使用访问列表管理IP流量.ppt

2004,Enhan info, Inc. All rights reserved.,使用Access Lists管理IP流量,目标,通过本章学习，你能够完成以下工作: 运用Cisco IOS 命令来配置标准访问控制列表和扩展的访问控制列表 运用show 的相关命令来校验访问控制列表的配置, 2002, Cisco Systems, Inc. All rights reserved.,4,访问控制列表的应用,目标,通过本章学习，你能够完成以下内容: 解释使用访问控制列表的目的及访问控制列表潜在的相关应用 描述如何通过使用Cisco IOS 命令将标准的访问控制列表和扩展的访问控制列表应用到接口的进方向和出方向,管理IP流量及接入网络的增长 对经过路由器的特定数据包进行过滤,为什么要使用访问控制列表?,允许或拒绝 数据包通过路由器. 允许或拒绝vty 接入到路由器 如果没有使用访问控制列表，数据包在特定的网络上传输将不受限制,访问控制列表应用,通过对数据包的检查来做特殊的处理,其他访问控制列表应用,标准的访问控制列表 检查源地址 标准的访问控制列表允许或拒绝的是整个协议 扩展的访问控制列表 检查源和目的地址 扩展的访问控制列表允许或拒绝特定的协议,访问控制列表类型,用标准的访问控制列表来检查数据包,用扩展的访问控制列表来检查数据包,如何识别访问控制列表,标准的访问控制列表 (1-99) test conditions of all IP packets from source addresses. 扩展的访问控制列表 (100-199) test conditions of source and destination addresses, specific TCP/IP protocols, and destination ports. Standard IP lists (1300-1999) (expanded range). Extended IP lists (2000-2699) (expanded range). Other access list number ranges test conditions for other networking protocols.,出接口ACL 操作,If no access list statement matches, then discard the packet.,列表测试:拒绝 或 允许,0 代表检查相应的地址位 1 代表忽略相应的地址位.,匹配码: 如何检查相应的地址位,例如, 9 检查所有的地址位. 通过使用 host关键字来缩写匹配位 (host 9).,检查所有的地址位 (匹配所有).,检验一个IP地址,例如:,通配码匹配特定的IP地址,接受任何地址: any 缩写以上表达使用关键字 any.,测试条件: 忽略任何的IP地址 (匹配任何).,一个IP主机地址, 例如:,通配码匹配任何IP地址,检查IP子网 /24 to /24.,地址和通配码: 55,通配码匹配IP子网,访问控制列表配置,Router(config)# access-list access-list-number permit | deny | remark source mask,配置标准访问控制列表,Router(config)# access-list access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator port established log,配置扩展访问控制列表,Router(config)# ip access-list standard | extended name Router(config std- | ext-nacl)#permit | deny ip access list test conditions Router(config std- | ext-nacl)# no permit | deny ip access list test conditions,配置命名访问控制列表,Router(config-if)# ip access-group access-list-number|name in | out,应用访问控制列表,ACL配置实例,Router(config)# access-list 1 deny 55 log Router(config)# access-list 1 deny 55 log Router(config)# access-list 1 deny 55 log Router(config)# access-list 1 permit any Router(config)# interface e0 Router(config-if)# ip access-group 1 in,Router(config)#access-list 100 deny ip 55 any log-input Router(config)#access-list 100 deny ip 55 any log-input Router(config)#access-list 100 deny ip 55 any log-input Router(config)#access-list 100 permit ip any any Router(config)# interface e0 Router(config-if)# ip access-group 100 in,ACL配置实例,Router(config)# ip access-list extended DENY_RFC1918 Router(config-ext-nacl)# deny ip 55 any log-input Router(config-ext-nacl)# deny ip 55 any log-input Router(config-ext-nacl)# deny ip 55 any log-input Router(config-ext-nacl)# permit ip any any Router(config)# interface e0 Router(config-if)# ip access-group DENY_RFC1918 in,Router(config)# ip access-list standard DENY_RFC1918 Router(config-std-nacl)# deny 55 log Router(config-std-nacl)# deny 55 log Router(config-std-nacl)# deny 55 log Router(config-std-nacl)# permit any Router(config)# interface e0 Router(config-if)# ip access-group DENY_RFC1918 in,配置基于时间的访问控制列表,Router(config)# time-range time-range-name,定义时间段,Router(config-time-range)# absolute start time date end time date,定义绝对时间段,Router(config-time-range)# periodic days-of-the-week hh:mm to days-of-the-week hh:mm,定义时间段周期,Periodic可以有多个语句，absolute只能有一条,基于时间访问控制列表配置实例,Router(config)# time-range no-http Router(config-time-range)# periodic weekdays 8:00 to 17:59 Router(config)# time-range udp-yes Router(config-time-range)# periodic weekend 12:00 to 19:59 Router(config)# ip access-list extended strict Router(config-ext-nacl)# deny tcp any any eq http time-range no-http Router(config-ext-nacl)# permit udp any any time-range udp-yes Router(config)# interface ethernet 0 Router(config-if)# ip access-group strict in,总结,访问控制列表为网络控制提供了一个强有力的工具. 访问控制列表可以灵活的应用于路由器的进接口或出接口. 可以对网络的流量和用户的接入进行管理. 一个IP访问控制列表是有序的列表,它能根据IP地址或上层协议做出允许或拒绝 ,控制列表可以过滤通过本路由器的流量,但是不能过滤自身