CCIE学习指南实验室操作 12 IP访问表

第12章IP 访问表

本章主题

? 细节概述

? 访问表的术语

? 标准I P访问表

? 扩展I P访问表

? 带有E s t a b l i s h e d选项的扩展I P访问表

? 动态I P访问表

? 加密解密（l o c k-a n d-k e y）如何工作

? 可控V T Y访问

? 详细的故障查找示例

12.1 引言

路由器用访问表管理进入和离开一个特定接口的数据流。下面列出了访问表可以用的一些方法：

1) 拒绝或允许流入（或流出）的数据流通过特定的接口。

2) 为D D R应用定义有趣的数据流。

3) 过滤路由更新的内容。

4) 控制虚拟终端线的访问。

5) 提供流量控制。

本章说明了如何用静态和动态访问表控制报文流过路由器。

12.2 IP访问表技术概述

访问表，或访问控制表，提供了基本的数据流过滤能力。它可以用来控制进入或离开一网络的访问，也可以在路由器的输入或输出端口过滤报文。

基于前面定义的标准，访问表通过用路由器决定转发还是丢弃报文来过滤网络的数据流。这个标准由访问表定义，返回来又应用于接口。

依据访问表的定义，匹配标准可能很简单（标准访问表），也可能很复杂（扩展访问表）。访问表提供了检测流入或流出路由器端口的报文的一种方法，也使路由器通过一定的标准控制那些报文。

访问表中的术语

在C i s c o路由器上处理访问表，必须理解所用到的一些术语。

1) 通配符屏蔽字：通配符屏蔽字规定了当一个I P地址与其他的I P地址进行比较时，该I P 地址中哪些位应该被忽略。

通配符屏蔽字中的“1”表示忽略I P 地址中对应的位，而“0”则表示该位必须保留。注意对一标准访问表来说，如果忽略了某入口的通配符屏蔽字，0.0.0.0将被认为是缺省的屏蔽字。

例如：下面的访问表（访问表1）指明了数据流被允许通过的顺序，前3个八位字节组必

须匹配（1 50

.1.1）。这个访问表允许主机号为1 ~2

55的主机连在网络1 50.1.1.0上。

2) Inbound 和o u t b o u n d ：当在一接口应用访问表时，用户指明访问表是应用于流入数据还是流出数据（或两方向都有）。缺省的设置是应用于流出数据。

数据流的流向同路由器的接口有关。例如，在图1 2-1中。

图12-1 访问表术语

路由器A 想拒绝所有从主机1 50.1.1.2到主机P C A （1 52.1.1.2）的数据流。那么在路由器A 上有两个位置可应用访问表。一个接入( i n b o u n d )访问表可以设置在串行接口，或者一个接出(o u t b o u n d )访问表设置在以太网接口。最优选择是将访问表应用于离那些被拒绝的数据流最近的地方。

注意接出访问表应用于满足下面条件的报文（p a c k e t ）：已做出了路由决定，并且该报文向适当的接口路由。此时，报文与访问表相对应，报文可能被转发或被丢弃。经过路由器路由一个报文是没用的，该报文只会在输出端口被丢弃。一个好的设计是在那些离将被拒绝的数据流最近的接口上应用访问表。

12.3 本章所讨论的命令输入访问表输出访问表

网络A 网络150.1.1.0

回送151.1.1.1

路由器B

路由器A

下载

命令的定义

? a c c e s s-c l a s s：a c c e s s-c l a s s命令用来限制在C i s c o路由器上特殊的一个V T Y线与访问表指定的一个地址之间的进入和离开的V T Y连接。这个线配置命令把指定的访问表[ 1-99]应用到一个V T Y线。用关键词“i n”限制进入的连接，用关键词“o u t”限制接出的连接。

? a c c e s s-e n a b l e：基于前面定义的标准，这条可执行命令用来在动态访问表中创建一临时的访问表入口项。主机关键词告知I O S只允许访问那些产生t e l n e t会话的特定主机。计时满关键词指定一空闲的计时期限。如果在这段时间内访问表入口项没被使用，则该访问表入口项被删除。如果访问表入口项被删除，用户再想访问网络就必须重新获得认证。

? a c c e s s-l i s t[1-99]：序号从1 ~99的访问表定义为标准访问表。标准访问表只是基于源I P地址来允许或拒绝报文。源I P地址是指发送报文的主机或网络的地址。源I P地址后附有一个通配符屏蔽码，用来指定哪些位应被忽略，哪些应该匹配。

通配符屏蔽码在本章的后面有更详细的定义。本命令是一条全局配置命令。

? a c c e s s-l i s t[100-199]：带有号码1 00~199的访问表定义为扩展访问表。扩展访问表可以设置为静态的或动态的。静态的为缺省设置，也可以用关键词“d y n a m i c”设置为动态的。

本章后面将会有对两者更详细的描述。扩展访问表用来允许或拒绝报文（基于多种因素，如：协议、源I P地址、目的I P地址、优先权、TO S和端口号），比标准访问表提供了更多的内容。扩展访问表允许登录，该登录创建了一提供关于匹配访问表的任何报文的登录信息。这个操作在访问表疑难解答时最有用。

? a c c e s s-l i s t[100-199][d y n m a i c]：带有号码1 00~199并且用关键词“d y n a m i c”的访问表定义为动态扩展访问表。本命令为一全局配置命令。

? access-template：这条可执行命令使用户可以在路由器上手工配置一暂时的动态访问表。

? a u t o c o m m a n d：当一个用户连接到一特定线路上时，这条全局配置命令将执行一条命令。

在本章后面配置动态访问表时会用到此命令。

? clear access-list counters ：这条可执行命令清除所有访问表计数器，有些访问表用一些计数器来计算匹配某一特定表的每一条线的报文的个数。当然也可以指定访问表的名字和序号，缺省时，系统将清除所有计数器。

? clear access-template ：这条可执行命令清除所有动态访问表入口项。

? ip access-group ：基于在访问表中定义的标准，这条命令用来允许或拒绝一特定接口上的进入和流出的报文。这条接口配置命令把一指定的访问表[ 1-199]应用于一个路由器接口。流入的报文用关键字“i n ”过滤，流出的报文用关键字“o u t ”。

? ip telnet source-interface ：这条全局配置命令使用户能够选择一个接口的一个地址作为t e l n e t 连接的源地址。缺省为：源地址是离目的地址最近的接口地址。

? show access-lists ：这条可执行命令显示当前所有I P 访问表的内容，也可以指定具体的访问表。缺省的设置为：系统显示所有的扩展和标准访问表。

? username ：这条全局配置命令用来定义一个基于用户的认证系统。

12.4 IOS 要求

访问表最初出现在IOS 10.0，然而本章所描述的一些命令需要更高的版本。

12.5 实验48：标准IP 访问表

12.5.1 所需设备

下面列出了本实验所需的设备：

1) 两台C i s c o 路由器，每台有一个E t h e r n e t 端口和一个串行接口；

2) 一台运行终端仿真程序的P C ；

3) Cisco IOS 10.0或更高的；

4) 一根Cisco DTE/DCE 交叉电缆；

5) 一根C i s c o 扁平电缆。

12.5.2 配置概述

这一配置将演示用标准访问表进行报文过滤。如图1 2-2所示。

图12-2 基本访问表输入访问表回送151.1.1.1

网络150.1.1.0

路由器A 路由器B

路由器A 将允许所有从网络1 50.1.1.0来的数据流通过，而拒绝所有其他网络来的数据。路由器A 和B 用交叉电缆串行连接。路由器B 作为D C E 为A 提供时钟。I P 地址的分配如图1 2-2中所示，B 定义了一个回送接口（I P 地址为1 51.1.1.1）作为测试点。

在路由器A 的串行接口上应用接入访问表，允许所有从网络1 50.1.1.0来的数据通过，拒绝其他数据通过。路由器B 用扩展的p i n g 命令ping A 的串行接口（1 95.1.1.4），从而从多个I P 地址中为报文选源I P 地址。

注意访问表是一个应用于IP 地址的、表述允许或拒绝的有序集合。路由器对照访问表一个个检查地址。访问表中的条件的顺序是很关键的，因为在一个访问表中第一次匹配是被使用（然后路由器停止测试条件是否满足）。如果没有发现任何匹配，报文就会被拒绝，因为在每一个访问表的最后就隐含着拒绝报文的通过。

12.5.3 路由器配置

下面给出了本例两台路由器的配置：

1.

路由器A 2.

路由器B

12.5.4 监测配置

为了测试对路由器的配置，在

B 上用扩展p i n g 命令ping A(195.1.1.4)，从回送接口为数据找出源地址。这只要在特权级别键入“p i n g ”即完成。

在路由器A 上用debug ip packet 命令监视流入的报文。下面给出了该命令的输出，注意该报文已被拒绝，并且向B 发送了一个I C M P 主机不可达的信息。

下面给出了在A 上执行show access-list 1命令的输出。注意，通配符掩码允许网络1 50.1.1.0中的所有主机。

12.6 实验49：扩展IP 访问表

12.6.1 所需设备

下面列出了本实验所需设备：

1) 两台C i s c o 路由器，每台都有一个E t h e r n e t 端口和一个串行接口；

2) Cisco IOS 10.0或更高的；

3) 一台运行防真程序的P C ；

4) 一根Cisco DTE/DCE 交叉电缆；

5) 一根C i s c o 扁平电缆。

12.6.2 配置概述这个配置将演示用扩展访问表进行报文过滤。路由器A 允许所有从P C C （1 50.1.1.2）到P C A （1 52.1.1.2）的数据通过，而将拒绝所有从P C C （1 50.1.1.2）到P C B （1 52.1.1.3）的数据通过。因为是对源I P 地址和目的I P 地址一起过滤，所以使用扩展访问表。

路由器A 和B 用交叉电缆串行连接。路由器B 做为D E C 向路由器A 提供时钟。图1 2-3给出了I P 地址的分配。在以太网接口，路由器A 和B 都定义了二级I P 地址，用来作为测试点。

图12-3 扩展IP 访问表

在A 的串行接口应用接入访问表，允许从P C C （1 50.1.1.2）到P C A 的报文通过，拒绝P C C 到P C B 的数据通过。

注意当创建一个访问表时，所有的入口项按它们进入的顺序排放。任何后来的入口项都放在访问表的结尾。创建访问表时一个比较好的策略是脱线编辑访问表，然后剪切或者粘帖它们到一个路由器配置，或者从一个服务器上TFTP 它们。

12.6.3 路由器配置

下面给出了本例中两台路由器的配置：

1. 路由器A 输入访问表回送151.1.1.1

网络B

网络A 路由器A 路由器B

2. 路由器B

408使用CCIE 学习指南：实验室操作下载

12.6.4 监测配置下面的例子，均是在路由器Ｂ上用扩展p i n g 命令从在配置中定义的二级I P 地址中为报文选择源地址。这条命令用来代替连在路由器Ｂ的局域网上的多台微机。

(1) 从路由器Ｂ，用源地址150.1.1.2 ping 152.1.1.3

在路由器A 上执行debug ip packet 命令，可以看到报文被拒绝，而一个I C M P 主机不可达报文被发送。下面的例子给出了执行show ip access list 命令的输出。注意输出显示定义了哪些访问表及与这些访问表分别对应的匹配数。下面的例子给出了执行l o g 选项的输出。L o g 选项将产生一个关于任何与扩展访问表匹配的报文的运行记录的信息报文。

L o g g i n g 选项作为一个关键词可以加到每个访问表描述的末尾。当应用访问表疑难解答时，i n f o r m a t i o n -l o g g i n g 报文是一个极好的工具。

(2) 从路由器B ，用源地址150.1.1.2 ping 152.1.1.3。

在路由器A 上执行debug ip packet 命令，从输出结果可以看到报文允许通过。

下面的例子给出执行show ip access-list 命令的输出;注意输出显示定义了哪些访问表及与这些访问表分别对应的匹配数。

12.7 实验50: 带有Established 选项的扩展访问表

12.7.1 所需设备

下面列出了本实验所需的设备：

1) 两台C i s c o 路由器各有一个E t h e r n e t 端口和一个串行端口；

2) Cisco IOS 10.0或更高的；

3) 一台运行终端仿真程序的P C ；

4) 一根C i s c o 扁平电缆；

5) 一根Cisco DTE/DCE 交叉电缆。

12.7.2 概述

带有关键词e s t a b l i s h e d 的扩展访问表允许内部的用户访问外部网络，而拒绝外部用户访问内部网络。而没带关键词e s t a b l i s h e d 的标准访问表和扩展访问表就没有这个特性。第12章IP 访问表使用409

下载

问题是标准访问表和基本的扩展访问表将拒绝所有匹配访问表标准的报文，即使报文是响应报文。在图1 2-4中，路由器A 的串行接口应用一个标准访问表，拒绝所有外部数据与P C A 建立一连接，即使这个过程是安全的，也会阻止P C A 与I n t e r n e t 上的任何服务器建立连接。路由器A 上的访问表也将会拒绝回到P C A 的响应报文。

注意当创建一个标准访问表或扩展访问表时，缺省的设置是在访问表最后放的是“拒绝所有”—这意味着任何不匹配访问表中入口项的条件的报文都将被拒绝。

图12-4 Established 连接

带有关键词e s t a b l i s h e d 的扩展访问表允许从已建立的连接来的返回报文通过访问表。路由器查看T C P 报文，如果A C K 或R S T 位被设置为“1”，则报文被允许通过。

1) PCA 向服务器w w w . p u s h t e c .c o m 发送H T T P 报文。

2) 服务器w w w . p u s h t e c .c o m 响应。

3) 路由器A 对报文应用访问表，如果返回报文中的A C K 或R S T 被置位，则报文允许通过。如果服务器w w w . p u s h t e c .c o m 试图与P C A 建立一条链接，S Y N 位将被置位，并且报文也将被拒绝。同步段是T C P 协议发送的第一个段，它用来同步准备打开一个新的链接的连接的两个端主机。12.7.3 配置概述

这个配置将演示带有关键词e s t a b l i s h e d 的扩展访问表，路由器A 上的访问表将拒绝所有流向网络A 的n o n -e s t a b l i s h e d 的I P 报文。

路由器A 和B 用交叉电缆串行联接。B 作为D C E 为A 提供时钟。I P 地址的分配如图1 2-5中所示。在A 的串行接口上应用接入访问表。

图12-5 带有Established 选项的扩展访问表路由器A

返回报文被拒绝

接入访问表

输入访问表

网络A 网络B

路由器B

路由器A

12.7.4 路由器配置

下面给出了本例中的两台路由器的配置：

1. 路由器A

2.

路由器B

12.7.5 监测配置为了测试本配置，在A 了B 之间建立t e l n e t 链接。配置路由器A ，用E t h e r n e t 接口的I P 地址做为远程通信报文的源地址。这个设置可以在A 上执行IP telnet source-interface e0命令来完成。

1) 用debug ip packet detailed 命令监视I P 报文流入还是离开路由器A 。

2) 从A （1 52.1.1.1）Telnet B(150.1.1.1)。

下面的例子给出了在路由器A 上执行debug ip packet detailed 命令的输出。注意所有从1 50.1.1.1到1 52.1.1.1的报文的A C K 或R S T 已被置位。

下面的例子给出了l o g 选项的输出，l o g 操作产生一个关于任何与扩展访问表匹配的报文的l o g g i n g 信息报文。

从1 50.1.1.1来的回应报文与访问表1 00匹配并被允许通过。

3) 用show ip access-list 命令显示哪些访问表被配置，共有多少报文匹配访问表的标准。下面给出了命令的输出结果。注意6个报文被允许，1个被拒绝。这条命令在访问表疑难解答中非常有用，使你很快得知报文匹配那些线。412使用CCIE 学习指南：实验室操作下载

4) 现在，试着在相反的方向建立一t e l n e t 链接，从B （1 50.1.1.1）到A (152.1.1.1)。路由器B 用E t h e r n e t 接口的I P 地址作为所有t e l n e t 报文的源地址。

5) 用debug ip packet detailed 命令监视I P 报文进入还是离开路由器A 。下面的例子给出了执行结果。注意S Y N 已被置位，访问表只允许那些路由器A 决定的是否A C K 或R S T 位已被置位的e s t a b l i s h e d 链接。同步段（S Y N ）是T C P 协议发送的第一段，它用来同步准备建立一个新链接的连接的两个端主机。而A C K 位由接收者置位从而向发送者表明数据已成功接收。R S T 位（r e s e t 位）说明什么时候重新启动链接

12.8 实验51：动态IP 访问表

12.8.1 所需设备

下面列出了本实验所需设备：

1) 两台C i s c o 路由器，各有一E t h e r n e t 端口和一串行端口；

2) Cisco IOS 11 .1或更高的；

3) 一台运行终端仿真程序的微机；

4) 一根Cisco DTE/DCE 交叉电缆；

5) 一根C i s c o 扁平电缆。

12.8.2 概述

基于用户认证，动态访问表允许或拒绝数据经过。如果用户想通过路由器访问一台主机，用户必须首先t e l n e t 路由器并获得认证，一旦获得认证，路由器建立一临时访问表使用户能够到达目的主机。

通过Lock-and-key Security ，可以指定允许哪些用户访问哪些源或目的主机，如图1 2-6所示。

图12-6 Lock-and-key 安全性

基于用户认证，在访问表中建立一临时的入口项。第12章IP 访问表使用413

下载路由器A 2) 路由器A 授权给PCB

1) 路由器A 授权给PCB

4) 过了一会儿，暂时入口项

被删除

3) 允许PCB 到PCA 的一个暂

时入口项被创建

12.8.3 Lock-and-key 的工作过程

1) PCB 通过虚拟的终端接口远程登录到路由器A 。

2) 路由器A 打开t e l n e t 对话框并提示用户输入用户名和口令。如果用户通过认证过程，则允许通过路由器访问。

3) PCB 随后自动退出t e l n e t 对话框，动态访问表中也建立一临时入口项。这个临时的入口项，是基于用户认证的，这在配置过程中已做过定义。例如：可以配置访问表使P C B 只能远程访问到P C A ，而拒绝所有其他的访问。

4) 然后从P C B 来的数据流就能够通过路由器A 。

5) 预定义超时期后，路由器删掉临时的访问表。一旦删掉临时访问表，用户的数据再想通过路由器A 就必须重新获得认证。

12.8.4 配置概述

如图1 2-7

所示，这个配置将演示通过使用一动态扩展访问表获得的lock-and key 安全性。

图12-7 Lock and-key 安全性

路由器A 根据用户名和口令验证登录，一旦路由器B 通过认证，则可以注册进入到A ，随后路由器A 建立一个时间为5分钟长的临时访问表入口项，使路由器B （1 50.1.1.1）能够远程登录到A (152.1.1.1)。

路由器A 和B 通过交叉电缆串行连接。路由器B 作为D C E 为路由器A 提供时钟。I P 地址的分配如图1 2-7所示，在A 的串行接口上应用一接入访问表。

12.8.5 路由器配置

下面给出了本例中两台路由器的配置：

1. 路由器A 输入访问表

网络A 网络B

路由器B

路由器A

第12章IP 访问表使用415下载

2. 路由器B

12.8.6 监测配置从路由器B 到A

(

19

5.1.1.4)建立一远程登录链接以测试本配置。用用户名P C B 和口令P C B 注册进入A 。下面的例子给出一旦用户通过认证将会看到的结果。注意一旦键入口令，t e l n e t 链接就立即被断开。通过认证后，路由器A 建立临时访问表1 00。

下面的例子给出一在路由器A 上执行show ip access-list 命令的结果。注意临时的入口项已经加入到了访问表中。

从路由器B （1 50.1.1.1）到1 52.1.1.1建立一t e l n e t 链接，路由器B 配置E t h e r n e t 接口的I P 地址为所有t e l n e t 报文的源地址，通过在A 上执行ip telnet source-interface e0命令完成配置。

下面的例子是路由器A 上的访问表l o g 命令输出的一简单样本。L o g 命令是在配置过程中加到访问表的一个操作。L o g 关键词产生一个任何与扩展访问表匹配的报文l o g 信息报文。与临时的入口项匹配的从1 50.1.1.1来的t e l n e t 报文都加入到访问表1 00中。

t e l n e t 对话被允许，那么现在，在路由器A 上用下面的可执行命令从访问表中删除临时入口项。

用show ip access-list 命令查看配置了哪些访问表和有多少报文与标准匹配。下面给出了命令的执行结果。注意临时入口项已从动态访问表中删掉。416使用CCIE 学习指南：实验室操作下载

从路由器B （

1 50.1.1.1）远程登录到1 52.1.1.1。注意这次连接失败了。P C B 必须由路由器A 重新认证才能t e l n e t 到1 52.1.1.1。

12.9 实验52：可控VTY 访问

12.9.1 所需设备

下面列出本实验所需设备：

1) 两台C i s c o 路由器各有一E t h e r n e t 端口和一个串行端口；

2) Cisco IOS 10.0或更高的；

3) 一台运行终端仿真程序的微机；

4) 一根Cisco DTE/DCE 交叉电缆；

5) 一根C i s c o 扁平电缆。

12.9.2 概述

本实验演示了如何用访问表控制到路由器的V T Y 连接。在一个p r o d u c t i o n 环境中，很有必要限制只有那些授权用户才能访问路由器，可以用口令认证和访问控制表完成这项功能。

基于源I P 地址，访问控制表可以规定哪些主机访问路由器。路由器访问应该限定一些指定的工作站才能有权访问。一个好的实现方法是建立一台堡垒主机，只允许特定的一些I P 地址V T Y 访问自己的所有路由器。网络管理员t e l n e t 到堡垒主机，然后才能到外面特定的路由器。堡垒主机首先是一台计算机，它是安全防火墙的一部分，运行与一个组织外部的计算机互相通信的应用程序。

12.9.3 配置概述

本配置演示了如何用标准访问

表控制对路由器的V T Y 访问。路由

器A 将只允许从主机1 5 0 . 1 . 1 . 1发出

的V T Y 访问，所有其他的会话都会

被拒绝。

路由器A 和B 用交叉电缆串行连

接起来，路由器B 作为D C E 为A 提供

时钟。I P 地址的分配如图1 2-8所示。

在路由器A 的串行接口应用一个接入访问表。

12.9.4 路由器配置

下面给出了本例中两台路由器的配置：图12-8 VTY 访问控制输入访问表网络A 网络B 路由器A 路由器B

1. 路由器A

B

2. 路由器

12.9.5 监测配置从路由器B 到A （1 95.1.1.4）建立一t e l n e t 链接以测试本次配置。在路由器B 上执行ip telnet source interface Ethernet 0命令，定义t e l n e t 报文的源I P 地址为1 50.1.1.1。

下面的代码示例给出了如果t e l n e t 连接成功，用户将会看到的内容：

在路由器B 上，再配置所有的t e l n e t 报文都从串行接口发出。这只需在全局配置模式下做下面的操作：

那么，现在从路由器B 远程登录到A （1 95.1.1.1）连接请求被拒绝，因为t e l n e t 报文的源地址已与路由器A 上访问控制表不匹配。

12.10 IP 访问表故障查找

Cisco IOS 为访问表疑难解答提供了许多工具。下面列出了一些关键的命令以及每条命令的部分执行结果采样。

show access-list 这条特权级可执行命令显示当前所有访问表的内容。也可以指定具体的访问表（根据序号）。

show ip access-list 这条特权级可执行命令显示当前所有I P 访问表的内容。也可以根据序号指定具体的某些I P 访问表。

clear access list counters 有些访问表用一些计数器来统计通过访问表每条线的报文个数。用clear access list counters 命令可以为某一特定访问表将计数器复位到0。

debug ip packet 这条可执行命令显示有关路由器收到的、产生的或转发的报文的信息。第12章IP 访问表使用419下载

420使用CCIE学习指南：实验室操作

当在路由器上应用访问表时，从调试命令的输出可得知报文是被允许还是被拒绝。

12.11 结论

访问表是Cisco IOS的一个完整部分，它使路由器根据制定的标准作出决策。本章主要描述了用标准和扩展访问表对报文的过滤和对路由器访问的控制。当然，访问表还有很多其他的功能本章并没有讨论，例如，过滤路由更新、决定D D R有趣数据流和流量控制等。这些高级的内容将在它们各自的章节进行讨论。

本文来源：https://www.bwwdw.com/article/kiye.html