九章使用访问列表管理流量1剖析教案

1、九章使用访问列表管理流量1剖析教案 第九章 使用访问控制列表管理IP流量本章主要内容：访问控制列表的概述出口方向上访问控制列表的执行 如何识别访问控制列表通配符掩码配置访问控制列表管理访问控制列表 第九章 使用访问控制列表管理IP流量 了解 IP 访问列表的主要作用 掌握 IP 访问列表工作流程 能够配置标准的 IP 访问列表 能够利用访问列表控制虚拟会话的建立 能够配置扩展的 IP 访问列表 管理 IP 访问列表重点：配置IP 访问列表难点：IP 访问列表工作流程要求：管理网络中逐步增长的 IP 数据访问控制列表概述一、为什么要使用访问列表Internet管理网络中逐步增长的 IP 数据当数

2、据通过路由器时进行过滤访问控制列表概述访问控制列表概述允许、拒绝数据包通过路由器允许、拒绝Telnet会话的建立没有设置访问列表时，所有的数据包都会在网络上传输虚拟会话 (IP)端口上的数据传输二、访问列表的应用QueueList优先级判断访问控制列表概述基于数据包检测的特殊数据通讯应用二、访问列表的其他应用QueueList优先级判断访问控制列表概述按需拨号基于数据包检测的特殊数据通讯应用二、访问列表的其他应用访问控制列表概述路由表过滤RoutingTableQueueList优先级判断按需拨号基于数据包检测的特殊数据通讯应用二、访问列表的其他应用访问控制列表概述三、什么是访问列表1.访问控

3、制列表：是一个控制网络的有力工具，由一系列对包进行分类的条件组成。它提供了数据的过滤，可以在不妨碍合法通信连接的同时阻止非法的或不必要的数据流，保护网络资源。2.访问控制列表的分类：标准访问控制列表扩展访问控制列表命名的访问控制列表 标准检查源地址通常允许、拒绝的是完整的协议数据包出口E0S0数据包入口Access List ProcessesPermit?Source访问控制列表概述 标准检查源地址通常允许、拒绝的是完整的协议扩展检查源地址和目的地址通常允许、拒绝的是某个特定的协议数据包出口E0S0数据包入口Access List ProcessesPermit?Sourceand Dest

4、inationProtocol访问控制列表概述 标准检查源地址通常允许、拒绝的是完整的协议扩展检查源地址和目的地址通常允许、拒绝的是某个特定的协议进方向和出方向 数据包出口E0S0数据包入口Access List ProcessesPermit?Sourceand DestinationProtocol访问控制列表概述数据包入口NY丢弃选择接口NACL?有路由吗？?Y数据包出口S0出端口方向上的访问列表的执行 数据包出口PacketNY选择接口有路由吗？NPacket检查条件Permit?Y出端口方向上的访问列表的执行 ACL？YS0E0数据包入口丢弃Notify Sender出端口方向上的访

5、问列表的执行 If no access list statement matches then discard the packet NYNYPermit?YACL?NPacketPacketS0E0数据包入口有路由吗？选择接口检查条件数据包出口丢弃丢弃访问列表的测试：允许和拒绝数据包到达接口丢弃Y通过接口DenyDenyY第一个条件匹配?Permit访问列表的测试：允许和拒绝YDenyDenyYPermitNDenyPermitYY数据包到达接口第一个条件匹配?第二个条件匹配?通过接口丢弃访问列表的测试：允许和拒绝YDenyDenyYPermitNDenyPermitDenyYYNYYPer

6、mit数据包到达接口第一个条件匹配?第二个条件匹配?最后一个条件匹配?丢弃通过接口访问列表的测试：允许和拒绝YDenyYPermitNDenyPermitDenyYYNYYPermitImplicit DenyIf no matchdeny allDenyN数据包到达接口第一个条件匹配?第二个条件匹配?最后一个条件匹配?通过接口丢弃如何识别访问列表编号范围访问列表类型IP 1-99Standard标准访问列表 (1 to 99) 检查 IP 数据包的源地址编号范围访问列表类型如何识别访问列表IP 1-99100-199StandardExtended标准访问列表 (1 to 99) 检查 IP

7、 数据包的源地址扩展访问列表 (100 to 199) 检查源地址和目的地址、具体的 TCP/IP 协议和目的端口编号范围IP 1-99100-199Name (Cisco IOS 11.2 and later)800-899900-9991000-1099Name (Cisco IOS 11.2. F and later)StandardExtendedSAP filtersNamedStandardExtendedNamed访问列表类型IPX如何识别访问列表标准访问列表 (1 to 99) 检查 IP 数据包的源地址扩展访问列表 (100 to 199) 检查源地址和目的地址、具体的 TC

8、P/IP 协议和目的端口其它访问列表编号范围表示不同协议的访问列表SourceAddressSegment(for exle, TCP header)DataPacket(IP header)Frame Header(for exle, HDLC)DenyPermit Useaccess list statements1-99 用标准访问列表测试数据DestinationAddressSourceAddressProtocolPortNumberSegment(for exle, TCP header)DataPacket(IP header)Frame Header(for exle, HD

9、LC) Useaccess list statements1-99 or 100-199 to test thepacket DenyPermitAn Exle from a TCP/IP Packet用扩展访问列表测试数据通配符掩码（Wildcard Mask)通配符掩码的规定如下：通配符掩码位为0表示检查数据包的IP地址相对应的比特位。通配符掩码位为1表示不检查数据包的IP地址相对应的比特位。通配符和主机或网络地址一起使用来告诉路由器要过滤的有效范围。0 表示检查与之对应的地址位的值1表示忽略与之对应的地址位的值=001111111286432168421=00000000=0000111

10、1=11111100=11111111检查所有的地址位例如通配符：如何检查相应的地址位忽略最后六位忽略最后四位检查最后两位忽略所有的地址位如果要指定一个主机，访问控制列表中地址应当写成: 可以简写为 host (host 9) 90 . 0 . 0 . 0(检查所有的位) 主机地址为：通配符掩码:通配符掩码指明特定的主机例：某公司的网络管理员计划使用访问控制列表控制主机对FTP服务器的访问，目的是不允许地址为9 的主机访问FTP服务器。 172. 30. 16. 00 . 0 . 0 . 255(检查前三个字节)一个子网为：通配符掩码:通配符掩码指明一个子网如果是不允许地

11、址在172. 30.16. 0 子网的所有主机访问FTP服务器。访问控制列表中地址应当写成：172. 30. 16. 0 55 可以用 any 简写0. 0. 0. 0(忽略所有位)任意地址：通配符掩码:通配符掩码指明所有主机如果需要在访问列表中表达所有的主机检查从到 的所有子网Network .host .000010000通配符掩码： 0 0 0 0 1 1 1 1 | 0 0 0 1 0 0 0 0 = 16 0 0 0 1 0 0 0 1 =17 0 0 0 1 0 0 1 0 =18: : 0 0 0 1 1 1 1 1 =31 地址和通配符掩码： 通配符掩码和IP子网的对应访问列表

12、配置准则访问列表的编号指明了使用何种协议的访问列表每个端口、每个方向、每条协议只能对应于一条访问列表访问列表中限制语句的位置是至关重要的将限制条件严格的语句放在访问列表的最上面隐含声明 deny all在设置的访问列表中要有一句 permit any访问列表配置准则先创建访问列表，然后应用到端口上访问列表不能过滤由路由器自己产生的数据使用 no access-list number 命令删除完整的访问列表例外: 名称访问列表可以删除单独的语句配置访问控制列表Step 1: 设置访问列表测试语句的参数access-list access-list-number permit | deny tes

13、t conditions Router(config)#Step 1:设置访问列表测试语句的参数Router(config)#Step 2: 在端口上应用访问列表 protocol access-group access-list-number in | out Router(config-if)#配置访问控制列表IP 访问列表的标号为 1-99 和 100-199access-list access-list-number permit | deny test conditions 标准IP访问列表的配置access-list access-list-number permit|deny s

14、ource maskRouter(config)#为访问列表设置参数IP 标准访问列表编号 1 到 99“no access-list access-list-number” 命令删除访问列表access-list access-list-number permit|deny source maskRouter(config)#在端口上应用访问列表指明是进方向还是出方向缺省 = 出方向“no ip access-group access-list-number” 命令在端口上删除访问列表Router(config-if)#ip access-group access-list-number i

15、n | out 为访问列表设置参数IP 标准访问列表编号 1 到 99“no access-list access-list-number” 命令删除访问列表标准IP访问列表的配置E0S0E1Non-标准访问列表举例 1(implicit deny all - not visible in the list)(access-list 1 deny 55)Permit my network only(implicit deny all - not visible in the list)(access-list 1 deny 55)interface ethernet 0ip access-gr

16、oup 1 outinterface ethernet 1ip access-group 1 outE0S0E1Non-标准访问列表举例 1Deny a specific host标准访问列表举例 2E0S0E1Non-access-list 1 deny 3 标准访问列表举例 2E0S0E1Non-Deny a specific hostaccess-list 1 deny 3 (implicit deny all)(access-list 1 deny 55)access-list 1 deny 3 (implicit deny all)(access-list 1 deny 55)int

17、erface ethernet 0ip access-group 1 out标准访问列表举例 2E0S0E1Non-Deny a specific hostDeny a specific subnet标准访问列表举例 3E0S0E1Non-access-list 1 permit any(implicit deny all)(access-list 1 deny 55)access-list 1 permit any(implicit deny all)(access-list 1 deny 55)interface ethernet 0ip access-group 1 out标准访问列表举

18、例 3E0S0E1Non-Deny a specific subnet在路由器上过滤vty五个虚拟通道 (0 到 4)路由器的vty端口可以过滤数据在路由器上执行vty访问的控制01234Virtual ports (vty 0 through 4)Physical port e0 (Telnet)Console port (direct connect)consolee0如何控制vty访问01234Virtual ports (vty 0 through 4)Physical port (e0) (Telnet)使用标准访问列表语句用 access-class 命令应用访问列表在所有vty通

19、道上设置相同的限制条件Router#e0虚拟通道的配置指明vty通道的范围在访问列表里指明方向ip access-class access-list-number in|outline vty vty# | vty-rangeRouter(config)#Router(config-line)#虚拟通道访问举例只允许网络 内的主机连接路由器的 vty 通道!line vty 0 4 access-class 12 inControlling Inbound Access标准访问列表和扩展访问列表比较标准扩展基于源地址基于源地址和目标地址允许和拒绝完整的TCP/IP协议指定TCP/IP的特定协议

20、和端口号编号范围 100 到 199.编号范围 1 到 99扩展 IP 访问列表的配置Router(config)#设置访问列表的参数access-list access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator port established logRouter(config-if)# ip access-group access-list-number in | out 扩展 IP 访问列表的配置在端口上

21、应用访问列表设置访问列表的参数Router(config)# access-list access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator port established log拒绝子网 的数据使用路由器e0口ftp到子网 允许其它数据E0S0E1Non-扩展访问列表应用举例 1access-list 101 deny tcp 55 55 eq 21access-list 101 deny tcp 55 5

22、5 eq 20拒绝子网 的数据使用路由器e0口ftp到子网 允许其它数据扩展访问列表应用举例 1E0S0E1Non-access-list 101 deny tcp 55 55 eq 21access-list 101 deny tcp 55 55 eq 20access-list 101 permit ip any any(implicit deny all)(access-list 101 deny ip 55 55)access-list 101 deny tcp 55 55 eq 21access-list 101 deny tcp 55 55 eq 20access-list 101

23、 permit ip any any(implicit deny all)(access-list 101 deny ip 55 55)interface ethernet 0ip access-group 101 out拒绝子网 的数据使用路由器e0口ftp到子网 允许其它数据扩展访问列表应用举例 1E0S0E1Non-拒绝子网 内的主机使用路由器的 E0 端口建立Telnet会话允许其它数据扩展访问列表应用举例 2E0S0E1Non-access-list 101 deny tcp 55 any eq 23拒绝子网 内的主机使用路由器的 E0 端口建立Telnet会话允许其它数据扩展访问列

24、表应用举例 2E0S0E1Non-access-list 101 deny tcp 55 any eq 23access-list 101 permit ip any any(implicit deny all)access-list 101 deny tcp 55 any eq 23access-list 101 permit ip any any(implicit deny all)interface ethernet 0ip access-group 101 out拒绝子网 内的主机使用路由器的 E0 端口建立Telnet会话允许其它数据扩展访问列表应用举例 2E0S0E1Non-使用名

25、称访问列表Router(config)#ip access-list standard | extended name适用于IOS版本号为11.2以后所使用的名称必须一致使用名称访问列表Router(config)#ip access-list standard | extended name permit | deny ip access list test conditions permit | deny ip access list test conditions no permit | deny ip access list test conditions Router(config

26、std- | ext-nacl)#适用于IOS版本号为11.2以后所使用的名称必须一致允许和拒绝语句不需要访问列表编号 “no” 命令删除访问列表Router(config)# ip access-list standard | extended nameRouter(config std- | ext-nacl)# permit | deny ip access list test conditions permit | deny ip access list test conditions no permit | deny ip access list test conditions Ro

27、uter(config-if)# ip access-group name in | out 使用名称访问列表适用于IOS版本号为11.2以后所使用的名称必须一致允许和拒绝语句不需要访问列表编号 “no” 命令删除访问列表在端口上应用访问列表将扩展访问列表置于离源设备较近的位置将标准访问列表置于离目的设备较近的位置E0E0E1S0To0S1S0S1E0E0BAC访问列表的放置原则推荐：D源主机目标主机wg_ro_a#show ip int e0Ethernet0 is up, line protocol is up Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1 Proxy ARP is enabled Security level is default Split horizon is enabled ICMP r