九章使用访问列表管理流量

九章使用访问列表管理流量第1页/共66页第九章使用访问控制列表管理IP流量●了解IP访问列表的主要作用●掌握IP访问列表工作流程●能够配置标准的IP访问列表●能够利用访问列表控制虚拟会话的建立●能够配置扩展的IP访问列表●管理IP访问列表重点：配置IP访问列表难点：IP访问列表工作流程要求：第2页/共66页管理网络中逐步增长的IP数据访问控制列表概述一、为什么要使用访问列表第3页/共66页Internet管理网络中逐步增长的IP数据当数据通过路由器时进行过滤访问控制列表概述第4页/共66页访问控制列表概述允许、拒绝数据包通过路由器允许、拒绝Telnet会话的建立没有设置访问列表时，所有的数据包都会在网络上传输虚拟会话(IP)端口上的数据传输二、访问列表的应用第5页/共66页Queue

List优先级判断访问控制列表概述基于数据包检测的特殊数据通讯应用二、访问列表的其他应用第6页/共66页Queue

List优先级判断访问控制列表概述按需拨号基于数据包检测的特殊数据通讯应用二、访问列表的其他应用第7页/共66页访问控制列表概述路由表过滤Routing

TableQueue

List优先级判断按需拨号基于数据包检测的特殊数据通讯应用二、访问列表的其他应用第8页/共66页访问控制列表概述三、什么是访问列表1.访问控制列表：是一个控制网络的有力工具，由一系列对包进行分类的条件组成。它提供了数据的过滤，可以在不妨碍合法通信连接的同时阻止非法的或不必要的数据流，保护网络资源。2.访问控制列表的分类：标准访问控制列表扩展访问控制列表命名的访问控制列表第9页/共66页

标准检查源地址通常允许、拒绝的是完整的协议

数据包出口E0S0数据包入口AccessListProcessesPermit?Source访问控制列表概述第10页/共66页

标准检查源地址通常允许、拒绝的是完整的协议扩展检查源地址和目的地址通常允许、拒绝的是某个特定的协议数据包出口E0S0数据包入口AccessListProcessesPermit?Sourceand

DestinationProtocol访问控制列表概述第11页/共66页

标准检查源地址通常允许、拒绝的是完整的协议扩展检查源地址和目的地址通常允许、拒绝的是某个特定的协议进方向和出方向

数据包出口E0S0数据包入口AccessListProcessesPermit?Sourceand

DestinationProtocol访问控制列表概述第12页/共66页数据包入口NY丢弃选择接口NACL?有路由吗？?Y数据包出口S0出端口方向上的访问列表的执行

第13页/共66页数据包出口PacketNY选择接口有路由吗？NPacket检查条件Permit

?Y出端口方向上的访问列表的执行

ACL？YS0E0数据包入口丢弃第14页/共66页NotifySender出端口方向上的访问列表的执行

IfnoaccessliststatementmatchesthendiscardthepacketNYNYPermit

?YACL

?NPacketPacketS0E0数据包入口有路由吗？选择接口检查条件数据包出口丢弃丢弃第15页/共66页访问列表的测试：允许和拒绝数据包到达接口丢弃Y通过接口DenyDenyY第一个条件匹配?Permit第16页/共66页访问列表的测试：允许和拒绝YDenyDenyYPermitNDenyPermitYY数据包到达接口第一个条件匹配?第二个条件匹配?通过接口丢弃第17页/共66页访问列表的测试：允许和拒绝YDenyDenyYPermitNDenyPermitDenyYYNYYPermit数据包到达接口第一个条件匹配?第二个条件匹配?最后一个条件匹配?丢弃通过接口第18页/共66页访问列表的测试：允许和拒绝YDenyYPermitNDenyPermitDenyYYNYYPermitImplicitDenyIfnomatchdenyallDenyN数据包到达接口第一个条件匹配?第二个条件匹配?最后一个条件匹配?通过接口丢弃第19页/共66页如何识别访问列表编号范围访问列表类型IP

1-99Standard标准访问列表(1to99)检查IP数据包的源地址第20页/共66页编号范围访问列表类型如何识别访问列表IP

1-99100-199StandardExtended标准访问列表(1to99)检查IP数据包的源地址扩展访问列表(100to199)检查源地址和目的地址、具体的TCP/IP协议和目的端口第21页/共66页编号范围IP

1-99100-199Name(CiscoIOS11.2andlater)800-899900-9991000-1099Name(CiscoIOS11.2.Fandlater)StandardExtendedSAPfiltersNamedStandardExtendedNamed访问列表类型IPX如何识别访问列表标准访问列表(1to99)检查IP数据包的源地址扩展访问列表(100to199)检查源地址和目的地址、具体的TCP/IP协议和目的端口其它访问列表编号范围表示不同协议的访问列表第22页/共66页SourceAddressSegment(forexample,

TCPheader)DataPacket(IPheader)FrameHeader(forexample,

HDLC)DenyPermit

Useaccessliststatements1-99用标准访问列表测试数据第23页/共66页DestinationAddressSourceAddressProtocolPortNumberSegment(forexample,

TCPheader)DataPacket(IPheader)FrameHeader(forexample,

HDLC)

Useaccessliststatements1-99or100-199to

testthepacketDenyPermitAnExamplefromaTCP/IPPacket用扩展访问列表测试数据第24页/共66页通配符掩码（WildcardMask)通配符掩码的规定如下：通配符掩码位为0表示检查数据包的IP地址相对应的比特位。通配符掩码位为1表示不检查数据包的IP地址相对应的比特位。通配符和主机或网络地址一起使用来告诉路由器要过滤的有效范围。第25页/共66页0表示检查与之对应的地址位的值1表示忽略与之对应的地址位的值=001111111286432168421=00000000=00001111=11111100=11111111检查所有的地址位例如通配符：如何检查相应的地址位忽略最后六位忽略最后四位检查最后两位忽略所有的地址位第26页/共66页如果要指定一个主机，访问控制列表中地址应当写成:9可以简写为host(host9)

9

(检查所有的位)主机地址为：通配符掩码:通配符掩码指明特定的主机例：某公司的网络管理员计划使用访问控制列表控制主机对FTP服务器的访问，目的是不允许地址为9的主机访问FTP服务器。第27页/共66页

55(检查前三个字节)一个子网为：通配符掩码:通配符掩码指明一个子网如果是不允许地址在子网的所有主机访问FTP服务器。访问控制列表中地址应当写成：

55第28页/共66页所有主机:55可以用any简写 55(忽略所有位)任意地址：通配符掩码:通配符掩码指明所有主机如果需要在访问列表中表达所有的主机第29页/共66页检查从/24到/24的所有子网Network.host

00010000通配符掩码：

00001111 |<----match---->|<-----don’tcare----->|

00010000 = 16

00010001 = 17

00010010 = 18 : :

00011111 = 31地址和通配符掩码：

55通配符掩码和IP子网的

对应第30页/共66页访问列表配置准则访问列表的编号指明了使用何种协议的访问列表每个端口、每个方向、每条协议只能对应于一条访问列表访问列表中限制语句的位置是至关重要的将限制条件严格的语句放在访问列表的最上面隐含声明denyall在设置的访问列表中要有一句permitany第31页/共66页访问列表配置准则先创建访问列表，然后应用到端口上访问列表不能过滤由路由器自己产生的数据使用noaccess-listnumber

命令删除完整的访问列表例外:名称访问列表可以删除单独的语句第32页/共66页配置访问控制列表Step1:设置访问列表测试语句的参数access-listaccess-list-number{permit|deny}{test

conditions}Router(config)#第33页/共66页Step1:设置访问列表测试语句的参数Router(config)#Step2:在端口上应用访问列表{protocol}access-groupaccess-list-number{in|out}Router(config-if)#配置访问控制列表IP访问列表的标号为1-99和100-199access-listaccess-list-number{permit|deny}{test

conditions}第34页/共66页标准IP访问列表的配置access-listaccess-list-number{permit|deny}source[mask]Router(config)#为访问列表设置参数IP标准访问列表编号1到99缺省的通配符掩码=“noaccess-listaccess-list-number”命令删除访问列表第35页/共66页access-listaccess-list-number{permit|deny}source[mask]Router(config)#在端口上应用访问列表指明是进方向还是出方向缺省=出方向“noipaccess-groupaccess-list-number”命令在端口上删除访问列表Router(config-if)#ipaccess-groupaccess-list-number{in|out}为访问列表设置参数IP标准访问列表编号1到99缺省的通配符掩码=“noaccess-listaccess-list-number”命令删除访问列表标准IP访问列表的配置第36页/共66页3E0S0E1Non-标准访问列表举例1access-list1permit

55(implicitdenyall-notvisibleinthelist)(access-list1deny55)第37页/共66页Permitmynetworkonlyaccess-list1permit

55(implicitdenyall-notvisibleinthelist)(access-list1deny55)interfaceethernet0ipaccess-group1outinterfaceethernet1ipaccess-group1out3E0S0E1Non-标准访问列表举例1第38页/共66页Denyaspecifichost标准访问列表举例23E0S0E1Non-access-list1deny3第39页/共66页标准访问列表举例23E0S0E1Non-Denyaspecifichostaccess-list1deny3access-list1permit55(implicitdenyall)(access-list1deny55)第40页/共66页access-list1deny3access-list1permit55(implicitdenyall)(access-list1deny55)interfaceethernet0ipaccess-group1out标准访问列表举例23E0S0E1Non-Denyaspecifichost第41页/共66页Denyaspecificsubnet标准访问列表举例33E0S0E1Non-access-list1deny55access-list1permitany(implicitdenyall)

(access-list1deny55)第42页/共66页access-list1deny55access-list1permitany(implicitdenyall)

(access-list1deny55)interfaceethernet0ipaccess-group1out标准访问列表举例33E0S0E1Non-Denyaspecificsubnet第43页/共66页在路由器上过滤vty五个虚拟通道(0到4)路由器的vty端口可以过滤数据在路由器上执行vty访问的控制01234Virtualports(vty0through4)Physicalporte0(Telnet)Consoleport(directconnect)consolee0第44页/共66页如何控制vty访问01234Virtualports(vty0through4)Physicalport(e0)(Telnet)使用标准访问列表语句用access-class

命令应用访问列表在所有vty通道上设置相同的限制条件Router#e0第45页/共66页虚拟通道的配置指明vty通道的范围在访问列表里指明方向ipaccess-classaccess-list-number{in|out}linevty{vty#|vty-range}Router(config)#Router(config-line)#第46页/共66页虚拟通道访问举例只允许网络

内的主机连接路由器的vty通道access-list12permit55!linevty04access-class12inControllingInboundAccess第47页/共66页标准访问列表和扩展访问列表

比较标准扩展基于源地址基于源地址和目标地址允许和拒绝完整的TCP/IP协议指定TCP/IP的特定协议和端口号编号范围100到199.编号范围1到99第48页/共66页扩展IP访问列表的配置Router(config)#设置访问列表的参数access-listaccess-list-number{permit|deny}protocolsource

source-wildcard[operatorport]

destinationdestination-wildcard

[operatorport][established][log]第49页/共66页Router(config-if)#ipaccess-groupaccess-list-number{in|out}扩展IP访问列表的配置在端口上应用访问列表设置访问列表的参数Router(config)#access-listaccess-list-number

{permit|deny}protocolsourcesource-wildcard[operatorport]

destinationdestination-wildcard[operatorport][established][log]第50页/共66页拒绝子网

的数据使用路由器e0口ftp到子网

允许其它数据3E0S0E1Non-扩展访问列表应用举例1access-list101denytcp

5555eq21access-list101denytcp5555eq20第51页/共66页拒绝子网

的数据使用路由器e0口ftp到子网

允许其它数据扩展访问列表应用举例13E0S0E1Non-access-list101denytcp

5555eq21access-list101denytcp5555eq20access-list101permitipanyany(implicitdenyall)(access-list101denyip5555)第52页/共66页access-list101denytcp

5555eq21access-list101denytcp5555eq20access-list101permitipanyany(implicitdenyall)(access-list101denyip5555)interfaceethernet0ipaccess-group101out拒绝子网

的数据使用路由器e0口ftp到子网

允许其它数据扩展访问列表应用举例13E0S0E1Non-第53页/共66页拒绝子网

内的主机使用路由器的E0端口建立Telnet会话允许其它数据扩展访问列表应用举例23E0S0E1Non-access-list101denytcp55anyeq23第54页/共66页拒绝子网

内的主机使用路由器的E0端口建立Telnet会话允许其它数据扩展访问列表应用举例23E0S0E1Non-access-list101denytcp55anyeq23access-list101permitipanyany(implicitdenyall)第55页/共66页access-list101denytcp55anyeq23access-list101permitipanyany(implicitdenyall)interfaceethernet0ipaccess-group101out拒绝子网

内的主机使用路由器的E0端口建立Telnet会话允许其它数据扩展访问列表应用举例23E0S0E1Non-第56页/共66页使用名称访问列表Router(config)#ipaccess-list{standard|extended}name适用于IOS版本号为11.2以后所使用的名称必须一致第57页/共66页使用名称访问列表Router(config)#ipaccess-list{standard|extended}name{permit|deny}{ipaccesslisttestconditions}{permit|deny}{ipaccesslisttestconditions}no{permit|deny}{ipaccesslisttestconditions}Router(config{std-|ext-}nacl)#适用于IOS版本号为11.2以后所使用的名称必须一致允许和拒绝语句不需要访问列表编号“no”命令删除访问列表第58页/共66页Router(config)#ipaccess-list{standard|extended}nameRouter(config{std-|ext-}nacl)#{permit|deny}

{ipaccesslisttestconditions}{permit|deny}{ipaccesslisttestconditions}no{permit|deny}{ipaccesslisttestconditions}Router(config-if)#ipaccess-groupname{in|out}使用名称访问列表适用于IOS版本号为11.2以后所使用的名称必须一致允许和拒绝语句不需要访问列表编号“no”命令删除访问列表在端口上应用访问列表第59页/共66页将扩展访问列表置于离源设备较近的位置将标准访问列表置于离目的设备较近的位置E0E0E1S0To0S1S0S1E0E0BAC访问列表的放置原则推荐：D源主机目标主机第60页/共66页wg_ro_a#showipinte0Ethernet0isup,lineprotocolisupInternetaddressis1/24Broadcastaddressis55AddressdeterminedbysetupcommandMTUis1500bytesHelperaddressisnotsetDirectedbroadcastforwardingisdisabledOutgoingaccesslistisnotsetInboundaccesslistis1ProxyARPisenabledSecuritylevelisdefaultSplithorizonisenabledICMPredirectsarealwayssentICMPunreachables