表格模板-思科CCNA10第十章用访问列表初步管理 IP流量CICND10S10A 精品.ppt

第十章第十章用访问列表初步管理用访问列表初步管理 IPIP流量流量本章目标本章目标通过本章的学习，您应该掌握以下内容通过本章的学习，您应该掌握以下内容： 识别识别 IP 访问列表的主要作用和工作流程访问列表的主要作用和工作流程 配置标准的配置标准的 IP 访问列表访问列表 利用访问列表控制虚拟会话的建立利用访问列表控制虚拟会话的建立 配置扩展的配置扩展的 IP 访问列表访问列表 查看查看 IP 访问列表访问列表FDDI 管理网络中逐步增长的管理网络中逐步增长的 IP 数据数据TokenRing为什么要使用访问列表为什么要使用访问列表FDDI172.16.0.0172.17.0.0TokenRingInternet 管理网络中逐步增长的管理网络中逐步增长的 IP 数据数据 当数据通过路由器时进行过滤当数据通过路由器时进行过滤为什么要使用访问列表为什么要使用访问列表访问列表的应用访问列表的应用 允许、拒绝数据包通过路由器允许、拒绝数据包通过路由器 允许、拒绝允许、拒绝Telnet会话的建立会话的建立 没有设置访问列表时，所有的数据包都会在网络上传输没有设置访问列表时，所有的数据包都会在网络上传输虚拟会话虚拟会话 (IP)端口上的数据传输端口上的数据传输QueueList优先级判断优先级判断访问列表的其它应用访问列表的其它应用基于数据包检测的特殊数据通讯应用基于数据包检测的特殊数据通讯应用QueueList优先级判断优先级判断访问列表的其它应用访问列表的其它应用按需拨号按需拨号基于数据包检测的特殊数据通讯应用基于数据包检测的特殊数据通讯应用访问列表的其它应用访问列表的其它应用路由表过滤路由表过滤RoutingTableQueueList优先级判断优先级判断按需拨号按需拨号基于数据包检测的特殊数据通讯应用基于数据包检测的特殊数据通讯应用 标准标准 检查源地址检查源地址 通常允许、拒绝的是完整的协议通常允许、拒绝的是完整的协议OutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit?Source什么是访问列表什么是访问列表-标准标准 标准标准 检查源地址检查源地址 通常允许、拒绝的是完整的协议通常允许、拒绝的是完整的协议 扩展扩展 检查源地址和目的地址检查源地址和目的地址 通常允许、拒绝的是某个特定的协议通常允许、拒绝的是某个特定的协议OutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit?Sourceand DestinationProtocol什么是访问列表什么是访问列表-扩展扩展 标准标准 检查源地址检查源地址 通常允许、拒绝的是完整的协议通常允许、拒绝的是完整的协议 扩展扩展 检查源地址和目的地址检查源地址和目的地址 通常允许、拒绝的是某个特定的协议通常允许、拒绝的是某个特定的协议 进方向和出方向进方向和出方向 OutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit?Sourceand DestinationProtocol什么是访问列表什么是访问列表InboundInterfacePacketsNYPacket Discard BucketChooseInterfaceNAccessList?RoutingTable Entry?YOutbound InterfacesPacketS0出端口方向上的访问列表出端口方向上的访问列表 Outbound InterfacesPacketNYPacket Discard BucketChooseInterfaceRoutingTable Entry?NPacketTestAccess ListStatementsPermit?Y出端口方向上的访问列表出端口方向上的访问列表AccessList?YS0E0InboundInterfacePacketsNotify Sender出端口方向上的访问列表出端口方向上的访问列表If no access list statement matches then discard the packet NYPacket Discard BucketChooseInterfaceRoutingTable Entry?NYTestAccess ListStatementsPermit?YAccessList?Discard PacketNOutbound InterfacesPacketPacketS0E0InboundInterfacePackets访问列表的测试：允许和拒绝访问列表的测试：允许和拒绝Packets to interfacesin the access groupPacket Discard BucketYInterface(s)DestinationDenyDenyYMatchFirstTest?Permit访问列表的测试：允许和拒绝访问列表的测试：允许和拒绝Packets to Interface(s)in the Access GroupPacket Discard BucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?YY访问列表的测试：允许和拒绝访问列表的测试：允许和拒绝Packets to Interface(s)in the Access GroupPacket Discard BucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTest?YYNYYPermit访问列表的测试：允许和拒绝访问列表的测试：允许和拒绝Packets to Interface(s)in the Access GroupPacket Discard BucketYInterface(s)DestinationDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTest?YYNYYPermitImplicit DenyIf no matchdeny allDenyN访问列表配置指南访问列表配置指南 访问列表的编号指明了使用何种协议的访问列表访问列表的编号指明了使用何种协议的访问列表 每个端口、每个方向、每条协议只能对应于一条访问每个端口、每个方向、每条协议只能对应于一条访问列表列表 访问列表的内容决定了数据的控制顺序访问列表的内容决定了数据的控制顺序 具有严格限制条件的语句应放在访问列表所有语句的具有严格限制条件的语句应放在访问列表所有语句的最上面最上面 在访问列表的最后有一条隐含声明：在访问列表的最后有一条隐含声明：deny any每一每一条正确的访问列表都至少应该有一条允许语句条正确的访问列表都至少应该有一条允许语句 先创建访问列表，然后应用到端口上先创建访问列表，然后应用到端口上 访问列表不能过滤由路由器自己产生的数据访问列表不能过滤由路由器自己产生的数据访问列表设置命令访问列表设置命令Step 1: 设置访问列表测试语句的参数设置访问列表测试语句的参数access-list access-list-number permit | deny test conditions Router(config)#Step 1:设置访问列表测试语句的参数设置访问列表测试语句的参数Router(config)#Step 2: 在端口上应用访问列表在端口上应用访问列表 protocol access-group access-list-number in | out Router(config-if)#访问列表设置命令访问列表设置命令IP 访问列表的标号为访问列表的标号为 1-99 和和 100-199access-list access-list-number permit | deny test conditions 如何识别访问列表号如何识别访问列表号编号范围编号范围访问列表类型访问列表类型IP 1-99Standard 标准访问列表标准访问列表 (1 to 99) 检查检查 IP 数据包的源地址数据包的源地址编号范围编号范围访问列表类型访问列表类型如何识别访问列表号如何识别访问列表号IP 1-99100-199StandardExtended 标准访问列表标准访问列表 (1 to 99) 检查检查 IP 数据包的源地址数据包的源地址 扩展访问列表扩展访问列表 (100 to 199) 检查源地址和目的地址、具体的检查源地址和目的地址、具体的 TCP/IP 协议和目的协议和目的端口端口编号范围编号范围IP 1-99100-199Name (Cisco IOS 11.2 and later)800-899900-9991000-1099Name (Cisco IOS 11.2. F and later)StandardExtendedSAP filtersNamedStandardExtendedNamed访问列表类型访问列表类型IPX如何识别访问列表号如何识别访问列表号 标准访问列表标准访问列表 (1 to 99) 检查检查 IP 数据包的源地址数据包的源地址 扩展访问列表扩展访问列表 (100 to 199) 检查源地址和目的地址、具体的检查源地址和目的地址、具体的 TCP/IP 协议和目的协议和目的端口端口 其它访问列表编号范围表示不同协议的访问列表其它访问列表编号范围表示不同协议的访问列表SourceAddressSegment(for example, TCP header)DataPacket(IP header)Frame Header(for example, HDLC)DenyPermit Useaccess list statements1-99 用标准访问列表测试数据用标准访问列表测试数据DestinationAddressSourceAddressProtocolPortNumberSegment(for example, TCP header)DataPacket(IP header)Frame Header(for example, HDLC) Useaccess list statements1-99 or 100-199 to test thepacket DenyPermitAn Example from a TCP/IP Packet用扩展访问列表测试数据用扩展访问列表测试数据 0 表示检查与之对应的地址位的值表示检查与之对应的地址位的值 1表示忽略与之对应的地址位的值表示忽略与之对应的地址位的值do not check address (ignore bits in octet)=001111111286432168421=00000000=00001111=11111100=11111111Octet bit position and address value for bitignore last 6 address bitscheck all address bits(match all)ignore last 4 address bitscheck last 2 address bitsExamples通配符：如何检查相应的地址位通配符：如何检查相应的地址位 例如例如 172.30.16.29 0.0.0.0 检查所有的地址位检查所有的地址位 可以简写为可以简写为 host (host 172.30.16.29)Test conditions: Check all the address bits (match all) 172.30.16.290.0.0.0(c