第章使用访问控制列表管理数据流PPT课件.ppt

使用访问控制列表管理数据流 第6章 1 本章目标 通过本章的学习 您应该掌握以下内容 了解访问列表的基本知识 知道访问列表的功能和工作原理 掌握如何配置标准IP访问列表 扩展IP访问列表 如何控制VTY接入 2 为什么要使用访问列表 172 16 0 0 172 17 0 0 Internet 管理网络中逐步增长的IP数据当数据通过路由器时进行过滤 3 访问列表的应用 允许 拒绝数据包通过路由器允许 拒绝Telnet会话的建立没有设置访问列表时 所有的数据包都会在网络上传输 虚拟会话 IP 端口上的数据传输 4 访问列表的其它应用 路由表过滤 RoutingTable QueueList 优先级判断 按需拨号 基于数据包检测的特殊数据通讯应用 5 标准检查源地址通常允许 拒绝的是完整的协议 OutgoingPacket E0 S0 IncomingPacket AccessListProcesses Permit 什么是访问列表 标准 6 标准检查源地址通常允许 拒绝的是完整的协议扩展检查源地址和目的地址通常允许 拒绝的是某个特定的协议 OutgoingPacket E0 S0 IncomingPacket AccessListProcesses Permit Protocol 什么是访问列表 扩展 7 标准检查源地址通常允许 拒绝的是完整的协议扩展检查源地址和目的地址通常允许 拒绝的是某个特定的协议进方向和出方向 OutgoingPacket E0 S0 IncomingPacket AccessListProcesses Permit Protocol 什么是访问列表 8 NotifySender 出站 访问列表的工作原理 Ifnoaccessliststatementmatchesthendiscardthepacket N Y PacketDiscardBucket ChooseInterface RoutingTableEntry N Y TestAccessListStatements Permit Y AccessList DiscardPacket N OutboundInterfaces Packet Packet S0 E0 InboundInterfacePackets 9 访问列表是由一系列语句组成的列表 ACL语句包括两个动作 拒绝 deny 即拒绝数据包通过 过滤掉数据包 允许 permit 即允许数据包通过 不过滤数据包 10 PacketstoInterface s intheAccessGroup PacketDiscardBucket Y Interface s Destination Deny Y MatchFirstTest Permit N Deny Permit MatchNextTest s Deny MatchLastTest Y Y N Y Y Permit ImplicitDeny Ifnomatchdenyall Deny N 访问列表的测试 允许和拒绝 11 访问列表配置指南 访问列表的编号指明了使用何种协议的访问列表每个端口 每个方向 每条协议只能对应于一条访问列表访问列表的内容决定了数据的控制顺序具有严格限制条件的语句应放在访问列表所有语句的最上面 12 访问列表配置指南 在访问列表的最后有一条隐含声明 denyany 每一条正确的访问列表都至少应该有一条允许语句先创建访问列表 然后应用到端口上访问列表不能过滤由路由器自己产生的数据 13 Step1 设置访问列表测试语句的参数 Router config Step2 在端口上应用访问列表 protocol access groupaccess list number in out Router config if 访问列表设置命令 access listaccess list number permit deny testconditions in out 源 目的 14 编号范围 1 991300 1999Name CiscoIOS11 2andlater 100 1992000 2699Name CiscoIOS11 2andlater StandardNamed 访问列表类型 如何识别访问列表号 标准访问列表检查IP数据包的源地址扩展访问列表检查源地址和目的地址 具体的TCP IP协议和目的端口其它访问列表编号范围表示不同协议的访问列表 ExtendNamed 15 IP地址与通配符掩码的作用规则 32位的IP地址与32位的通配符掩码 Wildcardmask 逐位进行比较 通配符掩码为 0 的位要求IP地址的对应位必须匹配 通配符掩码为 1 的位所对应的IP地址位不必匹配 16 IP地址与通配符掩码的作用规则 例1 172 30 16 290 0 0 0表示检查所有的地址位 即IP地址172 30 16 29本身 172 30 16 29 0 0 0 0 Wildcardmask 如 access list10permit172 30 16 290 0 0 0 17 IP地址与通配符掩码的作用规则 例2 172 30 16 00 0 0 255表示检查前面24位 即IP地址 172 30 16 1 172 30 16 254 172 30 16 0 0 0 0 255 Wildcardmask 如 access list10deny172 30 16 00 0 0 255 18 172 30 16 0 Wildcardmask 00001111 00010000 1600010001 1700010010 18 00011111 31 IP地址与通配符掩码的作用规则 例3 172 30 16 00 0 15 255表示检查前面20位 即子网 172 30 16 0 172 30 31 0的主机 0 0 15 255 00000000 00000000 00001111 11111111 19 通配符掩码的两种特殊形式 表示某个特定IP地址 可用host表示 如 access list10permit172 30 16 290 0 0 0可以简写为 access list10permithost172 30 16 29 IP地址与通配符掩码的作用规则 20 通配符掩码的两种特殊形式 所有主机 0 0 0 0255 255 255 255可以用any简写 如 access list10permit0 0 0 0255 255 255 255可以简写为 access list10permitany IP地址与通配符掩码的作用规则 21 两种访问列表 IP网络的访问列表称为IP访问列表 IP访问列表可分为标准IP访问列表和扩展IP访问列表 标准IP访问列表 只对数据包中的源地址进行检查 扩展IP访问列表 对数据包中的源地址 目的地址 协议 如TCP UDP ICMP Telnet FTP等 或者端口号进行检查 22 标准IP访问列表的配置 access listaccess list number permit deny source mask Router config IP标准访问列表编号1到99缺省的通配符掩码 0 0 0 0 noaccess listaccess list number 命令删除访问列表 1 设置访问列表的参数 23 ipaccess groupaccess list number in out Router config if 指明是进方向还是出方向缺省 出方向 noipaccess groupaccess list number 命令在端口上删除访问列表 2 在端口上应用访问列表 标准IP访问列表的配置 24 禁止不是来自网络172 16 0 0的数据流通过 access list1permit172 16 0 00 0 255 255 implicitdenyall notvisibleinthelist access list1deny0 0 0 0255 255 255 255 interfaceethernet0ipaccess group1outinterfaceethernet1ipaccess group1out 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 标准访问列表举例1 25 access list1deny172 16 4 130 0 0 0access list1permit0 0 0 0255 255 255 255 implicitdenyall access list1deny0 0 0 0255 255 255 255 interfaceethernet0ipaccess group1out 标准访问列表举例2 禁止来自172 16 4 13主机的数据流通过 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 26 access list1deny172 16 4 00 0 0 255access list1permitany implicitdenyall access list1deny0 0 0 0255 255 255 255 interfaceethernet0ipaccess group1out 标准访问列表举例3 禁止来自172 16 4 0网段的数据流通过 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 27 扩展IP访问列表 表 标准访问列表和扩展访问列表的比较 28 Router config access listaccess list number permit deny protocolsourcesource wildcard operatorport destinationdestination wildcard operatorport otherparameters 扩展IP访问列表的配置 1 设置访问列表的参数 protocol 可以是IP TCP UDP ICMP IGRP等operator 可以是lt 小于 gt 大于 eq 等于 或neq 不等于 29 Router config access listaccess list number permit deny protocolsourcesource wildcard operatorport destinationdestination wildcard operatorport otherparameters 扩展IP访问列表的配置 1 设置访问列表的参数 ipaccess groupaccess list number in out Router config if 2 在端口上应用访问列表 30 拒绝子网172 16 4 0的数据使用路由器E0口ftp到子网172 16 3 0允许其它数据 扩展访问列表应用举例1 172 16 3 0 172 16 4 0 172 16 4 13 E0 E1 S0 Non 172 16 0 0 31 拒绝子网172 16 4 0的数据使用路由器E0口ftp到子网172 16 3 0允许其它数据 扩展访问列表应用举例1 access list101denytcp172 16 4 00 0 0 255172 16 3 00 0 0 255eq21access list101denytcp172 16 4 00 0 0 255172 16 3 00 0 0 255eq20access list101permitipanyany implicitdenyall interfaceethernet0ipaccess group101out 32 拒绝子网172 16 4 0内的主机使用路由器的E0端口建立Telnet会话允许其它数据 扩展访问列表应用举例2 172 16 3 0 172 16 4 0 172 16 4 13 E0 E1 S0 Non 172 16 0 0 33 扩展访问列表应用举例2 拒绝子网172 16 4 0内的主机使用路由器的E0端口建立Telnet会话允许其它数据 access list101denytcp172 16 4 00 0 0 255anyeq23access list101permitipanyany implicitdenyall interfaceethernet0ipaccess group101out 34 router showipinte0Ethernet0isup lineprotocolisupInternetaddressis10 1 1 11 24Broadcastaddressis255 255 255 255AddressdeterminedbysetupcommandMTUis1500bytesHelperaddressisnotsetDirectedbroadcastforwardingisdisabledOutgoingaccesslistisnotsetInboundaccesslistis1ProxyARPisenabledSecuritylevelisdefaultSplithorizonisenabled 查看访问列表 35 查看访问列表的语句 router showaccess listsStandardIPaccesslist1permit10 2 2 1permit10 3 3 1permit10 4 4 1permit10 5 5 1ExtendedIPaccesslist101permittcphost10 22 22 1anyeqtelnetpermittcphost10 33 33 1anyeqftppermittcphost10 44 44 1anyeqftp data router showaccess lists access listnumber 例 36 访问列表放置的位置 正确地放置访问列表可以减少不必要的数据流 标准访问列表不能指定目标地址 应将其放在离目的地尽可能近的地方 例 拒绝网段1访问网段3 网段1 网段2 网段3 37 访问列表放置的位置 扩展访问列表应放在离禁止通过的数据流源尽可能近的地方 例 拒绝网段1访问网段3 网段1 网段2 网段3 38 用访问列表控制vty访问 Vty 虚拟终端会话五个