用访问列表初步管理IP流量上机.ppt

上传人：sccc

文档编号：6159925

上传时间：2023-09-30

格式：PPT

页数：62

大小：868.51KB

《用访问列表初步管理IP流量上机.ppt》由会员分享，可在线阅读，更多相关《用访问列表初步管理IP流量上机.ppt（62页珍藏版）》请在三一办公上搜索。

1、用访问列表初步管理 IP流量,本章目标,通过本章的学习，您应该掌握以下内容：识别 IP 访问列表的主要作用和工作流程配置标准的 IP 访问列表利用访问列表控制虚拟会话的建立配置扩展的 IP 访问列表查看 IP 访问列表,管理网络中逐步增长的 IP 数据,为什么要使用访问列表,172.16.0.0,172.17.0.0,Internet,管理网络中逐步增长的 IP 数据当数据通过路由器时进行过滤,为什么要使用访问列表,访问列表的应用,允许、拒绝数据包通过路由器允许、拒绝Telnet会话的建立没有设置访问列表时，所有的数据包都会在网络上传输,虚拟会话(IP),端口上的数据传输,QueueList,

2、优先级判断,访问列表的其它应用,基于数据包检测的特殊数据通讯应用,QueueList,优先级判断,访问列表的其它应用,按需拨号,基于数据包检测的特殊数据通讯应用,访问列表的其它应用,路由表过滤,RoutingTable,QueueList,优先级判断,按需拨号,基于数据包检测的特殊数据通讯应用决定转发或阻止那种类型的数据流,标准检查源地址通常允许、拒绝的是完整的协议,OutgoingPacket,E0,S0,IncomingPacket,Access List Processes,Permit?,什么是访问列表,标准检查源地址通常允许、拒绝的是完整的协议扩展检查源地址和目的地址通常允许、拒绝的

3、是某个特定的协议,OutgoingPacket,E0,S0,IncomingPacket,Access List Processes,Permit?,Protocol,什么是访问列表,标准检查源地址通常允许、拒绝的是完整的协议扩展检查源地址和目的地址通常允许、拒绝的是某个特定的协议进方向和出方向,OutgoingPacket,E0,S0,IncomingPacket,Access List Processes,Permit?,Protocol,什么是访问列表,InboundInterfacePackets,N,Y,Packet Discard Bucket,ChooseInterface,N,

4、AccessList?,RoutingTable Entry?,Y,Outbound Interfaces,Packet,S0,出端口方向上的访问列表,Outbound Interfaces,Packet,N,Y,Packet Discard Bucket,ChooseInterface,RoutingTable Entry?,N,Packet,TestAccess ListStatements,Permit?,Y,出端口方向上的访问列表,AccessList?,Y,S0,E0,InboundInterfacePackets,Notify Sender,出端口方向上的访问列表,If no ac

5、cess list statement matches then discard the packet,N,Y,Packet Discard Bucket,ChooseInterface,RoutingTable Entry?,N,Y,TestAccess ListStatements,Permit?,Y,AccessList?,Discard Packet,N,Outbound Interfaces,Packet,Packet,S0,E0,InboundInterfacePackets,是否有出栈AL,测试访问列表命令,访问列表的测试：允许和拒绝,Packets to interfacesi

6、n the access group,Packet Discard Bucket,Y,Interface(s),Destination,Deny,Deny,Y,MatchFirstTest?,Permit,访问列表的测试：允许和拒绝,Packets to Interface(s)in the Access Group,Packet Discard Bucket,Y,Interface(s),Destination,Deny,Deny,Y,MatchFirstTest?,Permit,N,Deny,Permit,MatchNextTest(s)?,Y,Y,第一条命令不匹配就测试第二条,访问列表的

7、测试：允许和拒绝,Packets to Interface(s)in the Access Group,Packet Discard Bucket,Y,Interface(s),Destination,Deny,Deny,Y,MatchFirstTest?,Permit,N,Deny,Permit,MatchNextTest(s)?,Deny,MatchLastTest?,Y,Y,N,Y,Y,Permit,访问列表的测试：允许和拒绝,Packets to Interface(s)in the Access Group,Packet Discard Bucket,Y,Interface(s),D

8、estination,Deny,Y,MatchFirstTest?,Permit,N,Deny,Permit,MatchNextTest(s)?,Deny,MatchLastTest?,Y,Y,N,Y,Y,Permit,Implicit Deny,If no matchdeny all,Deny,N,隐含命令DENY ALL,访问列表配置指南,访问列表的编号指明了使用何种协议的访问列表（1-99，100-199对应 IP协议）每个端口、每个方向、每条协议只能对应于一条访问列表访问列表的内容决定了数据的控制顺序具有严格限制条件的语句应放在访问列表所有语句的最上面,有利于提高性能。在访问列表的最

9、后有一条隐含声明：deny any每一条正确的访问列表都至少应该有一条允许语句先创建访问列表，然后应用到端口上访问列表不能过滤由路由器自己产生的数据,访问列表设置命令,Step 1:设置访问列表测试语句的参数,access-list access-list-number permit|deny test conditions,Router(config)#,Step 1:设置访问列表测试语句的参数,Router(config)#,Step 2:在端口上应用访问列表,protocol access-group access-list-number in|out,Router(config-if)

10、#,访问列表设置命令,IP 访问列表的标号为 1-99 和 100-199,access-list access-list-number permit|deny test conditions,如何识别访问列表,编号范围,访问列表类型,IP,1-99,Standard,标准访问列表(1 to 99)检查 IP 数据包的源地址,编号范围,访问列表类型,如何识别访问列表,IP,1-99100-199,StandardExtended,标准访问列表(1 to 99)检查 IP 数据包的源地址扩展访问列表(100 to 199)检查源地址和目的地址、具体的 TCP/IP 协议和目的端口,编号范围,IP

11、,1-99100-199Name(Cisco IOS 11.2 and later),800-899900-9991000-1099Name(Cisco IOS 11.2.F and later),StandardExtendedSAP filtersNamed,StandardExtendedNamed,访问列表类型,IPX,如何识别访问列表,标准访问列表(1 to 99)检查 IP 数据包的源地址扩展访问列表(100 to 199)检查源地址和目的地址、具体的 TCP/IP 协议和目的端口其它访问列表编号范围表示不同协议的访问列表,Source(只检查源地址）Address,Segment

12、(for example,TCP header),Data,Packet(IP header),Frame Header(for example,HDLC),Deny,Permit,Useaccess list statements1-99,用标准访问列表测试数据,DestinationAddress,SourceAddress,Protocol,PortNumber,Segment(for example,TCP header),Data,Packet(IP header),Frame Header(for example,HDLC),Useaccess list statements1-9

13、9 or 100-199 to test thepacket,Deny,Permit,An Example from a TCP/IP Packet,用扩展访问列表测试数据,需要检查源地址，目的地址，特定协议，端口号以及其他参数,0 表示检查与之对应的地址位的值1表示忽略与之对应的地址位的值,do not check address(ignore bits in octet),=,0,0,0,0,0,0,0,0,Octet bit position and address value for bit,ignore last 6 address bits,check all address bi

14、ts(match all),ignore last 4 address bits,check last 2 address bits,Examples,通配符：如何检查相应的地址位,例如 172.30.16.29 0.0.0.0 检查所有的地址位可以简写为 host(host 172.30.16.29)：检查所有位，即是指定特定主机地址。,Test conditions:Check all the address bits(match all),172.30.16.29,0.0.0.0,(checks all bits),An IP host address,for example:,Wil

15、dcard mask:,通配符掩码指明特定的主机,所有主机:0.0.0.0 255.255.255.255可以用 any 简写 any等价0.0.0.0 255.255.255.255,Test conditions:Ignore all the address bits(match any),0.0.0.0,255.255.255.255,(ignore all),Any IP address,Wildcard mask:,通配符掩码指明所有主机,Check for IP subnets 172.30.16.0/24 to 172.30.31.0/24,Network.host 172.30

16、.16.0,Wildcard mask 0 0 0 0 1 1 1 1|0 0 0 1 0 0 0 0=16 0 0 0 1 0 0 0 1=17 0 0 0 1 0 0 1 0=18:0 0 0 1 1 1 1 1=31,Address and wildcard mask:172.30.16.0 0.0.15.255,通配符掩码和IP子网的对应,ll:掩码对：172.30.16.0 0.0.15.255,符合条件的网络,1999,Cisco Systems,Inc.,10-31,配置标准的 IP 访问列表,标准IP访问列表的配置,access-list access-list-number

17、permit|deny source mask,Router(config)#,为访问列表设置参数IP 标准访问列表编号 1 到 99缺省的通配符掩码=0.0.0.0（检查全部）“no access-list access-list-number”命令删除访问列表,access-list access-list-number permit|deny source mask,Router(config)#,在端口上应用访问列表指明是进方向还是出方向缺省=出方向“no ip access-group access-list-number”命令在端口上删除访问列表,Router(config-if)

18、#,ip access-group access-list-number in|out,为访问列表设置参数IP 标准访问列表编号 1 到 99缺省的通配符掩码=0.0.0.0“no access-list access-list-number”命令删除访问列表,标准IP访问列表的配置,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non-172.16.0.0,标准访问列表举例 1,access-list 1 permit 172.16.0.0 0.0.255.255(implicit deny all-not visible in the list)(a

19、ccess-list 1 deny 0.0.0.0 255.255.255.255),Permit my network only,access-list 1 permit 172.16.0.0 0.0.255.255(implicit deny all-not visible in the list)(access-list 1 deny 0.0.0.0 255.255.255.255)interface ethernet 0ip access-group 1 outinterface ethernet 1ip access-group 1 out,172.16.3.0,172.16.4.0

20、,172.16.4.13,E0,S0,E1,Non-172.16.0.0,标准访问列表举例 1,Deny a specific host,标准访问列表举例 2,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non-172.16.0.0,access-list 1 deny 172.16.4.13 0.0.0.0,标准访问列表举例 2,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non-172.16.0.0,Deny a specific host,access-list 1 deny 172.16.4.13 0.

21、0.0.0 access-list 1 permit 0.0.0.0 255.255.255.255(implicit deny all)(access-list 1 deny 0.0.0.0 255.255.255.255),access-list 1 deny 172.16.4.13 0.0.0.0 access-list 1 permit 0.0.0.0 255.255.255.255(implicit deny all)(access-list 1 deny 0.0.0.0 255.255.255.255)interface ethernet 0ip access-group 1 ou

22、t,标准访问列表举例 2,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non-172.16.0.0,Deny a specific host,Deny a specific subnet,标准访问列表举例 3,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non-172.16.0.0,access-list 1 deny 172.16.4.0 0.0.0.255access-list 1 permit any(implicit deny all)(access-list 1 deny 0.0.0.0 255.25

23、5.255.255),access-list 1 deny 172.16.4.0 0.0.0.255access-list 1 permit any(implicit deny all)(access-list 1 deny 0.0.0.0 255.255.255.255)interface ethernet 0ip access-group 1 out,标准访问列表举例 3,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non-172.16.0.0,Deny a specific subnet,1999,Cisco Systems,Inc.,10-41

24、,扩展 IP 访问列表的配置,标准访问列表和扩展访问列表比较,标准,扩展,基于源地址,基于源地址和目标地址,允许和拒绝完整的TCP/IP协议,指定TCP/IP的特定协议和端口号,编号范围 100 到 199.,编号范围 1 到 99,扩展 IP 访问列表的配置,Router(config)#,设置访问列表的参数,access-list access-list-number permit|deny protocol source source-wildcard operator port destination destination-wildcard operator port establi

25、shed log,Router(config-if)#ip access-group access-list-number in|out,扩展 IP 访问列表的配置,在端口上应用访问列表,设置访问列表的参数,Router(config)#access-list access-list-number permit|deny protocol source source-wildcard operator port destination destination-wildcard operator port established log,拒绝子网172.16.4.0 的数据使用路由器e0口ftp

26、到子网172.16.3.0 允许其它数据p170 常见端口号表,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non-172.16.0.0,扩展访问列表应用举例 1,access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20,拒绝子网172.16.4.0 的数据使用路由器e0口ftp到子网172.16.3.0 允许其它数据,扩展

27、访问列表应用举例 1,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non-172.16.0.0,access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20access-list 101 permit ip any any(implicit deny all)(access-list 101 deny ip 0.0.0.0 25

28、5.255.255.255 0.0.0.0 255.255.255.255),access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20access-list 101 permit ip any any(implicit deny all)(access-list 101 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.

29、255.255)interface ethernet 0ip access-group 101 out,拒绝子网172.16.4.0 的数据使用路由器e0口ftp到子网172.16.3.0 允许其它数据,扩展访问列表应用举例 1,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non-172.16.0.0,拒绝子网 172.16.4.0 内的主机使用路由器的 E0 端口建立Telnet会话允许其它数据,扩展访问列表应用举例 2,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non-172.16.0.0,access-

30、list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23,拒绝子网 172.16.4.0 内的主机使用路由器的 E0 端口建立Telnet会话允许其它数据,扩展访问列表应用举例 2,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non-172.16.0.0,access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23access-list 101 permit ip any any(implicit deny all),access-list 101 deny tc

31、p 172.16.4.0 0.0.0.255 any eq 23access-list 101 permit ip any any(implicit deny all)interface ethernet 0ip access-group 101 out,拒绝子网 172.16.4.0 内的主机使用路由器的 E0 端口建立Telnet会话允许其它数据,扩展访问列表应用举例 2,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non-172.16.0.0,使用名称访问列表（命名访问列表）,Router(config)#,ip access-list stan

32、dard|extended name,适用于IOS版本号为11.2以后,所使用的名称必须一致,使用名称访问列表,Router(config)#,ip access-list standard|extended name,permit|deny ip access list test conditions permit|deny ip access list test conditions no permit|deny ip access list test conditions,Router(config std-|ext-nacl)#,适用于IOS版本号为11.2以后,所使用的名称必须一致,

33、允许和拒绝语句不需要访问列表编号“no”命令删除访问列表,使用名称访问列表,适用于IOS版本号为11.2以后,所使用的名称必须一致,允许和拒绝语句不需要访问列表编号“no”命令删除访问列表,在端口上应用访问列表,使用名称访问列表举例,适用于IOS版本号为11.2以后,所使用的名称必须一致,允许和拒绝语句不需要访问列表编号“no”命令删除访问列表,在端口上应用访问列表,访问列表配置准则,访问列表中限制语句的位置是至关重要的将限制条件严格的语句放在访问列表的最上面使用 no access-list number 命令删除完整的访问列表例外:名称访问列表可以删除单独的语句隐含声明 deny all在

34、设置的访问列表中要有一句 permit any,将扩展访问列表置于离源设备较近的位置（可减少网络流量）将标准访问列表置于离目的设备较近的位置（因为标准访问列表只检查源地址）,E0,E0,E1,S0,To0,S1,S0,S1,E0,E0,B,A,C,访问列表的放置原则,推荐：,D,wg_ro_a#show ip int e0Ethernet0 is up,line protocol is up Internet address is 10.1.1.11/24 Broadcast address is 255.255.255.255 Address determined by setup comm

35、and MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1 Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replie

36、s are never sent IP fast switching is enabled IP fast switching on the same interface is disabled IP Feature Fast switching turbo vector IP multicast fast switching is enabled IP multicast distributed fast switching is disabled,查看访问列表,查看访问列表的语句,wg_ro_a#show access-lists Standard IP access list 1 per

37、mit 10.2.2.1 permit 10.3.3.1 permit 10.4.4.1 permit 10.5.5.1Extended IP access list 101 permit tcp host 10.22.22.1 any eq telnet permit tcp host 10.33.33.1 any eq ftp permit tcp host 10.44.44.1 any eq ftp-data,wg_ro_a#show access-lists access-list number,1999,Cisco Systems,Inc.,10-59,练习,core_ serve

38、r10.1.1.1,wg_sw_a10.2.2.11,wg_sw_l10.13.13.11,wg_pc_a10.2.2.12,wg_pc_l10.13.13.12,wg_ro_a,10.13.13.3,e0/1,e0/2,e0/2,e0/1,e0,e0,fa0/23,core_sw_a10.1.1.2,10.2.2.3,wg_ro_l,core_ro10.1.1.3,fa0/24,fa0/0,LL,s0 10.140.1.2,s010.140.12.2,s1/0-s2/3,10.140.1.1 10.140.12.1,.,TFTP,Telnet,TFTP,X,X,Telnet,X,X,Podw

39、g_ros s0wg_ros e0wg_swA10.140.1.210.2.2.310.2.2.11B10.140.2.2 10.3.3.310.3.3.11C10.140.3.210.4.4.310.4.4.11D10.140.4.210.5.5.310.5.5.11E10.140.5.210.6.6.310.6.6.11F10.140.6.210.7.7.310.7.7.11G10.140.7.210.8.8.310.8.8.11H10.140.8.210.9.9.310.9.9.11I10.140.9.210.10.10.310.3.3.11J10.140.10.210.11.11.310.11.11.11K10.140.11.210.12.12.310.12.12.11L10.140.12.210.13.13.310.13.13.11,可视化目标,本章总结,完成本章的学习后，你应该能够掌握：了解IP访问列表的工作过程配置标准的 IP 访问列表用访问列表控制 vty 访问配置扩展的 IP 访问列表查看IP 访问列表,问题回顾,1.IP 访问列表有哪两种类型?2.在访问列表的最后有哪一个语句是隐含的?3.在应用访问控制vty通道时，使用什么命令?,