思科CCNA10第十章用访问列表初步管理 IP流量CICND10S10A

1、第十章用访问列表初步管理 IP流量本章目的经过本章的学习，您应该掌握以下内容： 识别 IP 访问列表的主要作用和任务流程配置规范的 IP 访问列表利用访问列表控制虚拟会话的建立配置扩展的 IP 访问列表查看 IP 访问列表管理网络中逐渐增长的 IP 数据为什么要运用访问列表Internet管理网络中逐渐增长的 IP 数据当数据经过路由器时进展过滤为什么要运用访问列表访问列表的运用允许、回绝数据包经过路由器允许、回绝Telnet会话的建立没有设置访问列表时，一切的数据包都会在网络上传输虚拟会话 (IP)端口上的数据传输QueueList优先级判别访问列表的其它运用基于数据包检测的特殊数据通讯运用

2、QueueList优先级判别访问列表的其它运用按需拨号基于数据包检测的特殊数据通讯运用访问列表的其它运用路由表过滤RoutingTableQueueList优先级判别按需拨号基于数据包检测的特殊数据通讯运用 规范检查源地址通常允许、回绝的是完好的协议OutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit?Source什么是访问列表-规范 规范检查源地址通常允许、回绝的是完好的协议扩展检查源地址和目的地址通常允许、回绝的是某个特定的协议OutgoingPacketE0S0IncomingPacketAccess List Proce

3、ssesPermit?Sourceand DestinationProtocol什么是访问列表-扩展 规范检查源地址通常允许、回绝的是完好的协议扩展检查源地址和目的地址通常允许、回绝的是某个特定的协议进方向和出方向 OutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit?Sourceand DestinationProtocol什么是访问列表InboundInterfacePacketsNYPacket Discard BucketChooseInterfaceNAccessList?RoutingTable Entry?YOut

4、bound InterfacesPacketS0出端口方向上的访问列表 Outbound InterfacesPacketNYPacket Discard BucketChooseInterfaceRoutingTable Entry?NPacketTestAccess ListStatementsPermit?Y出端口方向上的访问列表AccessList?YS0E0InboundInterfacePacketsNotify Sender出端口方向上的访问列表If no access list statement matches then discard the packet NYPacket

5、 Discard BucketChooseInterfaceRoutingTable Entry?NYTestAccess ListStatementsPermit?YAccessList?Discard PacketNOutbound InterfacesPacketPacketS0E0InboundInterfacePackets访问列表的测试：允许和回绝Packets to interfacesin the access groupPacket Discard BucketYInterface(s)DestinationDenyDenyYMatchFirstTest?Permit访问列表

6、的测试：允许和回绝Packets to Interface(s)in the Access GroupPacket Discard BucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?YY访问列表的测试：允许和回绝Packets to Interface(s)in the Access GroupPacket Discard BucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMat

7、chNextTest(s)?DenyMatchLastTest?YYNYYPermit访问列表的测试：允许和回绝Packets to Interface(s)in the Access GroupPacket Discard BucketYInterface(s)DestinationDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTest?YYNYYPermitImplicit DenyIf no matchdeny allDenyN访问列表配置指南访问列表的编号指明了运用何种协议的访问列表每个端口、每个方

8、向、每条协议只能对应于一条访问列表访问列表的内容决议了数据的控制顺序 具有严厉限制条件的语句应放在访问列表一切语句的最上面在访问列表的最后有一条隐含声明：deny any每一条正确的访问列表都至少应该有一条允许语句先创建访问列表，然后运用到端口上访问列表不能过滤由路由器本人产生的数据访问列表设置命令Step 1: 设置访问列表测试语句的参数access-list access-list-number permit | deny test conditions Router(config)#Step 1:设置访问列表测试语句的参数Router(config)#Step 2: 在端口上运用访问列表

9、 protocol access-group access-list-number in | out Router(config-if)#访问列表设置命令IP 访问列表的标号为 1-99 和 100-199access-list access-list-number permit | deny test conditions 如何识别访问列表号编号范围访问列表类型IP 1-99Standard规范访问列表 (1 to 99) 检查 IP 数据包的源地址编号范围访问列表类型如何识别访问列表号IP 1-99100-199StandardExtended规范访问列表 (1 to 99) 检查 IP

10、数据包的源地址扩展访问列表 (100 to 199) 检查源地址和目的地址、详细的 TCP/IP 协议和目的端口编号范围IP 1-99100-199Name (Cisco IOS 11.2 and later)800-899900-9991000-1099Name (Cisco IOS 11.2. F and later)StandardExtendedSAP filtersNamedStandardExtendedNamed访问列表类型IPX如何识别访问列表号规范访问列表 (1 to 99) 检查 IP 数据包的源地址扩展访问列表 (100 to 199) 检查源地址和目的地址、详细的 TC

11、P/IP 协议和目的端口其它访问列表编号范围表示不同协议的访问列表SourceAddressSegment(for example, TCP header)DataPacket(IP header)Frame Header(for example, HDLC)DenyPermit Useaccess list statements1-99 用规范访问列表测试数据DestinationAddressSourceAddressProtocolPortNumberSegment(for example, TCP header)DataPacket(IP header)Frame Header(for

12、 example, HDLC) Useaccess list statements1-99 or 100-199 to test thepacket DenyPermitAn Example from a TCP/IP Packet用扩展访问列表测试数据0 表示检查与之对应的地址位的值1表示忽略与之对应的地址位的值do not check address (ignore bits in octet)=001111111286432168421=00000000=00001111=11111100=11111111Octet bit position and address value for

13、bitignore last 6 address bitscheck all address bits(match all)ignore last 4 address bitscheck last 2 address bitsExamples通配符：如何检查相应的地址位例如 9 检查一切的地址位 可以简写为 host (host 9)Test conditions: Check all the address bits (match all) 9(checks all bits)An IP host address, for example:Wildcard mask:通配符掩码指明特定的主机

14、一切主机: 55可以用 any 简写Test conditions: Ignore all the address bits (match any) 55(ignore all)Any IP addressWildcard mask:通配符掩码指明一切主机Check for IP subnets /24 to /24Network .host 00010000Wildcard mask: 0 0 0 0 1 1 1 1 | 0 0 0 1 0 0 0 0 = 16 0 0 0 1 0 0 0 1 =17 0 0 0 1 0 0 1 0 =18: : 0 0 0 1 1 1 1 1 =31Add

15、ress and wildcard mask: 55通配符掩码和IP子网的对应 1999, Cisco Systems, Inc. cisco10-31配置规范的 IP 访问列表规范IP访问列表的配置access-list access-list-number permit|deny source maskRouter(config)#为访问列表设置参数IP 规范访问列表编号 1 到 99缺省的通配符掩码 = “no access-list access-list-number 命令删除访问列表access-list access-list-number permit|deny source

16、maskRouter(config)#在端口上运用访问列表指明是进方向还是出方向缺省 = 出方向“no ip access-group access-list-number 命令在端口上删除访问列表Router(config-if)#ip access-group access-list-number in | out 为访问列表设置参数IP 规范访问列表编号 1 到 99缺省的通配符掩码 = “no access-list access-list-number 命令删除访问列表规范IP访问列表的配置3E0S0E1Non-规范访问列表举例 1access-list 1 permit 55(im

17、plicit deny all - not visible in the list)(access-list 1 deny 55)Permit my network onlyaccess-list 1 permit 55(implicit deny all - not visible in the list)(access-list 1 deny 55)interface ethernet 0ip access-group 1 outinterface ethernet 1ip access-group 1 out3E0S0E1Non-规范访问列表举例 1Deny a specific hos

18、t规范访问列表举例 23E0S0E1Non-access-list 1 deny 3 规范访问列表举例 23E0S0E1Non-Deny a specific hostaccess-list 1 deny 3 access-list 1 permit 55(implicit deny all)(access-list 1 deny 55)access-list 1 deny 3 access-list 1 permit 55(implicit deny all)(access-list 1 deny 55)interface ethernet 0ip access-group 1 out规范访

19、问列表举例 23E0S0E1Non-Deny a specific hostDeny a specific subnet规范访问列表举例 33E0S0E1Non-access-list 1 deny 55access-list 1 permit any(implicit deny all)(access-list 1 deny 55)access-list 1 deny 55access-list 1 permit any(implicit deny all)(access-list 1 deny 55)interface ethernet 0ip access-group 1 out规范访问

20、列表举例 33E0S0E1Non-Deny a specific subnet 1999, Cisco Systems, Inc. cisco10-41用访问列表控制vty访问在路由器上过滤vty五个虚拟通道 (0 到 4)路由器的vty端口可以过滤数据在路由器上执行vty访问的控制01234Virtual ports (vty 0 through 4)Physical port e0 (Telnet)Console port (direct connect)consolee0如何控制vty访问01234Virtual ports (vty 0 through 4)Physical port

21、(e0) (Telnet)运用规范访问列表语句用 access-class 命令运用访问列表在一切vty通道上设置一样的限制条件Router#e0虚拟通道的配置指明vty通道的范围在访问列表里指明方向access-class access-list-number in|outline vty#vty# | vty-rangeRouter(config)#Router(config-line)#虚拟通道访问举例只允许网络 内的主机衔接路由器的 vty 通道access-list 12 permit 55!line vty 0 4 access-class 12 inControlling Inb

22、ound Access 1999, Cisco Systems, Inc. cisco10-46扩展 IP 访问列表的配置规范访问列表和扩展访问列表比较规范扩展基于源地址基于源地址和目的地址允许和回绝完好的TCP/IP协议指定TCP/IP的特定协议和端口号编号范围 100 到 199.编号范围 1 到 99扩展 IP 访问列表的配置Router(config)#设置访问列表的参数access-list access-list-number permit | deny protocol source source-wildcard operator port destination destin

23、ation-wildcard operator port established logRouter(config-if)# ip access-group access-list-number in | out 扩展 IP 访问列表的配置在端口上运用访问列表设置访问列表的参数Router(config)# access-list access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator port establi

24、shed log回绝子网 的数据运用路由器e0口ftp到子网 允许其它数据3E0S0E1Non-扩展访问列表运用举例 1access-list 101 deny tcp 55 55 eq 21access-list 101 deny tcp 55 55 eq 20回绝子网 的数据运用路由器e0口ftp到子网 允许其它数据扩展访问列表运用举例 13E0S0E1Non-access-list 101 deny tcp 55 55 eq 21access-list 101 deny tcp 55 55 eq 20access-list 101 permit ip any any(implicit d

25、eny all)(access-list 101 deny ip 55 55)access-list 101 deny tcp 55 55 eq 21access-list 101 deny tcp 55 55 eq 20access-list 101 permit ip any any(implicit deny all)(access-list 101 deny ip 55 55)interface ethernet 0ip access-group 101 out回绝子网 的数据运用路由器e0口ftp到子网 允许其它数据扩展访问列表运用举例 13E0S0E1Non-回绝子网 内的主机运用

26、路由器的 E0 端口建立Telnet会话允许其它数据扩展访问列表运用举例 23E0S0E1Non-access-list 101 deny tcp 55 any eq 23回绝子网 内的主机运用路由器的 E0 端口建立Telnet会话允许其它数据扩展访问列表运用举例 23E0S0E1Non-access-list 101 deny tcp 55 any eq 23access-list 101 permit ip any any(implicit deny all)access-list 101 deny tcp 55 any eq 23access-list 101 permit ip an

27、y any(implicit deny all)interface ethernet 0ip access-group 101 out回绝子网 内的主机运用路由器的 E0 端口建立Telnet会话允许其它数据扩展访问列表运用举例 23E0S0E1Non-运用称号访问列表Router(config)#ip access-list standard | extended name适用于IOS版本号为11.2以后所运用的称号必需一致运用称号访问列表Router(config)#ip access-list standard | extended name permit | deny ip acces

28、s list test conditions permit | deny ip access list test conditions no permit | deny ip access list test conditions Router(config std- | ext-nacl)#适用于IOS版本号为11.2以后所运用的称号必需一致允许和回绝语句不需求访问列表编号 “no 命令删除访问列表Router(config)# ip access-list standard | extended nameRouter(config std- | ext-nacl)# permit | de

29、ny ip access list test conditions permit | deny ip access list test conditions no permit | deny ip access list test conditions Router(config-if)# ip access-group name in | out 运用称号访问列表适用于IOS版本号为11.2以后所运用的称号必需一致允许和回绝语句不需求访问列表编号 “no 命令删除访问列表在端口上运用访问列表访问列表配置准那么访问列表中限制语句的位置是至关重要的将限制条件严厉的语句放在访问列表的最上面运用 n

30、o access-list number 命令删除完好的访问列表例外: 称号访问列表可以删除单独的语句隐含声明 deny all在设置的访问列表中要有一句 permit any将扩展访问列表置于离源设备较近的位置将规范访问列表置于离目的设备较近的位置E0E0E1S0To0S1S0S1E0E0BAC访问列表的放置原那么引荐：Dwg_ro_a#show ip int e0Ethernet0 is up, line protocol is up Internet address is 1/24 Broadcast address is 55 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1 Proxy ARP is enabled Security level is default Split horizon is enabled