IP网络访问控制列表介绍

1、IP网络访问控制列表介绍技术创新，变革未来CCNA网络技术Internet管理网络中逐步增长的 IP 数据当数据通过路由器时进行过滤为什么要使用访问列表访问列表的应用允许、拒绝数据包通过路由器允许、拒绝Telnet会话的建立没有设置访问列表时，所有的数据包都会在网络上传输虚拟会话 (IP)端口上的数据传输QueueList优先级判断访问列表的其它应用基于数据包检测的特殊数据通讯应用QueueList优先级判断访问列表的其它应用按需拨号基于数据包检测的特殊数据通讯应用访问列表的其它应用路由表过滤RoutingTableQueueList优先级判断按需拨号基于数据包检测的特殊数据通讯应用 标准检查

2、源地址通常允许、拒绝的是完整的协议OutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit?Source什么是访问列表-标准 标准检查源地址通常允许、拒绝的是完整的协议扩展检查源地址和目的地址通常允许、拒绝的是某个特定的协议OutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit?Sourceand DestinationProtocol什么是访问列表-扩展 标准检查源地址通常允许、拒绝的是完整的协议扩展检查源地址和目的地址通常允许、拒绝的是某个特定的协议进方向和出方向

3、OutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit?Sourceand DestinationProtocol什么是访问列表InboundInterfacePacketsNYPacket Discard BucketChooseInterfaceNAccessList?RoutingTable Entry?YOutbound InterfacesPacketS0出端口方向上的访问列表 Outbound InterfacesPacketNYPacket Discard BucketChooseInterfaceRoutingTa

4、ble Entry?NPacketTestAccess ListStatementsPermit?Y出端口方向上的访问列表AccessList?YS0E0InboundInterfacePacketsNotify Sender出端口方向上的访问列表If no access list statement matches then discard the packet NYPacket Discard BucketChooseInterfaceRoutingTable Entry?NYTestAccess ListStatementsPermit?YAccessList?Discard Packe

5、tNOutbound InterfacesPacketPacketS0E0InboundInterfacePackets访问列表的测试：允许和拒绝Packets to interfacesin the access groupPacket Discard BucketYInterface(s)DestinationDenyDenyYMatchFirstTest?Permit访问列表的测试：允许和拒绝Packets to Interface(s)in the Access GroupPacket Discard BucketYInterface(s)DestinationDenyDenyYMat

6、chFirstTest?PermitNDenyPermitMatchNextTest(s)?YY访问列表的测试：允许和拒绝Packets to Interface(s)in the Access GroupPacket Discard BucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTest?YYNYYPermit访问列表的测试：允许和拒绝Packets to Interface(s)in the Access GroupPacket Dis

7、card BucketYInterface(s)DestinationDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTest?YYNYYPermitImplicit DenyIf no matchdeny allDenyN访问列表配置指南访问列表的编号指明了使用何种协议的访问列表每个端口、每个方向、每条协议只能对应于一条访问列表访问列表的内容决定了数据的控制顺序 具有严格限制条件的语句应放在访问列表所有语句的最上面在访问列表的最后有一条隐含声明：deny any每一条正确的访问列表都至少应该有一条允许语句先

8、创建访问列表，然后应用到端口上访问列表不能过滤由路由器自己产生的数据访问列表设置命令Step 1: 设置访问列表测试语句的参数access-list access-list-number permit | deny test conditions Router(config)#Step 1:设置访问列表测试语句的参数Router(config)#Step 2: 在端口上应用访问列表 protocol access-group access-list-number in | out Router(config-if)#访问列表设置命令IP 访问列表的标号为 1-99 和 100-199acces

9、s-list access-list-number permit | deny test conditions 如何识别访问列表号编号范围访问列表类型IP 1-99Standard标准访问列表 (1 to 99) 检查 IP 数据包的源地址编号范围访问列表类型如何识别访问列表号IP 1-99100-199StandardExtended标准访问列表 (1 to 99) 检查 IP 数据包的源地址扩展访问列表 (100 to 199) 检查源地址和目的地址、具体的 TCP/IP 协议和目的端口编号范围1-99 1300-1999Name (Cisco IOS 11.2 and later)100

10、-199 2000-2699Name (Cisco IOS 11.2 and later)StandardNamed访问列表类型如何识别访问列表号标准访问列表 检查 IP 数据包的源地址扩展访问列表 检查源地址和目的地址、具体的 TCP/IP 协议和目的端口其它访问列表编号范围表示不同协议的访问列表ExtendNamed例如 9 检查所有的地址位 可以简写为 host (host 9)Test conditions: Check all the address bits (match all) 9(checks all bits)An IP host address, for example:

11、Wildcard mask:通配符掩码指明特定的主机所有主机: 55可以用 any 简写Test conditions: Ignore all the address bits (match any) 55(ignore all)Any IP addressWildcard mask:通配符掩码指明所有主机Check for IP subnets /24 to /24Network .host 00010000Wildcard mask: 0 0 0 0 1 1 1 1 | 0 0 0 1 0 0 0 0 = 16 0 0 0

12、1 0 0 0 1 =17 0 0 0 1 0 0 1 0 =18: : 0 0 0 1 1 1 1 1 =31Address and wildcard mask: 55通配符掩码和IP子网的对应配置标准的 IP 访问列表标准IP访问列表的配置access-list access-list-number permit|deny source maskRouter(config)#为访问列表设置参数IP 标准访问列表编号 1 到 99缺省的通配符掩码 = “no access-list access-list-number” 命令删除访问列表access-list access-list-num

13、ber permit|deny source maskRouter(config)#在端口上应用访问列表指明是进方向还是出方向缺省 = 出方向“no ip access-group access-list-number” 命令在端口上删除访问列表Router(config-if)#ip access-group access-list-number in | out 为访问列表设置参数IP 标准访问列表编号 1 到 99缺省的通配符掩码 = “no access-list access-list-number” 命令删除访问列表标准IP访问列表的配置3E0S0E1Non-标准访问列表举例 1a

14、ccess-list 1 permit 55(implicit deny all - not visible in the list)(access-list 1 deny 55)Permit my network onlyaccess-list 1 permit 55(implicit deny all - not visible in the list)(access-list 1 deny 55)interface ethernet 0ip access-group 1 outinterface ethernet 1ip access-group 1 out3E0S0E1Non-标准访问

15、列表举例 1Deny a specific host标准访问列表举例 23E0S0E1Non-access-list 1 deny 3 标准访问列表举例 23E0S0E1Non-Deny a specific hostaccess-list 1 deny 3 access-list 1 permit 55(implicit deny all)(access-list 1 deny 55)access-list 1 deny 3 access-list 1 permit 55(implicit deny all)(access-list 1 deny 55)interface ethernet

16、0ip access-group 1 out标准访问列表举例 23E0S0E1Non-Deny a specific hostDeny a specific subnet标准访问列表举例 33E0S0E1Non-access-list 1 deny 55access-list 1 permit any(implicit deny all)(access-list 1 deny 55)access-list 1 deny 55access-list 1 permit any(implicit deny all)(access-list 1 deny 55)interface ethernet 0

17、ip access-group 1 out标准访问列表举例 33E0S0E1Non-Deny a specific subnet用访问列表控制vty访问在路由器上过滤vty五个虚拟通道 (0 到 4)路由器的vty端口可以过滤数据在路由器上执行vty访问的控制01234Virtual ports (vty 0 through 4)Physical port e0 (Telnet)Console port (direct connect)consolee0如何控制vty访问01234Virtual ports (vty 0 through 4)Physical port (e0) (Telnet

18、)使用标准访问列表语句用 access-class 命令应用访问列表在所有vty通道上设置相同的限制条件Router#e0虚拟通道的配置指明vty通道的范围在访问列表里指明方向access-class access-list-number in|outline vty#vty# | vty-rangeRouter(config)#Router(config-line)#虚拟通道访问举例只允许网络 内的主机连接路由器的 vty 通道access-list 12 permit 55!line vty 0 4 access-class 12 inControlling Inbound Access扩

19、展 IP 访问列表的配置标准访问列表和扩展访问列表比较标准扩展基于源地址基于源地址和目标地址允许和拒绝完整的TCP/IP协议指定TCP/IP的特定协议和端口号编号范围 100-199和2000-2699编号范围 1-99和1300-1999扩展 IP 访问列表的配置Router(config)#设置访问列表的参数access-list access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator port estab

20、lished logRouter(config-if)# ip access-group access-list-number in | out 扩展 IP 访问列表的配置在端口上应用访问列表Router(config)#设置访问列表的参数access-list access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator port established log拒绝子网 的数据使用路由器e0口ftp到子网 允许其它

21、数据3E0S0E1Non-扩展访问列表应用举例 1access-list 101 deny tcp 55 55 eq 21access-list 101 deny tcp 55 55 eq 20拒绝子网 的数据使用路由器e0口ftp到子网 允许其它数据扩展访问列表应用举例 13E0S0E1Non-access-list 101 deny tcp 55 55 eq 21access-list 101 deny tcp 55 55 eq 20access-list 101 permit ip any any(implicit deny all)(access-list 101 deny ip 55

22、 55)access-list 101 deny tcp 55 55 eq 21access-list 101 deny tcp 55 55 eq 20access-list 101 permit ip any any(implicit deny all)(access-list 101 deny ip 55 55)interface ethernet 0ip access-group 101 out拒绝子网 的数据使用路由器e0口ftp到子网 允许其它数据扩展访问列表应用举例 13E0S0E1Non-拒绝子网 内的主机使用路由器的 E0 端口建立Telnet会话允许其它数据扩展访问列表应用举

23、例 23E0S0E1Non-access-list 101 deny tcp 55 any eq 23拒绝子网 内的主机使用路由器的 E0 端口建立Telnet会话允许其它数据扩展访问列表应用举例 23E0S0E1Non-access-list 101 deny tcp 55 any eq 23access-list 101 permit ip any any(implicit deny all)access-list 101 deny tcp 55 any eq 23access-list 101 permit ip any any(implicit deny all)interface ethernet 0ip access-group 101 out拒绝子网 内的主机使用路由器的 E0 端口建立Telnet会话允许其它数据扩展访问列表应用举例 23E0S0E1Non-wg_ro_a#show ip int e0Ethernet0 is up, line protocol is up Internet address is 1/24 Broadcast address is 55 Address determined by setup command MTU is 1500 bytes Helper address is not set Directe