對(duì)于網(wǎng)絡(luò)管理員來(lái)說(shuō)，關(guān)于路由器的安全可以做的事情很多。如堵住安全漏洞、避免身份危機(jī)、限制邏輯訪問(wèn)等。我們也有可能為控制臺(tái)和虛擬終端連接配置了一個(gè)用戶(hù)名和密碼提示，這些措施固然重要。不過(guò)，我們還要注意實(shí)施其它方面的安全功能。

基礎(chǔ)知識(shí)

我們可以采取的一項(xiàng)重要的安全措施是實(shí)施訪問(wèn)控制列表(ACL)，它實(shí)現(xiàn)的是基本的安全。共有兩種類(lèi)型的訪問(wèn)控制列表：數(shù)字的和名稱(chēng)的。這兩種類(lèi)型中的每一種都可分為標(biāo)準(zhǔn)的和擴(kuò)展的。

數(shù)字式的訪問(wèn)列表：在操作系統(tǒng)中，數(shù)字1到99和1300到1999是為標(biāo)準(zhǔn)的訪問(wèn)列表準(zhǔn)備的，而數(shù)字100-199和數(shù)字2000-2699是為擴(kuò)展訪問(wèn)列表保留的。在本文中，我們僅僅使用一個(gè)基本的訪問(wèn)控制列表來(lái)保護(hù)我們的虛擬終端連接端口即VTY端口。簡(jiǎn)言之，我們僅允許某些IP地址或某些網(wǎng)絡(luò)地址能夠遠(yuǎn)程登錄(telnet)到我們的路由器。

名稱(chēng)式的訪問(wèn)列表：一個(gè)名稱(chēng)式訪問(wèn)控制列表允許我們通過(guò)一個(gè)包括文字和數(shù)字的名稱(chēng)來(lái)引用它。這也就意味著不再使用數(shù)字，我們的訪問(wèn)列表可以具備一個(gè)有意義的名字，如“manage_telnet”,這個(gè)名字使得其意義和目的非常清楚。

標(biāo)準(zhǔn)的訪問(wèn)列表：借助于標(biāo)準(zhǔn)的訪問(wèn)列表，我們可以指定數(shù)據(jù)包的源地址。因此，我們可以檢查數(shù)據(jù)包來(lái)自哪里，并且根據(jù)數(shù)據(jù)包的源IP地址，我們可以或者允許，或者拒絕這種通信。

擴(kuò)展的訪問(wèn)列表：通過(guò)擴(kuò)展的訪問(wèn)列表，我們能夠更加精細(xì)地控制細(xì)節(jié)。除了可以控制源IP地址，我們還可以控制目的IP地址，我們還可以檢查源端口號(hào)和目的端口號(hào)，甚至可以檢查許多其它的高級(jí)參數(shù)，如TCP與UDP、ICMP的比較等。

實(shí)例

在本文的例子中，我們將使用數(shù)字式的標(biāo)準(zhǔn)訪問(wèn)列表。我們將使用訪問(wèn)列表號(hào)1，雖然可以從標(biāo)準(zhǔn)訪問(wèn)列表范圍中選擇任意一個(gè)數(shù)字。也就是說(shuō)我們能夠檢查這個(gè)數(shù)據(jù)包的源IP地址。

在這里，筆者只想允許一個(gè)人能夠登錄到路由器(您該不會(huì)希望有很多人可以登錄到您的路由器吧?)。只需先寫(xiě)出訪問(wèn)列表，然后將其應(yīng)用于我們的VTY端口(用于遠(yuǎn)程登錄)。我們將用“*”來(lái)控制特定的位模式，并只允許采用幾乎任何組合的特定的網(wǎng)絡(luò)/子網(wǎng)。

此外，在這里有一些免費(fèi)的白皮書(shū)討論這些問(wèn)題。您可以根據(jù)自己的路由器和網(wǎng)絡(luò)參考其中的配置。

下面具體看一個(gè)實(shí)例：

以下是引用片段：

bbone_ok>enable 

bbone_ok #config t 

bbone_ok (config)#access-list 1 permit 130.107.12.114

在這幾行中，我們僅僅進(jìn)入了全局配置模式，創(chuàng)建了一個(gè)訪問(wèn)列表號(hào)1，并只允許源自130.107.12.114的數(shù)據(jù)包。那么，我們?nèi)绾沃肋@是一個(gè)源地址而不是目標(biāo)地址呢?很簡(jiǎn)單，因?yàn)檫@是一個(gè)標(biāo)準(zhǔn)的訪問(wèn)列表(1是標(biāo)準(zhǔn)訪問(wèn)列表范圍中的第一個(gè)數(shù)字)，而且此標(biāo)準(zhǔn)訪問(wèn)列表所能做的唯一事情就是檢查源IP地址。

到目前為止，這個(gè)訪問(wèn)列表還沒(méi)有做任何事情，因?yàn)槲覀儾](méi)有將其運(yùn)用到任何地方。為了便于理解，我們可以將這個(gè)訪問(wèn)列表當(dāng)作一個(gè)安全警衛(wèi)。我們已經(jīng)雇用了這個(gè)安全警衛(wèi)，不過(guò)我們還沒(méi)有為他分配任務(wù)呢：該讓他警衛(wèi)哪一個(gè)門(mén)?可以通過(guò)使用show startup-config命令查看其“門(mén)”的配置，這個(gè)列表應(yīng)當(dāng)可以被運(yùn)用到我們希望控制的任何接口上。因?yàn)槲覀兿肟刂芕TY端口，所以先給出訪問(wèn)VTY接口的命令：

以下是引用片段：

bbone_ok(config)#line vty 0 4 

bbone_ok(config-line)#access-class 1 in

一旦我們進(jìn)入了行配置模式，就可以通過(guò)“access-class”命令應(yīng)用前面所創(chuàng)建的訪問(wèn)列表1。“access-class”命令將此訪問(wèn)列表應(yīng)用于行配置模式(即此處的VTY)。

如此一來(lái)，這就僅允許擁有IP地址130.107.12.114的用戶(hù)能夠登錄到我們的設(shè)備，其它的工作站都被禁止。

這個(gè)簡(jiǎn)單的例子向我們展示了訪問(wèn)控制列表的功能，但愿對(duì)你有所幫助。