使用访问列表管理IP流量.ppt

2004,Enhan info,Inc.All rights reserved.,使用Access Lists管理IP流量,目标,通过本章学习，你能够完成以下工作:运用Cisco IOS 命令来配置标准访问控制列表和扩展的访问控制列表运用show 的相关命令来校验访问控制列表的配置,2002,Cisco Systems,Inc.All rights reserved.,4,访问控制列表的应用,目标,通过本章学习，你能够完成以下内容:解释使用访问控制列表的目的及访问控制列表潜在的相关应用描述如何通过使用Cisco IOS 命令将标准的访问控制列表和扩展的访问控制列表应用到接口的进方向和出方向,管理IP流量及接入网络的增长对经过路由器的特定数据包进行过滤,为什么要使用访问控制列表?,允许或拒绝 数据包通过路由器.允许或拒绝vty 接入到路由器如果没有使用访问控制列表，数据包在特定的网络上传输将不受限制,访问控制列表应用,通过对数据包的检查来做特殊的处理,其他访问控制列表应用,标准的访问控制列表检查源地址标准的访问控制列表允许或拒绝的是整个协议扩展的访问控制列表检查源和目的地址扩展的访问控制列表允许或拒绝特定的协议,访问控制列表类型,用标准的访问控制列表来检查数据包,用扩展的访问控制列表来检查数据包,如何识别访问控制列表,标准的访问控制列表(1-99)test conditions of all IP packets from source addresses.扩展的访问控制列表(100-199)test conditions of source and destination addresses,specific TCP/IP protocols,and destination ports.Standard IP lists(1300-1999)(expanded range).Extended IP lists(2000-2699)(expanded range).Other access list number ranges test conditions for other networking protocols.,出接口ACL 操作,If no access list statement matches,then discard the packet.,列表测试:拒绝 或 允许,0 代表检查相应的地址位 1 代表忽略相应的地址位.,匹配码:如何检查相应的地址位,例如,检查所有的地址位.通过使用 host关键字来缩写匹配位(host 172.30.16.29).,检查所有的地址位(匹配所有).,检验一个IP地址,例如:,通配码匹配特定的IP地址,接受任何地址:any缩写以上表达使用关键字 any.,测试条件:忽略任何的IP地址(匹配任何).,一个IP主机地址,例如:,通配码匹配任何IP地址,检查IP子网 172.30.16.0/24 to 172.30.31.0/24.,地址和通配码:,通配码匹配IP子网,访问控制列表配置,Router(config)#access-list access-list-number permit|deny|remark source mask,配置标准访问控制列表,Router(config)#access-list access-list-number permit|deny protocol source source-wildcard operator port destination destination-wildcard operator port established log,配置扩展访问控制列表,Router(config)#ip access-list standard|extended nameRouter(config std-|ext-nacl)#permit|deny ip access list test conditionsRouter(config std-|ext-nacl)#no permit|deny ip access list test conditions,配置命名访问控制列表,Router(config-if)#ip access-group access-list-number|name in|out,应用访问控制列表,ACL配置实例,Router(config)#access-list 1 deny 10.0.0.0 0.255.255.255 logRouter(config)#access-list 1 deny 172.16.0.0 0.15.255.255 logRouter(config)#access-list 1 deny 192.168.0.0 0.0.255.255 logRouter(config)#access-list 1 permit anyRouter(config)#interface e0Router(config-if)#ip access-group 1 in,Router(config)#access-list 100 deny ip 10.0.0.0 0.255.255.255 any log-inputRouter(config)#access-list 100 deny ip 172.16.0.0 0.15.255.255 any log-inputRouter(config)#access-list 100 deny ip 192.168.0.0 0.0.255.255 any log-inputRouter(config)#access-list 100 permit ip any anyRouter(config)#interface e0Router(config-if)#ip access-group 100 in,ACL配置实例,Router(config)#ip access-list extended DENY_RFC1918Router(config-ext-nacl)#deny ip 10.0.0.0 0.255.255.255 any log-inputRouter(config-ext-nacl)#deny ip 172.16.0.0 0.15.255.255 any log-inputRouter(config-ext-nacl)#deny ip 192.168.0.0 0.0.255.255 any log-inputRouter(config-ext-nacl)#permit ip any anyRouter(config)#interface e0Router(config-if)#ip access-group DENY_RFC1918 in,Router(config)#ip access-list standard DENY_RFC1918Router(config-std-nacl)#deny 10.0.0.0 0.255.255.255 logRouter(config-std-nacl)#deny 172.16.0.0 0.15.255.255 logRouter(config-std-nacl)#deny 192.168.0.0 0.0.255.255 logRouter(config-std-nacl)#permit anyRouter(config)#interface e0Router(config-if)#ip access-group DENY_RFC1918 in,配置基于时间的访问控制列表,Router(config)#time-range time-range-name,定义时间段,Router(config-time-range)#absolute start time date end time date,定义绝对时间段,Router(config-time-range)#periodic days-of-the-week hh:mm to days-of-the-week hh:mm,定义时间段周期,Periodic可以有多个语句，absolute只能有一条,基于时间访问控制列表配置实例,Router(config)#time-range no-http Router(config-time-range)#periodic weekdays 8:00 to 17:59 Router(config)#time-range udp-yes Router(config-time-range)#periodic weekend 12:00 to 19:59 Router(config)#ip access-list extended strict Router(config-ext-nacl)#deny tcp any any eq http time-range no-http Router(config-ext-nacl)#permit udp any any time-range udp-yes Router(config)#interface ethernet 0 Router(config-if)#ip access-group strict in,总结,访问控制列表为网络控制提供了一个强有力的工具.访问控制列表可以灵活的应用于路由器的进接口或出接口.可以对网络的流量和用户的接入进行管理.一个IP访问控制列表是有序的列表,它能根据IP地址或上层协议做出允许或拒绝,控制列表可以过滤通过本路由器的流量,但是不能过滤自身产生的流量.访问控制列表是 Cisco IOS 的一个附加机制.你能够定义访问控制列表来过滤数据包,或测试数据包是否到达目的地或者被丢弃,总结(续.),进接口的访问控制列表用来检查进接口方向的数据,在他们被路由到出接口方向之前,出接口的访问控制列表在出接口的方向应用,用来检查出接口的数据包.Cisco IOS 软件执行访问控制列表是按顺序的,所以第一个访问控制列表的条目被第一个检查,然后以次类推使用通配码来来检验或忽略IP地址,