I-用訪問列表初步管理IP流量.ppt

第九章用訪問列表初步管理IP流量 本章目標(biāo) 通過本章的學(xué)習(xí) 您應(yīng)該掌握以下內(nèi)容 識別IP訪問列表的主要作用和工作流程配置標(biāo)準(zhǔn)的IP訪問列表利用訪問列表控制虛擬會話的建立配置擴(kuò)展的IP訪問列表查看IP訪問列表 172 16 0 0 172 17 0 0 Internet 為什么要使用訪問列表 管理網(wǎng)絡(luò)中逐步增長的IP數(shù)據(jù)當(dāng)數(shù)據(jù)通過路由器時進(jìn)行過濾 訪問列表的應(yīng)用 允許 拒絕數(shù)據(jù)包通過路由器允許 拒絕Telnet會話的建立沒有設(shè)置訪問列表時 所有的數(shù)據(jù)包都會在網(wǎng)絡(luò)上傳輸 虛擬會話 IP 端口上的數(shù)據(jù)傳輸 QueueList 優(yōu)先級判斷 訪問列表的其它應(yīng)用 基于數(shù)據(jù)包檢測的特殊數(shù)據(jù)通訊應(yīng)用 QueueList 優(yōu)先級判斷 訪問列表的其它應(yīng)用 按需撥號 基于數(shù)據(jù)包檢測的特殊數(shù)據(jù)通訊應(yīng)用 訪問列表的其它應(yīng)用 路由表過濾 RoutingTable QueueList 優(yōu)先級判斷 按需撥號 基于數(shù)據(jù)包檢測的特殊數(shù)據(jù)通訊應(yīng)用 標(biāo)準(zhǔn)檢查源地址通常允許 拒絕的是完整的協(xié)議 OutgoingPacket E0 S0 IncomingPacket AccessListProcesses Permit 什么是訪問列表 標(biāo)準(zhǔn) 標(biāo)準(zhǔn)檢查源地址通常允許 拒絕的是完整的協(xié)議擴(kuò)展檢查源地址和目的地址通常允許 拒絕的是某個特定的協(xié)議 OutgoingPacket E0 S0 IncomingPacket AccessListProcesses Permit Protocol 什么是訪問列表 擴(kuò)展 標(biāo)準(zhǔn)檢查源地址通常允許 拒絕的是完整的協(xié)議擴(kuò)展檢查源地址和目的地址通常允許 拒絕的是某個特定的協(xié)議進(jìn)方向和出方向 OutgoingPacket E0 S0 IncomingPacket AccessListProcesses Permit Protocol 什么是訪問列表 訪問列表配置指南 訪問列表的編號指明了使用何種協(xié)議的訪問列表每個端口 每個方向 每條協(xié)議只能對應(yīng)于一條訪問列表訪問列表的內(nèi)容決定了數(shù)據(jù)的控制順序具有嚴(yán)格限制條件的語句應(yīng)放在訪問列表所有語句的最上面在訪問列表的最后有一條隱含聲明 denyany 每一條正確的訪問列表都至少應(yīng)該有一條允許語句先創(chuàng)建訪問列表 然后應(yīng)用到端口上訪問列表不能過濾由路由器自己產(chǎn)生的數(shù)據(jù) 訪問列表設(shè)置命令 Step1 設(shè)置訪問列表測試語句的參數(shù) access listaccess list number permit deny testconditions Router config Step1 設(shè)置訪問列表測試語句的參數(shù) Router config Step2 在端口上應(yīng)用訪問列表 protocol access groupaccess list number in out Router config if 訪問列表設(shè)置命令 IP訪問列表的標(biāo)號為1 99和100 199 access listaccess list number permit deny testconditions 如何識別訪問列表號 編號范圍 訪問列表類型 IP 1 99 Standard 標(biāo)準(zhǔn)訪問列表 1to99 檢查IP數(shù)據(jù)包的源地址 編號范圍 訪問列表類型 如何識別訪問列表號 IP 1 99100 199 StandardExtended 標(biāo)準(zhǔn)訪問列表 1to99 檢查IP數(shù)據(jù)包的源地址擴(kuò)展訪問列表 100to199 檢查源地址和目的地址 具體的TCP IP協(xié)議和目的端口 編號范圍 IP 1 99100 199Name CiscoIOS11 2andlater 800 899900 9991000 1099Name CiscoIOS11 2 Fandlater StandardExtendedSAPfiltersNamed StandardExtendedNamed 訪問列表類型 IPX 如何識別訪問列表號 標(biāo)準(zhǔn)訪問列表 1to99 檢查IP數(shù)據(jù)包的源地址擴(kuò)展訪問列表 100to199 檢查源地址和目的地址 具體的TCP IP協(xié)議和目的端口其它訪問列表編號范圍表示不同協(xié)議的訪問列表 SourceAddress Segment forexample TCPheader Data Packet IPheader FrameHeader forexample HDLC Deny Permit Useaccessliststatements1 99 用標(biāo)準(zhǔn)訪問列表測試數(shù)據(jù) DestinationAddress SourceAddress Protocol PortNumber Segment forexample TCPheader Data Packet IPheader FrameHeader forexample HDLC Useaccessliststatements1 99or100 199totestthepacket Deny Permit 用擴(kuò)展訪問列表測試數(shù)據(jù) AnExamplefromaTCP IPPacket 通配符 如何檢查相應(yīng)的地址位 0表示檢查與之對應(yīng)的地址位的值1表示忽略與之對應(yīng)的地址位的值 donotcheckaddress ignorebitsinoctet 0 0 0 0 0 0 0 0 Octetbitpositionandaddressvalueforbit ignorelast6addressbits checkalladdressbits matchall ignorelast4addressbits checklast2addressbits Examples 通配符掩碼指明特定的主機(jī) 例如172 30 16 290 0 0 0檢查所有的地址位可以簡寫為host host172 30 16 29 Testconditions Checkalltheaddressbits matchall 172 30 16 29 0 0 0 0 checksallbits AnIPhostaddress forexample Wildcardmask 通配符掩碼指明所有主機(jī) 所有主機(jī) 0 0 0 0255 255 255 255可以用any簡寫 Testconditions Ignorealltheaddressbits matchany 0 0 0 0 255 255 255 255 ignoreall AnyIPaddress Wildcardmask CheckforIPsubnets172 30 16 0 24to172 30 31 0 24 Network host172 30 16 0 Wildcardmask 00001111 00010000 1600010001 1700010010 18 00011111 31 通配符掩碼和IP子網(wǎng)的對應(yīng) Addressandwildcardmask 172 30 16 00 0 15 255 標(biāo)準(zhǔn)IP訪問列表的配置 access listaccess list number permit deny source mask Router config 為訪問列表設(shè)置參數(shù)IP標(biāo)準(zhǔn)訪問列表編號1到99缺省的通配符掩碼 0 0 0 0 noaccess listaccess list number 命令刪除訪問列表 access listaccess list number permit deny source mask Router config 標(biāo)準(zhǔn)IP訪問列表的配置 在端口上應(yīng)用訪問列表指明是進(jìn)方向還是出方向缺省 出方向 noipaccess groupaccess list number 命令在端口上刪除訪問列表 Router config if ipaccess groupaccess list number in out 為訪問列表設(shè)置參數(shù)IP標(biāo)準(zhǔn)訪問列表編號1到99缺省的通配符掩碼 0 0 0 0 noaccess listaccess list number 命令刪除訪問列表 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 標(biāo)準(zhǔn)訪問列表舉例1 access list1permit172 16 0 00 0 255 255 implicitdenyall notvisibleinthelist access list1deny0 0 0 0255 255 255 255 Permitmynetworkonly access list1permit172 16 0 00 0 255 255 implicitdenyall notvisibleinthelist access list1deny0 0 0 0255 255 255 255 interfaceethernet0ipaccess group1outinterfaceethernet1ipaccess group1out 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 標(biāo)準(zhǔn)訪問列表舉例1 標(biāo)準(zhǔn)訪問列表舉例2 Denyaspecifichost 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 access list1deny172 16 4 130 0 0 0 標(biāo)準(zhǔn)訪問列表舉例2 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 Denyaspecifichost access list1deny172 16 4 130 0 0 0access list1permit0 0 0 0255 255 255 255 implicitdenyall access list1deny0 0 0 0255 255 255 255 access list1deny172 16 4 130 0 0 0access list1permit0 0 0 0255 255 255 255 implicitdenyall access list1deny0 0 0 0255 255 255 255 interfaceethernet0ipaccess group1out 標(biāo)準(zhǔn)訪問列表舉例2 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 Denyaspecifichost 標(biāo)準(zhǔn)訪問列表舉例3 Denyaspecificsubnet 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 access list1deny172 16 4 00 0 0 255access list1permitany implicitdenyall access list1deny0 0 0 0255 255 255 255 access list1deny172 16 4 00 0 0 255access list1permitany implicitdenyall access list1deny0 0 0 0255 255 255 255 interfaceethernet0ipaccess group1out 標(biāo)準(zhǔn)訪問列表舉例3 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 Denyaspecificsubnet 在路由器上過濾vty 五個虛擬通道 0到4 路由器的vty端口可以過濾數(shù)據(jù)在路由器上執(zhí)行vty訪問的控制 0 1 2 3 4 Virtualports vty0through4 Physicalporte0 Telnet Consoleport directconnect console e0 如何控制vty訪問 0 1 2 3 4 Virtualports vty0through4 Physicalport e0 Telnet 使用標(biāo)準(zhǔn)訪問列表語句用access class命令應(yīng)用訪問列表在所有vty通道上設(shè)置相同的限制條件 Router e0 虛擬通道的配置 指明vty通道的范圍 在訪問列表里指明方向 access classaccess list number in out linevty04 Router config Router config line 虛擬通道訪問舉例 只允許網(wǎng)絡(luò)192 89 55 0內(nèi)的主機(jī)連接路由器的vty通道 access list12permit192 89 55 00 0 0 255 linevty04access class12in ControllingInboundAccess 標(biāo)準(zhǔn)訪問列表和擴(kuò)展訪問列表比較 標(biāo)準(zhǔn) 擴(kuò)展 基于源地址 基于源地址和目標(biāo)地址 允許和拒絕完整的TCP IP協(xié)議 指定TCP IP的特定協(xié)議和端口號 編號范圍100到199 編號范圍1到99 擴(kuò)展IP訪問列表的配置 Router config 設(shè)置訪問列表的參數(shù) access listaccess list number permit deny protocolsourcesource wildcard operatorport destinationdestination wildcard operatorport established log Router config if ipaccess groupaccess list number in out 擴(kuò)展IP訪問列表的配置 在端口上應(yīng)用訪問列表 設(shè)置訪問列表的參數(shù) Router config access listaccess list number permit deny protocolsourcesource wildcard operatorport destinationdestination wildcard operatorport established log 擴(kuò)展訪問列表應(yīng)用舉例1 拒絕子網(wǎng)172 16 4 0的數(shù)據(jù)使用路由器e0口ftp到子網(wǎng)172 16 3 0允許其它數(shù)據(jù) 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 access list101denytcp172 16 4 00 0 0 255172 16 3 00 0 0 255eq21access list101denytcp172 16 4 00 0 0 255172 16 3 00 0 0 255eq20access list101permitipanyany implicitdenyall access list101denyip0 0 0 0255 255 255 2550 0 0 0255 255 255 255 access list101denytcp172 16 4 00 0 0 255172 16 3 00 0 0 255eq21access list101denytcp172 16 4 00 0 0 255172 16 3 00 0 0 255eq20access list101permitipanyany implicitdenyall access list101denyip0 0 0 0255 255 255 2550 0 0 0255 255 255 255 interfaceethernet0ipaccess group101out 擴(kuò)展訪問列表應(yīng)用舉例1 拒絕子網(wǎng)172 16 4 0的數(shù)據(jù)使用路由器e0口ftp到子網(wǎng)172 16 3 0允許其它數(shù)據(jù) 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 擴(kuò)展訪問列表應(yīng)用舉例2 拒絕子網(wǎng)172 16 4 0內(nèi)的主機(jī)使用路由器的E0端口建立Telnet會話允許其它數(shù)據(jù) 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 access list101denytcp172 16 4 00 0 0 255anyeq23access list101permitipanyany implicitdenyall access list101denytcp172 16 4 00 0 0 255anyeq23access list101permitipanyany implicitdenyall interfaceethernet0ipaccess group101out 擴(kuò)展訪問列表應(yīng)用舉例2 拒絕子網(wǎng)172 16 4 0內(nèi)的主機(jī)使用路由器的E0端口建立Telnet會話允許其它數(shù)據(jù) 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 使用名稱訪問列表 Router config ipaccess list standard extended name 適用于IOS版本號為11 2以后 所使用的名稱必須一致 使用名稱訪問列表 適用于IOS版本號為11 2以后 所使用的名稱必須一致 允許和拒絕語句不需要訪問列表編號 no 命令刪除訪問列表 在端口上應(yīng)用訪問列表 訪問列表配置準(zhǔn)則 訪問列表中限制語句的位置是至關(guān)重要的將限制條件嚴(yán)格的語句放在訪問列表的最上面使用noaccess listnumber命令刪除完整的訪問列表例外 名稱訪問列表可以刪除單獨的語句隱含聲明denyall在設(shè)置的訪問列表中要有一句permitany 訪問列表的放置原則 將擴(kuò)展訪問列表置于離源設(shè)備較近的位置將標(biāo)準(zhǔn)訪問列表置于離目的設(shè)備較近的位置 E0 E0 E1 S0 To0 S1 S0 S1 E0 E0 B A C 推薦 D Router showipinte0Ethernet0isup lineprotocolisupInternetaddressis10 1 1 11 24Broadcastaddressis255 255 255 255AddressdeterminedbysetupcommandMTUis1500bytesHelpe