第十章-用访问列表初步管理-IP流量PPT课件.ppt

第十章用访问列表初步管理IP流量 什么是访问列表 访问列表可以用于允许或拒绝包通过路由器 允许或拒绝Telnet VTY 访问路由器 允许或拒绝来自路由器的Telnet访问 以及创建可以出发拨号到远程站点的流量 访问列表基本上是一系列对包进行分类的条件 一个最常用和最容易理解的使用访问列表的情况是 实现安全策略时过滤不希望通过的包 管理网络中逐步增长的IP数据 为什么要使用访问列表 172 16 0 0 172 17 0 0 Internet 管理网络中逐步增长的IP数据当数据通过路由器时进行过滤 为什么要使用访问列表 访问列表的应用 允许 拒绝数据包通过路由器允许 拒绝Telnet会话的建立没有设置访问列表时 所有的数据包都会在网络上传输 虚拟会话 IP 端口上的数据传输 QueueList 优先级判断 访问列表的其它应用 基于数据包检测的特殊数据通讯应用 QueueList 优先级判断 访问列表的其它应用 按需拨号 基于数据包检测的特殊数据通讯应用 访问列表的其它应用 路由表过滤 RoutingTable QueueList 优先级判断 按需拨号 基于数据包检测的特殊数据通讯应用 数据包和访问列表比较时遵循的重要规则 1 通常是按顺序比较访问列表的每一行 2 比较访问列表的各行直到比较到匹配的一行 3 在每个访问列表的最后是一行隐含 deny 语句 意味着如果数据包与访问列表中的所有行都不匹配 将被丢弃 访问列表有两种类型 1 标准的访问列表2 扩展的访问列表3 命名的访问列表 基于标准和扩展之间的 方向问题 利用ACL来过滤 必须把ACL应用到需要过滤的那个router的接口上 否则ACL是不会起到过滤作用的 而且你还要定义过滤的方向 比如想过滤从Internet到你企业网的数据包呢还是想过滤从企业网传出到Internet的数据包呢 方向分为下面2种 1 inboundACL 先处理 再路由2 outboundACL 先路由 再处理 方向问题 在一个接口的输入方向和输出方向使用不同的访问列表 1 输入型访问列表当访问列表被应用到从接口输入的包时 那些包在被路由到输出接口之前要经过访问列表的处理 2 输出行访问列表当访问列表被应用到从接口输出的包时 那些包首先被路由到输出接口 然后在进入该接口的输入队列之前经过访问列表的处理 标准的访问列表 标准的IP访问列表通过使用IP包中的源IP地址过滤网络流量 可以使用访问列表号1 99或1300 1999创建标准的访问列表 一般用号码区别访问列表类型 标准检查源地址通常允许 拒绝的是完整的协议 OutgoingPacket E0 S0 IncomingPacket AccessListProcesses Permit 什么是访问列表 标准 通配符 如何检查相应的地址位 通配符 如何检查相应的地址位 0表示检查与之对应的地址位的值 1表示忽略与之对应的地址位的值通配符和访问列表一起用来指定一个主机 一个网络 一个网络或几个网络内的某个范围 要理解通配符 需要理解什么是块大小 这里常常指地址范围 一些有效的块大小是64 32 16 8和4 通配符掩码指明特定的主机 例如172 30 16 290 0 0 0检查所有的地址位 可以简写为host host172 30 16 29 通配符掩码指明所有主机 所有主机 0 0 0 0255 255 255 255 可以用any简写 通配符掩码和IP子网的对应 扩展的访问控制列表 扩展的访问列表允许指定源地址和目的地址 以及表示上层协议或应用的协议和端口号 通过使用扩展的IP访问列表 可以有效地允许用户访问物理LAN的同时不允许访问特定的主机或甚至那些主机上的特定服务 扩展的访问控制列表 访问列表的测试 允许和拒绝 Packetstointerfacesintheaccessgroup PacketDiscardBucket Y Interface s Destination Deny Deny Y MatchFirstTest Permit 访问列表的测试 允许和拒绝 PacketstoInterface s intheAccessGroup PacketDiscardBucket Y Interface s Destination Deny Deny Y MatchFirstTest Permit N Deny Permit MatchNextTest s Y Y 访问列表的测试 允许和拒绝 PacketstoInterface s intheAccessGroup PacketDiscardBucket Y Interface s Destination Deny Deny Y MatchFirstTest Permit N Deny Permit MatchNextTest s Deny MatchLastTest Y Y N Y Y Permit 访问列表的测试 允许和拒绝 PacketstoInterface s intheAccessGroup PacketDiscardBucket Y Interface s Destination Deny Y MatchFirstTest Permit N Deny Permit MatchNextTest s Deny MatchLastTest Y Y N Y Y Permit ImplicitDeny Ifnomatchdenyall Deny N 访问列表配置指南 访问列表的编号指明了使用何种协议的访问列表每个端口 每个方向 每条协议只能对应于一条访问列表访问列表的内容决定了数据的控制顺序具有严格限制条件的语句应放在访问列表所有语句的最上面在访问列表的最后有一条隐含声明 denyany 每一条正确的访问列表都至少应该有一条允许语句先创建访问列表 然后应用到端口上访问列表不能过滤由路由器自己产生的数据 访问列表设置命令 Step1 设置访问列表测试语句的参数 access listaccess list number permit deny testconditions Router config Step1 设置访问列表测试语句的参数 Router config Step2 在端口上应用访问列表 protocol access groupaccess list number in out Router config if 访问列表设置命令 IP访问列表的标号为1 99和100 199 access listaccess list number permit deny testconditions 如何识别访问列表号 编号范围 访问列表类型 IP 1 99 Standard 标准访问列表 1to99 检查IP数据包的源地址 编号范围 访问列表类型 如何识别访问列表号 IP 1 99100 199 StandardExtended 标准访问列表 1to99 检查IP数据包的源地址扩展访问列表 100to199 检查源地址和目的地址 具体的TCP IP协议和目的端口 编号范围 IP 1 99100 199Name CiscoIOS11 2andlater 800 899900 9991000 1099Name CiscoIOS11 2 Fandlater StandardExtendedSAPfiltersNamed StandardExtendedNamed 访问列表类型 IPX 如何识别访问列表号 标准访问列表 1to99 检查IP数据包的源地址扩展访问列表 100to199 检查源地址和目的地址 具体的TCP IP协议和目的端口其它访问列表编号范围表示不同协议的访问列表 一些设置ACL的要点 1 每个接口 每个方向 每种协议 你只能设置1个ACL2 组织好你的ACL的顺序 比如测试性的最好放在ACL的最顶部3 你不可能从ACL从除去1行 除去1行意味你将除去整个ACL 命名访问列表 namedaccesslists 例外 稍后介绍命名访问列表 4 默认ACL结尾语句是denyany 所以你要记住的是在ACL里至少要有1条permit语句5 记得创建了ACL后要把它应用在需要过滤的接口上6 ACL是用于过滤经过router的数据包 它并不会过滤router本身所产生的数据包7 尽可能的把IP标准ACL放置在离目标地址近的地方 尽可能的把IP扩展ACL放置在离源地址近的地方 1999 CiscoSystems Inc 10 33 配置标准的IP访问列表 标准IP访问列表的配置 access listaccess list number permit deny source mask Router config 为访问列表设置参数IP标准访问列表编号1到99缺省的通配符掩码 0 0 0 0 noaccess listaccess list number 命令删除访问列表 access listaccess list number permit deny source mask Router config 在端口上应用访问列表指明是进方向还是出方向缺省 出方向 noipaccess groupaccess list number 命令在端口上删除访问列表 Router config if ipaccess groupaccess list number in out 为访问列表设置参数IP标准访问列表编号1到99缺省的通配符掩码 0 0 0 0 noaccess listaccess list number 命令删除访问列表 标准IP访问列表的配置 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 标准访问列表举例1 access list1permit172 16 0 00 0 255 255 implicitdenyall notvisibleinthelist access list1deny0 0 0 0255 255 255 255 Permitmynetworkonly access list1permit172 16 0 00 0 255 255 implicitdenyall notvisibleinthelist access list1deny0 0 0 0255 255 255 255 interfaceethernet0ipaccess group1outinterfaceethernet1ipaccess group1out 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 标准访问列表举例1 Denyaspecifichost 标准访问列表举例2 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 access list1deny172 16 4 130 0 0 0 标准访问列表举例2 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 Denyaspecifichost access list1deny172 16 4 130 0 0 0access list1permit0 0 0 0255 255 255 255 implicitdenyall access list1deny0 0 0 0255 255 255 255 access list1deny172 16 4 130 0 0 0access list1permit0 0 0 0255 255 255 255 implicitdenyall access list1deny0 0 0 0255 255 255 255 interfaceethernet0ipaccess group1out 标准访问列表举例2 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 Denyaspecifichost Denyaspecificsubnet 标准访问列表举例3 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 access list1deny172 16 4 00 0 0 255access list1permitany implicitdenyall access list1deny0 0 0 0255 255 255 255 access list1deny172 16 4 00 0 0 255access list1permitany implicitdenyall access list1deny0 0 0 0255 255 255 255 interfaceethernet0ipaccess group1out 标准访问列表举例3 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 Denyaspecificsubnet 1999 CiscoSystems Inc 10 43 用访问列表控制vty访问 在路由器上过滤vty 五个虚拟通道 0到4 路由器的vty端口可以过滤数据在路由器上执行vty访问的控制 0 1 2 3 4 Virtualports vty0through4 Physicalporte0 Telnet Consoleport directconnect console e0 如何控制vty访问 0 1 2 3 4 Virtualports vty0through4 Physicalport e0 Telnet 使用标准访问列表语句用access class命令应用访问列表在所有vty通道上设置相同的限制条件 Router e0 虚拟通道的配置 指明vty通道的范围 在访问列表里指明方向 access classaccess list number in out linevty vty vty range Router config Router config line 虚拟通道访问举例 只允许网络192 89 55 0内的主机连接路由器的vty通道 access list12permit192 89 55 00 0 0 255 linevty04access class12in ControllingInboundAccess 1999 CiscoSystems Inc 10 48 扩展IP访问列表的配置 标准访问列表和扩展访问列表比较 标准 扩展 基于源地址 基于源地址和目标地址 允许和拒绝完整的TCP IP协议 指定TCP IP的特定协议和端口号 编号范围100到199 编号范围1到99 扩展IP访问列表的配置 Router config 设置访问列表的参数 access listaccess list number permit deny protocolsourcesource wildcard operatorport destinationdestination wildcard operatorport established log Router config if ipaccess groupaccess list number in out 扩展IP访问列表的配置 在端口上应用访问列表 设置访问列表的参数 Router config access listaccess list number permit deny protocolsourcesource wildcard operatorport destinationdestination wildcard operatorport established log 拒绝子网172 16 4 0的数据使用路由器e0口ftp到子网172 16 3 0允许其它数据 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 扩展访问列表应用举例1 access list101denytcp172 16 4 00 0 0 255172 16 3 00 0 0 255eq21access list101denytcp172 16 4 00 0 0 255172 16 3 00 0 0 255eq20 拒绝子网172 16 4 0的数据使用路由器e0口ftp到子网172 16 3 0允许其它数据 扩展访问列表应用举例1 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 access list101denytcp172 16 4 00 0 0 255172 16 3 00 0 0 255eq21access list101denytcp172 16 4 00 0 0 255172 16 3 00 0 0 255eq20access list101permitipanyany implicitdenyall access list101denyip0 0 0 0255 255 255 2550 0 0 0255 255 255 255 access list101denytcp172 16 4 00 0 0 255172 16 3 00 0 0 255eq21access list101denytcp172 16 4 00 0 0 255172 16 3 00 0 0 255eq20access list101permitipanyany implicitdenyall access list101denyip0 0 0 0255 255 255 2550 0 0 0255 255 255 255 interfaceethernet0ipaccess group101out 拒绝子网172 16 4 0的数据使用路由器e0口ftp到子网172 16 3 0允许其它数据 扩展访问列表应用举例1 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 拒绝子网172 16 4 0内的主机使用路由器的E0端口建立Telnet会话允许其它数据 扩展访问列表应用举例2 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 access list101denytcp172 16 4 00 0 0 255anyeq23 拒绝子网172 16 4 0内的主机使用路由器的E0端口建立Telnet会话允许其它数据 扩展访问列表应用举例2 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 access list101denytcp172 16 4 00 0 0 255anyeq23access list101permitipanyany implicitdenyall access list101denytcp172 16 4 00 0 0 255anyeq23access list101permitipanyany implicitdenyall interfaceethernet0ipaccess group101out 拒绝子网172 16 4 0内的主机使用路由器的E0端口建立Telnet会话允许其它数据 扩展访问列表应用举例2 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 使用名称访问列表 Router config ipaccess list standard extended name 适用于IOS版本号为11 2以后 所使用的名称必须一致 使用名称访问列表 Router config ipaccess list standard extended name permit deny ipaccesslisttestconditions permit deny ipaccesslisttestconditions no permit deny ipaccesslisttestconditions Router config std ext nacl 适用于IOS版本号为11 2以后 所使用的名称必须一致 允许和拒绝语句不需要访问列表编号 no 命令删除访问列表 使用名称访问列表 适用于IOS版本号为11 2以后 所使用的名称必须一致 允许和拒绝语句不需要访问列表编号 no 命令删除访问列表 在端口上应用访问列表 访问列表配置准则 访问列表中限制语句的位置是至关重要的将限制条件严格的语句放在访问列表的最上面使用noaccess listnumber命令删除完整的访问列表例外 名称访问列表可以删除单独的语句隐含声明denyall在设置