用访问列表初步管理IP流量上机ppt课件

1、 1999, Cisco Systems, Inc. 10-1用访问列表初步管理用访问列表初步管理 IP IP流量流量 1999, Cisco Systems, Inc. ICND10-2本章目的本章目的经过本章的学习，您应该掌握以下内容：经过本章的学习，您应该掌握以下内容： 识别识别 IP 访问列表的主要作用和任务流程访问列表的主要作用和任务流程配置规范的配置规范的 IP 访问列表访问列表利用访问列表控制虚拟会话的建立利用访问列表控制虚拟会话的建立配置扩展的配置扩展的 IP 访问列表访问列表查看查看 IP 访问列表访问列表 1999, Cisco Systems, Inc. ICND10-3

2、FDDI 管理网络中逐渐增长的管理网络中逐渐增长的 IP 数据数据TokenRing为什么要运用访问列表为什么要运用访问列表 1999, Cisco Systems, Inc. ICND10-4FDDITokenRingInternet 管理网络中逐渐增长的管理网络中逐渐增长的 IP 数据数据 当数据经过路由器时进展过滤当数据经过路由器时进展过滤为什么要运用访问列表为什么要运用访问列表 1999, Cisco Systems, Inc. ICND10-5访问列表的运用访问列表的运用 允许、回绝数据包经过路由器 允许、回绝Telnet会话的建立 没有设置访

3、问列表时，一切的数据包都会在网络上传输虚拟会话虚拟会话 (IP)端口上的数据传输端口上的数据传输 1999, Cisco Systems, Inc. ICND10-6QueueList优先级判别优先级判别访问列表的其它运用访问列表的其它运用基于数据包检测的特殊数据通讯运用基于数据包检测的特殊数据通讯运用 1999, Cisco Systems, Inc. ICND10-7QueueList优先级判别优先级判别访问列表的其它运用访问列表的其它运用按需拨号按需拨号基于数据包检测的特殊数据通讯运用基于数据包检测的特殊数据通讯运用 1999, Cisco Systems, Inc. ICND10-8访

4、问列表的其它运用访问列表的其它运用路由表过滤路由表过滤RoutingTableQueueList优先级判别优先级判别按需拨号按需拨号基于数据包检测的特殊数据通讯运用基于数据包检测的特殊数据通讯运用决议转发或阻止那种类型的数据流决议转发或阻止那种类型的数据流 1999, Cisco Systems, Inc. ICND10-9 规范规范 检查源地址检查源地址 通常允许、回绝的是完好的协议通常允许、回绝的是完好的协议OutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit?Source什么是访问列表什么是访问列表 1999, Cisco

5、 Systems, Inc. ICND10-10 规范规范 检查源地址检查源地址 通常允许、回绝的是完好的协议通常允许、回绝的是完好的协议 扩展扩展 检查源地址和目的地址检查源地址和目的地址 通常允许、回绝的是某个特定的协议通常允许、回绝的是某个特定的协议OutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit?Sourceand DestinationProtocol什么是访问列表什么是访问列表 1999, Cisco Systems, Inc. ICND10-11 规范规范 检查源地址检查源地址 通常允许、回绝的是完好的协议通常

6、允许、回绝的是完好的协议 扩展扩展 检查源地址和目的地址检查源地址和目的地址 通常允许、回绝的是某个特定的协议通常允许、回绝的是某个特定的协议 进方向和出方向进方向和出方向 OutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit?Sourceand DestinationProtocol什么是访问列表什么是访问列表 1999, Cisco Systems, Inc. ICND10-12InboundInterfacePacketsNYPacket Discard BucketChooseInterfaceNAccessList?R

7、outingTable Entry?YOutbound InterfacesPacketS0 1999, Cisco Systems, Inc. ICND10-13Outbound InterfacesPacketNYPacket Discard BucketChooseInterfaceRoutingTable Entry?NPacketTestAccess ListStatementsPermit?Y出端口方向上的访问列表出端口方向上的访问列表AccessList?YS0E0InboundInterfacePackets 1999, Cisco Systems, Inc. ICND10-1

8、4Notify Sender出端口方向上的访问列表出端口方向上的访问列表If no access list statement matches then discard the packet NYPacket Discard BucketChooseInterfaceRoutingTable Entry?NYTestAccess ListStatementsPermit?YAccessList?Discard PacketNOutbound InterfacesPacketPacketS0E0InboundInterfacePackets能否有出栈AL测试访问列表命令 1999, Cisco

9、Systems, Inc. ICND10-15访问列表的测试：允许和回绝访问列表的测试：允许和回绝Packets to interfacesin the access groupPacket Discard BucketYInterface(s)DestinationDenyDenyYMatchFirstTest?Permit 1999, Cisco Systems, Inc. ICND10-16访问列表的测试：允许和回绝访问列表的测试：允许和回绝Packets to Interface(s)in the Access GroupPacket Discard BucketYInterface(

10、s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?YY第一条命令不匹第一条命令不匹配就测试第二条配就测试第二条 1999, Cisco Systems, Inc. ICND10-17访问列表的测试：允许和回绝访问列表的测试：允许和回绝Packets to Interface(s)in the Access GroupPacket Discard BucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNext

11、Test(s)?DenyMatchLastTest?YYNYYPermit 1999, Cisco Systems, Inc. ICND10-18访问列表的测试：允许和回绝访问列表的测试：允许和回绝Packets to Interface(s)in the Access GroupPacket Discard BucketYInterface(s)DestinationDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTest?YYNYYPermitImplicit DenyIf no matchdeny al

12、lDenyN隐含命隐含命令令DENY ALL 1999, Cisco Systems, Inc. ICND10-19访问列表配置指南访问列表配置指南 访问列表的编号指明了运用何种协议的访问列表访问列表的编号指明了运用何种协议的访问列表1-99，100-199对应对应 IP协议协议 每个端口、每个方向、每条协议只能对应于一条访问每个端口、每个方向、每条协议只能对应于一条访问列表列表 访问列表的内容决议了数据的控制顺序访问列表的内容决议了数据的控制顺序 具有严厉限制条件的语句应放在访问列表一切语句的具有严厉限制条件的语句应放在访问列表一切语句的最上面最上面,有利于提高性能。有利于提高性能。 在访问

13、列表的最后有一条隐含声明：在访问列表的最后有一条隐含声明：deny any每一每一条正确的访问列表都至少应该有一条允许语句条正确的访问列表都至少应该有一条允许语句 先创建访问列表，然后运用到端口上先创建访问列表，然后运用到端口上 访问列表不能过滤由路由器本人产生的数据访问列表不能过滤由路由器本人产生的数据 1999, Cisco Systems, Inc. ICND10-20访问列表设置命令访问列表设置命令Step 1: 设置访问列表测试语句的参数设置访问列表测试语句的参数access-list access-list-number permit | deny test conditions

14、Router(config)# 1999, Cisco Systems, Inc. ICND10-21Step 1:设置访问列表测试语句的参数设置访问列表测试语句的参数Router(config)#Step 2: 在端口上运用访问列表在端口上运用访问列表 protocol access-group access-list-number in | out Router(config-if)#访问列表设置命令访问列表设置命令IP 访问列表的标号为 1-99 和 100-199access-list access-list-number permit | deny test conditions 1

15、999, Cisco Systems, Inc. ICND10-22如何识别访问列表如何识别访问列表编号范围编号范围访问列表类型访问列表类型IP 1-99Standard 规范访问列表规范访问列表 (1 to 99) 检查检查 IP 数据包的源地址数据包的源地址 1999, Cisco Systems, Inc. ICND10-23编号范围编号范围访问列表类型访问列表类型如何识别访问列表如何识别访问列表IP 1-99100-199StandardExtended 规范访问列表规范访问列表 (1 to 99) 检查检查 IP 数据包的源地址数据包的源地址 扩展访问列表扩展访问列表 (100 to

16、 199) 检查源地址和目的地址、详细的检查源地址和目的地址、详细的 TCP/IP 协议和目的协议和目的端口端口 1999, Cisco Systems, Inc. ICND10-24编号范围编号范围IP 1-99100-199Name (Cisco IOS 11.2 and later)800-899900-9991000-1099Name (Cisco IOS 11.2. F and later)StandardExtendedSAP filtersNamedStandardExtendedNamed访问列表类型访问列表类型IPX如何识别访问列表如何识别访问列表 规范访问列表规范访问列表

17、(1 to 99) 检查检查 IP 数据包的源地址数据包的源地址 扩展访问列表扩展访问列表 (100 to 199) 检查源地址和目的地址、详细的检查源地址和目的地址、详细的 TCP/IP 协议和目的协议和目的端口端口 其它访问列表编号范围表示不同协议的访问列表其它访问列表编号范围表示不同协议的访问列表 1999, Cisco Systems, Inc. ICND10-25Source(只检查源地址只检查源地址AddressSegment(for example, TCP header)DataPacket(IP header)Frame Header(for example, HDLC)De

18、nyPermit Useaccess list statements1-99 用规范访问列表测试数据用规范访问列表测试数据 1999, Cisco Systems, Inc. ICND10-26DestinationAddressSourceAddressProtocolPortNumberSegment(for example, TCP header)DataPacket(IP header)Frame Header(for example, HDLC) Useaccess list statements1-99 or 100-199 to test thepacket DenyPermit

19、An Example from a TCP/IP Packet用扩展访问列表测试数据用扩展访问列表测试数据需求检查源地址，目的地址，需求检查源地址，目的地址，特定协议，端口号以及其他参特定协议，端口号以及其他参数数 1999, Cisco Systems, Inc. ICND10-27 0 表示检查与之对应的地址位的值表示检查与之对应的地址位的值 1表示忽略与之对应的地址位的值表示忽略与之对应的地址位的值do not check address (ignore bits in octet)=001111111286432168421=00000000=00001111=11111100=111

20、11111Octet bit position and address value for bitignore last 6 address bitscheck all address bits(match all)ignore last 4 address bitscheck last 2 address bitsExamples通配符：如何检查相应的地址位通配符：如何检查相应的地址位 1999, Cisco Systems, Inc. ICND10-28 例如 9 检查一切的地址位 可以简写为 host (host 9)：检查一切

21、位，即是指定特定主机地址。Test conditions: Check all the address bits (match all) (checks all bits)An IP host address, for example:Wildcard mask:通配符掩码指明特定的主机通配符掩码指明特定的主机 1999, Cisco Systems, Inc. ICND10-29 一切主机: 55 可以用 any 简写 any等价 55Test conditions: Ig

22、nore all the address bits (match any) 55(ignore all)Any IP addressWildcard mask:通配符掩码指明一切主机通配符掩码指明一切主机 1999, Cisco Systems, Inc. ICND10-30Check for IP subnets /24 to /240000Wildcard mask 0 0 0 0 1 1 1 1 | 0 0 0 1 0 0 0 0 = 16 0 0 0 1 0 0 0 1 =17 0 0 0 1 0 0

23、1 0 =18: : 0 0 0 1 1 1 1 1 =31Address and wildcard mask: 55通配符掩码和通配符掩码和IP子网的子网的对应对应ll:掩码对：掩码对： 55符合条件的网络 2019, Cisco Systems, Inc. cisco10-31配置规范的配置规范的 IP 访问列表访问列表 1999, Cisco Systems, Inc. ICND10-32规范规范IP访问列表的配置访问列表的配置access-list access-list-number permit|den

24、y source maskRouter(config)# 为访问列表设置参数为访问列表设置参数 IP 规范访问列表编号规范访问列表编号 1 到到 99 缺省的通配符掩码缺省的通配符掩码 = 检查全部检查全部 “no access-list access-list-number 命令命令删除访问列表删除访问列表 1999, Cisco Systems, Inc. ICND10-33access-list access-list-number permit|deny source maskRouter(config)# 在端口上运用访问列表在端口上运用访问列表 指明是进方向还是出方

25、向指明是进方向还是出方向 缺省缺省 = 出方向出方向 “no ip access-group access-list-number 命令在端口上删除访问命令在端口上删除访问列表列表Router(config-if)#ip access-group access-list-number in | out 为访问列表设置参数为访问列表设置参数 IP 规范访问列表编号规范访问列表编号 1 到到 99 缺省的通配符掩码缺省的通配符掩码 = “no access-list access-list-number 命令删除访问列表命令删除访问列表规范规范IP访问列表的配置访问列表的配置 19

26、99, Cisco Systems, Inc. ICND10-343E0S0E1Non-规范访问列表举例规范访问列表举例 1access-list 1 permit 55(implicit deny all - not visible in the list)(access-list 1 deny 55) 1999, Cisco Systems, Inc. ICND10-35Permit my network onlyaccess-l

27、ist 1 permit 55(implicit deny all - not visible in the list)(access-list 1 deny 55)interface ethernet 0ip access-group 1 outinterface ethernet 1ip access-group 1 out3E0S0E1Non-规范访问列表举例规范访问列表举例 1 1999, Cisco Systems, Inc

28、. ICND10-36Deny a specific host规范访问列表举例规范访问列表举例 23E0S0E1Non-access-list 1 deny 3 1999, Cisco Systems, Inc. ICND10-37规范访问列表举例规范访问列表举例 23E0S0E1Non-Deny a specific hostaccess-list 1 deny 3 0.0.0.

29、0 access-list 1 permit 55(implicit deny all)(access-list 1 deny 55) 1999, Cisco Systems, Inc. ICND10-38access-list 1 deny 3 access-list 1 permit 55(implicit deny all)(access-list 1 deny 55)interface

30、 ethernet 0ip access-group 1 out规范访问列表举例规范访问列表举例 23E0S0E1Non-Deny a specific host 1999, Cisco Systems, Inc. ICND10-39Deny a specific subnet规范访问列表举例规范访问列表举例 33E0S0E1Non-access-list 1 deny 55access-list 1

31、 permit any(implicit deny all)(access-list 1 deny 55) 1999, Cisco Systems, Inc. ICND10-40access-list 1 deny 55access-list 1 permit any(implicit deny all)(access-list 1 deny 55)interface ethernet 0ip access-group 1 out规范访问列表举例规范访问列表举例 3172.1

32、6.3.03E0S0E1Non-Deny a specific subnet 2019, Cisco Systems, Inc. cisco10-41扩展扩展 IP 访问列表的配置访问列表的配置 1999, Cisco Systems, Inc. ICND10-42规范访问列表和扩展访问列表规范访问列表和扩展访问列表比较比较规范规范扩展扩展基于源地址基于源地址基于源地址和目的地址基于源地址和目的地址允许和回绝完好的允许和回绝完好的TCP/IP协议协议指定指定TCP/IP的特定协议的特定协议和端口号和端口号编号范围编号范围 100 到到

33、 199.编号范围编号范围 1 到到 99 1999, Cisco Systems, Inc. ICND10-43扩展扩展 IP 访问列表的配置访问列表的配置Router(config)# 设置访问列表的参数access-list access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator port established log 1999, Cisco Systems, Inc. ICND10-44Router(

34、config-if)# ip access-group access-list-number in | out 扩展扩展 IP 访问列表的配置访问列表的配置 在端口上运用访问列表在端口上运用访问列表 设置访问列表的参数Router(config)# access-list access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator port established log 1999, Cisco Systems,

35、Inc. ICND10-45 回绝子网回绝子网 的数据运用路由器的数据运用路由器e0口口ftp到子网到子网 允许其它数据允许其它数据p170 常见端口号表常见端口号表3E0S0E1Non-扩展访问列表运用举例扩展访问列表运用举例 1access-list 101 deny tcp 55 55 eq 21access-list 101 deny tcp 55 172.16

36、.3.0 55 eq 20 1999, Cisco Systems, Inc. ICND10-46 回绝子网回绝子网 的数据运用路由器的数据运用路由器e0口口ftp到子网到子网 允许其它数据允许其它数据扩展访问列表运用举例扩展访问列表运用举例 13E0S0E1Non-access-list 101 deny tcp 55 55 eq 21access-list 101 deny tcp 17

37、 55 55 eq 20access-list 101 permit ip any any(implicit deny all)(access-list 101 deny ip 55 55) 1999, Cisco Systems, Inc. ICND10-47access-list 101 deny tcp 55 55 eq 21access-list 101 deny t

38、cp 55 55 eq 20access-list 101 permit ip any any(implicit deny all)(access-list 101 deny ip 55 55)interface ethernet 0ip access-group 101 out 回绝子网回绝子网 的数据运用路由器的数据运用路由器e0口口ftp到子网到子网 允许其它数据允许其它数据扩展访问列表运用举例

39、扩展访问列表运用举例 13E0S0E1Non- 1999, Cisco Systems, Inc. ICND10-48 回绝子网回绝子网 内的主机运用路由器的内的主机运用路由器的 E0 端口建立端口建立Telnet会话会话 允许其它数据允许其它数据扩展访问列表运用举例扩展访问列表运用举例 23E0S0E1Non-access-list 101 deny tcp 55 any eq

40、 23 1999, Cisco Systems, Inc. ICND10-49 回绝子网回绝子网 内的主机运用路由器的内的主机运用路由器的 E0 端口建立端口建立Telnet会话会话 允许其它数据允许其它数据扩展访问列表运用举例扩展访问列表运用举例 23E0S0E1Non-access-list 101 deny tcp 55 any eq 23access-list 101 permit ip any any(implicit deny all) 1999

41、, Cisco Systems, Inc. ICND10-50access-list 101 deny tcp 55 any eq 23access-list 101 permit ip any any(implicit deny all)interface ethernet 0ip access-group 101 out 回绝子网回绝子网 内的主机运用路由器的内的主机运用路由器的 E0 端口建立端口建立Telnet会话会话 允许其它数据允许其它数据扩展访问列表运用举例扩展访问列表运用举例 21

42、3E0S0E1Non- 1999, Cisco Systems, Inc. ICND10-51运用称号访问列表命名访问列运用称号访问列表命名访问列表表Router(config)#ip access-list standard | extended name 适用于适用于IOS版本号为版本号为11.2以后以后 所运用的称号必需一致所运用的称号必需一致 1999, Cisco Systems, Inc. ICND10-52运用称号访问列表运用称号访问列表Router(config)#ip access-list standard | extended nam

43、e permit | deny ip access list test conditions permit | deny ip access list test conditions no permit | deny ip access list test conditions Router(config std- | ext-nacl)# 适用于适用于IOS版本号为版本号为11.2以后以后 所运用的称号必需一致所运用的称号必需一致 允许和回绝语句不需求访问列表编号允许和回绝语句不需求访问列表编号 “no 命令删除访问列表命令删除访问列表 1999, Cisco Systems, Inc. I

44、CND10-53Router(config)# ip access-list standard | extended nameRouter(config std- | ext-nacl)# permit | deny ip access list test conditions permit | deny ip access list test conditions no permit | deny ip access list test conditions Router(config-if)# ip access-group name in | out 运用称号访问列表运用称号访问列表 适

45、用于适用于IOS版本号为版本号为11.2以后以后 所运用的称号必需一致所运用的称号必需一致 允许和回绝语句不需求访问列表编号允许和回绝语句不需求访问列表编号 “no 命令删除访问列表命令删除访问列表 在端口上运用访问列表在端口上运用访问列表 1999, Cisco Systems, Inc. ICND10-54Router(config)# ip access-list standard exam1Router(config std-nacl)# permit 55Router(config-if)# ip access-group exam1 out

46、 运用称号访问列表举例运用称号访问列表举例 适用于适用于IOS版本号为版本号为11.2以后以后 所运用的称号必需一致所运用的称号必需一致 允许和回绝语句不需求访问列表编号允许和回绝语句不需求访问列表编号 “no 命令删除访问列表命令删除访问列表 在端口上运用访问列表在端口上运用访问列表 1999, Cisco Systems, Inc. ICND10-55访问列表配置准那么访问列表配置准那么 访问列表中限制语句的位置是至关重要的访问列表中限制语句的位置是至关重要的 将限制条件严厉的语句放在访问列表的最上面将限制条件严厉的语句放在访问列表的最上面 运用运用 no access-list numb

47、er 命令删除完好的访命令删除完好的访问列表问列表 例外例外: 称号访问列表可以删除单独的语句称号访问列表可以删除单独的语句 隐含声明隐含声明 deny all 在设置的访问列表中要有一句在设置的访问列表中要有一句 permit any 1999, Cisco Systems, Inc. ICND10-56 将扩展访问列表置于离源设备较近的位置可减少网络流量将扩展访问列表置于离源设备较近的位置可减少网络流量 将规范访问列表置于离目的设备较近的位置由于规范访问将规范访问列表置于离目的设备较近的位置由于规范访问列表只检查源地址列表只检查源地址E0E0E1S0To0S1S0S1E0E0TokenRi

48、ng访问列表的放置原那么访问列表的放置原那么引荐：引荐： 1999, Cisco Systems, Inc. ICND10-57wg_ro_a#show ip int e0Ethernet0 is up, line protocol is up Internet address is 1/24 Broadcast address is 55 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwardi

49、ng is disabled Outgoing access list is not set Inbound access list is 1 Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is disabled IP Fea