第十章用訪問列表初步管理 IP流量ppt課件

1、第十章用訪問列表初步管理 IP流量,本章目標,通過本章的學習，您應該掌握以下內容： 識別 IP 訪問列表的主要作用和工作流程 配置標準的 IP 訪問列表 利用訪問列表控制虛擬會話的建立 配置擴展的 IP 訪問列表 查看 IP 訪問列表,管理網(wǎng)絡中逐步增長的 IP 數(shù)據(jù),為什么要使用訪問列表,,,Internet,管理網(wǎng)絡中逐步增長的 IP 數(shù)據(jù) 當數(shù)據(jù)通過路由器時進行過濾,為什么要使用訪問列表,訪問列表的應用,允許、拒絕數(shù)據(jù)包通過路由器 允許、拒絕Telnet會話的建立 沒有設置訪問列表時，所有的數(shù)據(jù)包都會在網(wǎng)絡上傳輸,虛擬會話 (IP),端口上的數(shù)據(jù)傳

2、輸,QueueList,優(yōu)先級判斷,訪問列表的其它應用,基于數(shù)據(jù)包檢測的特殊數(shù)據(jù)通訊應用,QueueList,優(yōu)先級判斷,訪問列表的其它應用,按需撥號,基于數(shù)據(jù)包檢測的特殊數(shù)據(jù)通訊應用,訪問列表的其它應用,路由表過濾,RoutingTable,QueueList,優(yōu)先級判斷,按需撥號,基于數(shù)據(jù)包檢測的特殊數(shù)據(jù)通訊應用,標準 檢查源地址 通常允許、拒絕的是完整的協(xié)議,Outgoing Packet,E0,S0,Incoming Packet,Access List Processes,Permit?,什么是訪問列表,標準 檢查源地址 通常允許、拒絕的是完整的協(xié)議 擴展 檢查源地址和目的地址 通常

3、允許、拒絕的是某個特定的協(xié)議,Outgoing Packet,E0,S0,Incoming Packet,Access List Processes,Permit?,Protocol,什么是訪問列表,標準 檢查源地址 通常允許、拒絕的是完整的協(xié)議 擴展 檢查源地址和目的地址 通常允許、拒絕的是某個特定的協(xié)議 進方向和出方向,Outgoing Packet,E0,S0,Incoming Packet,Access List Processes,Permit?,Protocol,什么是訪問列表,InboundInterface Packets,N,Y,Packet Discard Bucket,C

4、hoose Interface,N,Access List?,Routing Table Entry?,Y,Outbound Interfaces,Packet,S0,出端口方向上的訪問列表,Outbound Interfaces,Packet,N,Y,Packet Discard Bucket,Choose Interface,Routing Table Entry?,N,Packet,Test Access List Statements,Permit?,Y,出端口方向上的訪問列表,Access List?,Y,S0,E0,InboundInterface Packets,Notify S

5、ender,出端口方向上的訪問列表,If no access list statement matches then discard the packet,N,Y,Packet Discard Bucket,Choose Interface,Routing Table Entry?,N,Y,Test Access List Statements,Permit?,Y,Access List?,Discard Packet,N,Outbound Interfaces,Packet,Packet,S0,E0,InboundInterface Packets,訪問列表的測試：允許和拒絕,Packets

6、 to interfaces in the access group,Packet Discard Bucket,Y,Interface(s),Destination,Deny,Deny,Y,Match First Test ?,Permit,訪問列表的測試：允許和拒絕,Packets to Interface(s) in the Access Group,Packet Discard Bucket,Y,Interface(s),Destination,Deny,Deny,Y,Match First Test ?,Permit,N,Deny,Permit,Match Next Test(s)

7、?,Y,Y,訪問列表的測試：允許和拒絕,Packets to Interface(s) in the Access Group,Packet Discard Bucket,Y,Interface(s),Destination,Deny,Deny,Y,Match First Test ?,Permit,N,Deny,Permit,Match Next Test(s) ?,Deny,Match Last Test?,Y,Y,N,Y,Y,Permit,訪問列表的測試：允許和拒絕,Packets to Interface(s) in the Access Group,Packet Discard Bu

8、cket,Y,Interface(s),Destination,Deny,Y,Match First Test ?,Permit,N,Deny,Permit,Match Next Test(s) ?,Deny,Match Last Test?,Y,Y,N,Y,Y,Permit,Implicit Deny,If no match deny all,Deny,N,訪問列表配置指南,訪問列表的編號指明了使用何種協(xié)議的訪問列表 每個端口、每個方向、每條協(xié)議只能對應于一條訪問列表 訪問列表的內容決定了數(shù)據(jù)的控制順序 具有嚴格限制條件的語句應放在訪問列表所有語句的最上面 在訪問列表的最后有一條隱含聲明：d

9、eny any每一條正確的訪問列表都至少應該有一條允許語句 先創(chuàng)建訪問列表，然后應用到端口上 訪問列表不能過濾由路由器自己產生的數(shù)據(jù),訪問列表設置命令,Step 1: 設置訪問列表測試語句的參數(shù),access-list access-list-number permit | deny test conditions ,Router(config)#,Step 1:設置訪問列表測試語句的參數(shù),Router(config)#,Step 2: 在端口上應用訪問列表, protocol access-group access-list-number in | out,Router(config-if)

10、#,訪問列表設置命令,IP 訪問列表的標號為 1-99 和 100-199,access-list access-list-number permit | deny test conditions ,如何識別訪問列表,編號范圍,訪問列表類型,IP,1-99,Standard,標準訪問列表 (1 to 99) 檢查 IP 數(shù)據(jù)包的源地址,編號范圍,訪問列表類型,如何識別訪問列表,IP,1-99 100-199,Standard Extended,標準訪問列表 (1 to 99) 檢查 IP 數(shù)據(jù)包的源地址 擴展訪問列表 (100 to 199) 檢查源地址和目的地址、具體的 TCP/IP 協(xié)議和

11、目的端口,編號范圍,IP,1-99 100-199 Name (Cisco IOS 11.2 and later),800-899 900-999 1000-1099 Name (Cisco IOS 11.2. F and later),Standard Extended SAP filters Named,Standard Extended Named,訪問列表類型,IPX,如何識別訪問列表,標準訪問列表 (1 to 99) 檢查 IP 數(shù)據(jù)包的源地址 擴展訪問列表 (100 to 199) 檢查源地址和目的地址、具體的 TCP/IP 協(xié)議和目的端口 其它訪問列表編號范圍表示不同協(xié)議的訪問列

12、表,Source Address,Segment (for example, TCP header),Data,Packet (IP header),Frame Header (for example, HDLC),Deny,Permit,Use access list statements 1-99,用標準訪問列表測試數(shù)據(jù),Destination Address,Source Address,Protocol,Port Number,Segment (for example, TCP header),Data,Packet (IP header),Frame Header (for exam

13、ple, HDLC),Use access list statements 1-99 or 100-199 to test the packet,Deny,Permit,An Example from a TCP/IP Packet,用擴展訪問列表測試數(shù)據(jù),0 表示檢查與之對應的地址位的值 1表示忽略與之對應的地址位的值,do not check address (ignore bits in octet),=,0,0,0,0,0,0,0,0,Octet bit position and address value for bit,ignore last 6 address bits,chec

14、k all address bits (match all),ignore last 4 address bits,check last 2 address bits,Examples,通配符：如何檢查相應的地址位,例如 9 檢查所有的地址位 可以簡寫為 host (host 9),Test conditions: Check all the address bits (match all),9,,(checks all bits),An IP host address, for example:,

15、Wildcard mask:,通配符掩碼指明特定的主機,所有主機: 55 可以用 any 簡寫,Test conditions: Ignore all the address bits (match any),,55,(ignore all),Any IP address,Wildcard mask:,通配符掩碼指明所有主機,Check for IP subnets /24 to /24,Network .host ,Wildcard mask:

16、0 0 0 0 1 1 1 1 | 0 0 0 1 0 0 0 0 = 16 0 0 0 1 0 0 0 1 =17 0 0 0 1 0 0 1 0 =18 : : 0 0 0 1 1 1 1 1 =31,Address and wildcard mask: 55,通配符掩碼和IP子網(wǎng)的對應, 1999, Cisco Systems, Inc.,10-31,配置標準的 IP 訪問列表,標準IP訪問列表的配置,access-list access-list-number permit|deny source mask,Router(config)#,為訪問

17、列表設置參數(shù) IP 標準訪問列表編號 1 到 99 缺省的通配符掩碼 = “no access-list access-list-number” 命令刪除訪問列表,access-list access-list-number permit|deny source mask,Router(config)#,在端口上應用訪問列表 指明是進方向還是出方向 缺省 = 出方向 “no ip access-group access-list-number” 命令在端口上刪除訪問列表,Router(config-if)#,ip access-group access-list-number

18、in | out ,為訪問列表設置參數(shù) IP 標準訪問列表編號 1 到 99 缺省的通配符掩碼 = “no access-list access-list-number” 命令刪除訪問列表,標準IP訪問列表的配置,,,3,E0,S0,E1,Non- ,標準訪問列表舉例 1,access-list 1 permit 55 (implicit deny all - not visible in the list) (access-list 1 deny 0.0.0

19、.0 55),Permit my network only,access-list 1 permit 55 (implicit deny all - not visible in the list) (access-list 1 deny 55) interface ethernet 0 ip access-group 1 out interface ethernet 1 ip access-group 1 out,,,3,E0

20、,S0,E1,Non- ,標準訪問列表舉例 1,Deny a specific host,標準訪問列表舉例 2,,,3,E0,S0,E1,Non- ,access-list 1 deny 3 ,標準訪問列表舉例 2,,,3,E0,S0,E1,Non- ,Deny a specific host,access-list 1 deny 3 access

21、-list 1 permit 55 (implicit deny all) (access-list 1 deny 55),access-list 1 deny 3 access-list 1 permit 55 (implicit deny all) (access-list 1 deny 55) interface ethernet 0 ip access-group 1 out,標準訪問

22、列表舉例 2,,,3,E0,S0,E1,Non- ,Deny a specific host,Deny a specific subnet,標準訪問列表舉例 3,,,3,E0,S0,E1,Non- ,access-list 1 deny 55 access-list 1 permit any (implicit deny all)(access-list 1 deny 255.255.

23、255.255),access-list 1 deny 55 access-list 1 permit any (implicit deny all)(access-list 1 deny 55) interface ethernet 0 ip access-group 1 out,標準訪問列表舉例 3,,,3,E0,S0,E1,Non- ,Deny a specific subnet, 1999, Cisco Systems, Inc.

24、,10-41,用訪問列表控制vty訪問,在路由器上過濾vty,五個虛擬通道 (0 到 4) 路由器的vty端口可以過濾數(shù)據(jù) 在路由器上執(zhí)行vty訪問的控制,0,1,2,3,4,Virtual ports (vty 0 through 4),Physical port e0 (Telnet),Console port (direct connect),console,e0,如何控制vty訪問,0,1,2,3,4,Virtual ports (vty 0 through 4),Physical port (e0) (Telnet),使用標準訪問列表語句 用 access-class 命令應用訪問列

25、表 在所有vty通道上設置相同的限制條件,Router#,e0,虛擬通道的配置,指明vty通道的范圍,在訪問列表里指明方向,access-class access-list-number in|out,line vty#vty# | vty-range,Router(config)#,Router(config-line)#,虛擬通道訪問舉例,只允許網(wǎng)絡 內的主機連接路由器的 vty 通道,access-list 12 permit 55 ! line vty 0 4 access-class 12 in,Controlling In

26、bound Access, 1999, Cisco Systems, Inc.,10-46,擴展 IP 訪問列表的配置,標準訪問列表和擴展訪問列表比較,標準,擴展,基于源地址,基于源地址和目標地址,允許和拒絕完整的 TCP/IP協(xié)議,指定TCP/IP的特定協(xié)議 和端口號,編號范圍 100 到 199.,編號范圍 1 到 99,擴展 IP 訪問列表的配置,Router(config)#,設置訪問列表的參數(shù),access-list access-list-number permit | deny protocol source source-wildcard operator port desti

27、nation destination-wildcard operator port established log,Router(config-if)# ip access-group access-list-number in | out ,擴展 IP 訪問列表的配置,在端口上應用訪問列表,設置訪問列表的參數(shù),Router(config)# access-list access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard ope

28、rator port established log,拒絕子網(wǎng) 的數(shù)據(jù)使用路由器e0口ftp到子網(wǎng) 允許其它數(shù)據(jù),,,3,E0,S0,E1,Non- ,擴展訪問列表應用舉例 1,access-list 101 deny tcp 55 55 eq 21 access-list 101 deny tcp 55 55 eq 20,拒絕子網(wǎng)1

29、 的數(shù)據(jù)使用路由器e0口ftp到子網(wǎng) 允許其它數(shù)據(jù),擴展訪問列表應用舉例 1,,,3,E0,S0,E1,Non- ,access-list 101 deny tcp 55 55 eq 21 access-list 101 deny tcp 55 55 eq 20 access-list 101 permit ip any any (im

30、plicit deny all) (access-list 101 deny ip 55 55),access-list 101 deny tcp 55 55 eq 21 access-list 101 deny tcp 55 55 eq 20 access-list 101 permit ip any any (implicit deny all) (access-l

31、ist 101 deny ip 55 55) interface ethernet 0 ip access-group 101 out,拒絕子網(wǎng) 的數(shù)據(jù)使用路由器e0口ftp到子網(wǎng) 允許其它數(shù)據(jù),擴展訪問列表應用舉例 1,,,3,E0,S0,E1,Non- ,拒絕子網(wǎng) 內的主機使用路由器的 E0 端口建立Telnet會話 允許其它數(shù)據(jù),擴展訪問列表應用舉例 2,172.1

32、6.3.0,,3,E0,S0,E1,Non- ,access-list 101 deny tcp 55 any eq 23,拒絕子網(wǎng) 內的主機使用路由器的 E0 端口建立Telnet會話 允許其它數(shù)據(jù),擴展訪問列表應用舉例 2,,,3,E0,S0,E1,Non- ,access-list 101 deny tcp 55 any eq 23 access-list

33、101 permit ip any any (implicit deny all),access-list 101 deny tcp 55 any eq 23 access-list 101 permit ip any any (implicit deny all) interface ethernet 0 ip access-group 101 out,拒絕子網(wǎng) 內的主機使用路由器的 E0 端口建立Telnet會話 允許其它數(shù)據(jù),擴展訪問列表應用舉例 2,,,3,E0,S0,

34、E1,Non- ,使用名稱訪問列表,Router(config)#,ip access-list standard | extended name,適用于IOS版本號為11.2以后,所使用的名稱必須一致,使用名稱訪問列表,Router(config)#,ip access-list standard | extended name, permit | deny ip access list test conditions permit | deny ip access list test conditions no permit | deny ip access list

35、test conditions ,Router(config std- | ext-nacl)#,適用于IOS版本號為11.2以后,所使用的名稱必須一致,允許和拒絕語句不需要訪問列表編號 “no” 命令刪除訪問列表,使用名稱訪問列表,適用于IOS版本號為11.2以后,所使用的名稱必須一致,允許和拒絕語句不需要訪問列表編號 “no” 命令刪除訪問列表,在端口上應用訪問列表,訪問列表配置準則,訪問列表中限制語句的位置是至關重要的 將限制條件嚴格的語句放在訪問列表的最上面 使用 no access-list number 命令刪除完整的訪問列表 例外: 名稱訪問列表可以刪除單獨的語句 隱含聲明 de

36、ny all 在設置的訪問列表中要有一句 permit any,將擴展訪問列表置于離源設備較近的位置 將標準訪問列表置于離目的設備較近的位置,E0,E0,E1,S0,To0,S1,S0,S1,E0,E0,B,A,C,訪問列表的放置原則,推薦：,D,wg_ro_a#show ip int e0 Ethernet0 is up, line protocol is up Internet address is 1/24 Broadcast address is 55 Address determined by setup command MTU is 150

37、0 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1 Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is disabled IP Feature Fast switching turbo vector IP multicast fast switching is enabled IP multicast distributed fast switching