【教学课件】第十二章IP访问控制列表.ppt

第十二章IP访问控制列表,Internet,管理网络中逐步增长的 IP 数据当数据通过路由器时进行过滤,为什么要使用访问列表,访问列表的应用,允许、拒绝数据包通过路由器允许、拒绝Telnet会话的建立没有设置访问列表时，所有的数据包都会在网络上传输,虚拟会话(IP),端口上的数据传输,标准检查源地址通常允许、拒绝的是完整的协议,OutgoingPacket,E0,S0,IncomingPacket,Access List Processes,Permit?,什么是访问列表-标准,标准检查源地址通常允许、拒绝的是完整的协议扩展检查源地址和目的地址通常允许、拒绝的是某个特定的协议,OutgoingPacket,E0,S0,IncomingPacket,Access List Processes,Permit?,Protocol,什么是访问列表-扩展,标准检查源地址通常允许、拒绝的是完整的协议扩展检查源地址和目的地址通常允许、拒绝的是某个特定的协议进方向和出方向,OutgoingPacket,E0,S0,IncomingPacket,Access List Processes,Permit?,Protocol,什么是访问列表,InboundInterfacePackets,N,Y,Packet Discard Bucket,ChooseInterface,N,AccessList?,RoutingTable Entry?,Y,Outbound Interfaces,Packet,S0,出端口方向上的访问列表,Outbound Interfaces,Packet,N,Y,Packet Discard Bucket,ChooseInterface,RoutingTable Entry?,N,Packet,TestAccess ListStatements,Permit?,Y,出端口方向上的访问列表,AccessList?,Y,S0,E0,InboundInterfacePackets,Notify Sender,出端口方向上的访问列表,If no access list statement matches then discard the packet,N,Y,Packet Discard Bucket,ChooseInterface,RoutingTable Entry?,N,Y,TestAccess ListStatements,Permit?,Y,AccessList?,Discard Packet,N,Outbound Interfaces,Packet,Packet,S0,E0,InboundInterfacePackets,访问列表的测试：允许和拒绝,Packets to interfacesin the access group,Packet Discard Bucket,Y,Interface(s),Destination,Deny,Deny,Y,MatchFirstTest?,Permit,访问列表的测试：允许和拒绝,Packets to Interface(s)in the Access Group,Packet Discard Bucket,Y,Interface(s),Destination,Deny,Deny,Y,MatchFirstTest?,Permit,N,Deny,Permit,MatchNextTest(s)?,Y,Y,访问列表的测试：允许和拒绝,Packets to Interface(s)in the Access Group,Packet Discard Bucket,Y,Interface(s),Destination,Deny,Deny,Y,MatchFirstTest?,Permit,N,Deny,Permit,MatchNextTest(s)?,Deny,MatchLastTest?,Y,Y,N,Y,Y,Permit,访问列表的测试：允许和拒绝,Packets to Interface(s)in the Access Group,Packet Discard Bucket,Y,Interface(s),Destination,Deny,Y,MatchFirstTest?,Permit,N,Deny,Permit,MatchNextTest(s)?,Deny,MatchLastTest?,Y,Y,N,Y,Y,Permit,Implicit Deny,If no matchdeny all,Deny,N,访问列表配置指南,访问列表的编号指明了使用何种协议的访问列表每个端口、每个方向、每条协议只能对应于一条访问列表访问列表的内容决定了数据的控制顺序 具有严格限制条件的语句应放在访问列表所有语句的最上面在访问列表的最后有一条隐含声明：deny any每一条正确的访问列表都至少应该有一条允许语句先创建访问列表，然后应用到端口上访问列表不能过滤由路由器自己产生的数据,访问列表设置命令,Step 1:设置访问列表测试语句的参数,access-list access-list-number permit|deny test conditions,Router(config)#,Step 1:设置访问列表测试语句的参数,Router(config)#,Step 2:在端口上应用访问列表,ip access-group access-list-number in|out,Router(config-if)#,访问列表设置命令,IP 访问列表的标号为 1-99 和 100-199,access-list access-list-number permit|deny test conditions,如何识别访问列表号,编号范围,访问列表类型,IP,1-99,Standard,标准访问列表(1 to 99)检查 IP 数据包的源地址,编号范围,访问列表类型,如何识别访问列表号,IP,1-99100-199,StandardExtended,标准访问列表(1 to 99)检查 IP 数据包的源地址扩展访问列表(100 to 199)检查源地址和目的地址、具体的 TCP/IP 协议和目的端口,编号范围,1-99 1300-1999Name(Cisco IOS 11.2 and later),100-199 2000-2699Name(Cisco IOS 11.2 and later),StandardNamed,访问列表类型,如何识别访问列表号,标准访问列表 检查 IP 数据包的源地址扩展访问列表 检查源地址和目的地址、具体的 TCP/IP 协议和目的端口其它访问列表编号范围表示不同协议的访问列表,ExtendNamed,例如 检查所有的地址位 可以简写为 host(host 172.30.16.29),Test conditions:Check all the address bits(match all),172.30.16.29,(checks all bits),An IP host address,for example:,Wildcard mask:,通配符掩码指明特定的主机,所有主机:可以用 any 简写,Test conditions:Ignore all the address bits(match any),0.0.0.0,(ignore all),Any IP address,Wildcard mask:,通配符掩码指明所有主机,标准IP访问列表的配置,access-list access-list-number permit|deny source inverse-mask,Router(config)#,为访问列表设置参数IP 标准访问列表编号 1 到 99“no access-list access-list-number”命令删除访问列表,access-list access-list-number permit|deny source mask,Router(config)#,在端口上应用访问列表指明是进方向还是出方向“no ip access-group access-list-number”命令在端口上删除访问列表,Router(config-if)#,ip access-group access-list-number in|out,为访问列表设置参数IP 标准访问列表编号 1 到 99“no access-list access-list-number”命令删除访问列表,标准IP访问列表的配置,E0,S0,E1,Non-,标准访问列表举例 1,(implicit deny all-not visible in the list)(access-list 1 deny 0.0.0.0 255.255.255.255),Permit my network only,(implicit deny all-not visible in the list)(access-list 1 deny 0.0.0.0 255.255.255.255)interface ethernet 0ip access-group 1 outinterface ethernet 1ip access-group 1 out,E0,S0,E1,Non-,标准访问列表举例 1,Deny a specific host,标准访问列表举例 2,E0,S0,E1,Non-,access-list 1 deny 172.16.4.13 0.0.0.0,标准访问列表举例 2,E0,S0,E1,Non-,Deny a specific host,access-list 1 deny 172.16.4.13 0.0.0.0 access-list 1 permit 0.0.0.0(implicit deny all)(access-list 1 deny 0.0.0.0 255.255.255.255),access-list 1 deny 172.16.4.13 0.0.0.0 access-list 1 permit 0.0.0.0(implicit deny all)(access-list 1 deny 0.0.0.0 255.255.255.255)interface ethernet 0ip access-group 1 out,标准访问列表举例 2,E0,S0,E1,Non-,Deny a specific host,Deny a specific subnet,标准访问列表举例 3,E0,S0,E1,Non-,access-list 1 deny 172.16.4.0 access-list 1 permit any(implicit deny all)(access-list 1 deny 0.0.0.0 255.255.255.255),access-list 1 deny 172.16.4.0 access-list 1 permit any(implicit deny all)(access-list 1 deny 0.0.0.0 255.255.255.255)interface ethernet 0ip access-group 1 out,标准访问列表举例 3,E0,S0,E1,Non-,Deny a specific subnet,在路由器上过滤vty,五个虚拟通道(0 到 4)路由器的vty端口可以过滤数据在路由器上执行vty访问的控制,0,1,2,3,4,Virtual ports(vty 0 through 4),Physical port e0(Telnet),Console port(direct connect),console,e0,如何控制vty访问,0,1,2,3,4,Virtual ports(vty 0 through 4),Physical port(e0)(Telnet),使用标准访问列表语句用 access-class 命令应用访问列表在所有vty通道上设置相同的限制条件,Router#,e0,虚拟通道的配置,指明vty通道的范围,在访问列表里指明方向,access-class access-list-number in|out,line vty#vty#|vty-range,Router(config)#,Router(config-line)#,虚拟通道访问举例,只允许网络192.89.55.0 内的主机连接路由器的 vty 通道,!line vty 0 4 access-class 12 in,Controlling Inbound Access,标准访问列表和扩展访问列表比较,标准,扩展,基于源地址,基于源地址和目标地址,允许和拒绝完整的TCP/IP协议,指定TCP/IP的特定协议和端口号,编号范围 100-199和2000-2699,编号范围 1-99和1300-1999,扩展 IP 访问列表的配置,Router(config)#,设置访问列表的参数,access-list access-list-number permit|deny protocol source source-wildcard operator port destination destination-wildcard operator port,Router(config-if)#ip access-group access-list-number in|out,扩展 IP 访问列表的配置,在端口上应用访问列表,Router(config)#,设置访问列表的参数,access-list access-list-number permit|deny protocol source source-wildcard operator port destination destination-wildcard operator port,拒绝子网172.16.4.0 的数据使用路由器e0口ftp到子网172.16.3.0 允许其它数据,E0,S0,E1,Non-,扩展访问列表应用举例 1,access-list 101 deny tcp 0.0.0.255 172.16.3.0 0.0.0.255 eq 21access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20,拒绝子网172.16.4.0 的数据使用路由器e0口ftp到子网172.16.3.0 允许其它数据,扩展访问列表应用举例 1,E0,S0,E1,Non-,access-list 101 deny tcp 0.0.0.255 172.16.3.0 0.0.0.255 eq 21access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20access-list 101 permit ip any any(implicit deny all)(access-list 101 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255),access-list 101 deny tcp 0.0.0.255 172.16.3.0 0.0.0.255 eq 21access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20access-list 101 permit ip any any(implicit deny all)(access-list 101 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255)interface ethernet 0ip access-group 101 out,拒绝子网172.16.4.0 的数据使用路由器e0口ftp到子网172.16.3.0 允许其它数据,扩展访问列表应用举例 1,E0,S0,E1,Non-,拒绝子网 172.16.4.0 内的主机使用路由器的 E0 端口建立Telnet会话允许其它数据,扩展访问列表应用举例 2,E0,S0,E1,Non-,access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23,拒绝子网 172.16.4.0 内的主机使用路由器的 E0 端口建立Telnet会话允许其它数据,扩展访问列表应用举例 2,E0,S0,E1,Non-,access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23access-list 101 permit ip any any(implicit deny all),access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23access-list 101 permit ip any any(implicit deny all)interface ethernet 0ip access-group 101 out,拒绝子网 172.16.4.0 内的主机使用路由器的 E0 端口建立Telnet会话允许其它数据,扩展访问列表应用举例 2,E0,S0,E1,Non-,查看访问列表的语句,wg_ro_a#show access-lists Standard IP access list 1Extended IP access list 101 permit tcp host 10.22.22.1 any eq telnet permit tcp host 10.33.33.1 any eq ftp permit tcp host 10.44.44.1 any eq ftp-data,wg_ro_a#show access-lists access-list number,