CCNA：IP访问控制列表(ACL)知识总结

CCNA：IP访问控制列表(ACL)知识总结访问控制列表建立访问控制列表，可对数据流量进行简单的控制，以及通过这种控制达到一不定程度的安全性，允许或拒绝数据包通过路由器，从而达到对数据包进行过滤的目的。另外，也可以在VTY线路接口上使用访问控制列表，来保证telnet的连接的安全性。因为接口的数据流是有进口和出口两个方向的，所以在接口上使用访问控制列表也有进和出两个方向。进方向的工作流程进入接口的数据包进方向的访问控制列表判断。是否匹配不匹配，丢弃，匹配，进入路由表判断是否有相应的路由条目无，丢弃，有从相应接口转发出去。出口方向的工作流程进入接口数据包进入路由表，判断是否是相应的路由条目无，丢弃，有，数据包往相应接口判断出口是否有访问控制列表无，数据被转发，有，判断条件是否匹配不匹配，丢弃，匹配，转发。比较看，尽可能使用进方向的访问控制列表，但是使用哪个方向的应根据实际情况来定。类型标准访问控制列表所依据的条件的判断条件是数据包的源IP地址，只能过滤某个网络或主机的数据包，功能有限，但方便使用。命令格式先在全局模式下创建访问控制列表：Router(config)#access-list access-list-number permit or deny soure soure-wildcard log注：access-list-number 是访问控制列表号，标准的访问控制列表号为099;permit是语句匹配时允许通过，deny是语句不匹配时，拒绝通过。soure是源IP地 址，soure-wildcard是通配符，log是可选项，生成有关分组匹配情况的日志消息，发到控制台补：当表示某一特定主机时，soure soure-wildcard这项例如：192.168.1.1 0.0.0.255 可表示为host 192.168.1.1创建了访问控制列表后，在接口上应用Router(config-if)#ip access-group access-list-number in or out扩展访问控制列表扩展访问控制列表所依据的判断条件是目标、源ip地址、协议及数据所要访问的端口。由此可得出，在判断条件上，扩展访问控制列表具有比标准的访问控制列表更加灵活的优势，能够完成很多标准访问不能完成的工作命令格式同样在全局模式下创建列表：Router(config)#access-list access-list-number dynamic dynamic-nametimeout mintespermit or denyprotocol soure soure-wildcard destination destination-wildcard precdence precedence tos tos time-range time-range-name命名访问控制列表cisco ios 软件11.2版本中引入了IP命名ACL，其允许在标准和扩展访问控制列表中使用名字代替数字来表示ACL编号创建命名ACL语法格式：router(config)#ip access-list extend or standard namerouter(config-ext-nacl)#permit or deny protocols soure soure-wildcard operatordestination destination-wildcard operatorestablished注：established 是可选项，只针对于tcp 协议还有vty的限制，其ACL的建立与在端口上建立ACL一样，只是应用在vty ACL 到虚拟连接时，用命令access-class 代替命令access-group放置ACL一般原则：尽可能把扩展acl 放置在距离要被拒绝的通信流量近的地方。标准ACL由于不能指定目的地址，所以它们应该尽可能放置在距离目的地最近的地主。CCNP排除路由再分布故障1.RIP再分布问题router ripversion 2redistribute ospf 1 metric 1network x.x.0.0因为RIP有跳数限制。为改正到达16跳时会出现路由无法再分布的问题，需要在再分 布时指派有效的度量标准。其 实现可以使用redistribute 命令中的metric或default-metric命令。使用show ip route查看路由传播情况。2.IGRP/EIGRP的再分布问题复合度量标准：宽带，延迟，可靠性，负载CISCO使用100000000/带宽来得到该代价。router igrp 1redistribute ospf 1 metric 1 10000 255 1 1500network x.x.0.0或者router igrp 1redistribute ospf 1redistribute staticdefault-metric 1 10000 255 1 1500network x.x.0. 0使用show ip route查看路由传播情况。3.OSPF的再分布问题当OSPF再分布时，它成为ASBR.(1)OSPF没有将外部路由装入路由选择表中原因：。 不能通过区域内或区域间路由获知转发地址。 ABR滑产生类型4的汇总LSA(2)ASBR没有通告被再分布的路由原因：。 ASBR的配置中缺少subnets关键字。 distribute-list out命令阻塞了这些路由router ospf 1redistribute rip subnetsnetwork x.x.x.0 0.0.0.255 area 0使用show ip ospf database external IP来查看4.IS-IS再分布问题(1)将静态路由再分布入IS-ISrouter isisredistribute static ip使用show run和show isis database查看(2)将外部静态路由加入为一个LS的IS-IS LSProuter isisredistribute static ip metric-type external5.BGP的再分布问题在AS边界路由器上，外出路由通告影响进入的流量，而进入路由通告则影响外出流量。因此，外出和进入的通告应分 开考虑。(1)BGP发布进eigrp中router eigrp 200redistribute bgp 200 metric 10000 100 255 1 1500 passive-interface s0network x.x.x.0router bgp 200network x.x.x.0neighbor x.x.x.x remote-as 100可以使用 show ip route和PING来检测决对不要在一个面向internet的路由器上使用BGP到IGP的再分布。一个完整的internet路由选 择表由 100000个前缀组成，一个IGP进程将会因处理这么多的路由而阻塞再分布一个完整的internet表乃至大部分的表都会不可避免的引起主网络崩溃。(2)为了更多地控制被通告进入BGP邻居，可以使用静态路由。向BGP邻居通告一条默认路由不会抑制更具体的路由。如果只发送默认路由，路由器必须使用过滤器来抑制所有更具体的路由。router bgp 100network 0.0.0.0neighbor x.x.x.x remote-as 300neighbor x.x.x.x remote-as 200neighbor x.x.x.x remote-as 100neighbor x.x.x.x default-originateneighbor x.x.x.x redistribute-list 1 out (这一句只是BGP路由的一种方法)access-list 1 permit 0.0.0.0access-list 1 deny anCCIE认证引入名誉称号制度引入等级更具效力当我们回到2008年的10月，在众多的CCIE的宣传页面中，我们找到了一篇作者是Terry Slattery的一篇文章，他抱怨了CCIE认证的一些做法并且思考了CCIE认证的新制度。以下摘自于这篇文章的一些片段。作为一名网络工作者，几年前，我了解到，有一些很久前就已经通过CCIE认证的祖父级专家，他们之后没有再采取任何措施去参加通过更多的认证。我首先想到的是，这将极大的削弱该项认证。你如何能够确认某人是一名活跃的CCIE通过者，或者是一名没有花时间去搜集有关信息和对其进行验证的祖父级人物。我非常强烈的认为，我要大胆的抗议这个做法。经过进一步的思考，我有一个建议，可以解决这个困境。当一名高级军官退休之后，他或者她将会保留军衔，但是会加入“退休”标记。为是么CCIE 认证不能同样借鉴这个办法呢?它表明，人可以思考、努力工作、精益求精并且在他们的专业领域内作出不同别人的业绩。这正是军衔所要表达的含义，而CCIE 认证在这一点上做的不好。总有一天，我会退休，我不会介意我的名片上印着类似这样的话：Terry Slattery, CCIE #1026/非活跃这个建议如何能够帮助到CCIE认证呢?它将为想要获得CCIE认证状态的人们提供一个授权，使得他们得到一个好处，同时也能够使未来的雇主更加清楚员工有用的能力和经验。它还能扩展认证的人群覆盖面，包括像从技术领域进入到管理领域的人们。想象一下，一个思科客户团队与一名CCIE/非活跃的经理一起协同工作，他们能够很快速的得到技术细节水平。现在CCIE验证工具可以轻松的告诉我们某人是出于活跃还是非活跃状态，这将有利于雇主轻松的查询某人的地位。你是怎么看这个的?Terry现在看来，Cisco">LearningCisco里的生谋远虑以及前瞻性的研究已经让思科决定推出一项新的计划，与Terry的描述非常相似CCIE Emeritus(CCIE名誉头衔)。我们知道，CCIE在他们的成员数量过多的情况下启用了这项计划，以便人们可以找到进一步提升的阶梯。对与这个证书的需要可以提升自豪感和一些不必要的入职说明。Terry支持这个计划，这能将他们的CCIE认证长期保持在他们的名片以及头衔上。“是的，我是十多年前就是CCIE，我为此感到骄傲。”小贴士：谁将能获得名誉头衔?已经长时间通过了CCIE认证，并且已经脱离了“日常”的技术工作，但是希望保留这个认证服务作为他们的荣誉象征的用户。申请人必须通过CCIE至少10年，并且从事于CCIE相关工作，同时不能是思科以及思科合作伙伴的雇员。这是LeraningCisco中值得掌声表扬的，我非常高兴的去支持这件事情。在CCIE认证等级中，我们需要更多的模仿和导师。