九章使用訪問列表管理流量

九章使用訪問列表管理流量第1頁/共66頁第九章使用訪問控制列表管理IP流量●了解IP訪問列表的主要作用●掌握IP訪問列表工作流程●能夠配置標準的IP訪問列表●能夠利用訪問列表控制虛擬會話的建立●能夠配置擴展的IP訪問列表●管理IP訪問列表重點：配置IP訪問列表難點：IP訪問列表工作流程要求：第2頁/共66頁管理網(wǎng)絡(luò)中逐步增長的IP數(shù)據(jù)訪問控制列表概述一、為什么要使用訪問列表第3頁/共66頁Internet管理網(wǎng)絡(luò)中逐步增長的IP數(shù)據(jù)當(dāng)數(shù)據(jù)通過路由器時進行過濾訪問控制列表概述第4頁/共66頁訪問控制列表概述允許、拒絕數(shù)據(jù)包通過路由器允許、拒絕Telnet會話的建立沒有設(shè)置訪問列表時，所有的數(shù)據(jù)包都會在網(wǎng)絡(luò)上傳輸虛擬會話(IP)端口上的數(shù)據(jù)傳輸二、訪問列表的應(yīng)用第5頁/共66頁Queue

List優(yōu)先級判斷訪問控制列表概述基于數(shù)據(jù)包檢測的特殊數(shù)據(jù)通訊應(yīng)用二、訪問列表的其他應(yīng)用第6頁/共66頁Queue

List優(yōu)先級判斷訪問控制列表概述按需撥號基于數(shù)據(jù)包檢測的特殊數(shù)據(jù)通訊應(yīng)用二、訪問列表的其他應(yīng)用第7頁/共66頁訪問控制列表概述路由表過濾Routing

TableQueue

List優(yōu)先級判斷按需撥號基于數(shù)據(jù)包檢測的特殊數(shù)據(jù)通訊應(yīng)用二、訪問列表的其他應(yīng)用第8頁/共66頁訪問控制列表概述三、什么是訪問列表1.訪問控制列表：是一個控制網(wǎng)絡(luò)的有力工具，由一系列對包進行分類的條件組成。它提供了數(shù)據(jù)的過濾，可以在不妨礙合法通信連接的同時阻止非法的或不必要的數(shù)據(jù)流，保護網(wǎng)絡(luò)資源。2.訪問控制列表的分類：標準訪問控制列表擴展訪問控制列表命名的訪問控制列表第9頁/共66頁

標準檢查源地址通常允許、拒絕的是完整的協(xié)議

數(shù)據(jù)包出口E0S0數(shù)據(jù)包入口AccessListProcessesPermit?Source訪問控制列表概述第10頁/共66頁

標準檢查源地址通常允許、拒絕的是完整的協(xié)議擴展檢查源地址和目的地址通常允許、拒絕的是某個特定的協(xié)議數(shù)據(jù)包出口E0S0數(shù)據(jù)包入口AccessListProcessesPermit?Sourceand

DestinationProtocol訪問控制列表概述第11頁/共66頁

標準檢查源地址通常允許、拒絕的是完整的協(xié)議擴展檢查源地址和目的地址通常允許、拒絕的是某個特定的協(xié)議進方向和出方向

數(shù)據(jù)包出口E0S0數(shù)據(jù)包入口AccessListProcessesPermit?Sourceand

DestinationProtocol訪問控制列表概述第12頁/共66頁數(shù)據(jù)包入口NY丟棄選擇接口NACL?有路由嗎？?Y數(shù)據(jù)包出口S0出端口方向上的訪問列表的執(zhí)行

第13頁/共66頁數(shù)據(jù)包出口PacketNY選擇接口有路由嗎？NPacket檢查條件Permit

?Y出端口方向上的訪問列表的執(zhí)行

ACL？YS0E0數(shù)據(jù)包入口丟棄第14頁/共66頁NotifySender出端口方向上的訪問列表的執(zhí)行

IfnoaccessliststatementmatchesthendiscardthepacketNYNYPermit

?YACL

?NPacketPacketS0E0數(shù)據(jù)包入口有路由嗎？選擇接口檢查條件數(shù)據(jù)包出口丟棄丟棄第15頁/共66頁訪問列表的測試：允許和拒絕數(shù)據(jù)包到達接口丟棄Y通過接口DenyDenyY第一個條件匹配?Permit第16頁/共66頁訪問列表的測試：允許和拒絕YDenyDenyYPermitNDenyPermitYY數(shù)據(jù)包到達接口第一個條件匹配?第二個條件匹配?通過接口丟棄第17頁/共66頁訪問列表的測試：允許和拒絕YDenyDenyYPermitNDenyPermitDenyYYNYYPermit數(shù)據(jù)包到達接口第一個條件匹配?第二個條件匹配?最后一個條件匹配?丟棄通過接口第18頁/共66頁訪問列表的測試：允許和拒絕YDenyYPermitNDenyPermitDenyYYNYYPermitImplicitDenyIfnomatchdenyallDenyN數(shù)據(jù)包到達接口第一個條件匹配?第二個條件匹配?最后一個條件匹配?通過接口丟棄第19頁/共66頁如何識別訪問列表編號范圍訪問列表類型IP

1-99Standard標準訪問列表(1to99)檢查IP數(shù)據(jù)包的源地址第20頁/共66頁編號范圍訪問列表類型如何識別訪問列表IP

1-99100-199StandardExtended標準訪問列表(1to99)檢查IP數(shù)據(jù)包的源地址擴展訪問列表(100to199)檢查源地址和目的地址、具體的TCP/IP協(xié)議和目的端口第21頁/共66頁編號范圍IP

1-99100-199Name(CiscoIOS11.2andlater)800-899900-9991000-1099Name(CiscoIOS11.2.Fandlater)StandardExtendedSAPfiltersNamedStandardExtendedNamed訪問列表類型IPX如何識別訪問列表標準訪問列表(1to99)檢查IP數(shù)據(jù)包的源地址擴展訪問列表(100to199)檢查源地址和目的地址、具體的TCP/IP協(xié)議和目的端口其它訪問列表編號范圍表示不同協(xié)議的訪問列表第22頁/共66頁SourceAddressSegment(forexample,

TCPheader)DataPacket(IPheader)FrameHeader(forexample,

HDLC)DenyPermit

Useaccessliststatements1-99用標準訪問列表測試數(shù)據(jù)第23頁/共66頁DestinationAddressSourceAddressProtocolPortNumberSegment(forexample,

TCPheader)DataPacket(IPheader)FrameHeader(forexample,

HDLC)

Useaccessliststatements1-99or100-199to

testthepacketDenyPermitAnExamplefromaTCP/IPPacket用擴展訪問列表測試數(shù)據(jù)第24頁/共66頁通配符掩碼（WildcardMask)通配符掩碼的規(guī)定如下：通配符掩碼位為0表示檢查數(shù)據(jù)包的IP地址相對應(yīng)的比特位。通配符掩碼位為1表示不檢查數(shù)據(jù)包的IP地址相對應(yīng)的比特位。通配符和主機或網(wǎng)絡(luò)地址一起使用來告訴路由器要過濾的有效范圍。第25頁/共66頁0表示檢查與之對應(yīng)的地址位的值1表示忽略與之對應(yīng)的地址位的值=001111111286432168421=00000000=00001111=11111100=11111111檢查所有的地址位例如通配符：如何檢查相應(yīng)的地址位忽略最后六位忽略最后四位檢查最后兩位忽略所有的地址位第26頁/共66頁如果要指定一個主機，訪問控制列表中地址應(yīng)當(dāng)寫成:9可以簡寫為host(host9)

9

(檢查所有的位)主機地址為：通配符掩碼:通配符掩碼指明特定的主機例：某公司的網(wǎng)絡(luò)管理員計劃使用訪問控制列表控制主機對FTP服務(wù)器的訪問，目的是不允許地址為9的主機訪問FTP服務(wù)器。第27頁/共66頁

55(檢查前三個字節(jié))一個子網(wǎng)為：通配符掩碼:通配符掩碼指明一個子網(wǎng)如果是不允許地址在子網(wǎng)的所有主機訪問FTP服務(wù)器。訪問控制列表中地址應(yīng)當(dāng)寫成：

55第28頁/共66頁所有主機:55可以用any簡寫 55(忽略所有位)任意地址：通配符掩碼:通配符掩碼指明所有主機如果需要在訪問列表中表達所有的主機第29頁/共66頁檢查從/24到/24的所有子網(wǎng)Network.host

00010000通配符掩碼：

00001111 |<----match---->|<-----don’tcare----->|

00010000 = 16

00010001 = 17

00010010 = 18 : :

00011111 = 31地址和通配符掩碼：

55通配符掩碼和IP子網(wǎng)的

對應(yīng)第30頁/共66頁訪問列表配置準則訪問列表的編號指明了使用何種協(xié)議的訪問列表每個端口、每個方向、每條協(xié)議只能對應(yīng)于一條訪問列表訪問列表中限制語句的位置是至關(guān)重要的將限制條件嚴格的語句放在訪問列表的最上面隱含聲明denyall在設(shè)置的訪問列表中要有一句permitany第31頁/共66頁訪問列表配置準則先創(chuàng)建訪問列表，然后應(yīng)用到端口上訪問列表不能過濾由路由器自己產(chǎn)生的數(shù)據(jù)使用noaccess-listnumber

命令刪除完整的訪問列表例外:名稱訪問列表可以刪除單獨的語句第32頁/共66頁配置訪問控制列表Step1:設(shè)置訪問列表測試語句的參數(shù)access-listaccess-list-number{permit|deny}{test

conditions}Router(config)#第33頁/共66頁Step1:設(shè)置訪問列表測試語句的參數(shù)Router(config)#Step2:在端口上應(yīng)用訪問列表{protocol}access-groupaccess-list-number{in|out}Router(config-if)#配置訪問控制列表IP訪問列表的標號為1-99和100-199access-listaccess-list-number{permit|deny}{test

conditions}第34頁/共66頁標準IP訪問列表的配置access-listaccess-list-number{permit|deny}source[mask]Router(config)#為訪問列表設(shè)置參數(shù)IP標準訪問列表編號1到99缺省的通配符掩碼=“noaccess-listaccess-list-number”命令刪除訪問列表第35頁/共66頁access-listaccess-list-number{permit|deny}source[mask]Router(config)#在端口上應(yīng)用訪問列表指明是進方向還是出方向缺省=出方向“noipaccess-groupaccess-list-number”命令在端口上刪除訪問列表Router(config-if)#ipaccess-groupaccess-list-number{in|out}為訪問列表設(shè)置參數(shù)IP標準訪問列表編號1到99缺省的通配符掩碼=“noaccess-listaccess-list-number”命令刪除訪問列表標準IP訪問列表的配置第36頁/共66頁3E0S0E1Non-標準訪問列表舉例1access-list1permit

55(implicitdenyall-notvisibleinthelist)(access-list1deny55)第37頁/共66頁Permitmynetworkonlyaccess-list1permit

55(implicitdenyall-notvisibleinthelist)(access-list1deny55)interfaceethernet0ipaccess-group1outinterfaceethernet1ipaccess-group1out3E0S0E1Non-標準訪問列表舉例1第38頁/共66頁Denyaspecifichost標準訪問列表舉例23E0S0E1Non-access-list1deny3第39頁/共66頁標準訪問列表舉例23E0S0E1Non-Denyaspecifichostaccess-list1deny3access-list1permit55(implicitdenyall)(access-list1deny55)第40頁/共66頁access-list1deny3access-list1permit55(implicitdenyall)(access-list1deny55)interfaceethernet0ipaccess-group1out標準訪問列表舉例23E0S0E1Non-Denyaspecifichost第41頁/共66頁Denyaspecificsubnet標準訪問列表舉例33E0S0E1Non-access-list1deny55access-list1permitany(implicitdenyall)

(access-list1deny55)第42頁/共66頁access-list1deny55access-list1permitany(implicitdenyall)

(access-list1deny55)interfaceethernet0ipaccess-group1out標準訪問列表舉例33E0S0E1Non-Denyaspecificsubnet第43頁/共66頁在路由器上過濾vty五個虛擬通道(0到4)路由器的vty端口可以過濾數(shù)據(jù)在路由器上執(zhí)行vty訪問的控制01234Virtualports(vty0through4)Physicalporte0(Telnet)Consoleport(directconnect)consolee0第44頁/共66頁如何控制vty訪問01234Virtualports(vty0through4)Physicalport(e0)(Telnet)使用標準訪問列表語句用access-class

命令應(yīng)用訪問列表在所有vty通道上設(shè)置相同的限制條件Router#e0第45頁/共66頁虛擬通道的配置指明vty通道的范圍在訪問列表里指明方向ipaccess-classaccess-list-number{in|out}linevty{vty#|vty-range}Router(config)#Router(config-line)#第46頁/共66頁虛擬通道訪問舉例只允許網(wǎng)絡(luò)

內(nèi)的主機連接路由器的vty通道access-list12permit55!linevty04access-class12inControllingInboundAccess第47頁/共66頁標準訪問列表和擴展訪問列表

比較標準擴展基于源地址基于源地址和目標地址允許和拒絕完整的TCP/IP協(xié)議指定TCP/IP的特定協(xié)議和端口號編號范圍100到199.編號范圍1到99第48頁/共66頁擴展IP訪問列表的配置Router(config)#設(shè)置訪問列表的參數(shù)access-listaccess-list-number{permit|deny}protocolsource

source-wildcard[operatorport]

destinationdestination-wildcard

[operatorport][established][log]第49頁/共66頁Router(config-if)#ipaccess-groupaccess-list-number{in|out}擴展IP訪問列表的配置在端口上應(yīng)用訪問列表設(shè)置訪問列表的參數(shù)Router(config)#access-listaccess-list-number

{permit|deny}protocolsourcesource-wildcard[operatorport]

destinationdestination-wildcard[operatorport][established][log]第50頁/共66頁拒絕子網(wǎng)

的數(shù)據(jù)使用路由器e0口ftp到子網(wǎng)

允許其它數(shù)據(jù)3E0S0E1Non-擴展訪問列表應(yīng)用舉例1access-list101denytcp

5555eq21access-list101denytcp5555eq20第51頁/共66頁拒絕子網(wǎng)

的數(shù)據(jù)使用路由器e0口ftp到子網(wǎng)

允許其它數(shù)據(jù)擴展訪問列表應(yīng)用舉例13E0S0E1Non-access-list101denytcp

5555eq21access-list101denytcp5555eq20access-list101permitipanyany(implicitdenyall)(access-list101denyip5555)第52頁/共66頁access-list101denytcp

5555eq21access-list101denytcp5555eq20access-list101permitipanyany(implicitdenyall)(access-list101denyip5555)interfaceethernet0ipaccess-group101out拒絕子網(wǎng)

的數(shù)據(jù)使用路由器e0口ftp到子網(wǎng)

允許其它數(shù)據(jù)擴展訪問列表應(yīng)用舉例13E0S0E1Non-第53頁/共66頁拒絕子網(wǎng)

內(nèi)的主機使用路由器的E0端口建立Telnet會話允許其它數(shù)據(jù)擴展訪問列表應(yīng)用舉例23E0S0E1Non-access-list101denytcp55anyeq23第54頁/共66頁拒絕子網(wǎng)

內(nèi)的主機使用路由器的E0端口建立Telnet會話允許其它數(shù)據(jù)擴展訪問列表應(yīng)用舉例23E0S0E1Non-access-list101denytcp55anyeq23access-list101permitipanyany(implicitdenyall)第55頁/共66頁access-list101denytcp55anyeq23access-list101permitipanyany(implicitdenyall)interfaceethernet0ipaccess-group101out拒絕子網(wǎng)

內(nèi)的主機使用路由器的E0端口建立Telnet會話允許其它數(shù)據(jù)擴展訪問列表應(yīng)用舉例23E0S0E1Non-第56頁/共66頁使用名稱訪問列表Router(config)#ipaccess-list{standard|extended}name適用于IOS版本號為11.2以后所使用的名稱必須一致第57頁/共66頁使用名稱訪問列表Router(config)#ipaccess-list{standard|extended}name{permit|deny}{ipaccesslisttestconditions}{permit|deny}{ipaccesslisttestconditions}no{permit|deny}{ipaccesslisttestconditions}Router(config{std-|ext-}nacl)#適用于IOS版本號為11.2以后所使用的名稱必須一致允許和拒絕語句不需要訪問列表編號“no”命令刪除訪問列表第58頁/共66頁Router(config)#ipaccess-list{standard|extended}nameRouter(config{std-|ext-}nacl)#{permit|deny}

{ipaccesslisttestconditions}{permit|deny}{ipaccesslisttestconditions}no{permit|deny}{ipaccesslisttestconditions}Router(config-if)#ipaccess-groupname{in|out}使用名稱訪問列表適用于IOS版本號為11.2以后所使用的名稱必須一致允許和拒絕語句不需要訪問列表編號“no”命令刪除訪問列表在端口上應(yīng)用訪問列表第59頁/共66頁將擴展訪問列表置于離源設(shè)備較近的位置將標準訪問列表置于離目的設(shè)備較近的位置E0E0E1S0To0S1S0S1E0E0BAC訪問列表的放置原則推薦：D源主機目標主機第60頁/共66頁wg_ro_a#showipinte0Ethernet0isup,lineprotocolisupInternetaddressis1/24Broadcastaddressis55AddressdeterminedbysetupcommandMTUis1500bytesHelperaddressisnotsetDirectedbroadcastforwardingisdisabledOutgoingaccesslistisnotsetInboundaccesslistis1ProxyARPisenabledSecuritylevelisdefaultSplithorizonisenabledICMPredirectsarealwayssentICMPunreachables