實戰(zhàn)技巧:如何恰當應用ACL訪問控制列表

字號:

單向屏蔽ICMP ECHO報文
    1.設置如下的訪問控制列表
    access-list 100 permit icmp any 本地路由器廣域地址 echo
    access-list 100 deny icmp any any echo
    access-list 100 permit ip any any
    2.在路由器相應端口上應用
    interface {外部網絡接口} {網絡接口號}
    ip access-group 100 in
    列表第一行,是允許外網主機可以PING通我方路由器廣域口地址,便于外網進行網絡測試。列表第二行,系禁止外網主機發(fā)起的任何ICMP ECHO 報文到達我方網絡主機,杜絕了外網主機發(fā)起的“端口掃描器Nmap ping操作”。列表第三行允許所有的IP協(xié)議數據包通過,是保證不影響其他各種應用。端口應用上設置在入方向進行應用,保證了我方網絡主機可PING通外網任意主機,便于我方進行網絡連通性測試。
    防止病毒傳播和黑客攻擊
    針對微軟操作系統(tǒng)的漏洞,一些病毒程序和漏洞掃描軟件通過UDP端口135、137、138、1434和TCP端口135、137、139、445、4444、5554、9995、9996等進行病毒傳播和攻擊,可如下設置訪問控制列表阻止病毒傳播和黑客攻擊。
    1.設置如下的訪問控制列表
    access-list 101 deny udp any any eq 135
    access-list 101 deny udp any any eq 137
    access-list 101 deny udp any any eq 138
    access-list 101 deny udp any any eq 1434
    access-list 101 deny tcp any any eq 135
    access-list 101 deny tcp any any eq 137
    access-list 101 deny tcp any any eq 139
    access-list 101 deny tcp any any eq 445
    access-list 101 deny tcp any any eq 4444
    access-list 101 deny tcp any any eq 5554
    access-list 101 deny tcp any any eq 9995
    access-list 101 deny tcp any any eq 9996
    access-list 101 permit ip any any
    2.在路由器相應端口上應用
    interface {外部網絡接口} {網絡接口號}
    ip access-group 101 in
    說明:在同一端口上應用訪問控制列表的IN語句或OUT語句只能有一條,如需將兩組訪問列表應用到同一端口上的同一方向,需將兩組訪問控制列表進行合并處理,方能應用。
    利用訪問控制列表實現QoS
    針對一些重要業(yè)務和特殊應用,使用時要求保證帶寬,不用時又能將帶寬讓出來給其他應用,可用如下設置訪問控制列表和數據包染色技術來實現。
    1.設置如下的訪問控制列表
    access-list 102 permit ip 網段1IP 子網掩碼 host 服務器1IP
    access-list 103 permit ip 網段2IP 子網掩碼 host 服務器2IP
    access-list 104 permit ip 網段3IP 子網掩碼 host 服務器3IP
    2.數據包染色標記
    class-map match-all Critical-1
    match ip dscp 34
    class-map match-all Critical-2
    match ip dscp 26
    class-map match-all Critical-3
    match ip dscp 35
    3.數據包染色分類
    class-map match-any Critical-1
    match access-group 102 /*匹配訪問控制列表102 */
    class-map match-any Critical-2
    match access-group 103 /*匹配訪問控制列表103 */
    class-map match-any Critical-3
    match access-group 104 /*匹配訪問控制列表104 */
    4.策略定義
    policy-map AA
    class Critical-1
    bandwidth percent 10 /*定義保障帶寬為基本帶寬的10% */
    random-detect dscp-based /*定義路由器帶寬擁塞時的數據包丟棄策略 */
    random-detect dscp 34 24 40 10
    /* 定義發(fā)生擁塞時DSCP=34數據包的最小丟包率/丟包率/丟棄概率分別是:24/40/10 */
    class Critical-2
    bandwidth percent 5
    random-detect dscp-based
    random-detect dscp 26 24 40 10
    classs Critical-3
    bandwidth percent 2
    random-detect dscp-based
    random-detect dscp 35 24 40 10
    5.在路由器相應端口上進行策略應用
    interface Serial0/0
    service-policy output AA
    如上設置后,即實現了在端口Serial0/0上符合訪問控制列表102的業(yè)務保障帶寬是基本帶寬的10%,符合訪問控制列表103的業(yè)務保障帶寬為基本帶寬的5%,符合訪問控制列表104的業(yè)務保障帶寬為基本帶寬的2%。