《九章使用访问列表管理流量1ppt课件.ppt》由会员分享,可在线阅读,更多相关《九章使用访问列表管理流量1ppt课件.ppt(65页珍藏版)》请在三一文库上搜索。
1、第九章 使用访问控制列表管理IP流量,本章主要内容:,访问控制列表的概述,出口方向上访问控制列表的执行,如何识别访问控制列表,通配符掩码,配置访问控制列表,管理访问控制列表,第九章 使用访问控制列表管理IP流量, 了解 IP 访问列表的主要作用 掌握 IP 访问列表工作流程 能够配置标准的 IP 访问列表 能够利用访问列表控制虚拟会话的建立 能够配置扩展的 IP 访问列表 管理 IP 访问列表,重点:配置IP 访问列表,难点:IP 访问列表工作流程,要求:,管理网络中逐步增长的 IP 数据,访问控制列表概述,一、为什么要使用访问列表,172.16.0.0,172.17.0.0,Internet
2、,管理网络中逐步增长的 IP 数据 当数据通过路由器时进行过滤,访问控制列表概述,访问控制列表概述,允许、拒绝数据包通过路由器 允许、拒绝Telnet会话的建立 没有设置访问列表时,所有的数据包都会在网络上传输,虚拟会话 (IP),端口上的数据传输,二、访问列表的应用,Queue List,优先级判断,访问控制列表概述,基于数据包检测的特殊数据通讯应用,二、访问列表的其他应用,Queue List,优先级判断,访问控制列表概述,按需拨号,基于数据包检测的特殊数据通讯应用,二、访问列表的其他应用,访问控制列表概述,路由表过滤,Routing Table,Queue List,优先级判断,按需拨号
3、,基于数据包检测的特殊数据通讯应用,二、访问列表的其他应用,访问控制列表概述,三、什么是访问列表,1.访问控制列表:是一个控制网络的有力工具,由一系列对包进行分类的条件组成。它提供了数据的过滤,可以在不妨碍合法通信连接的同时阻止非法的或不必要的数据流,保护网络资源。,2.访问控制列表的分类:,标准访问控制列表,扩展访问控制列表,命名的访问控制列表,标准 检查源地址 通常允许、拒绝的是完整的协议,数据包 出口,E0,S0,数据包 入口,Access List Processes,Permit?,访问控制列表概述,标准 检查源地址 通常允许、拒绝的是完整的协议 扩展 检查源地址和目的地址 通常允许
4、、拒绝的是某个特定的协议,数据包 出口,E0,S0,数据包 入口,Access List Processes,Permit?,Protocol,访问控制列表概述,标准 检查源地址 通常允许、拒绝的是完整的协议 扩展 检查源地址和目的地址 通常允许、拒绝的是某个特定的协议 进方向和出方向,数据包 出口,E0,S0,数据包 入口,Access List Processes,Permit?,Protocol,访问控制列表概述,数据包 入口,N,Y,丢弃,选择 接口,N,ACL?,有 路由 吗??,Y,数据包 出口,S0,出端口方向上的访问列表的执行,数据包 出口,Packet,N,Y,选择 接口,有
5、 路由 吗?,N,Packet,检查条件,Permit ?,Y,出端口方向上的访问列表的执行,ACL?,Y,S0,E0,数据包 入口,丢弃,Notify Sender,出端口方向上的访问列表的执行,If no access list statement matches then discard the packet,N,Y,N,Y,Permit ?,Y,ACL ?,N,Packet,Packet,S0,E0,数据包 入口,有 路由 吗?,选择 接口,检查条件,数据包 出口,丢弃,丢弃,访问列表的测试:允许和拒绝,数据包到达接口,丢弃,Y,通过接口,Deny,Deny,Y,第一个 条件匹配 ?,
6、Permit,访问列表的测试:允许和拒绝,Y,Deny,Deny,Y,Permit,N,Deny,Permit,Y,Y,数据包到达接口,第一个 条件匹配 ?,第二个 条件匹配 ?,通过接口,丢弃,访问列表的测试:允许和拒绝,Y,Deny,Deny,Y,Permit,N,Deny,Permit,Deny,Y,Y,N,Y,Y,Permit,数据包到达接口,第一个 条件匹配 ?,第二个 条件匹配 ?,最后一个 条件匹配 ?,丢弃,通过接口,访问列表的测试:允许和拒绝,Y,Deny,Y,Permit,N,Deny,Permit,Deny,Y,Y,N,Y,Y,Permit,Implicit Deny,I
7、f no match deny all,Deny,N,数据包到达接口,第一个 条件匹配 ?,第二个 条件匹配 ?,最后一个 条件匹配 ?,通过接口,丢弃,如何识别访问列表,编号范围,访问列表类型,IP,1-99,Standard,标准访问列表 (1 to 99) 检查 IP 数据包的源地址,编号范围,访问列表类型,如何识别访问列表,IP,1-99 100-199,Standard Extended,标准访问列表 (1 to 99) 检查 IP 数据包的源地址 扩展访问列表 (100 to 199) 检查源地址和目的地址、具体的 TCP/IP 协议和目的端口,编号范围,IP,1-99 100-1
8、99 Name (Cisco IOS 11.2 and later),800-899 900-999 1000-1099 Name (Cisco IOS 11.2. F and later),Standard Extended SAP filters Named,Standard Extended Named,访问列表类型,IPX,如何识别访问列表,标准访问列表 (1 to 99) 检查 IP 数据包的源地址 扩展访问列表 (100 to 199) 检查源地址和目的地址、具体的 TCP/IP 协议和目的端口 其它访问列表编号范围表示不同协议的访问列表,Source Address,Segmen
9、t (for example, TCP header),Data,Packet (IP header),Frame Header (for example, HDLC),Deny,Permit,Use access list statements 1-99,用标准访问列表测试数据,Destination Address,Source Address,Protocol,Port Number,Segment (for example, TCP header),Data,Packet (IP header),Frame Header (for example, HDLC),Use access l
10、ist statements 1-99 or 100-199 to test the packet,Deny,Permit,An Example from a TCP/IP Packet,用扩展访问列表测试数据,通配符掩码(Wildcard Mask),通配符掩码的规定如下: 通配符掩码位为0表示检查数据包的IP地址相对应的比特位。 通配符掩码位为1表示不检查数据包的IP地址相对应的比特位。,通配符和主机或网络地址一起使用来告诉路由器要过滤的有效范围。,0 表示检查与之对应的地址位的值 1表示忽略与之对应的地址位的值,=,0,0,0,0,0,0,0,0,检查所有的地址位,例如,通配符:如何检查
11、相应的地址位,忽略最后六位,忽略最后四位,检查最后两位,忽略所有的地址位,如果要指定一个主机,访问控制列表中地址应当写成: 172.30.16.29 0.0.0.0 可以简写为 host (host 172.30.16.29),172.30.16.29,0 . 0 . 0 . 0,(检查所有的位),主机地址为:,通配符掩码:,通配符掩码指明特定的主机,例:某公司的网络管理员计划使用访问控制列表控制主机对FTP服务器的访问,目的是不允许地址为172.30.16.29 的主机访问FTP服务器。,172. 30. 16. 0,0 . 0 . 0 . 255,(检查前三个字节),一个子网为:,通配符掩
12、码:,通配符掩码指明一个子网,如果是不允许地址在172. 30.16. 0 子网的所有主机访问FTP服务器。,访问控制列表中地址应当写成: 172. 30. 16. 0 0.0.0.255,所有主机: 0.0.0.0 255.255.255.255 可以用 any 简写,0. 0. 0. 0,255.255.255.255,(忽略所有位),任意地址:,通配符掩码:,通配符掩码指明所有主机,如果需要在访问列表中表达所有的主机,检查从172.30.16.0/24 到 172.30.31.0/24的所有子网,Network .host 172.30.16.0,通配符掩码: 0 0 0 0 1 1 1
13、 1 | 0 0 0 1 0 0 0 0 = 16 0 0 0 1 0 0 0 1 = 17 0 0 0 1 0 0 1 0 = 18 : : 0 0 0 1 1 1 1 1 = 31,地址和通配符掩码: 172.30.16.0 0.0.15.255,通配符掩码和IP子网的 对应,访问列表配置准则,访问列表的编号指明了使用何种协议的访问列表 每个端口、每个方向、每条协议只能对应于一条访问列表 访问列表中限制语句的位置是至关重要的 将限制条件严格的语句放在访问列表的最上面 隐含声明 deny all 在设置的访问列表中要有一句 permit any,访问列表配置准则,先创建访问列表,然后应用到端
14、口上 访问列表不能过滤由路由器自己产生的数据 使用 no access-list number 命令删除完整的访问列表 例外: 名称访问列表可以删除单独的语句,配置访问控制列表,Step 1: 设置访问列表测试语句的参数,access-list access-list-number permit | deny test conditions ,Router(config)#,Step 1:设置访问列表测试语句的参数,Router(config)#,Step 2: 在端口上应用访问列表, protocol access-group access-list-number in | out,Rout
15、er(config-if)#,配置访问控制列表,IP 访问列表的标号为 1-99 和 100-199,access-list access-list-number permit | deny test conditions ,标准IP访问列表的配置,access-list access-list-number permit|deny source mask,Router(config)#,为访问列表设置参数 IP 标准访问列表编号 1 到 99 缺省的通配符掩码 = 0.0.0.0 “no access-list access-list-number” 命令删除访问列表,access-list
16、 access-list-number permit|deny source mask,Router(config)#,在端口上应用访问列表 指明是进方向还是出方向 缺省 = 出方向 “no ip access-group access-list-number” 命令在端口上删除访问列表,Router(config-if)#,ip access-group access-list-number in | out ,为访问列表设置参数 IP 标准访问列表编号 1 到 99 缺省的通配符掩码 = 0.0.0.0 “no access-list access-list-number” 命令删除访问列
17、表,标准IP访问列表的配置,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non- 172.16.0.0,标准访问列表举例 1,access-list 1 permit 172.16.0.0 0.0.255.255 (implicit deny all - not visible in the list) (access-list 1 deny 0.0.0.0 255.255.255.255),Permit my network only,access-list 1 permit 172.16.0.0 0.0.255.255 (implicit deny
18、 all - not visible in the list) (access-list 1 deny 0.0.0.0 255.255.255.255) interface ethernet 0 ip access-group 1 out interface ethernet 1 ip access-group 1 out,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non- 172.16.0.0,标准访问列表举例 1,Deny a specific host,标准访问列表举例 2,172.16.3.0,172.16.4.0,172.16.4.13,E
19、0,S0,E1,Non- 172.16.0.0,access-list 1 deny 172.16.4.13 0.0.0.0,标准访问列表举例 2,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non- 172.16.0.0,Deny a specific host,access-list 1 deny 172.16.4.13 0.0.0.0 access-list 1 permit 0.0.0.0 255.255.255.255 (implicit deny all) (access-list 1 deny 0.0.0.0 255.255.255.25
20、5),access-list 1 deny 172.16.4.13 0.0.0.0 access-list 1 permit 0.0.0.0 255.255.255.255 (implicit deny all) (access-list 1 deny 0.0.0.0 255.255.255.255) interface ethernet 0 ip access-group 1 out,标准访问列表举例 2,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non- 172.16.0.0,Deny a specific host,Deny a specifi
21、c subnet,标准访问列表举例 3,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non- 172.16.0.0,access-list 1 deny 172.16.4.0 0.0.0.255 access-list 1 permit any (implicit deny all) (access-list 1 deny 0.0.0.0 255.255.255.255),access-list 1 deny 172.16.4.0 0.0.0.255 access-list 1 permit any (implicit deny all) (acces
22、s-list 1 deny 0.0.0.0 255.255.255.255) interface ethernet 0 ip access-group 1 out,标准访问列表举例 3,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non- 172.16.0.0,Deny a specific subnet,在路由器上过滤vty,五个虚拟通道 (0 到 4) 路由器的vty端口可以过滤数据 在路由器上执行vty访问的控制,0,1,2,3,4,Virtual ports (vty 0 through 4),Physical port e0 (Telnet)
23、,Console port (direct connect),console,e0,如何控制vty访问,0,1,2,3,4,Virtual ports (vty 0 through 4),Physical port (e0) (Telnet),使用标准访问列表语句 用 access-class 命令应用访问列表 在所有vty通道上设置相同的限制条件,Router#,e0,虚拟通道的配置,指明vty通道的范围,在访问列表里指明方向,ip access-class access-list-number in|out,line vty vty# | vty-range,Router(config)#
24、,Router(config-line)#,虚拟通道访问举例,只允许网络192.89.55.0 内的主机连接路由器的 vty 通道,access-list 12 permit 192.89.55.0 0.0.0.255 ! line vty 0 4 access-class 12 in,Controlling Inbound Access,标准访问列表和扩展访问列表 比较,标准,扩展,基于源地址,基于源地址和目标地址,允许和拒绝完整的 TCP/IP协议,指定TCP/IP的特定协议 和端口号,编号范围 100 到 199.,编号范围 1 到 99,扩展 IP 访问列表的配置,Router(con
25、fig)#,设置访问列表的参数,access-list access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator port established log,Router(config-if)# ip access-group access-list-number in | out ,扩展 IP 访问列表的配置,在端口上应用访问列表,设置访问列表的参数,Router(config)# access-list acc
26、ess-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator port established log,拒绝子网172.16.4.0 的数据使用路由器e0口ftp到子网172.16.3.0 允许其它数据,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non- 172.16.0.0,扩展访问列表应用举例 1,access-list 101 deny tcp 172.16.4.0 0.0
27、.0.255 172.16.3.0 0.0.0.255 eq 21 access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20,拒绝子网172.16.4.0 的数据使用路由器e0口ftp到子网172.16.3.0 允许其它数据,扩展访问列表应用举例 1,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non- 172.16.0.0,access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 2
28、1 access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20 access-list 101 permit ip any any (implicit deny all) (access-list 101 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255),access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21 access-list 101 deny tcp
29、 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20 access-list 101 permit ip any any (implicit deny all) (access-list 101 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255) interface ethernet 0 ip access-group 101 out,拒绝子网172.16.4.0 的数据使用路由器e0口ftp到子网172.16.3.0 允许其它数据,扩展访问列表应用举例 1,172.16.3.0,172.
30、16.4.0,172.16.4.13,E0,S0,E1,Non- 172.16.0.0,拒绝子网 172.16.4.0 内的主机使用路由器的 E0 端口建立Telnet会话 允许其它数据,扩展访问列表应用举例 2,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non- 172.16.0.0,access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23,拒绝子网 172.16.4.0 内的主机使用路由器的 E0 端口建立Telnet会话 允许其它数据,扩展访问列表应用举例 2,172.16.3.0,172.
31、16.4.0,172.16.4.13,E0,S0,E1,Non- 172.16.0.0,access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23 access-list 101 permit ip any any (implicit deny all),access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23 access-list 101 permit ip any any (implicit deny all) interface ethernet 0 ip access-group
32、 101 out,拒绝子网 172.16.4.0 内的主机使用路由器的 E0 端口建立Telnet会话 允许其它数据,扩展访问列表应用举例 2,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non- 172.16.0.0,使用名称访问列表,Router(config)#,ip access-list standard | extended name,适用于IOS版本号为11.2以后,所使用的名称必须一致,使用名称访问列表,Router(config)#,ip access-list standard | extended name, permit | d
33、eny ip access list test conditions permit | deny ip access list test conditions no permit | deny ip access list test conditions ,Router(config std- | ext-nacl)#,适用于IOS版本号为11.2以后,所使用的名称必须一致,允许和拒绝语句不需要访问列表编号 “no” 命令删除访问列表,使用名称访问列表,适用于IOS版本号为11.2以后,所使用的名称必须一致,允许和拒绝语句不需要访问列表编号 “no” 命令删除访问列表,在端口上应用访问列表,将
34、扩展访问列表置于离源设备较近的位置 将标准访问列表置于离目的设备较近的位置,E0,E0,E1,S0,To0,S1,S0,S1,E0,E0,B,A,C,访问列表的放置原则,推荐:,D,源主机,目标主机,wg_ro_a#show ip int e0 Ethernet0 is up, line protocol is up Internet address is 10.1.1.11/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address i
35、s not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1 Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is
36、enabled IP fast switching on the same interface is disabled IP Feature Fast switching turbo vector IP multicast fast switching is enabled IP multicast distributed fast switching is disabled ,查看访问列表,查看访问列表的语句,wg_ro_a#show access-lists Standard IP access list 1 permit 10.2.2.1 permit 10.3.3.1 permit 1
37、0.4.4.1 permit 10.5.5.1 Extended IP access list 101 permit tcp host 10.22.22.1 any eq telnet permit tcp host 10.33.33.1 any eq ftp permit tcp host 10.44.44.1 any eq ftp-data,wg_ro_a#show access-lists access-list number,core_ server 10.1.1.1,wg_sw_a 10.2.2.11,wg_sw_l 10.13.13.11,wg_pc_a 10.2.2.12,wg_
38、pc_l 10.13.13.12,wg_ro_a,10.13.13.3,e0/1,e0/2,e0/2,e0/1,e0,e0,fa0/23,core_sw_a 10.1.1.2,10.2.2.3,wg_ro_l,core_ro 10.1.1.3,fa0/24,fa0/0,LL,s0 10.140.1.2,s0 10.140.12.2,s1/0 - s2/3,10.140.1.1 10.140.12.1,.,TFTP,Telnet,TFTP,X,X,Telnet,X,X,Pod wg_ros s0 wg_ros e0 wg_sw A 10.140.1.2 10.2.2.3 10.2.2.11 B
39、10.140.2.2 10.3.3.3 10.3.3.11 C 10.140.3.2 10.4.4.3 10.4.4.11 D 10.140.4.2 10.5.5.3 10.5.5.11 E 10.140.5.2 10.6.6.3 10.6.6.11 F 10.140.6.2 10.7.7.3 10.7.7.11 G 10.140.7.2 10.8.8.3 10.8.8.11 H 10.140.8.2 10.9.9.3 10.9.9.11 I 10.140.9.2 10.10.10.3 10.3.3.11 J 10.140.10.2 10.11.11.3 10.11.11.11 K 10.140.11.2 10.12.12.3 10.12.12.11 L 10.140.12.2 10.13.13.3 10.13.13.11,可视化目标,本章总结,完成本章的学习后,你应该能够掌握: 了解IP访问列表的工作过程 配置标准的 IP 访问列表 用访问列表控制 Telnet 访问 配置扩展的 IP 访问列表 查看IP 访问列表,问题回顾,1. IP 访问列表有哪两种类型? 2. 在访问列表的最后有哪一个语句是隐含的? 3. 在应用访问控制vty通道时,使用什么命令?,