Cisco访问表类型

C i s c o支持两种类型的访问表：标准访问表和扩展访问表。标准的访问表只允许过滤源地址，且功能十分有限。扩展的访问表允许过滤源地址、目的地址和上层应用数据。在本节中，将介绍这两种类型的访问表，将特别注重I P（Internet Protocol，网际协议）访问表，因为I P是I n t e r n e t上唯一支持的传输协议。

一、 标准IP访问表

标准I P访问表的基本格式为：

注意，在前面的列表中，两个项之间的竖线（ |）表示应该选择竖线两边中的某一个项。

我们需要对标准I P访问表中的一些项进行解释。首先， a c c e s s - l i s t中的两个字需要使用连字符。另外， list number是1 ~ 9 9之间的一个数字，这表示它是一条普通的访问表。另外1 ~ 9 9之间的任何号码告诉I O S该访问表是与I P协议联系在一起的。这样，访问表号有两个功能，它定义了访问表操作的协议，并且告诉了I O S将所有标识为同一号码的语句作为一个实体。

在实践中，不管是命名访问表，还是编号访问表， C I S C O都支持在访问表中引用协议。表3 - 1包含了命名访问表和编号访问表所支持的协议。因为本书的主要内容是针对I P相关的访问表，所以书中大量引用的示例的编号都界于1 ~ 9 9或1 0 0 ~ 1 9 9之间。 

下表通过名称和号码指定的访问表所支持的协议

1. 关键字

关键字p e r m i t和d e n y用来表示满足访问表项的报文是允许通过接口，还是要过滤掉。关键字p e r m i t表示允许报文通过接口，而关键字d e n y表示匹配标准I P访问表源地址的报文要被丢弃掉。

2. 源地址

对于标准的I P访问表，源地址是主机或一组主机的点分十进制表示。在实际应用中，使用一组主机要基于对通配符屏蔽码的使用。这样，首先应该介绍一下通配符屏蔽码，并了解一下I P地址范围的几个实例。

3. 通配符屏蔽码

C i s c o访问表功能所支持的通配符屏蔽码与子网屏蔽码的方式是相反的。这就是说，二进制的0表示一个“匹配”条件，二进制的1表示一个“不关心”条件。
为了说明对通配屏蔽符的操作，假设组织机构拥有一个C类网络1 9 8 . 7 8 . 4 6 . 0。假设不使用子网，则当配置网络中的每一个工作站时，使用子网屏蔽码2 5 5 . 2 5 5 . 2 5 5 . 0。在这种情况下， 1表示一个“匹配”，而0表示一个“不关心”的条件。这样，如果在4字节的子网屏蔽码的前3个字节中指定其值为2 5 5，则传输控制协议/网际协议栈（ T C P / I P）只匹配报文中的网络地址，

而不匹配报文中的主机地址。因为C i s c o通配符屏蔽码与子网屏蔽码是相反的，所以下面的标准I P访问表语句能够匹配源网络地址1 9 8 . 7 8 . 4 6 . 0中的所有报文。

在上述访问表语句中，注意通配符屏蔽码0 . 0 . 0 . 2 5 5与子网屏蔽码是兼容的。这样，指定访问表通配符屏蔽码的另一方法是确定子网屏蔽码并将其取反。

4. 其他关键字

虽然访问表的许多关键字只适应于扩展访问表，但有三个关键字在标准访问表中是支持的，并且值得引起重视。这三个关键字为h o s t、a n y和l o g。前两个关键字h o s t和a n y分别用于指定单个主机和所有主机，前面还没有介绍过它们。

5. Host

H o s t表示一种精确的匹配，其屏蔽码为0 . 0 . 0 . 0。例如，假设我们希望允许从1 9 8 . 7 8 . 4 6 . 8来的报文，则应该使用下面的访问表语句：

因为关键字h o s t表示一种精确的匹配，所以前面的访问语句也可以使用下面的语句代替：这样，h o s t是0 . 0 . 0 . 0通配符屏蔽码的简写。

6. Any

在标准访问表中，关键字a n y是源地址/目标地址0 . 0 . 0 . 0 / 2 5 5 . 2 5 5 . 2 5 5 . 2 5 5的简写。假设我们要拒绝从源地址1 9 8 . 7 8 . 4 6 . 8来的报文，并且要允许从其他源地址来的报文。标准的I P访问表可以使用下面的语句达到这个目的：

注意，这两条语句的顺序。访问表语句的处理顺序是由上到下的。如果我们将两个语句顺序颠倒，将p e r m i t语句放在d e n y语句的前面，则我们将不能过滤来自主机地址1 9 8 . 7 8 . 4 6 . 8的报文，因为p e r m i t语句将允许所有的报文。这不像在一个班级中如果顺序不好并不会造成多大的影响，访问表中的语句顺序是很重要的，因为不合理语句顺序将会在网络中产生安全漏洞，或者使得用户不能很好地利用公司的网络策略。

7. Log

l o g关键字只在I O S版本11 . 3中存在。如果该关键字用于访问表中，则对那些能够匹配访问表中的p e r m i t和d e n y语句的报文作日志。这样，访问表中包含有l o g关键字的访问表也可称为带日志的访问表（logged access list）。

当读者将一个带日志的访问表用于一个接口上时，激活访问表的第一个报文会立即引发一条日志信息。对于后继的报文，如果其检查时间超过5分钟，则被显示到控制台上或记录到内存中，所记录的日志信息格式由I O S命令logging console来控制。

日志信息包含访问表号、报文的允许或拒绝、源I P地址以及在显示了第一个匹配以来每5分钟间隔内的报文数目。例如，有如下的标准I P访问表：

现在假定访问表在5分钟的周期里有1 0个匹配报文。当第一个匹配出现时，显示如下的信息：

而后，5分钟后将显示如下的信息：

使用l o g关键字，会使控制台日志提供测试和报警两种功能。读者可以使用日志来观察不同活动下的报文匹配情况，从而可以测试不同访问表的设计情况。当其用于报警时，读者可以察看显示结果，以定位那些多次尝试活动被拒绝的访问表语句。执行一个访问表语句的多次尝试活动被拒绝，很可能表明有潜在的黑客攻击活动。