思科访问控制

使用认证来允许IP数据传输
网络管理员常使用访问控制列表（ACL）来禁止数据传输或仅允许指定的数据传输。然而这仅仅是访问控制列表的基本使用方法，其实还有 一些许多管理员并不经常使用的方法。

作为网络管理员，必须熟悉访问控制列表。一般来说，管理员使用ACL来禁止数据传输或仅允许指定的数据传输。（有人将ACL比做防火墙，其 实它仅仅具备防火墙的基本模式。从技术上来说，它是包过滤器。）

基本的ACL用法是流量管理，但ACL还有其它很多不常为众人所知的方法。这里让我们来看看ACL的各种用法。

流量控制
当然，正如上面提到的用法，可以使用ACL来控制流量。需要记住的是"one-per"规则。即每种协议，每个数据传输方向，每个接口只对应一个 ACL。

因此，每个接口对应一种协议的一个方向的数据传输只能有一个ACL。让我们来看看一个常见的ACL的例子。下面的ACL禁止了某种数据传输，但允许其他的IP数据传输。

Router(config)# access-list 100 deny ip host 1.1.1.1 host 2.2.2.2 eq 80
Router(config)# access-list 100 permit ip any any
Router(config)# interface s0/0
Router(config-if)# ip access-group 100 in

该ACL禁止了ICMP数据。在配置中并没有提到ICMP，那么它是如何拒绝ICMP数据的呢？实际上，在ACL中，如果没有指明允许某种数据传输，ACL 将以默认方式拒绝该类数据的传输。

因此，如果希望ICMP数据（如，使用PING命令）也能通过该链路，你还需添加以下命令：

Router(config)# access-list 100 permit icmp any any

使用ACL时，一个非常有用的选项是关键字log。如果希望将通过该链路的所有数据都记录在日志文件中，可以这样使用：

Router(config)# access-list 101 permit ip any any log

这样，路由器将通过该链路的所有IP数据包都记录在日志文件中。

使用TCP会话信息的流量控制
使用自反访问列表，能更透彻的理解TCP会话和进行会话过滤。因此，能够允许数据传输返回原请求主机。

 

根据lock-and-key特性，动态ACL可以允许一些用户telnet到路由器并成功进行认证。这一过程是动态的建立ACL来临时允许一些数据传输通过 路由器。
使用Debug命令控制流量
当在路由器上使用debug ip packet命令，会出现什么情况？千万别这么做。这个命令实际上会引起路由器的崩溃。

然而，如果使用得当，该命令也会相当有帮助。比如说，在进行ACL配置时，使用debug ip packet命令。将能获得更多的信息。

因此，如果只希望了解从主机1.1.1.1到2.2.2.2的使用80端口的数据传输，可以使用ACL和debug ip packet命令。如下所示：

Router(config)# access-list 101 deny ip host 1.1.1.1 host 2.2.2.2 eq 80
Router(config)# exit
Router# debug ip packet detail 101
IP packet debugging is on (detailed) for access list 101
Router#

在本例中，将获得基本的数据包嗅探信息，包括TCP端口号（源/目的），序列号，确认号，窗口，和标志信息。另外，这是针对整个路由器而 不是一个单独的接口。

使用ACL显示路由
一个大型的路由器会产生很长一串的路由信息。通过使用ACL，可以过滤掉一些路由。如下例所示：

Router(config)# access-list 3 permit 10.16.0.0 0.0.255.255
Router(config)# exit

Router# show ip route list 3 D 10.16.100.4/30 [90/47250176] via 10.31.100.1, 03:12:14, Serial0/0
D 10.16.100.0/30 [90/46743296] via 10.31.100.1, 05:33:41, Serial0/0
Router#

过滤路由更新信息
ACL也可以用于过滤路由的更新信息，可以通过使用distribute-list (分布列表) 来完成这一操作。分布列表告诉路由器需要接收或拒绝来自 远端主机的哪些路由。他们通知路由器哪些路由需要发向远端主机，而哪些路由不需要这么做。
对路由器的访问控制
假如，希望明确哪些IP地址或网络能够通过Telnet或Web访问连接上路由器。可以使用ACL来指明这些IP地址或网络，之后使用access-class来 告诉应用程序使用哪一个ACL。下面两个例子分别针对HTTP和Telnet:

Router(config)# access-list 1 permit host 1.1.1.1
Router(config)# ! For HTTP
Router(config)# ip http access-class 1

Router(config)# ! For Telnet
Router(config)# line vty 0 4
Router(config)# access-class 1 in

数据节流
假定希望降低HTTP流量从而在T1链路上仅用128K的带宽，使用速率限制功能能够达到这一要求。然而速率限制是如何知道哪些数据需要节流？ ACL会提供这一信息。列表A提供了一个示例。