九章使用访问列表管理流量1ppt课件优秀PPT.ppt-淘文阁

资源描述

《九章使用访问列表管理流量1ppt课件优秀PPT.ppt》由会员分享，可在线阅读，更多相关《九章使用访问列表管理流量1ppt课件优秀PPT.ppt（65页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、9-1 第九章第九章运用访问限制列表管理运用访问限制列表管理IPIP流量流量本章主要内容：本章主要内容：访问限制列表的概述访问限制列表的概述出口方向上访问限制列表的执行出口方向上访问限制列表的执行如何识别访问限制列表如何识别访问限制列表通配符掩码通配符掩码配置访问限制列表配置访问限制列表管理访问限制列表管理访问限制列表9-2 第九章第九章运用访问限制列表管理运用访问限制列表管理IPIP流量流量了解了解 IP IP 访问列表的主要作用访问列表的主要作用驾驭驾驭 IP IP 访问列表工作流程访问列表工作流程能够配置标准的能够配置标准的 IP IP 访问列表访问列表能够利用访问

2、列表限制虚拟会话的建立能够利用访问列表限制虚拟会话的建立能够配置扩展的能够配置扩展的 IP IP 访问列表访问列表管理管理 IP IP 访问列表访问列表重点：重点：配置配置IP IP 访问列表访问列表难点：难点：IP IP 访问列表工作流程访问列表工作流程要求：要求：9-3管理网络中逐步增长的管理网络中逐步增长的 IP 数据数据访问限制列表概述访问限制列表概述一、为什么要运用访问列表一、为什么要运用访问列表9-4Internet管理网络中逐步增长的管理网络中逐步增长的 IP 数据数据当数据通过路由器时进行过滤当数据通过路由器时进行过滤访问限制列表概述访问限制列表概述9-5访问限制列表概述访

3、问限制列表概述允许、拒绝数据包通过路由器允许、拒绝数据包通过路由器允许、拒绝允许、拒绝Telnet会话的建立会话的建立没有设置访问列表时，全部的数据包都会在网络上传输没有设置访问列表时，全部的数据包都会在网络上传输虚拟会话虚拟会话(IP)端口上的数据传输端口上的数据传输二、访问列表的应用二、访问列表的应用9-6QueueList优先级推断优先级推断访问限制列表概述访问限制列表概述基于数据包检测的特殊数据通讯应用基于数据包检测的特殊数据通讯应用二、访问列表的其他应用二、访问列表的其他应用9-7QueueList优先级推断优先级推断访问限制列表概述访问限制列表概述按需拨号按需拨号基于数据包检测的特

4、殊数据通讯应用基于数据包检测的特殊数据通讯应用二、访问列表的其他应用二、访问列表的其他应用9-8访问限制列表概述访问限制列表概述路由表过滤路由表过滤RoutingTableQueueList优先级推断优先级推断按需拨号按需拨号基于数据包检测的特殊数据通讯应用基于数据包检测的特殊数据通讯应用二、访问列表的其他应用二、访问列表的其他应用9-9访问限制列表概述访问限制列表概述三、什么是访问列表三、什么是访问列表1.1.访问限制列表：是一个限制网络的有力工具，由一系列对访问限制列表：是一个限制网络的有力工具，由一系列对包进行分类的条件组成。它供应了数据的过滤，可以在不阻包进行分类的条件组成。它供应了数

5、据的过滤，可以在不阻碍合法通信连接的同时阻挡非法的或不必要的数据流，疼惜碍合法通信连接的同时阻挡非法的或不必要的数据流，疼惜网络资源。网络资源。2.访问限制列表的分类：访问限制列表的分类：标准访问限制列表标准访问限制列表扩展访问限制列表扩展访问限制列表命名的访问限制列表命名的访问限制列表9-10 标准标准检查源地址检查源地址通常允许、拒绝的是完整的协议通常允许、拒绝的是完整的协议数据包数据包出口出口E0S0数据包数据包入口入口Access List ProcessesPermit?Source访问限制列表概述访问限制列表概述9-11 标准标准检查源地址检查源地址通常允许、拒绝的是完整的协议通常

6、允许、拒绝的是完整的协议扩展扩展检查源地址和目的地址检查源地址和目的地址通常允许、拒绝的是某个特定的协议通常允许、拒绝的是某个特定的协议数据包数据包出口出口E0S0数据包数据包入口入口Access List ProcessesPermit?Sourceand DestinationProtocol访问限制列表概述访问限制列表概述9-12 标准标准检查源地址检查源地址通常允许、拒绝的是完整的协议通常允许、拒绝的是完整的协议扩展扩展检查源地址和目的地址检查源地址和目的地址通常允许、拒绝的是某个特定的协议通常允许、拒绝的是某个特定的协议进方向和出方向进方向和出方向数据包数据包出口出口E0S0数据包

7、数据包入口入口Access List ProcessesPermit?Sourceand DestinationProtocol访问限制列表概述访问限制列表概述9-13数据包数据包入口入口NY丢弃丢弃选择选择接口接口NACL?有有路由路由吗？吗？?Y数据包数据包出口出口S0出端口方向上的访问列表的执行出端口方向上的访问列表的执行出端口方向上的访问列表的执行出端口方向上的访问列表的执行 9-14数据包数据包出口出口PacketNY选择选择接口接口有有路由路由吗？吗？NPacket检查条件检查条件Permit?Y出端口方向上的访问列表的执行出端口方向上的访问列表的执行 ACL？YS0E0数据包数据

8、包入口入口丢弃丢弃9-15Notify Sender出端口方向上的访问列表的执行出端口方向上的访问列表的执行 If no access list statement matches then discard the packet NYNYPermit?YACL?NPacketPacketS0E0数据包数据包入口入口有有路由路由吗？吗？选择选择接口接口检查条件检查条件数据包数据包出口出口丢弃丢弃丢弃丢弃9-16访问列表的测试：允许和拒绝访问列表的测试：允许和拒绝数据包到达接口数据包到达接口丢弃丢弃Y通过接口通过接口DenyDenyY第一个第一个条件匹配条件匹配?Permit9-17访问列表的测试

9、：允许和拒绝访问列表的测试：允许和拒绝YDenyDenyYPermitNDenyPermitYY数据包到达接口数据包到达接口第一个第一个条件匹配条件匹配?其次个其次个条件匹配条件匹配?通过接口通过接口丢弃丢弃9-18访问列表的测试：允许和拒绝访问列表的测试：允许和拒绝YDenyDenyYPermitNDenyPermitDenyYYNYYPermit数据包到达接口数据包到达接口第一个第一个条件匹配条件匹配?其次个其次个条件匹配条件匹配?最终一个最终一个条件匹配条件匹配?丢弃丢弃通过接口通过接口9-19访问列表的测试：允许和拒绝访问列表的测试：允许和拒绝YDenyYPermitNDenyPerm

10、itDenyYYNYYPermitImplicit DenyIf no matchdeny allDenyN数据包到达接口数据包到达接口第一个第一个条件匹配条件匹配?其次个其次个条件匹配条件匹配?最终一个最终一个条件匹配条件匹配?通过接口通过接口丢弃丢弃9-20如何识别访问列表如何识别访问列表编号范围编号范围访问列表类型访问列表类型IP 1-99Standard标准访问列表标准访问列表(1 to 99)检查检查 IP 数据包的源地址数据包的源地址9-21编号范围编号范围访问列表类型访问列表类型如何识别访问列表如何识别访问列表IP 1-99100-199StandardExtended标准访问列

11、表标准访问列表(1 to 99)检查检查 IP 数据包的源地址数据包的源地址扩展访问列表扩展访问列表(100 to 199)检查源地址和目的地址、具体的检查源地址和目的地址、具体的 TCP/IP 协议和目的协议和目的端口端口9-22编号范围编号范围IP 1-99100-199Name(Cisco IOS 11.2 and later)800-899900-9991000-1099Name(Cisco IOS 11.2.F and later)StandardExtendedSAP filtersNamedStandardExtendedNamed访问列表类型访问列表类型IPX如何识别访问列表如

12、何识别访问列表标准访问列表标准访问列表(1 to 99)检查检查 IP 数据包的源地址数据包的源地址扩展访问列表扩展访问列表(100 to 199)检查源地址和目的地址、具体的检查源地址和目的地址、具体的 TCP/IP 协议和目的协议和目的端口端口其它访问列表编号范围表示不同协议的访问列表其它访问列表编号范围表示不同协议的访问列表9-23SourceAddressSegment(for example,TCP header)DataPacket(IP header)Frame Header(for example,HDLC)DenyPermit Useaccess list statement

13、s1-99 用标准访问列表测试数据用标准访问列表测试数据9-24DestinationAddressSourceAddressProtocolPortNumberSegment(for example,TCP header)DataPacket(IP header)Frame Header(for example,HDLC)Useaccess list statements1-99 or 100-199 to test thepacket DenyPermitAn Example from a TCP/IP Packet用扩展访问列表测试数据用扩展访问列表测试数据9-25通配符掩码（通配符掩码

14、（Wildcard Mask)通配符掩码的规定如下：通配符掩码的规定如下：通配符掩码位为通配符掩码位为0表示检查数据包的表示检查数据包的IP地址相对应地址相对应的比特位。的比特位。通配符掩码位为通配符掩码位为1表示不检查数据包的表示不检查数据包的IP地址相对地址相对应的比特位。应的比特位。通配符和主机或网络地址一起运用来告知路由器要通配符和主机或网络地址一起运用来告知路由器要过滤的有效范围。过滤的有效范围。9-260 表示检查与之对应的地址位的值表示检查与之对应的地址位的值1表示忽视与之对应的地址位的值表示忽视与之对应的地址位的值=001111111286432168421=00000000=

15、00001111=11111100=11111111检查全部的地址位检查全部的地址位例如例如通配符：如何检查相应的地址位通配符：如何检查相应的地址位忽视最终六位忽视最终六位忽视最终四位忽视最终四位检查最终两位检查最终两位忽视全部的地址位忽视全部的地址位9-27 可以简写为可以简写为 host(host 172.30.16.29)172.30.16.290.0.0.0(检查全部的位检查全部的位)主机地址为：主机地址为：通配符掩码通配符掩码:通配符掩码指明特定的主机通配符掩码指明特定的主机例：某公司的网络管理员支配运用访问限制列表限例：某公司的网络管理员支配运用访问限制列表限制主机对制主机对FTP

16、服务器的访问，目的是不允许地址为服务器的访问，目的是不允许地址为172.30.16.29 的主机访问的主机访问FTP服务器。服务器。9-28 172.30.16.00.0.0.255(检查前三个字节检查前三个字节)一个子网为：一个子网为：通配符掩码通配符掩码:通配符掩码指明一个子网通配符掩码指明一个子网假如是不允许地址在假如是不允许地址在172.30.16.0 子网的全部子网的全部主机访问主机访问FTP服务器。服务器。访问限制列表中地址应当写成：访问限制列表中地址应当写成：172.30.16.0 0.0.0.255 9-29可以用可以用 any 简写简写0.0.0.0(忽视全部位忽视全部位)随

17、意地址：随意地址：通配符掩码通配符掩码:通配符掩码指明全部主机通配符掩码指明全部主机假如须要在访问列表中表达全部的主机假如须要在访问列表中表达全部的主机9-30检查从检查从172.30.16.0/24 到到 172.30.31.0/24的全部子网的全部子网Network Network .host.00 00 00 01 10000通配符掩码：通配符掩码：0 0 0 0 1 1 1 1|0 0 0 1 0 0 0 0 =16 0 0 0 1 0 0 0 1 =17 0 0 0 1 0 0 1 0 =18:0 0 0 1 1 1 1 1 =31 地址和通配符掩码：地址和通配符掩码：通配符掩码和通

18、配符掩码和IP子网的子网的对应对应9-31访问列表配置准则访问列表配置准则访问列表的编号指明白运用何种协议的访问列表访问列表的编号指明白运用何种协议的访问列表每个端口、每个方向、每条协议只能对应于一条访问每个端口、每个方向、每条协议只能对应于一条访问列表列表访问列表中限制语句的位置是至关重要的访问列表中限制语句的位置是至关重要的将限制条件严格的语句放在访问列表的最上面将限制条件严格的语句放在访问列表的最上面隐含声明隐含声明 deny all在设置的访问列表中要有一句在设置的访问列表中要有一句 permit any9-32访问列表配置准则访问列表配置准则先创建访问列表，然后应用到端口上先创建访问

19、列表，然后应用到端口上访问列表不能过滤由路由器自己产生的数据访问列表不能过滤由路由器自己产生的数据运用运用 no access-list number 叮嘱删除完整的访叮嘱删除完整的访问列表问列表例外例外:名称访问列表可以删除单独的语句名称访问列表可以删除单独的语句9-33配置访问限制列表配置访问限制列表Step 1:设置访问列表测试语句的参数设置访问列表测试语句的参数access-list access-list-number permit|deny test conditions Router(config)#9-34Step 1:设置访问列表测试语句的参数设置访问列表测试语句的参数Rou

20、ter(config)#Step 2:在端口上应用访问列表在端口上应用访问列表 protocol access-group access-list-number in|out Router(config-if)#配置访问限制列表配置访问限制列表IP 访问列表的标号为访问列表的标号为 1-99 和和 100-199access-list access-list-number permit|deny test conditions 9-35标准标准IP访问列表的配置访问列表的配置access-list access-list-number permit|deny source maskRouter

21、(config)#为访问列表设置参数为访问列表设置参数IP 标准访问列表编号标准访问列表编号 1 到到 99“no access-list access-list-number”叮嘱删除访问列表叮嘱删除访问列表9-36access-list access-list-number permit|deny source maskRouter(config)#在端口上应用访问列表在端口上应用访问列表指明是进方向还是出方向指明是进方向还是出方向缺省缺省=出方向出方向“no ip access-group access-list-number”叮嘱在端口上删除访问列表叮嘱在端口上删除访问列表Router

22、(config-if)#ip access-group access-list-number in|out 为访问列表设置参数为访问列表设置参数IP 标准访问列表编号标准访问列表编号 1 到到 99“no access-list access-list-number”叮嘱删除访问列表叮嘱删除访问列表标准标准IP访问列表的配置访问列表的配置9-37E0S0E1Non-标准访问列表举例标准访问列表举例 1 (implicit deny all-not visible in the list)(access-list 1 deny 0.0.0.0 255.255.255.255)9-38Permit

23、 my network only (implicit deny all-not visible in the list)(access-list 1 deny 0.0.0.0 255.255.255.255)interface ethernet 0ip access-group 1 outinterface ethernet 1ip access-group 1 outE0S0E1Non-标准访问列表举例标准访问列表举例 19-39Deny a specific host标准访问列表举例标准访问列表举例 2E0S0E1Non-access-list 1 deny 172.16.4.13 0.0

24、.0.0 9-40标准访问列表举例标准访问列表举例 2E0S0E1Non-Deny a specific hostaccess-list 1 deny 172.16.4.13 0.0.0.0 access-list 1 permit 0.0.0.0 (implicit deny all)(access-list 1 deny 0.0.0.0 255.255.255.255)9-41access-list 1 deny 172.16.4.13 0.0.0.0 access-list 1 permit 0.0.0.0 (implicit deny all)(access-list 1 deny 0

25、.0.0.0 255.255.255.255)interface ethernet 0ip access-group 1 out标准访问列表举例标准访问列表举例 2E0S0E1Non-Deny a specific host9-42Deny a specific subnet标准访问列表举例标准访问列表举例 3E0S0E1Non-access-list 1 deny 172.16.4.0 access-list 1 permit any(implicit deny all)(access-list 1 deny 0.0.0.0 255.255.255.255)9-43access-list 1

26、 deny 172.16.4.0 access-list 1 permit any(implicit deny all)(access-list 1 deny 0.0.0.0 255.255.255.255)interface ethernet 0ip access-group 1 out标准访问列表举例标准访问列表举例 3E0S0E1Non-Deny a specific subnet9-44在路由器上过滤在路由器上过滤vty五个虚拟通道五个虚拟通道(0 到到 4)路由器的路由器的vty端口可以过滤数据端口可以过滤数据在路由器上执行在路由器上执行vty访问的限制访问的限制01 234Virt

27、ual ports(vty 0 through 4)Physical port e0(Telnet)Console port(direct connect)consolee09-45如何限制如何限制vty访问访问01 234Virtual ports(vty 0 through 4)Physical port(e0)(Telnet)运用标准访问列表语句运用标准访问列表语句用用 access-class 叮嘱应用访问列表叮嘱应用访问列表在全部在全部vty通道上设置相同的限制条件通道上设置相同的限制条件Router#e09-46虚拟通道的配置虚拟通道的配置指明指明vty通道的范围通道的范围在访问列

28、表里指明方向在访问列表里指明方向ip access-class access-list-number in|outline vty vty#|vty-rangeRouter(config)#Router(config-line)#9-47虚拟通道访问举例虚拟通道访问举例只允许网络只允许网络192.89.55.0 内的主机连接路由器的内的主机连接路由器的 vty 通道通道!line vty 0 4 access-class 12 inControlling Inbound Access9-48标准访问列表和扩展访问列表标准访问列表和扩展访问列表比较比较标准标准扩展扩展基于源地址基于源地址基于源地

29、址和目标地址基于源地址和目标地址允许和拒绝完整的允许和拒绝完整的TCP/IP协议协议指定指定TCP/IP的特定协议的特定协议和端口号和端口号编号范围编号范围 100 到到 199.编号范围编号范围 1 到到 999-49扩展扩展 IP 访问列表的配置访问列表的配置Router(config)#设置访问列表的参数设置访问列表的参数access-list access-list-number permit|deny protocol source source-wildcard operator port destination destination-wildcard operator port

30、 established log9-50Router(config-if)#ip access-group access-list-number in|out 扩展扩展 IP 访问列表的配置访问列表的配置在端口上应用访问列表在端口上应用访问列表设置访问列表的参数设置访问列表的参数Router(config)#access-list access-list-number permit|deny protocol source source-wildcard operator port destination destination-wildcard operator port establish

31、ed log9-51拒绝子网拒绝子网172.16.4.0 的数据运用路由器的数据运用路由器e0口口ftp到子网到子网172.16.3.0 允许其它数据允许其它数据E0S0E1Non-扩展访问列表应用举例扩展访问列表应用举例 1access-list 101 0.0.0.255 172.16.3.0 0.0.0.255 eq 21access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 209-52拒绝子网拒绝子网172.16.4.0 的数据运用路由器的数据运用路由器e0口口ftp到子网到子网172.16.3.0

32、允许其它数据允许其它数据扩展访问列表应用举例扩展访问列表应用举例 1E0S0E1Non-access-list 101 0.0.0.255 172.16.3.0 0.0.0.255 eq 21access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20access-list 101 permit ip any any(implicit deny all)(access-list 101 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255)9-53acc

33、ess-list 101 0.0.0.255 172.16.3.0 0.0.0.255 eq 21access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20access-list 101 permit ip any any(implicit deny all)(access-list 101 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255)interface ethernet 0ip access-group 101 out拒绝子网拒绝子网172

34、.16.4.0 的数据运用路由器的数据运用路由器e0口口ftp到子网到子网172.16.3.0 允许其它数据允许其它数据扩展访问列表应用举例扩展访问列表应用举例 1E0S0E1Non-9-54拒绝子网拒绝子网 172.16.4.0 内的主机运用路由器的内的主机运用路由器的 E0 端口建立端口建立Telnet会话会话允许其它数据允许其它数据扩展访问列表应用举例扩展访问列表应用举例 2E0S0E1Non-access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 239-55拒绝子网拒绝子网 172.16.4.0 内的主机运用路由器的内的主机运用路由器

35、的 E0 端口建立端口建立Telnet会话会话允许其它数据允许其它数据扩展访问列表应用举例扩展访问列表应用举例 2E0S0E1Non-access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23access-list 101 permit ip any any(implicit deny all)9-56access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23access-list 101 permit ip any any(implicit deny all)interface ether

36、net 0ip access-group 101 out拒绝子网拒绝子网 172.16.4.0 内的主机运用路由器的内的主机运用路由器的 E0 端口建立端口建立Telnet会话会话允许其它数据允许其它数据扩展访问列表应用举例扩展访问列表应用举例 2E0S0E1Non-9-57运用名称访问列表运用名称访问列表Router(config)#ip access-list standard|extended name适用于适用于IOS版本号为版本号为11.2以后以后所运用的名称必需一样所运用的名称必需一样9-58运用名称访问列表运用名称访问列表Router(config)#ip access-list

37、 standard|extended name permit|deny ip access list test conditions permit|deny ip access list test conditions no permit|deny ip access list test conditions Router(config std-|ext-nacl)#适用于适用于IOS版本号为版本号为11.2以后以后所运用的名称必需一样所运用的名称必需一样允许和拒绝语句不须要访问列表编号允许和拒绝语句不须要访问列表编号“no”叮嘱删除访问列表叮嘱删除访问列表9-59Router(config)

38、#ip access-list standard|extended nameRouter(config std-|ext-nacl)#permit|deny ip access list test conditions permit|deny ip access list test conditions no permit|deny ip access list test conditions Router(config-if)#ip access-group name in|out 运用名称访问列表运用名称访问列表适用于适用于IOS版本号为版本号为11.2以后以后所运用的名称必需一样所运用的

39、名称必需一样允许和拒绝语句不须要访问列表编号允许和拒绝语句不须要访问列表编号“no”叮嘱删除访问列表叮嘱删除访问列表在端口上应用访问列表在端口上应用访问列表9-60将扩展访问列表置于离源设备较近的位置将扩展访问列表置于离源设备较近的位置将标准访问列表置于离目的设备较近的位置将标准访问列表置于离目的设备较近的位置E0E0E1S0To0S1S0S1E0E0B BA AC C访问列表的放置原则访问列表的放置原则举荐：举荐：D D源主机源主机目标主机目标主机9-61wg_ro_a#show ip int e0Ethernet0 is up,line protocol is up Address det

40、ermined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1 Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always

41、sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is disabled IP Feature Fast switching turbo vector IP multicast fast switching is enabled IP multicast distributed fast switching is disabled 查看访问列表查看访问列表9-62查看访问列表的语句查看访问列表的语句wg_ro_a#show acce

42、ss-lists Standard IP access list 1Extended IP access list 101 permit tcp host 10.22.22.1 any eq telnet permit tcp host 10.33.33.1 any eq ftp permit tcp host 10.44.44.1 any eq ftp-datawg_ro_a#show protocol access-list access-list number wg_ro_a#show access-lists access-list number 9-63 core_ serverwg

43、_sw_a10.2.2.11 wg_sw_l10.13.13.11 wg_pc_awg_pc_lwg_ro_a10.13.13.3 e0/1e0/2e0/2e0/1e0e0fa0/23core_sw_awg_ro_lcore_rofa0/24fa0/0LLs0 s0s1/0-s2/3.TFTPTelnetTFTPX XX XTelnetX XX XPod wg_ros s0wg_ros e0wg_sw可视化目标可视化目标9-64本章总结本章总结完成本章的学习后，你应当能够驾驭：完成本章的学习后，你应当能够驾驭：了解了解IP访问列表的工作过程访问列表的工作过程配置标准的配置标准的 IP 访问列表访问列表用访问列表限制用访问列表限制 Telnet 访问访问配置扩展的配置扩展的 IP 访问列表访问列表查看查看IP 访问列表访问列表9-65问题回顾问题回顾1.IP 访问列表有哪两种类型访问列表有哪两种类型?2.在访问列表的最终有哪一个语句是隐含的在访问列表的最终有哪一个语句是隐含的?3.在应用访问限制在应用访问限制vty通道时，运用什么叮嘱通道时，运用什么叮嘱?

展开阅读全文