第十章用訪問列表初步管理 IP流量ppt課件_第1頁
第十章用訪問列表初步管理 IP流量ppt課件_第2頁
第十章用訪問列表初步管理 IP流量ppt課件_第3頁
第十章用訪問列表初步管理 IP流量ppt課件_第4頁
第十章用訪問列表初步管理 IP流量ppt課件_第5頁
已閱讀5頁,還剩61頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、第十章用訪問列表初步管理 IP流量,本章目標(biāo),通過本章的學(xué)習(xí),您應(yīng)該掌握以下內(nèi)容: 識別 IP 訪問列表的主要作用和工作流程 配置標(biāo)準(zhǔn)的 IP 訪問列表 利用訪問列表控制虛擬會話的建立 配置擴(kuò)展的 IP 訪問列表 查看 IP 訪問列表,管理網(wǎng)絡(luò)中逐步增長的 IP 數(shù)據(jù),為什么要使用訪問列表,,,Internet,管理網(wǎng)絡(luò)中逐步增長的 IP 數(shù)據(jù) 當(dāng)數(shù)據(jù)通過路由器時進(jìn)行過濾,為什么要使用訪問列表,訪問列表的應(yīng)用,允許、拒絕數(shù)據(jù)包通過路由器 允許、拒絕Telnet會話的建立 沒有設(shè)置訪問列表時,所有的數(shù)據(jù)包都會在網(wǎng)絡(luò)上傳輸,虛擬會話 (IP),端口上的數(shù)據(jù)傳

2、輸,QueueList,優(yōu)先級判斷,訪問列表的其它應(yīng)用,基于數(shù)據(jù)包檢測的特殊數(shù)據(jù)通訊應(yīng)用,QueueList,優(yōu)先級判斷,訪問列表的其它應(yīng)用,按需撥號,基于數(shù)據(jù)包檢測的特殊數(shù)據(jù)通訊應(yīng)用,訪問列表的其它應(yīng)用,路由表過濾,RoutingTable,QueueList,優(yōu)先級判斷,按需撥號,基于數(shù)據(jù)包檢測的特殊數(shù)據(jù)通訊應(yīng)用,標(biāo)準(zhǔn) 檢查源地址 通常允許、拒絕的是完整的協(xié)議,Outgoing Packet,E0,S0,Incoming Packet,Access List Processes,Permit?,什么是訪問列表,標(biāo)準(zhǔn) 檢查源地址 通常允許、拒絕的是完整的協(xié)議 擴(kuò)展 檢查源地址和目的地址 通常

3、允許、拒絕的是某個特定的協(xié)議,Outgoing Packet,E0,S0,Incoming Packet,Access List Processes,Permit?,Protocol,什么是訪問列表,標(biāo)準(zhǔn) 檢查源地址 通常允許、拒絕的是完整的協(xié)議 擴(kuò)展 檢查源地址和目的地址 通常允許、拒絕的是某個特定的協(xié)議 進(jìn)方向和出方向,Outgoing Packet,E0,S0,Incoming Packet,Access List Processes,Permit?,Protocol,什么是訪問列表,InboundInterface Packets,N,Y,Packet Discard Bucket,C

4、hoose Interface,N,Access List?,Routing Table Entry?,Y,Outbound Interfaces,Packet,S0,出端口方向上的訪問列表,Outbound Interfaces,Packet,N,Y,Packet Discard Bucket,Choose Interface,Routing Table Entry?,N,Packet,Test Access List Statements,Permit?,Y,出端口方向上的訪問列表,Access List?,Y,S0,E0,InboundInterface Packets,Notify S

5、ender,出端口方向上的訪問列表,If no access list statement matches then discard the packet,N,Y,Packet Discard Bucket,Choose Interface,Routing Table Entry?,N,Y,Test Access List Statements,Permit?,Y,Access List?,Discard Packet,N,Outbound Interfaces,Packet,Packet,S0,E0,InboundInterface Packets,訪問列表的測試:允許和拒絕,Packets

6、 to interfaces in the access group,Packet Discard Bucket,Y,Interface(s),Destination,Deny,Deny,Y,Match First Test ?,Permit,訪問列表的測試:允許和拒絕,Packets to Interface(s) in the Access Group,Packet Discard Bucket,Y,Interface(s),Destination,Deny,Deny,Y,Match First Test ?,Permit,N,Deny,Permit,Match Next Test(s)

7、?,Y,Y,訪問列表的測試:允許和拒絕,Packets to Interface(s) in the Access Group,Packet Discard Bucket,Y,Interface(s),Destination,Deny,Deny,Y,Match First Test ?,Permit,N,Deny,Permit,Match Next Test(s) ?,Deny,Match Last Test?,Y,Y,N,Y,Y,Permit,訪問列表的測試:允許和拒絕,Packets to Interface(s) in the Access Group,Packet Discard Bu

8、cket,Y,Interface(s),Destination,Deny,Y,Match First Test ?,Permit,N,Deny,Permit,Match Next Test(s) ?,Deny,Match Last Test?,Y,Y,N,Y,Y,Permit,Implicit Deny,If no match deny all,Deny,N,訪問列表配置指南,訪問列表的編號指明了使用何種協(xié)議的訪問列表 每個端口、每個方向、每條協(xié)議只能對應(yīng)于一條訪問列表 訪問列表的內(nèi)容決定了數(shù)據(jù)的控制順序 具有嚴(yán)格限制條件的語句應(yīng)放在訪問列表所有語句的最上面 在訪問列表的最后有一條隱含聲明:d

9、eny any每一條正確的訪問列表都至少應(yīng)該有一條允許語句 先創(chuàng)建訪問列表,然后應(yīng)用到端口上 訪問列表不能過濾由路由器自己產(chǎn)生的數(shù)據(jù),訪問列表設(shè)置命令,Step 1: 設(shè)置訪問列表測試語句的參數(shù),access-list access-list-number permit | deny test conditions ,Router(config)#,Step 1:設(shè)置訪問列表測試語句的參數(shù),Router(config)#,Step 2: 在端口上應(yīng)用訪問列表, protocol access-group access-list-number in | out,Router(config-if)

10、#,訪問列表設(shè)置命令,IP 訪問列表的標(biāo)號為 1-99 和 100-199,access-list access-list-number permit | deny test conditions ,如何識別訪問列表,編號范圍,訪問列表類型,IP,1-99,Standard,標(biāo)準(zhǔn)訪問列表 (1 to 99) 檢查 IP 數(shù)據(jù)包的源地址,編號范圍,訪問列表類型,如何識別訪問列表,IP,1-99 100-199,Standard Extended,標(biāo)準(zhǔn)訪問列表 (1 to 99) 檢查 IP 數(shù)據(jù)包的源地址 擴(kuò)展訪問列表 (100 to 199) 檢查源地址和目的地址、具體的 TCP/IP 協(xié)議和

11、目的端口,編號范圍,IP,1-99 100-199 Name (Cisco IOS 11.2 and later),800-899 900-999 1000-1099 Name (Cisco IOS 11.2. F and later),Standard Extended SAP filters Named,Standard Extended Named,訪問列表類型,IPX,如何識別訪問列表,標(biāo)準(zhǔn)訪問列表 (1 to 99) 檢查 IP 數(shù)據(jù)包的源地址 擴(kuò)展訪問列表 (100 to 199) 檢查源地址和目的地址、具體的 TCP/IP 協(xié)議和目的端口 其它訪問列表編號范圍表示不同協(xié)議的訪問列

12、表,Source Address,Segment (for example, TCP header),Data,Packet (IP header),Frame Header (for example, HDLC),Deny,Permit,Use access list statements 1-99,用標(biāo)準(zhǔn)訪問列表測試數(shù)據(jù),Destination Address,Source Address,Protocol,Port Number,Segment (for example, TCP header),Data,Packet (IP header),Frame Header (for exam

13、ple, HDLC),Use access list statements 1-99 or 100-199 to test the packet,Deny,Permit,An Example from a TCP/IP Packet,用擴(kuò)展訪問列表測試數(shù)據(jù),0 表示檢查與之對應(yīng)的地址位的值 1表示忽略與之對應(yīng)的地址位的值,do not check address (ignore bits in octet),=,0,0,0,0,0,0,0,0,Octet bit position and address value for bit,ignore last 6 address bits,chec

14、k all address bits (match all),ignore last 4 address bits,check last 2 address bits,Examples,通配符:如何檢查相應(yīng)的地址位,例如 9 檢查所有的地址位 可以簡寫為 host (host 9),Test conditions: Check all the address bits (match all),9,,(checks all bits),An IP host address, for example:,

15、Wildcard mask:,通配符掩碼指明特定的主機(jī),所有主機(jī): 55 可以用 any 簡寫,Test conditions: Ignore all the address bits (match any),,55,(ignore all),Any IP address,Wildcard mask:,通配符掩碼指明所有主機(jī),Check for IP subnets /24 to /24,Network .host ,Wildcard mask:

16、0 0 0 0 1 1 1 1 | 0 0 0 1 0 0 0 0 = 16 0 0 0 1 0 0 0 1 =17 0 0 0 1 0 0 1 0 =18 : : 0 0 0 1 1 1 1 1 =31,Address and wildcard mask: 55,通配符掩碼和IP子網(wǎng)的對應(yīng), 1999, Cisco Systems, Inc.,10-31,配置標(biāo)準(zhǔn)的 IP 訪問列表,標(biāo)準(zhǔn)IP訪問列表的配置,access-list access-list-number permit|deny source mask,Router(config)#,為訪問

17、列表設(shè)置參數(shù) IP 標(biāo)準(zhǔn)訪問列表編號 1 到 99 缺省的通配符掩碼 = “no access-list access-list-number” 命令刪除訪問列表,access-list access-list-number permit|deny source mask,Router(config)#,在端口上應(yīng)用訪問列表 指明是進(jìn)方向還是出方向 缺省 = 出方向 “no ip access-group access-list-number” 命令在端口上刪除訪問列表,Router(config-if)#,ip access-group access-list-number

18、in | out ,為訪問列表設(shè)置參數(shù) IP 標(biāo)準(zhǔn)訪問列表編號 1 到 99 缺省的通配符掩碼 = “no access-list access-list-number” 命令刪除訪問列表,標(biāo)準(zhǔn)IP訪問列表的配置,,,3,E0,S0,E1,Non- ,標(biāo)準(zhǔn)訪問列表舉例 1,access-list 1 permit 55 (implicit deny all - not visible in the list) (access-list 1 deny 0.0.0

19、.0 55),Permit my network only,access-list 1 permit 55 (implicit deny all - not visible in the list) (access-list 1 deny 55) interface ethernet 0 ip access-group 1 out interface ethernet 1 ip access-group 1 out,,,3,E0

20、,S0,E1,Non- ,標(biāo)準(zhǔn)訪問列表舉例 1,Deny a specific host,標(biāo)準(zhǔn)訪問列表舉例 2,,,3,E0,S0,E1,Non- ,access-list 1 deny 3 ,標(biāo)準(zhǔn)訪問列表舉例 2,,,3,E0,S0,E1,Non- ,Deny a specific host,access-list 1 deny 3 access

21、-list 1 permit 55 (implicit deny all) (access-list 1 deny 55),access-list 1 deny 3 access-list 1 permit 55 (implicit deny all) (access-list 1 deny 55) interface ethernet 0 ip access-group 1 out,標(biāo)準(zhǔn)訪問

22、列表舉例 2,,,3,E0,S0,E1,Non- ,Deny a specific host,Deny a specific subnet,標(biāo)準(zhǔn)訪問列表舉例 3,,,3,E0,S0,E1,Non- ,access-list 1 deny 55 access-list 1 permit any (implicit deny all)(access-list 1 deny 255.255.

23、255.255),access-list 1 deny 55 access-list 1 permit any (implicit deny all)(access-list 1 deny 55) interface ethernet 0 ip access-group 1 out,標(biāo)準(zhǔn)訪問列表舉例 3,,,3,E0,S0,E1,Non- ,Deny a specific subnet, 1999, Cisco Systems, Inc.

24、,10-41,用訪問列表控制vty訪問,在路由器上過濾vty,五個虛擬通道 (0 到 4) 路由器的vty端口可以過濾數(shù)據(jù) 在路由器上執(zhí)行vty訪問的控制,0,1,2,3,4,Virtual ports (vty 0 through 4),Physical port e0 (Telnet),Console port (direct connect),console,e0,如何控制vty訪問,0,1,2,3,4,Virtual ports (vty 0 through 4),Physical port (e0) (Telnet),使用標(biāo)準(zhǔn)訪問列表語句 用 access-class 命令應(yīng)用訪問列

25、表 在所有vty通道上設(shè)置相同的限制條件,Router#,e0,虛擬通道的配置,指明vty通道的范圍,在訪問列表里指明方向,access-class access-list-number in|out,line vty#vty# | vty-range,Router(config)#,Router(config-line)#,虛擬通道訪問舉例,只允許網(wǎng)絡(luò) 內(nèi)的主機(jī)連接路由器的 vty 通道,access-list 12 permit 55 ! line vty 0 4 access-class 12 in,Controlling In

26、bound Access, 1999, Cisco Systems, Inc.,10-46,擴(kuò)展 IP 訪問列表的配置,標(biāo)準(zhǔn)訪問列表和擴(kuò)展訪問列表比較,標(biāo)準(zhǔn),擴(kuò)展,基于源地址,基于源地址和目標(biāo)地址,允許和拒絕完整的 TCP/IP協(xié)議,指定TCP/IP的特定協(xié)議 和端口號,編號范圍 100 到 199.,編號范圍 1 到 99,擴(kuò)展 IP 訪問列表的配置,Router(config)#,設(shè)置訪問列表的參數(shù),access-list access-list-number permit | deny protocol source source-wildcard operator port desti

27、nation destination-wildcard operator port established log,Router(config-if)# ip access-group access-list-number in | out ,擴(kuò)展 IP 訪問列表的配置,在端口上應(yīng)用訪問列表,設(shè)置訪問列表的參數(shù),Router(config)# access-list access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard ope

28、rator port established log,拒絕子網(wǎng) 的數(shù)據(jù)使用路由器e0口ftp到子網(wǎng) 允許其它數(shù)據(jù),,,3,E0,S0,E1,Non- ,擴(kuò)展訪問列表應(yīng)用舉例 1,access-list 101 deny tcp 55 55 eq 21 access-list 101 deny tcp 55 55 eq 20,拒絕子網(wǎng)1

29、 的數(shù)據(jù)使用路由器e0口ftp到子網(wǎng) 允許其它數(shù)據(jù),擴(kuò)展訪問列表應(yīng)用舉例 1,,,3,E0,S0,E1,Non- ,access-list 101 deny tcp 55 55 eq 21 access-list 101 deny tcp 55 55 eq 20 access-list 101 permit ip any any (im

30、plicit deny all) (access-list 101 deny ip 55 55),access-list 101 deny tcp 55 55 eq 21 access-list 101 deny tcp 55 55 eq 20 access-list 101 permit ip any any (implicit deny all) (access-l

31、ist 101 deny ip 55 55) interface ethernet 0 ip access-group 101 out,拒絕子網(wǎng) 的數(shù)據(jù)使用路由器e0口ftp到子網(wǎng) 允許其它數(shù)據(jù),擴(kuò)展訪問列表應(yīng)用舉例 1,,,3,E0,S0,E1,Non- ,拒絕子網(wǎng) 內(nèi)的主機(jī)使用路由器的 E0 端口建立Telnet會話 允許其它數(shù)據(jù),擴(kuò)展訪問列表應(yīng)用舉例 2,172.1

32、6.3.0,,3,E0,S0,E1,Non- ,access-list 101 deny tcp 55 any eq 23,拒絕子網(wǎng) 內(nèi)的主機(jī)使用路由器的 E0 端口建立Telnet會話 允許其它數(shù)據(jù),擴(kuò)展訪問列表應(yīng)用舉例 2,,,3,E0,S0,E1,Non- ,access-list 101 deny tcp 55 any eq 23 access-list

33、101 permit ip any any (implicit deny all),access-list 101 deny tcp 55 any eq 23 access-list 101 permit ip any any (implicit deny all) interface ethernet 0 ip access-group 101 out,拒絕子網(wǎng) 內(nèi)的主機(jī)使用路由器的 E0 端口建立Telnet會話 允許其它數(shù)據(jù),擴(kuò)展訪問列表應(yīng)用舉例 2,,,3,E0,S0,

34、E1,Non- ,使用名稱訪問列表,Router(config)#,ip access-list standard | extended name,適用于IOS版本號為11.2以后,所使用的名稱必須一致,使用名稱訪問列表,Router(config)#,ip access-list standard | extended name, permit | deny ip access list test conditions permit | deny ip access list test conditions no permit | deny ip access list

35、test conditions ,Router(config std- | ext-nacl)#,適用于IOS版本號為11.2以后,所使用的名稱必須一致,允許和拒絕語句不需要訪問列表編號 “no” 命令刪除訪問列表,使用名稱訪問列表,適用于IOS版本號為11.2以后,所使用的名稱必須一致,允許和拒絕語句不需要訪問列表編號 “no” 命令刪除訪問列表,在端口上應(yīng)用訪問列表,訪問列表配置準(zhǔn)則,訪問列表中限制語句的位置是至關(guān)重要的 將限制條件嚴(yán)格的語句放在訪問列表的最上面 使用 no access-list number 命令刪除完整的訪問列表 例外: 名稱訪問列表可以刪除單獨的語句 隱含聲明 de

36、ny all 在設(shè)置的訪問列表中要有一句 permit any,將擴(kuò)展訪問列表置于離源設(shè)備較近的位置 將標(biāo)準(zhǔn)訪問列表置于離目的設(shè)備較近的位置,E0,E0,E1,S0,To0,S1,S0,S1,E0,E0,B,A,C,訪問列表的放置原則,推薦:,D,wg_ro_a#show ip int e0 Ethernet0 is up, line protocol is up Internet address is 1/24 Broadcast address is 55 Address determined by setup command MTU is 150

37、0 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1 Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is disabled IP Feature Fast switching turbo vector IP multicast fast switching is enabled IP multicast distributed fast switching

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論