用访问列表初步管理IP流量

1、用访问列表初步管理 IP流量2Cisxo Education SolutionFDDI- 管理网络中逐步增长的 IP 数据TokenRing为什么要使用访问列表为什么要使用访问列表3Cisxo Education SolutionFDDITokenRingInternet- 管理网络中逐步增长的 IP 数据- 当数据通过路由器时进行过滤为什么要使用访问列表为什么要使用访问列表4Cisxo Education Solution访问列表的应用访问列表的应用- 允许、拒绝数据包通过路由器- 允许、拒绝Telnet会话的建立- 没有设置访问列表时，所有的数据包都

2、会在网络上传输虚拟会话虚拟会话 (IP)端口上的数据传输端口上的数据传输5Cisxo Education Solution- 标准 检查源地址检查源地址 通常允许、拒绝的是完整的协议通常允许、拒绝的是完整的协议OutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit?Source什么是访问列表什么是访问列表6Cisxo Education Solution- 标准 检查源地址检查源地址 通常允许、拒绝的是完整的协议通常允许、拒绝的是完整的协议- 扩展 检查源地址和目的地址检查源地址和目的地址 通常允许、拒绝的是某个特定的协议通常允许

3、、拒绝的是某个特定的协议OutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit?Sourceand DestinationProtocol什么是访问列表什么是访问列表7Cisxo Education Solution- 标准 检查源地址检查源地址 通常允许、拒绝的是完整的协议通常允许、拒绝的是完整的协议- 扩展 检查源地址和目的地址检查源地址和目的地址 通常允许、拒绝的是某个特定的协议通常允许、拒绝的是某个特定的协议 进方向和出方向 OutgoingPacketE0S0IncomingPacketAccess List Proce

4、ssesPermit?Sourceand DestinationProtocol什么是访问列表什么是访问列表8Cisxo Education Solution访问列表配置要点：访问列表配置要点：- 访问列表的编号指明了使用何种协议的访问列表- 每个端口、每个方向、每条协议只能对应于一条访问列表- 访问列表的内容决定了数据的控制顺序 - 具有严格限制条件的语句应放在访问列表所有语句的最上面- 在访问列表的最后有一条隐含声明：deny any每一条正确的访问列表都至少应该有一条允许语句- 先创建访问列表，然后应用到端口上- 访问列表不能过滤由路由器自己产生的数据9Cisxo Education S

5、olution访问列表设置命令访问列表设置命令Step 1: 设置访问列表测试语句的参数设置访问列表测试语句的参数access-list access-list-number permit | deny test conditions Router(config)#10Cisxo Education SolutionStep 1:设置访问列表测试语句的参数设置访问列表测试语句的参数Router(config)#Step 2: 在端口上应用访问列表在端口上应用访问列表 protocol access-group access-list-number in | out Router(config-

6、if)#访问列表设置命令访问列表设置命令IP 访问列表的标号为 1-99 和 100-199access-list access-list-number permit | deny test conditions 11Cisxo Education Solution如何识别访问列表如何识别访问列表编号范围编号范围访问列表类型访问列表类型IP 1-99Standard- 标准访问列表 (1 to 99) 检查 IP 数据包的源地址12Cisxo Education Solution编号范围编号范围访问列表类型访问列表类型如何识别访问列表如何识别访问列表IP 1-99100-199Standard

7、Extended- 标准访问列表 (1 to 99) 检查 IP 数据包的源地址- 扩展访问列表 (100 to 199) 检查源地址和目的地址、具体的 TCP/IP 协议和目的端口13Cisxo Education Solution编号范围编号范围IP 1-99100-199Name (Cisco IOS 11.2 and later)800-899900-9991000-1099Name (Cisco IOS 11.2. F and later)StandardExtendedSAP filtersNamedStandardExtendedNamed访问列表类型访问列表类型IPX如何识别访

8、问列表如何识别访问列表- 标准访问列表 (1 to 99) 检查 IP 数据包的源地址- 扩展访问列表 (100 to 199) 检查源地址和目的地址、具体的 TCP/IP 协议和目的端口- 其它访问列表编号范围表示不同协议的访问列表14Cisxo Education Solution- 0 表示检查与之对应的地址位的值- 1表示忽略与之对应的地址位的值do not check address (ignore bits in octet)=001111111286432168421=00000000=00001111=11111100=11111111Octet bit position an

9、d address value for bitignore last 6 address bitscheck all address bits(match all)ignore last 4 address bitscheck last 2 address bitsExamples通配符：如何检查相应的地址位通配符：如何检查相应的地址位15Cisxo Education Solution- 例如 9 检查所有的地址位 - 可以简写为 host (host 9)Test conditions: Check all the address

10、 bits (match all) (checks all bits)An IP host address, for example:Wildcard mask:通配符掩码指明特定的主机通配符掩码指明特定的主机16Cisxo Education Solution- 所有主机: 55- 可以用 any 简写Test conditions: Ignore all the address bits (match any) 55(ignore all)Any IP addressWi

11、ldcard mask:通配符掩码指明所有主机通配符掩码指明所有主机17Cisxo Education SolutionCheck for IP subnets /24 to /24.host .00000Wildcard mask: 0 0 0 0 1 1 1 1 | 0 0 0 1 0 0 0 0 = 16 0 0 0 1 0 0 0 1 =17 0 0 0 1 0 0 1 0 =18: : 0 0 0 1 1 1 1 1 =31Address and wildcard mask: 55通配符掩码和通配符掩

12、码和IPIP子网的子网的对应对应 1999, Cisco Systems, Inc. 10-18配置标准的配置标准的 IP IP 访问列表访问列表19Cisxo Education Solution标准标准IPIP访问列表的配置访问列表的配置access-list access-list-number permit|deny source maskRouter(config)# 为访问列表设置参数为访问列表设置参数 IP 标准访问列表编号标准访问列表编号 1 到到 99 缺省的通配符掩码缺省的通配符掩码 = “no access-list access-list-number”

13、 命令删除访问列表命令删除访问列表20Cisxo Education Solutionaccess-list access-list-number permit|deny source maskRouter(config)#- 在端口上应用访问列表- 指明是进方向还是出方向- 缺省 = 出方向- “no ip access-group access-list-number” 命令在端口上删除访问列表Router(config-if)#ip access-group access-list-number in | out 为访问列表设置参数为访问列表设置参数 IP 标准访问列表编号标准访问列表编

14、号 1 到到 99 缺省的通配符掩码缺省的通配符掩码 = “no access-list access-list-number” 命令删除访问列表命令删除访问列表标准标准IPIP访问列表的配置访问列表的配置21Cisxo Education Solution3E0S0E1Non-标准访问列表举例标准访问列表举例 1 1access-list 1 permit 55(implicit deny all - not visible in the list)(acc

15、ess-list 1 deny 55)22Cisxo Education Solution只允许我自己的网段!access-list 1 permit 55(implicit deny all - not visible in the list)(access-list 1 deny 55)interface ethernet 0ip access-group 1 outinterface ethernet 1ip access-group 1 out

16、3E0S0E1Non-标准访问列表举例标准访问列表举例 1 123Cisxo Education Solution拒绝一个指定的主机!标准访问列表举例标准访问列表举例 2 23E0S0E1Non-access-list 1 deny 3 24Cisxo Education Solution标准访问列表举例标准访问列表举例 2 23E0S0E1Non-172.16

17、.0.0拒绝一个指定的主机!access-list 1 deny 3 access-list 1 permit 55(implicit deny all)(access-list 1 deny 55)25Cisxo Education Solutionaccess-list 1 deny 3 access-list 1 permit 55(implicit deny all)(access-list

18、 1 deny 55)interface ethernet 0ip access-group 1 out标准访问列表举例标准访问列表举例 2 23E0S0E1Non-拒绝一个指定的主机!26Cisxo Education Solution拒绝一个指定的网段!标准访问列表举例标准访问列表举例 3 33E0S0E1Non-access-list 1 deny 55

19、access-list 1 permit any(implicit deny all)(access-list 1 deny 55)27Cisxo Education Solutionaccess-list 1 deny 55access-list 1 permit any(implicit deny all)(access-list 1 deny 55)interface ethernet 0ip access-group 1 out标准访问列表举例标准访问列表举例 3 3

20、3E0S0E1Non-拒绝一个指定的网段! 1999, Cisco Systems, Inc. 10-28扩展扩展 IP IP 访问列表的配置访问列表的配置29Cisxo Education Solution标准访问列表和扩展访问列表标准访问列表和扩展访问列表比较比较标准标准扩展扩展基于源地址基于源地址基于源地址和目标地址基于源地址和目标地址允许和拒绝完整的允许和拒绝完整的TCP/IP协议协议指定指定TCP/IP的特定协议的特定协议和端口号和端口号编号范围编号范围 100 到到 199.编号范围编号范围 1 到到

21、9930Cisxo Education Solution扩展扩展 IP IP 访问列表的配置访问列表的配置Router(config)#- 设置访问列表的参数- 在端口上应用访问列表access-list access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator port established log31Cisxo Education Solution- 拒绝子网 的数据使用路由器e0口ft

22、p到子网 - 允许其它数据3E0S0E1Non-扩展访问列表应用举例扩展访问列表应用举例 1 1access-list 101 deny tcp 55 55 eq 21access-list 101 deny tcp 55 55 eq 20access-list 101 permit ip any any注：在扩展访问列表中，必须选择网络层协议字段条目；

23、如通过在应用层控制注：在扩展访问列表中，必须选择网络层协议字段条目；如通过在应用层控制TELNET或或FTP流量流量，必须选择，必须选择TCP，IP是表示网络层是表示网络层32Cisxo Education Solution- 拒绝子网 的数据使用路由器e0口ftp到子网 - 允许其它数据扩展访问列表应用举例扩展访问列表应用举例 1 13E0S0E1Non-access-list 101 deny tcp 55 0.0

24、.0.255 eq 21access-list 101 deny tcp 55 55 eq 20access-list 101 permit ip any any(implicit deny all)(access-list 101 deny ip 55 55)注：在扩展访问列表中，必须选择网络层协议字段条目；如通过在应用层控制注：在扩展访问列表中，必须选择网络层协议字段条目；如通过在应用层控制TELNET或或FTP流量流量，必须选择，必须

25、选择TCP，IP是表示网络层是表示网络层33Cisxo Education Solutionaccess-list 101 deny tcp 55 55 eq 21access-list 101 deny tcp 55 55 eq 20access-list 101 permit ip any any(implicit deny all)(access-list 101 deny ip 55 2

26、55)interface ethernet 0ip access-group 101 out- 拒绝子网 的数据使用路由器e0口ftp到子网 - 允许其它数据扩展访问列表应用举例扩展访问列表应用举例 1 13E0S0E1Non-34Cisxo Education Solution- 拒绝子网 内的主机使用路由器的 E0 端口建立Telnet会话- 允许其它数据扩展访问列表应用举例扩展访问列表应用举例 2 217

27、3E0S0E1Non-access-list 101 deny tcp 55 any eq 23EQ 23 表示阻止表示阻止TELnet到主机的访问，这时，到主机的访问，这时，FTP是允许的。是允许的。35Cisxo Education Solution- 拒绝子网 内的主机使用路由器的 E0 端口建立Telnet会话- 允许其它数据扩展访问列表应用举例扩展访问列表应用举例 2 23E0S0E1Non-

28、access-list 101 deny tcp 55 any eq 23access-list 101 permit ip any any(implicit deny all)36Cisxo Education Solutionaccess-list 101 deny tcp 55 any eq 23access-list 101 permit ip any any(implicit deny all)interface ethernet 0ip access-group 101 out- 拒绝子网

29、 内的主机使用路由器的 E0 端口建立Telnet会话- 允许其它数据扩展访问列表应用举例扩展访问列表应用举例 2 23E0S0E1Non-37Cisxo Education Solution访问列表配置指南访问列表配置指南( (再记一次再记一次) )- 访问列表的编号指明了使用何种协议的访问列表- 每个端口、每个方向、每条协议只能对应于一条访问列表- 访问列表的内容决定了数据的控制顺序 - 具有严格限制条件的语句应放在访问列表所有语句的最上面- 在访问列表的最后有一条隐含声明：deny any每一条正确的访问列表

30、都至少应该有一条允许语句- 先创建访问列表，然后应用到端口上- 访问列表不能过滤由路由器自己产生的数据38Cisxo Education Solution访问列表配置准则访问列表配置准则- 访问列表中限制语句的位置是至关重要的- 将限制条件严格的语句放在访问列表的最上面- 使用 no access-list number 命令删除完整的访问列表- 隐含声明 deny all在设置的访问列表中要有一句在设置的访问列表中要有一句 permit any permit any39Cisxo Education Solution- 将标准访问列表置于离目的设备较近的位置- (因为看电影的人太多，有票的才

31、能进来.我有票，哈哈!)- 将扩展访问列表置于离源设备较近的位置- (到学校上课，被通知今天不上课,郁闷啊！)E0E0E1S0To0S1S0S1E0E0TokenRing访问列表的放置原则访问列表的放置原则推荐：推荐：40Cisxo Education Solutionwg_ro_a#show ip int e0Ethernet0 is up, line protocol is up Internet address is 1/24 Broadcast address is 55 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outg