分析ACL和RouteMap的permit和deny规则在路由重分配时的动作.doc

分析ACL和RouteMap的permit和deny规则在路由重分配时的动作(以CISCO路由器为例)A - B 两台路由器通过E1/1接口直联，运行OSPF。A路由器配置3条静态路由：ip route Ethernet1/1ip route Ethernet1/1ip route Ethernet1/1A路由器ospf的配置如下：router ospf 1log-adjacency-changesredistribute static route-map testnetwork 55 area 11）在A路由器上，不配置任何ACL，只配置RouteMap，配置如下：route-map test permit 10match ip address 1此时ACL 1是一张空表。配置完成之后过几秒钟，在B路由器上查看OSPF的路由表，如下：Link ID ADV Router Age Seq# Checksum Tag 52 0x80000001 0x0073BA 0 1207 0x80000001 0x0066C6 0 1207 0x80000001 0x0059D2 0A路由器上的三条静态路由都成功的重分配进OSPF，并传给了B路由器。单步总结：当RouteMap引用的ACL是一张空表时，对应的规则是permit any。2）在A上配置ACL 1，只有一个permit规则，此时ACL和RouteMap的配置如下：access-list 1 permit 55!route-map test permit 10match ip address 1此时，在B路由器上，就只能看到这条路由，如下：Link ID ADV Router Age Seq# Checksum Tag 140 0x80000001 0x0073BA 0A路由器只重分配了这条路有进OSPF，另外两条就被过滤掉了。单步总结：当RouteMap引用的ACL是非空表时，ACL规则开始生效，如上例子，ACL 1允许（permit）了这条路由，并且deny掉了其它的路由（每条ACL最后都有一个隐藏的deny any）。3）在A路由器上，修改ACL的配置，RouteMap配置不变，如下：access-list 1 deny 55!route-map test permit 10match ip address 1上一步的ACL 1是permit 这条路由，这一步仅仅是将permit修改成deny。配置完成过一会儿，查看B路由器OSPF的路由表，A路由器上的三条静态路由，B路由器一条都没有。单步总结：这一步得到的结论跟第2步的结论一样，ACL 1显示的deny掉了这条路由，然后用隐藏规则deny掉了其它两条路由。4）为了充分测试，搞清楚每一个细节，我们再将ACL的配置做一点修改，RouteMap的配置暂时保持不变，A路由器的配置如下：access-list 1 deny 55access-list 1 permit any!route-map test permit 10match ip address 1ACL 1 的配置增加了一条permit any。过一会儿查看B路由器OSPF的路由表，如下：Link ID ADV Router Age Seq# Checksum Tag 12 0x80000001 0x0066C6 0 12 0x80000001 0x0059D2 0可以看到 这两条路有豆成功的进行了重分配。单步总结：ACL 1由于配置了permit any，这条规则在隐藏规则之前生效，因此 这两条路由成功匹配并重分配。5）测试到这里，可能大家会觉得这个规则已经很清楚了，其实不然阿！到目前为止，RouteMap的配置一直没有变化，下面，我们慢慢地将RouteMap的配置进行修改，进行进一步的分析。在上一步的基础上，我们修改一下配置，A路由器的配置如下：access-list 1 permit 55!route-map test deny 10match ip address 1ACL 1仅仅允许 这条路由，不过，此时RouteMap test 10已经变成了deny。读到这里，大家可以先自己想想会是一个什么样的结果。此时B路由器上OSPF路由表为空！单步结论：虽然ACL 1允许了一条路由，但是RouteMap的deny的优先级更高（或者可以理解为RouteMap的这个deny在后面执行），因此B路由器上没有看到任何一个静态路由。6）我们继续修改RouteMap的配置，此时我们增加一条RouteMap的配置，A路由器的配置如下：access-list 1 permit 55!route-map test deny 10match ip address 1!route-map test permit 20在上一步的基础上，增加名称为test，序列号为20的RouteMap，这条RouteMap配置下什么都没有。此时查看B路由器上OSPF的路由表，如下：Link ID ADV Router Age Seq# Checksum Tag 9 0x80000001 0x0066C6 0 9 0x80000001 0x0059D2 0可以看出， 这两条路由成功进行了重分配。ACL 1只允许了这条路由，由于RouteMap test 10 的deny动作， 这条路由没有进行重分配。现在 这两条路由进行了重分配，只有一个解释，那就是ACL 1对这两条路由给出的deny（ACL 1的隐藏规则）并不是影响最终了重分配动作！ACL 1虽然deny了这两条路由，但是在RouteMap test 20里面，将match everything（RouteMap下如果没有配置任何match命令，则表示match everything）。单步结论：ACL给出的deny不会影响最终的重分配动作，RouteMap如果后续还有配置，则将ACL deny的路由继续向下传递并重新进行匹配。7）再A路由器上，进一步修改配置，如下：access-list 1 deny 55!route-map test deny 10match ip address 1!route-map test permit 20我们把ACL 1修改为deny动作，RouteMap的配置保持跟第6步一致。配置完成之后查看B路由器的OSPF路由表，如下：Link ID ADV Router Age Seq# Checksum Tag 1 0x80000001 0x0073BA 0 1 0x80000001 0x0066C6 0 1 0x80000001 0x0059D2 0A路由器上的三条路由都成功进行了重分配。第6步，我们得出一个结论，ACL给出的deny并不影响最终重分配动作，那么在这一步测试进行分析，ACL是deny，RouteMap也是deny，但是所有的静态路由都成功进行了重分配，因此，可以说明，ACL的deny就可以简单的理解为匹配失败。（将这一步的ACL配置修改成access-list 1 deny any，B路由器上的结果还是一样。有兴趣的读者可以自己进行测试。）单步结论：ACL给出的deny就是匹配失败，这时，RouteMap的动作并不重要，因此RouteMap的动作只有在匹配成功的时候才生效，ACL deny之后，将进入下一条RouteMap继续进行匹配。8）最后，综合测试一下，A路由器的配置如下：access-list 1 permit 55access-list 2 permit 55access-list 3 deny 55!route-map test deny 10match ip address 1!route-map test permit 20match ip address 2!route-map test permit 30match ip address 3配置完成之后，查看B路由器上的OSPF路由表，如下：Link ID ADV Router Age Seq# Checksum Tag 51 0x80000001 0x0066C6 0前面7步得到的测试结论可以很好的解释这一步的测试结果。最终结论：1，当RouteMap引用的ACL是一张空表时，表示permit any；2，当RouteMap引用的ACL不是一张空表时，ACL的隐藏规则是要发挥作用的；3，ACL中的比较给出的permit表示匹配成功，然后执行相应RouteMap的动作；4，ACL中的比较给出的deny表示匹配失败，不执行相应RouteMap的动作，但这并不是RouteMap的最终结果，后面还要根据RouteMap自身的规则进行。（即如果RouteMap后续还有序列号大的配置项，继续进入后面的RouteMap配置进行比较；如果后面没有任何RouteMap的配置了，则执行RouteMap的隐藏动作deny everything。）CISCO交换机的ACL配置练习在通常的网络管理中，我们都希望允许一些连接的访问，而禁止另一些连接的访问，但许多安全工具缺乏网络管理所需的基本通信流量过滤的灵活性和特定的控制手段。三层交换机功能强大，有多种管理网络的手段，它有内置的ACL(访问控制列表)，因此我们可利用ACL(访问控制列表)控制Internet的通信流量。以下是我们利用联想的三层交换机3508GF来实现ACL功能的过程。 利用标准ACL控制网络访问当我们要想阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者想要拒绝某一协议簇的所有通信流量时，可以使用标准访问控制列表来实现这一目标。标准访问控制列表检查数据包的源地址，从而允许或拒绝基于网络、子网或主机IP地址的所有通信流量通过交换机的出口。标准ACL的配置语句为：Switch#access-list access-list-number（199) permit|denyanyA|sourcesource-wildcard-maskany|destinationdestination-mask例1：允许网络上的主机进行访问：Switch#access-list 1 permit 55例2：禁止网络上的主机访问：Switch#access-list 2 deny 55例3：允许所有IP的访问：Switch#access-list 1 permit 55例4：禁止3主机的通信：Switch#access-list 3 deny 3 上面的55和55等为32位的反掩码，0表示“检查相应的位”，1表示“不检查相应的位”。如表示这个网段，使用通配符掩码应为55。利用扩展ACL控制网络访问扩展访问控制列表既检查数据包的源地址，也检查数据包的目的地址，还检查数据包的特定协议类型、端口号等。扩展访问控制列表更具有灵活性和可扩充性，即可以对同一地址允许使用某些协议通信流量通过，而拒绝使用其它协议的流量通过，可灵活多变的设计ACL的测试条件。扩展ACL的完全命令格式如下：Switch#access-list access-list-number(100199) permit|deny protocolany|sourcesource-maskany|destinationdestination-maskport-number例1：拒绝交换机所连的子网 ping通另一子网：Switch#access-list 100 deny icmp 55 55例2：阻止子网 访问Internet（www服务）而允许其它子网访问：Switch#access-list 101 deny tcp 55 any www或写为：Switch#access-list 101 deny tcp 55 any 80例3：允许从通过交换机发送E-mail，而拒绝所有其它来源的通信：Switch#access-list 101 permit tcp 55 any smtp基于端口和VLAN的ACL访问控制标准访问控制列表和扩展访问控制列表的访问控制规则都是基于交换机的，如果仅对交换机的某一端口进行控制，则可把这个端口加入到上述规则中。配置语句为：Switch# acess-list port 例:对交换机的端口4，拒绝来自网段上的信息，配置如下：Switch# acess-list 1 deny 55Switch# acess-list port 4 1 / 把端口4 加入到规则1中。基于VLAN的访问控制列表是基于VLAN设置简单的访问规则，也设置流量控制，来允许（permit)或拒绝(deny)交换机转发一个VLAN的数据包。配置语句：Switch#acess-list vlan deny|permit例：拒绝转发vlan2中的数据：Switch# access-list vlan2 deny 另外，我们也可通过显示命令来检查已建立的访问控制列表,即Switch# show access-list 例：Switch# show access-list /显示ACL列表；ACL Status：Enable / ACL状态 允许；Standard IP access list: /IP 访问列表；GroupId 1 deny srcIp any Active /禁止 的网络访问