ICND第八章访问列表.ppt

第八章 访问列表,访问列表的应用,允许、拒绝数据包通过路由器 允许、拒绝Telnet会话的建立 没有设置访问列表时，所有的数据包都会在网络上传输,虚拟会话 (IP),端口上的数据传输,标准 检查源地址 通常允许、拒绝的是完整的协议,Outgoing Packet,E0,S0,Incoming Packet,Access List Processes,Permit?,什么是访问列表,标准 检查源地址 通常允许、拒绝的是完整的协议 扩展 检查源地址和目的地址 通常允许、拒绝的是某个特定的协议,Outgoing Packet,E0,S0,Incoming Packet,Access List Processes,Permit?,Protocol,什么是访问列表,标准 检查源地址 通常允许、拒绝的是完整的协议 扩展 检查源地址和目的地址 通常允许、拒绝的是某个特定的协议 进方向和出方向,Outgoing Packet,E0,S0,Incoming Packet,Access List Processes,Permit?,Protocol,什么是访问列表,Inbound Interface Packets,N,Y,Packet Discard Bucket,Choose Interface,N,Access List ?,Routing Table Entry ?,Y,Outbound Interfaces,Packet,S0,出端口方向上的访问列表,Outbound Interfaces,Packet,N,Y,Packet Discard Bucket,Choose Interface,Routing Table Entry ?,N,Packet,Test Access List Statements,Permit ?,Y,出端口方向上的访问列表,Access List ?,Y,S0,E0,Inbound Interface Packets,Notify Sender,出端口方向上的访问列表,If no access list statement matches then discard the packet,N,Y,Packet Discard Bucket,Choose Interface,Routing Table Entry ?,N,Y,Test Access List Statements,Permit ?,Y,Access List ?,Discard Packet,N,Outbound Interfaces,Packet,Packet,S0,E0,Inbound Interface Packets,访问列表的测试：允许和拒绝,Packets to interfaces in the access group,Packet Discard Bucket,Y,Interface(s),Destination,Deny,Deny,Y,Match First Test ?,Permit,访问列表的测试：允许和拒绝,Packets to Interface(s) in the Access Group,Packet Discard Bucket,Y,Interface(s),Destination,Deny,Deny,Y,Match First Test ?,Permit,N,Deny,Permit,Match Next Test(s) ?,Y,Y,访问列表的测试：允许和拒绝,Packets to Interface(s) in the Access Group,Packet Discard Bucket,Y,Interface(s),Destination,Deny,Deny,Y,Match First Test ?,Permit,N,Deny,Permit,Match Next Test(s) ?,Deny,Match Last Test ?,Y,Y,N,Y,Y,Permit,访问列表的测试：允许和拒绝,Packets to Interface(s) in the Access Group,Packet Discard Bucket,Y,Interface(s),Destination,Deny,Y,Match First Test ?,Permit,N,Deny,Permit,Match Next Test(s) ?,Deny,Match Last Test ?,Y,Y,N,Y,Y,Permit,Implicit Deny,If no match deny all,Deny,N,访问列表设置命令,Step 1: 设置访问列表测试语句的参数,access-list access-list-number permit | deny test conditions ,Router(config)#,Step 1:设置访问列表测试语句的参数,Router(config)#,Step 2: 在端口上应用访问列表, protocol access-group access-list-number in | out,Router(config-if)#,访问列表设置命令,IP 访问列表的标号为 1-99 和 100-199,access-list access-list-number permit | deny test conditions ,如何识别访问列表,编号范围,访问列表类型,IP,1-99,Standard,标准访问列表 (1 to 99) 检查 IP 数据包的源地址,编号范围,访问列表类型,如何识别访问列表,IP,1-99 100-199,Standard Extended,标准访问列表 (1 to 99) 检查 IP 数据包的源地址 扩展访问列表 (100 to 199) 检查源地址和目的地址、具体的 TCP/IP 协议和目的端口,编号范围,IP,1-99 100-199 Name (Cisco IOS 11.2 and later),800-899 900-999 1000-1099 Name (Cisco IOS 11.2. F and later),Standard Extended SAP filters Named,Standard Extended Named,访问列表类型,IPX,如何识别访问列表,标准访问列表 (1 to 99) 检查 IP 数据包的源地址 扩展访问列表 (100 to 199) 检查源地址和目的地址、具体的 TCP/IP 协议和目的端口 其它访问列表编号范围表示不同协议的访问列表,Source Address,Segment (for example, TCP header),Data,Packet (IP header),Frame Header (for example, HDLC),Deny,Permit,Use access list statements 1-99,用标准访问列表测试数据,Destination Address,Source Address,Protocol,Port Number,Segment (for example, TCP header),Data,Packet (IP header),Frame Header (for example, HDLC),Use access list statements 1-99 or 100-199 to test the packet,Deny,Permit,An Example from a TCP/IP Packet,用扩展访问列表测试数据,0 表示检查与之对应的地址位的值 1表示忽略与之对应的地址位的值,do not check address (ignore bits in octet),=,0,0,0,0,0,0,0,0,Octet bit position and address value for bit,ignore last 6 address bits,check all address bits (match all),ignore last 4 address bits,check last 2 address bits,Examples,反掩码：如何检查相应的地址位,例如 9 检查所有的地址位 可以简写为 host (host 9),Test conditions: Check all the address bits (match all),9,,(checks all bits),An IP host address, for example:,Wildcard mask:,反掩码指明特定的主机,所有主机: 55 可以用 any 简写,Test conditions: Ignore all the address bits (match any),,55,(ignore all),Any IP address,Wildcard mask:,反掩码指明所有主机, 1999, Cisco Systems, Inc.,,10-23,配置标准的 IP 访问列表,标准IP访问列表的配置,access-list access-list-number permit|deny source mask,Router(config)#,为访问列表设置参数 IP 标准访问列表编号 1 到 99 缺省的反掩码 = “no access-list access-list-number” 命令删除访问列表,access-list access-list-number permit|deny source mask,Router(config)#,在端口上应用访问列表 指明是进方向还是出方向 缺省 = 出方向 “no ip access-group access-list-number” 命令在端口上删除访问列表,Router(config-if)#,ip access-group access-list-number in | out ,为访问列表设置参数 IP 标准访问列表编号 1 到 99 缺省的反掩码 = “no access-list access-list-number” 命令删除访问列表,标准IP访问列表的配置,,,3,E0,S0,E1,Non- ,标准访问列表举例 1,access-list 1 permit 55 (implicit deny all - not visible in the list) (access-list 1 deny 55),只允许本网络,access-list 1 permit 55 (implicit deny all - not visible in the list) (access-list 1 deny 55) interface ethernet 0 ip access-group 1 out interface ethernet 1 ip access-group 1 out,,,3,E0,S0,E1,Non- ,标准访问列表举例 1,拒绝一个指定的主机,标准访问列表举例 2,,,3,E0,S0,E1,Non- ,access-list 1 deny 3 ,标准访问列表举例 2,,,3,E0,S0,E1,Non- ,拒绝一个指定的主机,access-list 1 deny 3 access-list 1 permit 55 (implicit deny all) (access-list 1 deny 55),access-list 1 deny 3 access-list 1 permit 55 (implicit deny all) (access-list 1 deny 55) interface ethernet 0 ip access-group 1 out,标准访问列表举例 2,,,3,E0,S0,E1,Non- ,拒绝一个指定的主机,拒绝一个指定的网络,标准访问列表举例 3,,,3,E0,S0,E1,Non- ,access-list 1 deny 55 access-list 1 permit any (implicit deny all) (access-list 1 deny 55),access-list 1 deny 55 access-list 1 permit any (implicit deny all) (access-list 1 deny 55) interface ethernet 0 ip access-group 1 out,标准访问列表举例 3,,,3,E0,S0,E1,Non- ,拒绝一个指定的网络, 1999, Cisco Systems, Inc.,,10-33,用访问列表控制vty访问,在路由器上过滤vty,五个VTY (0 到 4) 路由器的vty端口可以过滤连接 在路由器上执行vty访问的控制,0,1,2,3,4,Virtual ports (vty 0 through 4),Physical port e0 (Telnet),Console port (direct connect),console,e0,如何控制vty访问,0,1,2,3,4,Virtual ports (vty 0 through 4),Physical port (e0) (Telnet),使用标准访问列表语句 用 access-class 命令应用访问列表 在所有vty通道上设置相同的限制条件,Router#,e0,VTY的配置,指明vty通道的范围,在访问列表里指明方向,access-class access-list-number in|out,line vty#vty# | vty-range,Router(config)#,Router(config-line)#,VTY访问举例,只允许网络 内的主机连接路由器的 vty 通道,access-list 12 permit 55 ! line vty 0 4 access-class 12 in,Controlling Inbound Access, 1999, Cisco Systems, Inc.,,10-38,扩展 IP 访问列表的配置,标准访问列表和扩展访问列表 比较,标准,扩展,基于源地址,基于源地址和目标地址,允许和拒绝完整的 TCP/IP协议,指定TCP/IP的特定协议 和端口号,编号范围 100 到 199.,编号范围 1 到 99,扩展 IP 访问列表的配置,Router(config)#,设置访问列表的参数,access-list access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator port established log,Router(config-if)# ip access-group access-list-number in | out ,扩展 IP 访问列表的配置,在端口上应用访问列表,设置访问列表的参数,Router(config)# access-list access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator port established log,拒绝子网 的数据使用路由器e0口ftp到子网 允许其它数据,,,3,E0,S0,E1,Non- ,扩展访问列表应用举例 1,access-list 101 deny tcp 55 55 eq 21 access-list 101 deny tcp 55 55 eq 20,拒绝子网 的数据使用路由器e0口ftp到子网 允许其它数据,扩展访问列表应用举例 1,,,3,E0,S0,E1,Non- ,access-list 101 deny tcp 55 55 eq 21 access-list 101 deny tcp 55 55 eq 20 access-list 101 permit ip any any (implicit deny all) (access-list 101 deny ip 55 55),access-list 101 deny tcp 55 55 eq 21 access-list 101 deny tcp 55 55 eq 20 access-list 101 permit ip any any (implicit deny all) (access-list 101 deny ip 55 55) interface ethernet 0 ip access-group 101 out,拒绝子网 的数据使用路由器e0口ftp到子网 允许其它数据,扩展访问列表应用举例 1,,,3,E0,S0,E1,Non- ,拒绝子网 内的主机使用路由器的 E0 端口建立Telnet会话 允许其它数据,扩展访问列表应用举例 2,,,3,E0,S0,E1,Non- ,access-list 101 deny tcp 55 any eq 23,拒绝子网 内的主机使用路由器的 E0 端口建立Telnet会话 允许其它数据,扩展访问列表应用举例 2,,,3,E0,S0,E1,Non- ,access-list 101 deny tcp 55 any eq 23 access-list 101 permit ip any any (implicit deny all),access-list 101 deny tcp 55 any eq 23 access-list 101 permit ip any any (implicit deny all) interface ethernet 0 ip access-group 101 out,拒绝子网 内的主机使用路由器的 E0 端口建立Telnet会话 允许其它数据,扩展访问列表应用举例 2,,,3,E0,S0,E1,Non- ,使用命名访问列表,Router(config)#,ip access-list standard | extended name,适用于IOS版本号为11.2以后,所使用的命名必须一致,使用命名访问列表,Router(config)#,ip access-list standard | extended name, permit | deny ip access list test conditions permit | deny ip access list test conditions no permit | deny ip access list test conditions ,Router(config std- | ext-nacl)#,适用于IOS版本号为11.2以后,所使用的命名必须一致,允许和拒绝语句不需要访问列表编号 “no” 命令删除访问列表,使用命名访问列表,适用于IOS版本号为11.2以后,所使用的命名必须一致,允许和拒绝语句不需要访问列表编号 “no” 命令删除访问列表,在端口上应用访问列表,访问列表配置准则,访问列表中限制语句的位置是至关重要的 将限制条件严格的语句放在访问列表的最上面 使用 no access-list number 命令将删除整个访问列表 例外: 命名访问列表可以删除单独的语句 隐含声明 deny all 在设置的访问列表中要有一句 permit any,将扩展访问列表置于离源设备较近的位置 将标准访问列表置于离