九章使用访问列表管理流量

1、会计学1九章使用访问列表管理流量九章使用访问列表管理流量重点：重点：配置配置IP IP 访问列表访问列表难点：难点：IP IP 访问列表工作流程访问列表工作流程要求：要求：第1页/共73页FDDITokenRing一、为什么要使用访问列表一、为什么要使用访问列表第2页/共73页FDDITokenRingInternet第3页/共73页虚拟会话虚拟会话 (IP)端口上的数据传输端口上的数据传输二、访问列表的应用二、访问列表的应用第4页/共73页QueueList优先级判断优先级判断基于数据包检测的特殊数据通讯应用基于数据包检测的特殊数据通讯应用二、访问列表

2、的其他应用二、访问列表的其他应用第5页/共73页QueueList优先级判断优先级判断按需拨号按需拨号基于数据包检测的特殊数据通讯应用基于数据包检测的特殊数据通讯应用二、访问列表的其他应用二、访问列表的其他应用第6页/共73页路由表过滤路由表过滤RoutingTableQueueList优先级判断优先级判断按需拨号按需拨号基于数据包检测的特殊数据通讯应用基于数据包检测的特殊数据通讯应用二、访问列表的其他应用二、访问列表的其他应用第7页/共73页三、什么是访问列表三、什么是访问列表1.1.访问控制列表：访问控制列表：是一个控制网络的有力工具，由一系列是一个控制网络的有力工具，由一系列对包进行分类

3、的条件组成。它提供了数据的过滤，可以在对包进行分类的条件组成。它提供了数据的过滤，可以在不妨碍合法通信连接的同时阻止非法的或不必要的数据流不妨碍合法通信连接的同时阻止非法的或不必要的数据流，保护网络资源。，保护网络资源。2.访问控制列表的分类：访问控制列表的分类：标准访问控制列表标准访问控制列表扩展访问控制列表扩展访问控制列表命名的访问控制列表命名的访问控制列表第8页/共73页 标准标准 检查源地址检查源地址 通常允许、拒绝的是完整的协议通常允许、拒绝的是完整的协议数据包数据包出口出口E0S0数据包数据包入口入口Access List ProcessesPermit?Source第9页/共73

4、页 标准标准 检查源地址检查源地址 通常允许、拒绝的是完整的协议通常允许、拒绝的是完整的协议 扩展扩展 检查源地址和目的地址检查源地址和目的地址 通常允许、拒绝的是某个特定的协议通常允许、拒绝的是某个特定的协议数据包数据包出口出口E0S0数据包数据包入口入口Access List ProcessesPermit?Sourceand DestinationProtocol第10页/共73页 标准标准 检查源地址检查源地址 通常允许、拒绝的是完整的协议通常允许、拒绝的是完整的协议 扩展扩展 检查源地址和目的地址检查源地址和目的地址 通常允许、拒绝的是某个特定的协议通常允许、拒绝的是某个特定的协议

5、进方向和出方向进方向和出方向 数据包数据包出口出口E0S0数据包数据包入口入口Access List ProcessesPermit?Sourceand DestinationProtocol第11页/共73页数据包数据包入口入口NY丢弃丢弃选择选择接口接口NACL?有有路由路由吗？吗？?Y数据包数据包出口出口S0第12页/共73页数据包数据包出口出口PacketNY选择选择接口接口有有路由路由吗？吗？NPacket检查条件检查条件Permit?YACL？YS0E0数据包数据包入口入口丢弃丢弃第13页/共73页Notify SenderIf no access list statement m

6、atches then discard the packet NYNYPermit?YACL?NPacketPacketS0E0数据包数据包入口入口有有路由路由吗？吗？选择选择接口接口检查条件检查条件数据包数据包出口出口丢弃丢弃丢弃丢弃第14页/共73页数据包到达接口数据包到达接口丢弃丢弃Y通过接口通过接口DenyDenyY第一个第一个条件匹配条件匹配? ?Permit第15页/共73页YDenyDenyYPermitNDenyPermitYY数据包到达接口数据包到达接口第一个第一个条件匹配条件匹配? ?第二个第二个条件匹配条件匹配? ?通过接口通过接口丢弃丢弃第16页/共73页YDenyDe

7、nyYPermitNDenyPermitDenyYYNYYPermit数据包到达接口数据包到达接口第一个第一个条件匹配条件匹配? ?第二个第二个条件匹配条件匹配? ?最后一个最后一个条件匹配条件匹配? ?丢弃丢弃通过接口通过接口第17页/共73页YDenyYPermitNDenyPermitDenyYYNYYPermitImplicit DenyIf no matchdeny allDenyN数据包到达接口数据包到达接口第一个第一个条件匹配条件匹配? ?第二个第二个条件匹配条件匹配? ?最后一个最后一个条件匹配条件匹配? ?通过接口通过接口丢弃丢弃第18页/共73页编号范围编号范围访问列表类型

8、访问列表类型IP 1-99Standard标准访问列表标准访问列表 (1 to 99) 检查检查 IP 数据包的源地址数据包的源地址第19页/共73页编号范围编号范围访问列表类型访问列表类型IP 1-99100-199StandardExtended标准访问列表标准访问列表 (1 to 99) 检查检查 IP 数据包的源地址数据包的源地址扩展访问列表扩展访问列表 (100 to 199) 检查源地址和目的地址、具体的检查源地址和目的地址、具体的 TCP/IP 协议和目协议和目的端口的端口第20页/共73页编号范围编号范围IP 1-99100-199Name (Cisco IOS 11.2 an

9、d later)800-899900-9991000-1099Name (Cisco IOS 11.2. F and later)StandardExtendedSAP filtersNamedStandardExtendedNamed访问列表类型访问列表类型IPX第21页/共73页SourceAddressSegment(for example, TCP header)DataPacket(IP header)Frame Header(for example, HDLC)DenyPermit Useaccess list statements1-99 第22页/共73页Destination

10、AddressSourceAddressProtocolPortNumberSegment(for example, TCP header)DataPacket(IP header)Frame Header(for example, HDLC) Useaccess list statements1-99 or 100-199 to test thepacket DenyPermit第23页/共73页 通配符掩码的规定如下：通配符掩码的规定如下： 通配符掩码位为通配符掩码位为0表示检查数据包的表示检查数据包的IP地址相对应地址相对应的比特位。的比特位。 通配符掩码位为通配符掩码位为1表示不检查数

11、据包的表示不检查数据包的IP地址相对地址相对应的比特位。应的比特位。 通配符和主机或网络地址一起使用来告诉路由器要通配符和主机或网络地址一起使用来告诉路由器要过滤的有效范围。过滤的有效范围。第24页/共73页=001111111286432168421=00000000=00001111=11111100=11111111检查所有的地址位检查所有的地址位例如例如忽略最后六位忽略最后六位忽略最后四位忽略最后四位检查最后两位检查最后两位忽略所有的地址位忽略所有的地址位第25页/共73页 90 . 0 . 0 . 0(检查所有的位检查所有的位) 主机地址为：主机地址为：通配符掩

12、码通配符掩码:例：某公司的网络管理员计划使用访问控制列表控制主机对例：某公司的网络管理员计划使用访问控制列表控制主机对FTP服务器的访问，目的是不允许地址为服务器的访问，目的是不允许地址为9 的主机访问的主机访问FTP服务器。服务器。第26页/共73页 172. 30. 16. 00 . 0 . 0 . 255(检查前三个字节检查前三个字节)一个子网为：一个子网为：通配符掩码通配符掩码:如果是不允许地址在如果是不允许地址在172. 30.16. 0 子网的所有主机访问子网的所有主机访问FTP服务器。服务器。访问控制列表中地址应当写成：访问控制列表中地址应当写成：172.

13、30. 16. 0 55 第27页/共73页0. 0. 0. 0 55(忽略所有位忽略所有位)任意地址：任意地址：通配符掩码通配符掩码: :如果需要在访问列表中表达所有的主机如果需要在访问列表中表达所有的主机第28页/共73页检查从检查从/24 到到 /24的所有子网的所有子网.host .00000通配符掩码：通配符掩码： 0 0 0 0 1 1 1 1 | 0 0 0 1 0 0 0 0 = 16 0 0 0 1 0 0 0 1 =17 0 0 0 1 0 0 1 0 =18: : 0 0 0 1 1 1

14、1 1 =31第29页/共73页第30页/共73页第31页/共73页Step 1: 设置访问列表测试语句的参数设置访问列表测试语句的参数access-list access-list-number permit | deny test conditions Router(config)#第32页/共73页Step 1:设置访问列表测试语句的参数设置访问列表测试语句的参数Router(config)#Step 2: 在端口上应用访问列表在端口上应用访问列表 protocol access-group access-list-number in | out Router(config-if)#ac

15、cess-list access-list-number permit | deny test conditions 第33页/共73页access-list access-list-number permit|deny source maskRouter(config)# 为访问列表设置参数为访问列表设置参数 IP 标准访问列表编号标准访问列表编号 1 到到 99 缺省的通配符掩码缺省的通配符掩码 = “no access-list access-list-number” 命令删除访问列表命令删除访问列表第34页/共73页access-list access-list-num

16、ber permit|deny source maskRouter(config)#Router(config-if)#ip access-group access-list-number in | out 为访问列表设置参数为访问列表设置参数IP 标准访问列表编号标准访问列表编号 1 到到 99缺省的通配符掩码缺省的通配符掩码 = “no access-list access-list-number” 命令删除访问列表命令删除访问列表第35页/共73页3E0S0E1Non-access-list 1

17、 permit 55(implicit deny all - not visible in the list)(access-list 1 deny 55)第36页/共73页Permit my network onlyaccess-list 1 permit 55(implicit deny all - not visible in the list)(access-list 1 deny 55)interface ethernet

18、 0ip access-group 1 outinterface ethernet 1ip access-group 1 out3E0S0E1Non-第37页/共73页3E0S0E1Non-access-list 1 deny 3 第38页/共73页3E0S0E1Non-Deny a specific hostaccess

19、-list 1 deny 3 access-list 1 permit 55(implicit deny all)(access-list 1 deny 55)第39页/共73页access-list 1 deny 3 access-list 1 permit 55(implicit deny all)(access-list 1 deny 55)inter

20、face ethernet 0ip access-group 1 out3E0S0E1Non-Deny a specific host第40页/共73页3E0S0E1Non-access-list 1 deny 55access-list 1 permit any(implicit deny all)(access-list 1 deny 55)第41页/共7

21、3页access-list 1 deny 55access-list 1 permit any(implicit deny all)(access-list 1 deny 55)interface ethernet 0ip access-group 1 out3E0S0E1Non-Deny a specific subnet第42页/共73页01 234Virtual ports (vty 0 through 4)Physical por

22、t e0 (Telnet)Console port (direct connect)consolee0第43页/共73页01 234Virtual ports (vty 0 through 4)Physical port (e0) (Telnet) 使用标准访问列表语句使用标准访问列表语句 用用 access-class 命令应用访问列表命令应用访问列表 在所有在所有vty通道上设置相同的限制条件通道上设置相同的限制条件Router#e0第44页/共73页 指明指明vty通道的范围通道的范围 在访问列表里指明方向在访问列表里指明方向ip access-class access-list-num

23、ber in|outline vty vty# | vty-rangeRouter(config)#Router(config-line)#第45页/共73页只允许网络只允许网络 内的主机连接路由器的内的主机连接路由器的 vty 通道通道access-list 12 permit 55!line vty 0 4 access-class 12 inControlling Inbound Access第46页/共73页标准标准扩展扩展基于源地址基于源地址基于源地址和目标地址基于源地址和目标地址允许和拒绝完整的允许和拒绝完整的TCP/IP

24、协议协议指定指定TCP/IP的特定协议的特定协议和端口号和端口号编号范围编号范围 100 到到 199.编号范围编号范围 1 到到 99第47页/共73页Router(config)# 设置访问列表的参数设置访问列表的参数access-list access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator port established log第48页/共73页Router(config-if)# ip acces

25、s-group access-list-number in | out 在端口上应用访问列表在端口上应用访问列表 设置访问列表的参数设置访问列表的参数Router(config)# access-list access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator port established log第49页/共73页3E0S0E1Non-172.16

26、.0.0access-list 101 deny tcp 55 55 eq 21access-list 101 deny tcp 55 55 eq 20第50页/共73页3E0S0E1Non-access-list 101 deny tcp 55 55 eq 21access-list 101 deny

27、 tcp 55 55 eq 20access-list 101 permit ip any any(implicit deny all)(access-list 101 deny ip 55 55)第51页/共73页access-list 101 deny tcp 55 55 eq 21access-list 101 deny tcp 0.0.0.

28、255 55 eq 20access-list 101 permit ip any any(implicit deny all)(access-list 101 deny ip 55 55)interface ethernet 0ip access-group 101 out3E0S0E1Non-第52页/共73页3E0S0E1Non-1

29、access-list 101 deny tcp 55 any eq 23第53页/共73页3E0S0E1Non-access-list 101 deny tcp 55 any eq 23access-list 101 permit ip any any(implicit deny all)第54页/共73页access-list 101 deny tcp 55 any eq 23acces

30、s-list 101 permit ip any any(implicit deny all)interface ethernet 0ip access-group 101 out3E0S0E1Non-第55页/共73页Router(config)#ip access-list standard | extended name适用于适用于IOS版本号为版本号为11.2以后以后所使用的名称必须一致所使用的名称必须一致第56页/共73页Router(config)#ip access-list standard | e

31、xtended name permit | deny ip access list test conditions permit | deny ip access list test conditions no permit | deny ip access list test conditions Router(config std- | ext-nacl)#适用于适用于IOS版本号为版本号为11.2以后以后所使用的名称必须一致所使用的名称必须一致允许和拒绝语句不需要访问列表编号允许和拒绝语句不需要访问列表编号 “no” 命令删除访问列表命令删除访问列表第57页/共73页Router(con

32、fig)# ip access-list standard | extended nameRouter(config std- | ext-nacl)# permit | deny ip access list test conditions permit | deny ip access list test conditions no permit | deny ip access list test conditions Router(config-if)# ip access-group name in | out 适用于适用于IOS版本号为版本号为11.2以后以后所使用的名称必须一致所

33、使用的名称必须一致允许和拒绝语句不需要访问列表编号允许和拒绝语句不需要访问列表编号 “no” 命令删除访问列表命令删除访问列表在端口上应用访问列表在端口上应用访问列表第58页/共73页E0E0E1S0To0S1S0S1E0E0TokenRing推荐：推荐：源主机源主机目标主机目标主机第59页/共73页wg_ro_a#show ip int e0Ethernet0 is up, line protocol is up Internet address is 1/24 Broadcast address is 55 Address determined b

34、y setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1 Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP

35、 mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is disabled IP Feature Fast switching turbo vector IP multicast fast switching is enabled IP multicast distributed fast switching is disabled 第60页/共73页wg_ro_a#show access-lists Standard IP access list 1

36、 permit permit permit permit Extended IP access list 101 permit tcp host any eq telnet permit tcp host any eq ftp permit tcp host any eq ftp-datawg_ro_a#show protocol access-list access-list number wg_ro_a#show access-lists access-l

37、ist number 第61页/共73页 core_ serverwg_sw_a1 wg_sw_l1 wg_pc_a2wg_pc_l2wg_ro_a e0/1e0/2e0/2e0/1e0e0fa0/23core_sw_awg_ro_lcore_rofa0/24fa0/0LLs0 s0s1/0 - s2/3 .TFTPTelnetTFTPXXTelnetXXP

38、odwg_ros s0wg_ros e0wg_swA1B 1C1D1E1F1G1H1I1J10.11.11

39、.31K1L1第62页/共73页第63页/共73页第64页/共73页数据包到达接口数据包到达接口丢弃丢弃Y通过接口通过接口DenyDenyY第一个第一个条件匹配条件匹配? ?Permit第65页/共73页YDenyDenyYPermitNDenyPermitYY数据包到达接口数据包到达接口第一个第一个条件匹配条件匹配? ?第二个第二个条件匹配条件匹配? ?通过接口通过接口丢弃丢弃第66页/共73页 172. 30. 16. 00 . 0 . 0 . 255(