用访问列表初管理IP流量上机

1、 1999, cisco systems, inc. 10-1用访问列表初步管理用访问列表初步管理 ipip流量流量 1999, cisco systems, inc. icnd10-2本章目标本章目标通过本章的学习，您应该掌握以下内容通过本章的学习，您应该掌握以下内容： 识别识别 ip 访问列表的主要作用和工作流程访问列表的主要作用和工作流程 配置标准的配置标准的 ip 访问列表访问列表 利用访问列表控制虚拟会话的建立利用访问列表控制虚拟会话的建立 配置扩展的配置扩展的 ip 访问列表访问列表 查看查看 ip 访问列表访问列表 1999, cisco systems, inc. icnd10

2、-3fddi 管理网络中逐步增长的管理网络中逐步增长的 ip 数据数据tokenring为什么要使用访问列表为什么要使用访问列表 1999, cisco systems, inc. icnd10-4fdditokenringinternet 管理网络中逐步增长的管理网络中逐步增长的 ip 数据数据 当数据通过路由器时进行过滤当数据通过路由器时进行过滤为什么要使用访问列表为什么要使用访问列表 1999, cisco systems, inc. icnd10-5访问列表的应用访问列表的应用 允许、拒绝数据包通过路由器允许、拒绝数据包通过路由器 允许、拒绝允许

3、、拒绝telnet会话的建立会话的建立 没有设置访问列表时，所有的数据包都会在网络上传输没有设置访问列表时，所有的数据包都会在网络上传输虚拟会话虚拟会话 (ip)端口上的数据传输端口上的数据传输 1999, cisco systems, inc. icnd10-6queuelist优先级判断优先级判断访问列表的其它应用访问列表的其它应用基于数据包检测的特殊数据通讯应用基于数据包检测的特殊数据通讯应用 1999, cisco systems, inc. icnd10-7queuelist优先级判断优先级判断访问列表的其它应用访问列表的其它应用按需拨号按需拨号基于数据包检测的特殊数据通讯应用基于数

4、据包检测的特殊数据通讯应用 1999, cisco systems, inc. icnd10-8访问列表的其它应用访问列表的其它应用路由表过滤路由表过滤routingtablequeuelist优先级判断优先级判断按需拨号按需拨号基于数据包检测的特殊数据通讯应用基于数据包检测的特殊数据通讯应用决定转发或阻止那种类型的数据流决定转发或阻止那种类型的数据流 1999, cisco systems, inc. icnd10-9 标准标准 检查源地址检查源地址 通常允许、拒绝的是完整的协议通常允许、拒绝的是完整的协议outgoingpackete0s0incomingpacketaccess list

5、 processespermit?source什么是访问列表什么是访问列表 1999, cisco systems, inc. icnd10-10 标准标准 检查源地址检查源地址 通常允许、拒绝的是完整的协议通常允许、拒绝的是完整的协议 扩展扩展 检查源地址和目的地址检查源地址和目的地址 通常允许、拒绝的是某个特定的协议通常允许、拒绝的是某个特定的协议outgoingpackete0s0incomingpacketaccess list processespermit?sourceand destinationprotocol什么是访问列表什么是访问列表 1999, cisco systems

6、, inc. icnd10-11 标准标准 检查源地址检查源地址 通常允许、拒绝的是完整的协议通常允许、拒绝的是完整的协议 扩展扩展 检查源地址和目的地址检查源地址和目的地址 通常允许、拒绝的是某个特定的协议通常允许、拒绝的是某个特定的协议 进方向和出方向进方向和出方向 outgoingpackete0s0incomingpacketaccess list processespermit?sourceand destinationprotocol什么是访问列表什么是访问列表 1999, cisco systems, inc. icnd10-12inboundinterfacepacketsny

7、packet discard bucketchooseinterfacenaccesslist?routingtable entry?youtbound interfacespackets0出端口方向上的访问列表出端口方向上的访问列表 1999, cisco systems, inc. icnd10-13outbound interfacespacketnypacket discard bucketchooseinterfaceroutingtable entry?npackettestaccess liststatementspermit?y出端口方向上的访问列表出端口方向上的访问列表acc

8、esslist?ys0e0inboundinterfacepackets 1999, cisco systems, inc. icnd10-14notify sender出端口方向上的访问列表出端口方向上的访问列表if no access list statement matches then discard the packet nypacket discard bucketchooseinterfaceroutingtable entry?nytestaccess liststatementspermit?yaccesslist?discard packetnoutbound interf

9、acespacketpackets0e0inboundinterfacepackets是否有出栈al测试访问列表命令 1999, cisco systems, inc. icnd10-15访问列表的测试：允许和拒绝访问列表的测试：允许和拒绝packets to interfacesin the access grouppacket discard bucketyinterface(s)destinationdenydenyymatchfirsttest?permit 1999, cisco systems, inc. icnd10-16访问列表的测试：允许和拒绝访问列表的测试：允许和拒绝pac

10、kets to interface(s)in the access grouppacket discard bucketyinterface(s)destinationdenydenyymatchfirsttest?permitndenypermitmatchnexttest(s)?yy第一条命令不匹第一条命令不匹配就测试第二条配就测试第二条 1999, cisco systems, inc. icnd10-17访问列表的测试：允许和拒绝访问列表的测试：允许和拒绝packets to interface(s)in the access grouppacket discard bucketyin

11、terface(s)destinationdenydenyymatchfirsttest?permitndenypermitmatchnexttest(s)?denymatchlasttest?yynyypermit 1999, cisco systems, inc. icnd10-18访问列表的测试：允许和拒绝访问列表的测试：允许和拒绝packets to interface(s)in the access grouppacket discard bucketyinterface(s)destinationdenyymatchfirsttest?permitndenypermitmatchn

12、exttest(s)?denymatchlasttest?yynyypermitimplicit denyif no matchdeny alldenyn隐含命隐含命令令deny all 1999, cisco systems, inc. icnd10-19访问列表配置指南访问列表配置指南 访问列表的编号指明了使用何种协议的访问列表（访问列表的编号指明了使用何种协议的访问列表（1-99，100-199对应对应 ip协议协议 ） 每个端口、每个方向、每条协议只能对应于一条访问每个端口、每个方向、每条协议只能对应于一条访问列表列表 访问列表的内容决定了数据的控制顺序访问列表的内容决定了数据的控制顺

13、序 具有严格限制条件的语句应放在访问列表所有语句的具有严格限制条件的语句应放在访问列表所有语句的最上面最上面,有利于提高性能。有利于提高性能。 在访问列表的最后有一条隐含声明：在访问列表的最后有一条隐含声明：deny any每一每一条正确的访问列表都至少应该有一条允许语句条正确的访问列表都至少应该有一条允许语句 先创建访问列表，然后应用到端口上先创建访问列表，然后应用到端口上 访问列表不能过滤由路由器自己产生的数据访问列表不能过滤由路由器自己产生的数据 1999, cisco systems, inc. icnd10-20访问列表设置命令访问列表设置命令step 1: 设置访问列表测试语句的参

14、数设置访问列表测试语句的参数access-list access-list-number permit | deny test conditions router(config)# 1999, cisco systems, inc. icnd10-21step 1:设置访问列表测试语句的参数设置访问列表测试语句的参数router(config)#step 2: 在端口上应用访问列表在端口上应用访问列表 protocol access-group access-list-number in | out router(config-if)#访问列表设置命令访问列表设置命令ip 访问列表的标号为访问

15、列表的标号为 1-99 和和 100-199access-list access-list-number permit | deny test conditions 1999, cisco systems, inc. icnd10-22如何识别访问列表如何识别访问列表编号范围编号范围访问列表类型访问列表类型ip 1-99standard 标准标准访问列表访问列表 (1 to 99) 检查检查 ip 数据包的数据包的源地址源地址 1999, cisco systems, inc. icnd10-23编号范围编号范围访问列表类型访问列表类型如何识别访问列表如何识别访问列表ip 1-99100-19

16、9standardextended 标准访问列表标准访问列表 (1 to 99) 检查检查 ip 数据包的源地址数据包的源地址 扩展访问列表扩展访问列表 (100 to 199) 检查源地址和目的地址、具体的检查源地址和目的地址、具体的 tcp/ip 协议和目的协议和目的端口端口 1999, cisco systems, inc. icnd10-24编号范围编号范围ip 1-99100-199name (cisco ios 11.2 and later)800-899900-9991000-1099name (cisco ios 11.2. f and later)standardextend

17、edsap filtersnamedstandardextendednamed访问列表类型访问列表类型ipx如何识别访问列表如何识别访问列表 标准访问列表标准访问列表 (1 to 99) 检查检查 ip 数据包的源地址数据包的源地址 扩展访问列表扩展访问列表 (100 to 199) 检查源地址和目的地址、具体的检查源地址和目的地址、具体的 tcp/ip 协议和目的协议和目的端口端口 其它访问列表编号范围表示不同协议的访问列表其它访问列表编号范围表示不同协议的访问列表 1999, cisco systems, inc. icnd10-25source(只检查源地址）只检查源地址）address

18、segment(for example, tcp header)datapacket(ip header)frame header(for example, hdlc)denypermit useaccess list statements1-99 用标准访问列表测试数据用标准访问列表测试数据 1999, cisco systems, inc. icnd10-26destinationaddresssourceaddressprotocolportnumbersegment(for example, tcp header)datapacket(ip header)frame header(fo

19、r example, hdlc) useaccess list statements1-99 or 100-199 to test thepacket denypermitan example from a tcp/ip packet用扩展访问列表测试数据用扩展访问列表测试数据需要检查源地址，目的地址，需要检查源地址，目的地址，特定协议，端口号以及其他参特定协议，端口号以及其他参数数 1999, cisco systems, inc. icnd10-27 0 表示表示检查检查与之对应的地址位的值与之对应的地址位的值 1表示表示忽略忽略与之对应的地址位的值与之对应的地址位的值do not che

20、ck address (ignore bits in octet)=001111111286432168421=00000000=00001111=11111100=11111111octet bit position and address value for bitignore last 6 address bitscheck all address bits(match all)ignore last 4 address bitscheck last 2 address bitsexamples通配符：如何检查相应的地址位通配符：如何检查相应的地址位 1999, cisco system

21、s, inc. icnd10-28 例如例如 9 检查所有的地址位检查所有的地址位 可以简写为可以简写为 host (host 9)：检查所有：检查所有位，即是指定特定主机地址。位，即是指定特定主机地址。test conditions: check all the address bits (match all) (checks all bits)an ip host address, for example:wildcard mask:通配符掩码指明特定的主机通配符掩码指明特定的主机 1999,

22、 cisco systems, inc. icnd10-29 所有主机所有主机: 55 可以用可以用 any 简写简写 any等价等价 55test conditions: ignore all the address bits (match any) 55(ignore all)any ip addresswildcard mask:通配符掩码指明所有主机通配符掩码指明所有主机 1999, cisco systems, inc. icnd10-30check for ip

23、 subnets /24 to /24.host .00000wildcard mask 0 0 0 0 1 1 1 1 | 0 0 0 1 0 0 0 0 = 16 0 0 0 1 0 0 0 1 =17 0 0 0 1 0 0 1 0 =18: : 0 0 0 1 1 1 1 1 =31address and wildcard mask: 55通配符掩码和通配符掩码和ip子网的子网的对应对应ll:掩码对： 55符合条件的网络 1999, cisco systems,

24、inc. 10-31配置标准的配置标准的 ip 访问列表访问列表 1999, cisco systems, inc. icnd10-32标准标准ip访问列表的配置访问列表的配置access-list access-list-number permit|deny source maskrouter(config)# 为访问列表设置参数为访问列表设置参数 ip 标准标准访问列表编号访问列表编号 1 到到 99 缺省的通配符掩码缺省的通配符掩码 = （检查全部）（检查全部） “no access-list access-list-number” 命令命令删除访问列表删除访问列表 19

25、99, cisco systems, inc. icnd10-33access-list access-list-number permit|deny source maskrouter(config)# 在端口上应用访问列表在端口上应用访问列表 指明是进方向还是出方向指明是进方向还是出方向 缺省缺省 = 出方向出方向 “no ip access-group access-list-number” 命令在端口上删除访问命令在端口上删除访问列表列表router(config-if)#ip access-group access-list-number in | out 为访问列表设置参数为访问列

26、表设置参数 ip 标准访问列表编号标准访问列表编号 1 到到 99 缺省的缺省的通配符掩码通配符掩码 = “no access-list access-list-number” 命令删除访问列表命令删除访问列表标准标准ip访问列表的配置访问列表的配置 1999, cisco systems, inc. icnd10-343e0s0e1non-标准访问列表举例标准访问列表举例 1access-list 1 permit 55(implicit deny all

27、- not visible in the list)(access-list 1 deny 55) 1999, cisco systems, inc. icnd10-35permit my network onlyaccess-list 1 permit 55(implicit deny all - not visible in the list)(access-list 1 deny 55)interface ethernet 0ip access-group 1 ou

28、tinterface ethernet 1ip access-group 1 out3e0s0e1non-标准访问列表举例标准访问列表举例 1 1999, cisco systems, inc. icnd10-36deny a specific host标准访问列表举例标准访问列表举例 23e0s0e1non-access-list 1 deny 3 1999, cisco systems, inc.

29、 icnd10-37标准访问列表举例标准访问列表举例 23e0s0e1non-deny a specific hostaccess-list 1 deny 3 access-list 1 permit 55(implicit deny all)(access-list 1 deny 55) 1999, cisco systems, inc. icnd10-38access-list 1 deny

30、3 access-list 1 permit 55(implicit deny all)(access-list 1 deny 55)interface ethernet 0ip access-group 1 out标准访问列表举例标准访问列表举例 23e0s0e1non-deny a specific host 1999, cisco systems, inc. icnd10-39deny a

31、specific subnet标准访问列表举例标准访问列表举例 33e0s0e1non-access-list 1 deny 55access-list 1 permit any(implicit deny all)(access-list 1 deny 55) 1999, cisco systems, inc. icnd10-40access-list 1 deny 55access-list 1 p

32、ermit any(implicit deny all)(access-list 1 deny 55)interface ethernet 0ip access-group 1 out标准访问列表举例标准访问列表举例 33e0s0e1non-deny a specific subnet 1999, cisco systems, inc. 10-41扩展扩展 ip 访问列表的配置访问列表的配置 1999, cisco systems, inc. icnd10-42标准访问列表

33、和扩展访问列表标准访问列表和扩展访问列表比较比较标准标准扩展扩展基于源地址基于源地址基于源地址和目标地址基于源地址和目标地址允许和拒绝完整的允许和拒绝完整的tcp/ip协议协议指定指定tcp/ip的特定协议的特定协议和端口号和端口号编号范围编号范围 100 到到 199.编号范围编号范围 1 到到 99 1999, cisco systems, inc. icnd10-43扩展扩展 ip 访问列表的配置访问列表的配置router(config)# 设置访问列表的参数设置访问列表的参数access-list access-list-number permit | deny protocol so

34、urce source-wildcard operator port destination destination-wildcard operator port established log 1999, cisco systems, inc. icnd10-44router(config-if)# ip access-group access-list-number in | out 扩展扩展 ip 访问列表的配置访问列表的配置 在端口上应用访问列表在端口上应用访问列表 设置访问列表的参数设置访问列表的参数router(config)# access-list access-list-nu

35、mber permit | deny protocol source source-wildcard operator port destination destination-wildcard operator port established log 1999, cisco systems, inc. icnd10-45 拒绝子网拒绝子网 的数据使用路由器的数据使用路由器e0口口ftp到子网到子网 允许其它数据允许其它数据p170 常见端口号表常见端口号表3e0s0e1non-172.16.

36、0.0扩展访问列表应用举例扩展访问列表应用举例 1access-list 101 deny tcp 55 55 eq 21access-list 101 deny tcp 55 55 eq 20 1999, cisco systems, inc. icnd10-46 拒绝子网拒绝子网 的数据使用路由器的数据使用路由器e0口口ftp到子网到子网 允许其它数据允许其它数据扩展访问列表应用举例扩展访问列表应用举例 11

37、3e0s0e1non-access-list 101 deny tcp 55 55 eq 21access-list 101 deny tcp 55 55 eq 20access-list 101 permit ip any any(implicit deny all)(access-list 101 deny ip 55 0.0.0

38、.0 55) 1999, cisco systems, inc. icnd10-47access-list 101 deny tcp 55 55 eq 21access-list 101 deny tcp 55 55 eq 20access-list 101 permit ip any any(implicit deny all)(access-list 101 deny ip 55

39、 55)interface ethernet 0ip access-group 101 out 拒绝子网拒绝子网 的数据使用路由器的数据使用路由器e0口口ftp到子网到子网 允许其它数据允许其它数据扩展访问列表应用举例扩展访问列表应用举例 13e0s0e1non- 1999, cisco systems, inc. icnd10-48 拒绝子网拒绝子网 内的主机使用路由器的内的主机使用路由器的 e0 端口建立端口建

40、立telnet会话会话 允许其它数据允许其它数据扩展访问列表应用举例扩展访问列表应用举例 23e0s0e1non-access-list 101 deny tcp 55 any eq 23 1999, cisco systems, inc. icnd10-49 拒绝子网拒绝子网 内的主机使用路由器的内的主机使用路由器的 e0 端口建立端口建立telnet会话会话 允许其它数据允许其它数据扩展访问列表应用举例扩展访问列表应用举例 2172.

41、16.4.03e0s0e1non-access-list 101 deny tcp 55 any eq 23access-list 101 permit ip any any(implicit deny all) 1999, cisco systems, inc. icnd10-50access-list 101 deny tcp 55 any eq 23access-list 101 permit ip any any(implicit deny all)interface eth

42、ernet 0ip access-group 101 out 拒绝子网拒绝子网 内的主机使用路由器的内的主机使用路由器的 e0 端口建立端口建立telnet会话会话 允许其它数据允许其它数据扩展访问列表应用举例扩展访问列表应用举例 23e0s0e1non- 1999, cisco systems, inc. icnd10-51使用名称访问列表（命名访问列使用名称访问列表（命名访问列表）表）router(config)#ip access-list standard | extended nam

43、e 适用于适用于ios版本号为版本号为11.2以后以后 所使用的名称必须一致所使用的名称必须一致 1999, cisco systems, inc. icnd10-52使用名称访问列表使用名称访问列表router(config)#ip access-list standard | extended name permit | deny ip access list test conditions permit | deny ip access list test conditions no permit | deny ip access list test conditions router(

44、config std- | ext-nacl)# 适用于适用于ios版本号为版本号为11.2以后以后 所使用的名称必须一致所使用的名称必须一致 允许和拒绝语句不需要访问列表编号允许和拒绝语句不需要访问列表编号 “no” 命令删除访问列表命令删除访问列表 1999, cisco systems, inc. icnd10-53router(config)# ip access-list standard | extended namerouter(config std- | ext-nacl)# permit | deny ip access list test conditions permit

45、 | deny ip access list test conditions no permit | deny ip access list test conditions router(config-if)# ip access-group name in | out 使用名称访问列表使用名称访问列表 适用于适用于ios版本号为版本号为11.2以后以后 所使用的名称必须一致所使用的名称必须一致 允许和拒绝语句不需要访问列表编号允许和拒绝语句不需要访问列表编号 “no” 命令删除访问列表命令删除访问列表 在端口上应用访问列表在端口上应用访问列表 1999, cisco systems, inc

46、. icnd10-54router(config)# ip access-list standard exam1router(config std-nacl)# permit 55router(config-if)# ip access-group exam1 out 使用名称访问列表举例使用名称访问列表举例 适用于适用于ios版本号为版本号为11.2以后以后 所使用的名称必须一致所使用的名称必须一致 允许和拒绝语句不需要访问列表编号允许和拒绝语句不需要访问列表编号 “no” 命令删除访问列表命令删除访问列表 在端口上应用访问列表在端口上应用访问列表

47、1999, cisco systems, inc. icnd10-55访问列表配置准则访问列表配置准则 访问列表中限制语句的位置是至关重要的访问列表中限制语句的位置是至关重要的 将限制条件严格的语句放在访问列表的最上面将限制条件严格的语句放在访问列表的最上面 使用使用 no access-list number 命令删除完整的访命令删除完整的访问列表问列表例外例外: 名称访问列表名称访问列表可以删除单独的语句可以删除单独的语句 隐含声明隐含声明 deny all在设置的访问列表中要有一句在设置的访问列表中要有一句 permit any 1999, cisco systems, inc. icn

48、d10-56 将扩展访问列表置于离源设备较近的位置将扩展访问列表置于离源设备较近的位置（可减少网络流量）（可减少网络流量） 将标准访问列表置于离目的设备较近的位置将标准访问列表置于离目的设备较近的位置（因为标准访问列（因为标准访问列表只检查源地址）表只检查源地址）e0e0e1s0to0s1s0s1e0e0tokenring访问列表的放置原则访问列表的放置原则推荐：推荐： 1999, cisco systems, inc. icnd10-57wg_ro_a#show ip int e0ethernet0 is up, line protocol is up internet address is

49、 1/24 broadcast address is 55 address determined by setup command mtu is 1500 bytes helper address is not set directed broadcast forwarding is disabled outgoing access list is not set inbound access list is 1 proxy arp is enabled security level is default split horizon is enabled icmp redirects are always sent icmp unreachables are always sent icmp mask replies are never sent ip fast switching is enabled ip fast switching on the same interface i