使用访问列表管理IP流量

1、1 交换部分使用访问列表管理使用访问列表管理IP流量流量2 案例分析案例分析3 案例分析案例分析 通过前面的学习我们可以构建一个健康的通过前面的学习我们可以构建一个健康的,并且具有高并且具有高可用性的网络可用性的网络,但是在企业中有的时候我们并不需要所有但是在企业中有的时候我们并不需要所有人都连入网络人都连入网络.或者不允许所有人访问某些特定的网络或者不允许所有人访问某些特定的网络(工工作时间看电影作时间看电影,炒股等炒股等),那么我们如何在网络畅通的条件下那么我们如何在网络畅通的条件下限制这些问题的出现呢限制这些问题的出现呢? 请进入今天的学习请进入今天的学习4 目目 标标 通过本章的学习，

2、你将能掌握以下内容:了解使用IP访问控制列表的作用 掌握IP访问控制列表的类型与特点 掌握IP访问控制列表的工作原理 理解通配符掩码的组成和作用 掌握访问控制列表的配置 5 管理IP流量及接入网络的增长对经过路由器的特定数据包进行过滤访问控制列表的作用访问控制列表的作用6 允许或拒绝 数据包通过路由器.允许或拒绝vty 接入到路由器.如果没有使用访问控制列表，数据包在特定的网络上传输将不受限制.访问控制列表的作用访问控制列表的作用7 通过对数据包的检查来做特殊的处理通过对数据包的检查来做特殊的处理访问控制列表的作用访问控制列表的作用8 标准的访问控制列表标准的访问控制列表 检查源地址检查源地址

3、 标准的访问控制列表允许或拒绝的是整个协议标准的访问控制列表允许或拒绝的是整个协议 扩展的访问控制列表扩展的访问控制列表 检查源和目的地址检查源和目的地址 扩展的访问控制列表允许或拒绝特定的协议扩展的访问控制列表允许或拒绝特定的协议访问控制列表的类型访问控制列表的类型9 访问控制列表的类型访问控制列表的类型标准标准ACL10 访问控制列表的类型访问控制列表的类型扩展扩展ACL11 标准的访问控制列表 (1-99) 检查从源地址发出的所有IP数据包.扩展的访问控制列表 (100-199) 检查从源到目标地址中特殊的TCP/IP协 议和目标端口.标准 IP lists (1300-1999) (扩

4、展编号).扩展 IP lists (2000-2699) (扩展编号). 其他的访问列表的的编号用于其他的的网络协议.区分访问控制列表的类型区分访问控制列表的类型12 如果数据包没有匹配任何访问列表条目则此数据包被丢弃如果数据包没有匹配任何访问列表条目则此数据包被丢弃. 访问控制列表操作过程访问控制列表操作过程出接口上出接口上13 访问控制列表操作过程访问控制列表操作过程匹配策略匹配策略14 0 代表检查相应的地址位 1 代表忽略相应的地址位.访问控制列表操作过程访问控制列表操作过程通配符通配符15 例如, 9 9 检查

5、所有的地址位. 通过使用 host关键字来缩写匹配位 (host 9).(host 9). 检验一个检验一个IP地址地址,例如例如:访问控制列表操作过程访问控制列表操作过程通配符通配符16 接受任何地址: any缩写以上表达使用关键字 any. 测试条件测试条件: 忽略任何的忽略任何的IP地址地址 (匹配任何匹配任何).访问控制列表操作过程访问控制列表操作过程通配符通配符17 检查检查IP子网子网 /24 to /24.地址和通配码: 55访问控制列表操作过程访问控制

6、列表操作过程通配符通配符18 第一步第一步: 为访问控制列表设置参数为访问控制列表设置参数(制定访问列表制定访问列表) (一个访问控制列表可以有多条语句一个访问控制列表可以有多条语句).第二步第二步: 指定一个接口指定一个接口,运用访问控制列表运用访问控制列表(实施访问列表实施访问列表). Router(config-if)#protocol access-group access-list-number in | out 标准IP访问控制列表 (1-99) 扩展IP访问控制列表 (100-199)Standard IP lists (1300-1999) (expanded range)Ex

7、tended IP lists (2000-2699) (expanded range)Router(config)#access-list access-list-number permit | deny test conditions配置访问控制列表配置访问控制列表19 在接口上激活访问控制列表在接口上激活访问控制列表在出方向接口或进方向接口设置匹配在出方向接口或进方向接口设置匹配使用使用no ip access-group access-list-number 在接口上去除访问控制列表在接口上去除访问控制列表Router(config-if)#ip access-group access

8、-list-number in | out 为这个访问控制列表设置参数为这个访问控制列表设置参数 IP 标准访问控制列表使用标准访问控制列表使用 1 to 99 缺省的反掩码缺省的反掩码 = no access-list access-list-number 去除整个访问控制列表去除整个访问控制列表 remark option 可以让你为访问控制列表加上描述信息可以让你为访问控制列表加上描述信息Router(config)#access-list access-list-number permit | deny | remark source mask配置访问控制列表配置访问控

9、制列表配置标准配置标准ACL20 只允许自己网络的流量只允许自己网络的流量.配置访问控制列表配置访问控制列表配置标准配置标准ACL实例实例21 拒绝一个特定的主机拒绝一个特定的主机.配置访问控制列表配置访问控制列表配置标准配置标准ACL实例实例22 拒绝一个特定的子网拒绝一个特定的子网.配置访问控制列表配置访问控制列表配置标准配置标准ACL实例实例23 Router(config-if)#ip access-group access-list-number in | out 在一个接口上激活扩展的访问控制列表在一个接口上激活扩展的访问控制列表 为列表条目设置参数为列表条目设置参数Router(

10、config)#access-list access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator port established log配置访问控制列表配置访问控制列表配置扩展配置扩展ACL24 拒绝从子网 到子网 的FTP流量 允许所有其他的流量.配置访问控制列表配置访问控制列表配置扩展配置扩展ACL实例实例25 只拒绝从子网的Telnet 流量

11、允许所有其他流量.配置访问控制列表配置访问控制列表配置扩展配置扩展ACL实例实例26 扩展ACL用在离源近的地方. 标准的ACL用在离目的近的地方. 访问控制列表应用的位置访问控制列表应用的位置27 访问控制列表配置指南访问控制列表配置指南1、访问控制列表的协议号用来标明哪种网络层协议被过滤.2、一个接口的一个方向只能应用一个访问控制列表.3、访问控制列表条目的顺序决定了匹配的顺序. 4、设置访问控制列表的下发顺序,将条件最苛刻的放在最上面.5、访问控制列表隐含拒绝所有数据包通过.每个访问控制列表至少要包含一个允许语句6、在接口上应用访问控制列表之前,首先要创建一个访问控制列表.7、路由器过滤

12、穿过的流量，但是不能过滤自己起源的流量.8、推荐做法: 先在PC的写字板上创建访问控制列表, 然后核对后再粘贴到路由器上.9、去除访问控制列表. 使用 no access-list number 命令去除一个访问控制列表28 访问控制列表配置方法访问控制列表配置方法1 1、选择、选择ACLACL的类型的类型 a a、标准访问控制列表拒绝或允许整个协议、标准访问控制列表拒绝或允许整个协议 b b、扩展访问控制列表拒绝或允许特定协议、扩展访问控制列表拒绝或允许特定协议2 2、选择、选择ACLACL所放置的路由器所放置的路由器 a a、标准访问控制列表越靠近目的越好、标准访问控制列表越靠近目的越好

13、b b、扩展访问控制列表越靠近源越好、扩展访问控制列表越靠近源越好 c c、路由器不能禁止自身产生的流量、路由器不能禁止自身产生的流量3 3、书写合适的访问控制列表、书写合适的访问控制列表 a a、越苛刻的越靠前、越苛刻的越靠前 b b、考虑周全，最后隐含一条、考虑周全，最后隐含一条deny alldeny all c c、至少要有一条允许的语句、至少要有一条允许的语句 d d、不要禁止无辜流量（例如：路由流量）、不要禁止无辜流量（例如：路由流量）4 4、选择、选择ACLACL所应用的接口及方向所应用的接口及方向 a a、不能是环回接口、不能是环回接口29 访问控制列表练习访问控制列表练习1

14、1、禁止、禁止访问访问2 2、禁止、禁止访问访问00003 3、禁止、禁止访问访问的的webweb流量流量4 4、允许、允许00ping00ping但是不允许反向操作但是不允许反向操作5 5、只允许、只允许 telnet telnet30 使用标准

15、的使用标准的IP访问控制列表来设置地址过滤访问控制列表来设置地址过滤. 在线路配置模式下使用在线路配置模式下使用 access-class 命令来过滤访问命令来过滤访问 在每个在每个vty线路上设置同样的条件线路上设置同样的条件.配置访问控制列表配置访问控制列表控制控制VTY访问访问31 进入配置模式来设定进入配置模式来设定 vty 或或vty 范围范围 在访问控制列表上为在访问控制列表上为vty连接设定限制进或者出方向连接设定限制进或者出方向Router(config-line)#access-class access-list-number in | outRouter(config)#l

16、ine vty vty# | vty-range配置访问控制列表配置访问控制列表控制控制VTY访问命令访问命令32 只允许只允许 55 连接到路由器的连接到路由器的 vtyaccess-list 12 permit 55(implicit deny all) !line vty 0 4 access-class 12 in控制进方向的访问控制进方向的访问配置访问控制列表配置访问控制列表控制控制VTY访问案例访问案例33 检验访问控制列表检验访问控制列表34 查看访问控制列表查看访问控制列表wg_ro_a#show pr

17、otocol access-list access-list number wg_ro_a#show access-lists access-list number 35 Router(config)#ip access-list standard | extended nameRouter(config std- | ext-nacl)#permit | deny ip access list test conditionspermit | deny ip access list test conditions no permit | deny ip access list test conditions Router(config-if)#ip access-group nam