表格模板-I用访问列表初步管理IP流量 精品.ppt

第九章用访问列表初步管理 IP流量本章目标通过本章的学习，您应该掌握以下内容： 识别 IP 访问列表的主要作用和工作流程 配置标准的 IP 访问列表 利用访问列表控制虚拟会话的建立 配置扩展的 IP 访问列表 查看 IP 访问列表FDDI172.16.0.0172.17.0.0TokenRingInternet为什么要使用访问列表为什么要使用访问列表管理网络中逐步增长的 IP 数据当数据通过路由器时进行过滤访问列表的应用访问列表的应用允许、拒绝数据包通过路由器允许、拒绝Telnet会话的建立没有设置访问列表时，所有的数据包都会在网络上传输虚拟会话虚拟会话 (IP)端口上的数据传输端口上的数据传输QueueList优先级判断优先级判断访问列表的其它应用访问列表的其它应用基于数据包检测的特殊数据通讯应用基于数据包检测的特殊数据通讯应用QueueList优先级判断优先级判断访问列表的其它应用访问列表的其它应用按需拨号按需拨号基于数据包检测的特殊数据通讯应用基于数据包检测的特殊数据通讯应用访问列表的其它应用访问列表的其它应用路由表过滤路由表过滤RoutingTableQueueList优先级判断优先级判断按需拨号按需拨号基于数据包检测的特殊数据通讯应用基于数据包检测的特殊数据通讯应用 标准 检查源地址 通常允许、拒绝的是完整的协议OutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit?Source什么是访问列表什么是访问列表-标准标准 标准 检查源地址 通常允许、拒绝的是完整的协议 扩展 检查源地址和目的地址 通常允许、拒绝的是某个特定的协议OutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit?Sourceand DestinationProtocol什么是访问列表什么是访问列表-扩展扩展 标准 检查源地址 通常允许、拒绝的是完整的协议 扩展 检查源地址和目的地址 通常允许、拒绝的是某个特定的协议 进方向和出方向 OutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit?Sourceand DestinationProtocol什么是访问列表什么是访问列表访问列表配置指南 访问列表的编号指明了使用何种协议的访问列表 每个端口、每个方向、每条协议只能对应于一条访问列表 访问列表的内容决定了数据的控制顺序 具有严格限制条件的语句应放在访问列表所有语句的最上面 在访问列表的最后有一条隐含声明：deny any每一条正确的访问列表都至少应该有一条允许语句 先创建访问列表，然后应用到端口上 访问列表不能过滤由路由器自己产生的数据访问列表设置命令Step 1: 设置访问列表测试语句的参数设置访问列表测试语句的参数access-list access-list-number permit | deny test conditions Router(config)#Step 1:设置访问列表测试语句的参数设置访问列表测试语句的参数Router(config)#Step 2: 在端口上应用访问列表在端口上应用访问列表 protocol access-group access-list-number in | out Router(config-if)#访问列表设置命令访问列表设置命令IP 访问列表的标号为 1-99 和 100-199access-list access-list-number permit | deny test conditions 如何识别访问列表号如何识别访问列表号编号范围编号范围访问列表类型访问列表类型IP 1-99Standard 标准访问列表 (1 to 99) 检查 IP 数据包的源地址编号范围编号范围访问列表类型访问列表类型如何识别访问列表号如何识别访问列表号IP 1-99100-199StandardExtended 标准访问列表 (1 to 99) 检查 IP 数据包的源地址 扩展访问列表 (100 to 199) 检查源地址和目的地址、具体的 TCP/IP 协议和目的端口编号范围编号范围IP 1-99100-199Name (Cisco IOS 11.2 and later)800-899900-9991000-1099Name (Cisco IOS 11.2. F and later)StandardExtendedSAP filtersNamedStandardExtendedNamed访问列表类型访问列表类型IPX如何识别访问列表号如何识别访问列表号标准访问列表 (1 to 99) 检查 IP 数据包的源地址扩展访问列表 (100 to 199) 检查源地址和目的地址、具体的 TCP/IP 协议和目的端口其它访问列表编号范围表示不同协议的访问列表SourceAddressSegment(for example, TCP header)DataPacket(IP header)Frame Header(for example, HDLC)DenyPermit Useaccess list statements1-99 用标准访问列表测试数据用标准访问列表测试数据DestinationAddressSourceAddressProtocolPortNumberSegment(for example, TCP header)DataPacket(IP header)Frame Header(for example, HDLC) Useaccess list statements1-99 or 100-199 to test thepacket DenyPermit用扩展访问列表测试数据用扩展访问列表测试数据 An Example from a TCP/IP Packet通配符：如何检查相应的地址位通配符：如何检查相应的地址位0 表示检查与之对应的地址位的值1表示忽略与之对应的地址位的值do not check address (ignore bits in octet)=001111111286432168421=00000000=00001111=11111100=11111111Octet bit position and address value for bitignore last 6 address bitscheck all address bits(match all)ignore last 4 address bitscheck last 2 address bitsExamples通配符掩码指明特定的主机通配符掩码指明特定的主机例如 172.30.16.29 0.0.0.0 检查所有的地址位 可以简写为 host (host 172.30.16.29)Test conditions: Check all the address bits (match all) 172.30.16.290.0.0.0(checks all bits)An IP host address, for example:Wildcard mask:通配符掩码指明所有主机通配符掩码指明所有主机所有主机: 0.0.0.0 255.255.255.255可以用 any 简写Test conditions: Ignore all the address bits (match any)0.0.0.0 255.255.255.255(ignore all)Any IP addressWildcard mask:Check for IP subnets 172.30.16.0/24 to 172.30.31.0/24.host .00000Wildcard mask: 0 0 0 0 1 1 1 1 | 0 0 0 1 0 0 0 0 = 16 0 0 0 1 0 0 0 1 =17 0 0 0 1 0 0 1 0 =18: : 0 0 0 1 1 1 1 1 =31通配符掩码和通配符掩码和IP子网的对应子网的对应Address and wildcard mask: 172.30.16.0 0.0.15.255标准标准IP访问列表的配置访问列表的配置access-list access-list-number permit|deny source maskRouter(config)# 为访问列表设置参数为访问列表设置参数 IP 标准访问列表编号标准访问列表编号 1 到到 99 缺省的通配符掩码缺省的通配符掩码 = 0.0.0.0 “no access-list access-list-number” 命令删除访问列表命令删除访问列表access-list access-list-number permit|deny source maskRouter(config)#标准标准IP访问列表的配置访问列表的配置在端口上应用访问列表指明是进方向还是出方向缺省 = 出方向“no ip access-group access-list-number” 命令在端口上删除访问列表Router(config-if)#ip access-group access-list-number in | out 为访问列表设置参数为访问列表设置参数 IP 标准访问列表编号标准访问列表编号 1 到到 99 缺省的通配符掩码缺省的通配符掩码 = 0.0.0.0 “no access-list access-list-number” 命令删除访问列表命令删除访问列表172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0标准访问列表举例标准访问列表举例 1access-list 1 permit 172.16.0.0 0.0.255.255(implicit deny all - not visible in the list)(access-list 1 deny 0.0.0.0 255.255.255.255)Permit my network onlyaccess-list 1 permit 172.16.0.0 0.0.255.255(implicit deny all - not visible in the list)(access-list 1 deny 0.0.0.0 255.255.255.255)interface ethernet 0ip access-group 1 outinterface ethernet 1ip access-group 1 out172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0标准访问列表举例标准访问列表举例 1标准访问列表举例标准访问列表举例 2Deny a specific host172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0access-list 1 deny 172.16.4.13 0.0.0.0 标准访问列表举例标准访问列表举例 2172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0Deny a specific hostaccess-list 1 deny 172.16.4.13 0.0.0.0 access-list 1 permit 0.0.0.0 255.255.255.255(implicit deny all)(access-list 1 deny 0.0.0.0 255.255.255.255)access-list 1 deny 172.16.4.13 0.0.0.0 access-list 1 permit 0.0.0.0 255.255.255.255(implicit d