP 地址 192.46.27.7 的数据包通过，可以使用以下语句：

---- -列表 1 主机 192.46.27.7

---- 除了使用关键字“host”表示通配符掩码0.0.0.0外，关键字“any”也可以作为源地址的缩写，表示通配符掩码0.0.0.0 255.255.255.255。 例如，如果要拒绝来自 IP 地址为 192.46.27.8 的站点的数据包，可以将以下语句添加到访问列表中：

---- -list 1 拒绝主机 192.46.27.8

----列出 1 个任意项

---- 注意上面两条访问列表语句的顺序。 之一条语句过滤掉源地址192.46.27.8的报文，第二条语句允许任意源地址的报文通过访问列表作用的接口。 如果更改上述语句的顺序，访问列表将无法阻止来自源地址 192.46.27.8 的数据包通过该接口。 因为访问列表是从上到下执行语句的。 因此，如果语句 1 是：

----列出 1 个任意项

----，则来自任何源地址的数据包都将通过该接口。

（四）拒绝之谜

---- 默认情况下，除非明确允许通过，否则访问列表总是阻止或拒绝所有数据包的通过，也就是说，实际上在每个访问列表的末尾都有一个隐式的“拒绝任何”语句。 假设我们使用之前创建的标准IP访问列表，从路由器的角度来看，这条语句的实际内容如下：

---- -list 1 拒绝主机 192.46.27.8

----列出 1 个任意项

----list 1 拒绝任何

---- 在上面的示例中，由于访问列表中的第二条语句显式允许任何数据包通过，因此隐式拒绝语句不起作用，但情况并非总是如此。 例如，如果希望源地址192.46.27.8和192.46.27.12的数据包通过路由器的接口，同时阻止所有其他数据包通过，则访问列表的代码如下：

---- -列表 1 主机 192.46.27.8

---- -列表 1 主机 192.46.27.12

---- 注意，因为所有访问列表都会自动在末尾包含此语句。

---- 顺便讨论一下标准IP访问列表的参数“log”，它起到日志的作用。 一旦将访问列表应用于接口，包含关键字“log”的语句将记录那些满足访问列表中“”和“拒绝”条件的数据包。 通过与访问列表语句匹配的接口的之一个数据包将立即生成一条日志消息。 后续数据包要么记录在控制台上，要么记录在内存中，具体取决于它们的记录方式。 可以通过 Cisco IOS 控制台命令选择日志记录方法。

扩展IP访问列表

----扩展的IP访问列表为数据包的过滤增加了很多功能和灵活性。 除了根据源地址和目标地址进行过滤之外，您还可以根据协议、源端口和目标端口进行过滤，甚至可以使用各种选项进行过滤。 这些选项允许读取和比较数据包中某些字段的信息。 扩展IP访问列表的一般格式如下：

---- -list[列表][|拒绝]

----[| 关键词]

----[-掩码][端口]

- - [-面具]

----[端口][日志]

---- 与标准IP访问列表类似，“list”标记访问列表的类型。 数字 100 到 199 用于确定 100 个唯一的扩展 IP 访问列表。 》》确定需要过滤的协议，包括IP、TCP、UDP、ICMP等。

---- 如果我们回顾一下数据包是如何形成的，我们就会理解为什么协议会影响数据包过滤，尽管有时这可能会产生副作用。 图 2 显示了数据包的形成。 请注意，应用程序数据通常在传输层添加前缀，可以是TCP协议或UDP协议头，从而添加指示应用程序的端口标志。 数据流入协议栈后，网络层添加包含地址信息的IP协议头。

由于IP头携带了TCP、UDP、路由协议和ICMP协议，因此在访问列表语句中IP协议的级别比其他协议更重要。但是，在某些应用中你可能需要改变这种情况，你需要基于某些非IP协议的过滤器

---- 为了更好的解释，这里给出两种扩展IP访问列表的说法。 假设我们要阻止 TCP 协议流量访问 IP 地址为 192.78.46.8 的服务器，同时允许其他协议的流量访问该服务器。 那么下面的访问列表语句是否满足这个要求呢？

---- -列出 101 主机 192.78.46.8

---- -list 101 拒绝主机 192.78.46.12

- - 答案是不。 之一条语句允许所有 IP 流量（包括 TCP 流量）通过指定的主机地址。 这样，第二条语句就不起作用了。