Get best of the week

ACLcheck-Cisco IOS访问列表验证实用程序

如果您反复遇到大型访问列表或其中包含的对象组,那么您可能已经想知道是否存在一种工具,可用于确定访问列表是否跳过特定的程序包以及哪些行有效。


当然,存在这样的工具并且完全或部分地解决了所列出的问题。但是,它们通常是强大的网络管理“收集器”的一部分,您对其中90%的功能不感兴趣。


当然,没有人禁止使用正则表达式直接从网络设备的控制台搜索特定的访问列表行。但是这种方法将提供非常肤浅的结果。例如,它不会显示落入网络掩码的主机或落入范围的端口的访问权限。此外,以这种方式不可能显示两个给定节点或网络之间的所有现有访问。经验丰富的网络管理员意识到简单的解析访问列表对于此类任务的用处不大。


为此,创建了被认为是小型实用程序-查找允许或禁止某些网络流量的访问列表行,甚至更多-揭示给定点之间与访问有关的所有行。


这个想法很简单:程序查找与指定条件匹配的访问列表行。该标准本身看起来像一个访问列表字符串,但是没有使用allow或deny运算符。


如果您在不检查网络规则的情况下定期将其添加到访问列表中,则访问列表将包含大量冗余规则。为了解决此问题,该程序实现了冗余访问列表分析功能。使用它,您可以识别不必要的规则并释放设备资源。


在ACL中使用对象组时,程序需要转移(复制)它们的组成。在最终的ACL中,此类组将由基本规则表示。


程序界面


图片

图1主窗口


图1显示了具有以下元素的主程序窗口:


1 — access-
2 — object-
3 — access-
4 — access-
5 —
6 —
7 —
8 —
9 —
10 — ACL
11 — ACL
12 — ACL
13 — ACL
14 — (6)
15 — (6)
16 —
17 —
18 — ACL ICMP
19 — ACL CLI
20 — object-, ACL
21 — , ICMP
22 — ACL



access-list 1. object-, 2. ACL object- (“show running-config”, “show startup-config”), “show access-lists”, “show object”.


“show running-config”, 1:


ip access-list extended ACL
 permit icmp host 172.16.0.6 host 172.21.0.6
 permit ip host 172.16.0.6 host 172.21.0.1
 permit tcp host 192.168.8.15 range 1024 65534 host 192.168.66.47
 permit tcp 192.168.8.0 0.0.0.255 eq 22 1521 3389 addrgroup ADMIN_BSD
 permit tcp host 192.168.8.12 eq 1521 192.168.83.20 0.0.0.1

access-list “show access-lists”:


Extended IP access list ACL
    10 permit icmp host 172.16.0.6 host 172.21.0.6
    20 permit ip host 172.16.0.6 host 172.21.0.1 (32 matches)
    30 permit tcp host 192.168.8.15 range 1024 65534 host 192.168.66.47
    40 permit tcp 192.168.8.0 0.0.0.255 eq 22 1521 3389 addrgroup ADMIN_BSD (1 match)
    50 permit tcp host 192.168.8.12 eq 1521 192.168.83.20 0.0.0.1

“show running-config”, 2:


object-group ip address ADMIN_BSD
 host-info 10.237.92.131
 host-info 10.22.145.132
 host-info 10.22.145.136
 host-info 10.22.145.141

“show object-group”:


IP address object group ADMIN_BSD
 host 10.237.92.131
 host 10.22.145.132
 host 10.22.145.136
 host 10.22.145.141

object-.


“show running-config”:


object-group network Servers
 host 10.15.12.5
 host 10.15.5.11
 host 10.15.4.2
 host 10.15.7.34

object-group service Ports1
 tcp-udp eq domain
 tcp-udp eq 88
 udp range 3268 3269
 tcp gt 49151

“show object-group”:


Network object group Servers
 host 10.15.12.5
 host 10.15.5.11
 host 10.15.4.2
 host 10.15.7.34

Service object group Ports1
 tcp-udp eq domain
 tcp-udp eq 88
 udp range 3268 3269
 tcp gt 49151

:


object-group network zzz
 5.5.5.0 255.255.255.0
 host 6.6.6.6

object-group network yyy
 host 3.3.3.3
 group-object zzz

object-group network xxx
 host 1.1.1.1
 group-object zzz
 group-object yyy

permit udp any object-group xxx eq 21
permit tcp object-group xxx host 7.7.7.7 eq ftp
permit tcp object-group xxx object-group xxx eq 22
permit tcp object-group yyy object-group xxx eq ftp

ACL object- 3. access-list ( object-) 4. , 22. .


, object-, ‘0’ (.2).


图片

.2 object-


access- , 19, , access-. access- object- 20 (.3).


图片

.3 object-


access- . .


, access- , 5 7. 9. 11. access- 10. “ ” 11 ACL, .


1. .


, 192.168.1.2 TCP 1521 192.168.2.2 :


ip access-list extended ACL
 10 permit tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 range 1521 1522
 20 permit tcp host 192.168.1.2 any
 30 permit tcp host 192.168.1.3 any eq 1521

access- 1 3. 5 :


  tcp host 192.168.1.2 gt 1023 host 192.168.2.2 eq 1521

7 “Enter”.


9 :


1: 10 permit tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 range 1521 1522



“1:” ACL, “10” – ACL. “ ” , ACL , . 11. ( ) “ ”, ACL.


2. , .


, , 192.168.2.0 /24 SSH (TCP 22). :


ip access-list extended ACL
 10 permit tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 range 1521 1522
 20 permit tcp any 192.168.2.0 0.0.0.3 eq 22 3389
 30 permit tcp host 192.168.1.3 host 192.168.2.254
 40 permit tcp host 192.168.1.10 any

access- 1 3.


17 “ src dst”. ACL, IP- , .


5 :


  tcp any gt 1023 any eq 22

7 “Enter”.


9 :

11. ( ) “ ”, ACL. “?” .


3. , .


, 192.168.1.10 192.168.2.254 ACL:


ip access-list extended ACL
 10 permit tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 range 1521 1522
 20 permit tcp any 192.168.2.0 0.0.0.3 eq 22 3389
 30 permit tcp host 192.168.1.3 host 192.168.2.254
 40 permit tcp host 192.168.1.10 any

access- 1 3.


17 “ src dst”.


5 :


ip host 192.168.1.10 host 192.168.2.254

, access-, ACL . , ACL . (8), , “ ”.


8 “Ctrl-Enter”.


9 :

11. ( ) “ ”, ACL. “?” .


17 “ src dst”.


ICMP . IP ICMP. ICMP , ICMP access-. ICMP 18.


( 6)


(6) . , , . ( ) “Shift-Enter”. . 7 (Enter) 8 (Ctrl-Enter). 15 . . 14 .


( 13)


access-list, 4, . (13) (. . 4).


图片

.4


1-7 —
8 —
9 —
10 — object-


.


:


1 permit udp 192.168.8.0 0.0.0.255 host 192.168.38.24 eq syslog
2 permit tcp 192.168.8.0 0.0.0.255 host 192.168.38.23 eq 1514
3 permit tcp 192.168.8.0 0.0.0.255 host 192.168.38.24 eq 1514
4 permit tcp 192.168.8.0 0.0.0.255 host 192.168.38.23 eq 4041
5 permit tcp 192.168.8.0 0.0.0.255 host 192.168.12.26
6 permit ip 192.168.8.0 0.0.0.255 192.168.41.0 0.0.0.255
7 permit ip 192.168.8.0 0.0.0.255 host 192.168.41.31

IP , , 5 1. 5.


图片

.5


. .


10 ACL object-. object- . . , object-, ACL. object- ACL , .


ACL:


10 permit tcp 192.168.8.0 0.0.0.255 eq 1521 addrgroup Empl_Center
20 permit udp 192.168.5.0 0.0.0.255 host 10.232.202.18
30 permit udp 192.168.8.0 0.0.0.255 host 192.168.7.34 eq ntp domain
40 permit tcp host 192.168.8.21 addrgroup HB_WEB_DMZ eq 12040 12060
50 permit tcp 192.168.8.0 0.0.0.255 eq 1521 host 10.237.49.254

object-:


object-group ip address Empl_Center
 host-info 10.237.49.100
 host-info 10.237.49.6
 host-info 10.237.130.15

object-group ip address HB_WEB_DMZ
 host-info 10.232.202.12
 host-info 10.232.202.16
 host-info 10.232.202.19

( “dst addr”) (.6):


图片

.6 object-.


“0” , object-. , 20 40.


object- ( 10). (.7):


图片

.7 object-.


ACL .


ACL, object-, , object-. ACL object- , .


( 12)


“” (12) access-. access- . access-, - (“deny” “permit” ).


, ACL:


 10 permit icmp any any
 20 permit tcp host 10.15.2.11 eq 1521 host 10.15.1.10
 30 deny   tcp 10.15.2.0 0.0.0.255 10.15.0.0 0.0.31.255
 40 permit udp 10.15.2.0 0.0.0.255 host 10.19.9.232
 50 permit udp 10.15.2.0 0.0.0.255 host 10.19.9.120 eq syslog
 60 permit tcp host 10.15.2.11 eq 1521 host 10.15.7.11

( 3) “” (12). (. 8):


图片

.8


“” , (. 9):


图片

.9


‘’ (.8), , , .


access-list:


 10 permit icmp any any
 20 permit tcp host 192.168.1.10 host 192.168.2.20 eq 22
 30 permit tcp host 192.168.1.10 host 192.168.2.20
 40 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

ACL :


图片

.10


, , ACL. . ( ) .


“Ctrl”, (.11):


图片

.11


1 —
2 —
3 —


2 3. , 3 4. (3). , . 1 ( ) :


  • “C ”. 1 ;
  • “ ‘no’”. ‘no’ . . ACL;
  • “ ‘no’ ”. ‘no’ . ;
  • “ ‘no’ , ”. , , . . ACL . ;
  • “ ”. .

access-:


1 permit tcp any host 192.168.2.20 eq 22
2 permit tcp host 192.168.1.10 host 192.168.2.20 eq 22
3 permit tcp host 192.168.1.10 any eq 22
4 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

(.12) 2 :


  • “Ctrl”;
  • , “Enter”.

图片

.12 .


().


, access-, object-, , .. ACL . , (.13):


图片

.13 .


“permit” “deny” ACL . ACL . , “deny”. , ACL ACL.


( 21)


21 TCP UDP, ICMP- (.14).


图片

.14 ICMP.



exe-:


/ h,/?,/
help- 调用开始参数help / l(rus)-选择语言 / nm-
启用“网络掩码”模式
/ pm(和,或)-选择地址匹配模式
/ skipicmp-启用“在以下情况下忽略ICMP”部分匹配。”


源链接

More articles:


All Articles