思科认证modul课件

1、 1999, Cisco Systems, Inc. 10-1module7module7IPIP访问控制列表访问控制列表 1999, Cisco Systems, Inc. ICND10-2FDDITokenRingInternet 管理网络中逐步增长的管理网络中逐步增长的 IP 数据数据 当数据通过路由器时进行过滤当数据通过路由器时进行过滤为什么要使用访问列表为什么要使用访问列表 1999, Cisco Systems, Inc. ICND10-3访问列表的应用访问列表的应用 允许、拒绝数据包通过路由器允许、拒绝数据包通过路由器 允许、拒绝允许、拒绝

2、Telnet会话的建立会话的建立 没有设置访问列表时，所有的数据包都会在网络上传输没有设置访问列表时，所有的数据包都会在网络上传输虚拟会话虚拟会话 (IP)端口上的数据传输端口上的数据传输 1999, Cisco Systems, Inc. ICND10-4QueueList优先级判断优先级判断访问列表的其它应用访问列表的其它应用基于数据包检测的特殊数据通讯应用基于数据包检测的特殊数据通讯应用 1999, Cisco Systems, Inc. ICND10-5QueueList优先级判断优先级判断访问列表的其它应用访问列表的其它应用按需拨号按需拨号基于数据包检测的特殊数据通讯应用基于数据包检

3、测的特殊数据通讯应用 1999, Cisco Systems, Inc. ICND10-6访问列表的其它应用访问列表的其它应用路由表过滤路由表过滤RoutingTableQueueList优先级判断优先级判断按需拨号按需拨号基于数据包检测的特殊数据通讯应用基于数据包检测的特殊数据通讯应用 1999, Cisco Systems, Inc. ICND10-7 标准标准 检查源地址检查源地址 通常允许、拒绝的是完整的协议通常允许、拒绝的是完整的协议OutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit?Source什么是访问列表什么是

4、访问列表-标准标准 1999, Cisco Systems, Inc. ICND10-8 标准标准 检查源地址检查源地址 通常允许、拒绝的是完整的协议通常允许、拒绝的是完整的协议 扩展扩展 检查源地址和目的地址检查源地址和目的地址 通常允许、拒绝的是某个特定的协议通常允许、拒绝的是某个特定的协议OutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit?Sourceand DestinationProtocol什么是访问列表什么是访问列表-扩展扩展 1999, Cisco Systems, Inc. ICND10-9 标准标准 检查源

5、地址检查源地址 通常允许、拒绝的是完整的协议通常允许、拒绝的是完整的协议 扩展扩展 检查源地址和目的地址检查源地址和目的地址 通常允许、拒绝的是某个特定的协议通常允许、拒绝的是某个特定的协议 进方向和出方向进方向和出方向 OutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit?Sourceand DestinationProtocol什么是访问列表什么是访问列表 1999, Cisco Systems, Inc. ICND10-10InboundInterfacePacketsNYPacket Discard BucketChoo

6、seInterfaceNAccessList?RoutingTable Entry?YOutbound InterfacesPacketS0出端口方向上的访问列表出端口方向上的访问列表 1999, Cisco Systems, Inc. ICND10-11Outbound InterfacesPacketNYPacket Discard BucketChooseInterfaceRoutingTable Entry?NPacketTestAccess ListStatementsPermit?Y出端口方向上的访问列表出端口方向上的访问列表AccessList?YS0E0InboundInter

7、facePackets 1999, Cisco Systems, Inc. ICND10-12Notify Sender出端口方向上的访问列表出端口方向上的访问列表If no access list statement matches then discard the packet NYPacket Discard BucketChooseInterfaceRoutingTable Entry?NYTestAccess ListStatementsPermit?YAccessList?Discard PacketNOutbound InterfacesPacketPacketS0E0Inbou

8、ndInterfacePackets 1999, Cisco Systems, Inc. ICND10-13访问列表的测试：允许和拒绝访问列表的测试：允许和拒绝Packets to interfacesin the access groupPacket Discard BucketYInterface(s)DestinationDenyDenyYMatchFirstTest?Permit 1999, Cisco Systems, Inc. ICND10-14访问列表的测试：允许和拒绝访问列表的测试：允许和拒绝Packets to Interface(s)in the Access GroupP

9、acket Discard BucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?YY 1999, Cisco Systems, Inc. ICND10-15访问列表的测试：允许和拒绝访问列表的测试：允许和拒绝Packets to Interface(s)in the Access GroupPacket Discard BucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchN

10、extTest(s)?DenyMatchLastTest?YYNYYPermit 1999, Cisco Systems, Inc. ICND10-16访问列表的测试：允许和拒绝访问列表的测试：允许和拒绝Packets to Interface(s)in the Access GroupPacket Discard BucketYInterface(s)DestinationDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTest?YYNYYPermitImplicit DenyIf no matchdeny

11、 allDenyN 1999, Cisco Systems, Inc. ICND10-17访问列表配置指南访问列表配置指南 访问列表的编号指明了使用何种协议的访问列表访问列表的编号指明了使用何种协议的访问列表 每个端口、每个方向、每条协议只能对应于一条访问每个端口、每个方向、每条协议只能对应于一条访问列表列表 访问列表的内容决定了数据的控制顺序访问列表的内容决定了数据的控制顺序 具有严格限制条件的语句应放在访问列表所有语句的具有严格限制条件的语句应放在访问列表所有语句的最上面最上面 在访问列表的最后有一条隐含声明：在访问列表的最后有一条隐含声明：deny any每一每一条正确的访问列表都至少应

12、该有一条允许语句条正确的访问列表都至少应该有一条允许语句 先创建访问列表，然后应用到端口上先创建访问列表，然后应用到端口上 访问列表不能过滤由路由器自己产生的数据访问列表不能过滤由路由器自己产生的数据 1999, Cisco Systems, Inc. ICND10-18访问列表设置命令访问列表设置命令Step 1: 设置访问列表测试语句的参数设置访问列表测试语句的参数access-list access-list-number permit | deny test conditions Router(config)# 1999, Cisco Systems, Inc. ICND10-19St

13、ep 1:设置访问列表测试语句的参数设置访问列表测试语句的参数Router(config)#Step 2: 在端口上应用访问列表在端口上应用访问列表 protocol access-group access-list-number in | out Router(config-if)#访问列表设置命令访问列表设置命令IP 访问列表的标号为访问列表的标号为 1-99 和和 100-199access-list access-list-number permit | deny test conditions 1999, Cisco Systems, Inc. ICND10-20如何识别访问列表号如

14、何识别访问列表号编号范围编号范围访问列表类型访问列表类型IP 1-99Standard 标准访问列表标准访问列表 (1 to 99) 检查检查 IP 数据包的源地址数据包的源地址 1999, Cisco Systems, Inc. ICND10-21编号范围编号范围访问列表类型访问列表类型如何识别访问列表号如何识别访问列表号IP 1-99100-199StandardExtended 标准访问列表标准访问列表 (1 to 99) 检查检查 IP 数据包的源地址数据包的源地址 扩展访问列表扩展访问列表 (100 to 199) 检查源地址和目的地址、具体的检查源地址和目的地址、具体的 TCP/I

15、P 协议和目的协议和目的端口端口 1999, Cisco Systems, Inc. ICND10-22编号范围编号范围1-99 1300-1999Name (Cisco IOS 11.2 and later)100-199 2000-2699Name (Cisco IOS 11.2 and later)StandardNamed访问列表类型访问列表类型如何识别访问列表号如何识别访问列表号 标准访问列表标准访问列表 检查检查 IP 数据包的源地址数据包的源地址 扩展访问列表扩展访问列表 检查源地址和目的地址、具体的检查源地址和目的地址、具体的 TCP/IP 协议和目的端口协议和目的端口 其它访

16、问列表编号范围表示不同协议的访问列表其它访问列表编号范围表示不同协议的访问列表ExtendNamed 1999, Cisco Systems, Inc. ICND10-23 例如例如 9 检查所有的地址位检查所有的地址位 可以简写为可以简写为 host (host 9)Test conditions: Check all the address bits (match all) (checks all bits)An IP host address, for example:Wildcard ma

17、sk:通配符掩码指明特定的主机通配符掩码指明特定的主机 1999, Cisco Systems, Inc. ICND10-24 所有主机所有主机: 55 可以用可以用 any 简写简写Test conditions: Ignore all the address bits (match any) 55(ignore all)Any IP addressWildcard mask:通配符掩码指明所有主机通配符掩码指明所有主机 1999, Cisco Systems, Inc. ICND10-25Check for

18、IP subnets /24 to /24.host .00000Wildcard mask: 0 0 0 0 1 1 1 1 | 0 0 0 1 0 0 0 0 = 16 0 0 0 1 0 0 0 1 =17 0 0 0 1 0 0 1 0 = 18: : 0 0 0 1 1 1 1 1 = 31Address and wildcard mask: 55通配符掩码和通配符掩码和IP子网的子网的对应对应 1999, Cisco Systems, Inc. 10-26配置标准的配置标准的 IP 访问列表访问列表

19、 1999, Cisco Systems, Inc. ICND10-27标准标准IP访问列表的配置访问列表的配置access-list access-list-number permit|deny source maskRouter(config)# 为访问列表设置参数为访问列表设置参数 IP 标准访问列表编号标准访问列表编号 1 到到 99 缺省的通配符掩码缺省的通配符掩码 = “no access-list access-list-number” 命令删除访问列表命令删除访问列表 1999, Cisco Systems, Inc. ICND10-28access-list

20、access-list-number permit|deny source maskRouter(config)# 在端口上应用访问列表在端口上应用访问列表 指明是进方向还是出方向指明是进方向还是出方向 缺省缺省 = 出方向出方向 “no ip access-group access-list-number” 命令在端口上删除访问列表命令在端口上删除访问列表Router(config-if)#ip access-group access-list-number in | out 为访问列表设置参数为访问列表设置参数 IP 标准访问列表编号标准访问列表编号 1 到到 99 缺省的通配符掩码缺省的

21、通配符掩码 = “no access-list access-list-number” 命令删除访问列表命令删除访问列表标准标准IP访问列表的配置访问列表的配置 1999, Cisco Systems, Inc. ICND10-293E0S0E1Non-标准访问列表举例标准访问列表举例 1access-list 1 permit 55(implicit deny all - not visible in the list)(access-list 1 deny

22、 55) 1999, Cisco Systems, Inc. ICND10-30Permit my network onlyaccess-list 1 permit 55(implicit deny all - not visible in the list)(access-list 1 deny 55)interface ethernet 0ip access-group 1 outinterface ethernet 1ip access-group 1 out172

23、.16.3.03E0S0E1Non-标准访问列表举例标准访问列表举例 1 1999, Cisco Systems, Inc. ICND10-31Deny a specific host标准访问列表举例标准访问列表举例 23E0S0E1Non-access-list 1 deny 3 1999, Cisco Systems, Inc. ICND10-32标准访问列表举例标准访问列表举例 2172.16.

24、4.03E0S0E1Non-Deny a specific hostaccess-list 1 deny 3 access-list 1 permit 55(implicit deny all)(access-list 1 deny 55) 1999, Cisco Systems, Inc. ICND10-33access-list 1 deny 3 access-list 1 permit 0.0.

25、0.0 55(implicit deny all)(access-list 1 deny 55)interface ethernet 0ip access-group 1 out标准访问列表举例标准访问列表举例 23E0S0E1Non-Deny a specific host 1999, Cisco Systems, Inc. ICND10-34Deny a specific subnet标准访问列表举例标准访问列表举例 317

26、3E0S0E1Non-access-list 1 deny 55access-list 1 permit any(implicit deny all)(access-list 1 deny 55) 1999, Cisco Systems, Inc. ICND10-35access-list 1 deny 55access-list 1 permit any(implicit deny all)(access-list 1 de

27、ny 55)interface ethernet 0ip access-group 1 out标准访问列表举例标准访问列表举例 33E0S0E1Non-Deny a specific subnet 1999, Cisco Systems, Inc. 10-36用访问列表控制用访问列表控制vty访问访问 1999, Cisco Systems, Inc. ICND10-37在路由器上过滤在路由器上过滤vty 五个虚拟通道五个虚拟通道 (0 到到 4) 路由器的路由器的vty端

28、口可以过滤数据端口可以过滤数据 在路由器上执行在路由器上执行vty访问的控制访问的控制01 234Virtual ports (vty 0 through 4)Physical port e0 (Telnet)Console port (direct connect)consolee0 1999, Cisco Systems, Inc. ICND10-38如何控制如何控制vty访问访问01 234Virtual ports (vty 0 through 4)Physical port (e0) (Telnet) 使用标准访问列表语句使用标准访问列表语句 用用 access-class 命令应用

29、访问列表命令应用访问列表 在所有在所有vty通道上设置相同的限制条件通道上设置相同的限制条件Router#e0 1999, Cisco Systems, Inc. ICND10-39虚拟通道的配置虚拟通道的配置 指明指明vty通道的范围通道的范围 在访问列表里指明方向在访问列表里指明方向access-class access-list-number in|outline vty#vty# | vty-rangeRouter(config)#Router(config-line)# 1999, Cisco Systems, Inc. ICND10-40虚拟通道访问举例虚拟通道访问举例只允许网络只

30、允许网络 内的主机连接路由器的内的主机连接路由器的 vty 通道通道access-list 12 permit 55!line vty 0 4 access-class 12 inControlling Inbound Access 1999, Cisco Systems, Inc. 10-41扩展扩展 IP 访问列表的配置访问列表的配置 1999, Cisco Systems, Inc. ICND10-42标准访问列表和扩展访问列表标准访问列表和扩展访问列表比较比较标准标准扩展扩展基于源地址基于源地址基于源地址和目标地址基于源地址和

31、目标地址允许和拒绝完整的允许和拒绝完整的TCP/IP协议协议指定指定TCP/IP的特定协议的特定协议和端口号和端口号编号范围编号范围 100-199和和2000-2699编号范围编号范围 1-99和和1300-1999 1999, Cisco Systems, Inc. ICND10-43扩展扩展 IP 访问列表的配置访问列表的配置Router(config)# 设置访问列表的参数设置访问列表的参数access-list access-list-number permit | deny protocol source source-wildcard operator port destinat

32、ion destination-wildcard operator port established log 1999, Cisco Systems, Inc. ICND10-44Router(config-if)# ip access-group access-list-number in | out 扩展扩展 IP 访问列表的配置访问列表的配置 在端口上应用访问列表在端口上应用访问列表Router(config)# 设置访问列表的参数设置访问列表的参数access-list access-list-number permit | deny protocol source source-wi

33、ldcard operator port destination destination-wildcard operator port established log 1999, Cisco Systems, Inc. ICND10-45 拒绝子网拒绝子网 的数据使用路由器的数据使用路由器e0口口ftp到子网到子网 允许其它数据允许其它数据3E0S0E1Non-扩展访问列表应用举例扩展访问列表应用举例 1access-list 101 deny tcp

34、55 55 eq 21access-list 101 deny tcp 55 55 eq 20 1999, Cisco Systems, Inc. ICND10-46 拒绝子网拒绝子网 的数据使用路由器的数据使用路由器e0口口ftp到子网到子网 允许其它数据允许其它数据扩展访问列表应用举例扩展访问列表应用举例 13E0S0E1Non-access-list

35、 101 deny tcp 55 55 eq 21access-list 101 deny tcp 55 55 eq 20access-list 101 permit ip any any(implicit deny all)(access-list 101 deny ip 55 55) 1999, Cisco Systems, Inc. ICND10-47access

36、-list 101 deny tcp 55 55 eq 21access-list 101 deny tcp 55 55 eq 20access-list 101 permit ip any any(implicit deny all)(access-list 101 deny ip 55 55)interface ethernet 0ip access-group 1

37、01 out 拒绝子网拒绝子网 的数据使用路由器的数据使用路由器e0口口ftp到子网到子网 允许其它数据允许其它数据扩展访问列表应用举例扩展访问列表应用举例 13E0S0E1Non- 1999, Cisco Systems, Inc. ICND10-48 拒绝子网拒绝子网 内的主机使用路由器的内的主机使用路由器的 E0 端口建立端口建立Telnet会话会话 允许其它数据允许其它数据扩展访问列表应用举例扩展访问列表应用举例 2172.1

38、6.4.03E0S0E1Non-access-list 101 deny tcp 55 any eq 23 1999, Cisco Systems, Inc. ICND10-49 拒绝子网拒绝子网 内的主机使用路由器的内的主机使用路由器的 E0 端口建立端口建立Telnet会话会话 允许其它数据允许其它数据扩展访问列表应用举例扩展访问列表应用举例 23E0S0E1Non-access-list 101 deny tcp 55 any eq 23access-list 101 permit ip any any(implicit deny all) 1999, Cisco Systems, Inc. ICND10-50access-list 101 deny tcp 55 any eq 23access-list 101 permit ip any any(implicit deny all)interface ethernet 0ip access-group 101