章ip访问控制列表第五天

第十三章

IP访问控制列表FDDITokenRingInternet管理网络中逐步增长的IP

数据当数据通过路由器时进行过滤为什么要使用访问列表访问列表的应用虚拟会话(IP)允许、拒绝数据包通过路由器允许、拒绝Telnet会话的建立没有设置访问列表时，所有的数据包都会在网络上传输端口上的数据传输标准检查源地址通常允许、拒绝的是完整的协议OutgoingPacketE0S0ingPacketAccess

List

ProcessesPermit?Source什么是访问列表--标准标准检查源地址通常允许、拒绝的是完整的协议扩展检查源地址和目的地址通常允许、拒绝的是某个特定的协议OutgoingPacketE0S0ingPacketAccess

List

ProcessesPermit?Source

andDestinationProtocol什么是访问列表--扩展如何识别访问列表号访问列表类型编号范围IP

StandardExtended1-99100-199标准访问列表(1

to

99)检查IP

数据包的源地址扩展访问列表(100

to

199)检查源地址和目的地址、具体的TCP/IP协议和目的端口如何识别访问列表号标准访问列表检查IP

数据包的源地址扩展访问列表检查源地址和目的地址、具体的TCP/IP

协议和目的端口其它访问列表编号范围表示不同协议的访问列表访问列表类型编号范围StandardNamed1-99 1300-1999Name

(Cisco

IOS

11.2

and

later)ExtendNamed100-199 2000-2699Name

(Cisco

IOS

11.2

and

later)访问列表配置指南访问列表的编号指明了使用何种协议的访问列表每个端口、每个方向、每条协议只能对应于一条访问列表访问列表的内容决定了数据的控制顺序具有严格限制条件的语句应放在访问列表所有语句的最上面在访问列表的最后有一条隐含声明：denyany－每一条正确的访问列表都至少应该有一条允许语句先创建访问列表，然后应用到端口上访问列表不能过滤由路由器自己产生的数据Step

1:设置访问列表测试语句的参数Step

2:在端口上应用访问列表ipaccess-group

1-99

{in

|

out}int

f0/0访问列表设置命令Router(config)#access-list

1-99

{permit

|

deny}源IP

反掩码Test

conditions:

Check

all

the

address

bits

(match

all)An

IP

host

address,

for

example:9Wildcard

mask:

(checks

all

bits)例如9

检查所有的地址位可以简写为host

(host

9)通配符掩码指明特定的主机Test

conditions:

Ignore

all

the

address

bits

(match

any)Any

IPaddressWildcard

mask:

55(ignore

all)所有主机:

55可以用any

简写通配符掩码指明所有主机Permit

my

network

onlyaccess-list1permit

55(implicit

denyall-

notvisibleinthelist)(access-list1deny

55)interface

ethernet

0

ip

access-group

1

outinterface

ethernet

1

ip

access-group

1

out3E0S0E1Non-标准访问列表举例1access-list1deny3

access-list1

permit

55(implicit

deny

all)(access-list1deny

55)interface

ethernet

0

ip

access-group

1

out标准访问列表举例23E0S0E1Non-Deny

aspecific

hostaccess-list

1

deny

55access-list1permit

any(implicit

deny

all)(access-list1deny

55)interface

ethernet

0

ip

access-group

1

out标准访问列表举例33E0S0E1Non-Deny

aspecific

subnet©

1999,

Cisco

Systems,

Inc.10-15用访问列表控制vty访问在路由器上过滤vty五个虚拟通道(0

到4)路由器的vty端口可以过滤数据在路由器上执行vty访问的控制Virtual

ports

(vty

0

through

4)0

1

2

3

4Physical

port

e0

(Telnet)Console

port

(direct

connect)consolee0如何控制vty访问Virtual

ports

(vty

0

through

4)Physical

port

(e0)

(Telnet)使用标准访问列表语句用access-class

命令应用访问列表在所有vty通道上设置相同的限制条件Router#e00

1

2

3

4虚拟通道的配置在访问列表里指明方向access-class

access-list-number

{in|out}Router(config)#line

vty#{vty#

|

vty-range}指明vty通道的范围Router(config-line)#虚拟通道访问举例只允许网络

内的主机连接路由器的vty

通道access-list

12

permit

55!linevty

04access-class

12inControlling

Inbound

Access©

1999,

Cisco

Systems,

Inc.10-20扩展IP

访问列表的配置标准访问列表和扩展访问列表比较标准扩展基于源地址基于源地址和目标地址允许和拒绝完整的TCP/IP协议指定TCP/IP的特定协议和端口号编号范围1-99和1300-1999编号范围100-199和2000-2699扩展IP

访问列表的配置Router(config)#设置访问列表的参数Router(config-if)#

ip

access-group

100-199

{

in

|

out

}在端口上应用访问列表access-list

100-199

{permit

|

deny}protocol

源IP

反掩码[port]

目的IP

反掩码[port]拒绝子网

的数据使用路由器e0口ftp到子网允许其它数据3E0S0E1Non-扩展访问列表应用举例1access-list101

deny

tcp

55

55

eq

21access-list101

deny

tcp

5555eq

20拒绝子网

的数据使用路由器e0口ftp到子网允许其它数据扩展访问列表应用举例13E0S0E1Non-access-list101

deny

tcp

55

55

eq

21access-list101

deny

tcp

5555eq

20access-list

101

permit

ip

any

any(implicit

deny

all)(access-list

101

deny

ip

55

55)access-list101

deny

tcp

55

55

eq

21access-list101

deny

tcp

5555eq

20access-list

101

permit

ip

any

any(implicit

deny

all)(access-list

101

deny

ip

55

55)interface

ethernet0ipaccess-group

101

out拒绝子网

的数据使用路由器e0口ftp到子网允许其它数据扩展访问列表应用举例13E0S0E1Non-拒绝子网

内的主机使用路由器的E0

端口建立Telnet会话允许其它数据扩展访问列表应用举例23E0S0E1Non-access-list

101

deny

tcp

55 any

eq

23拒绝子网

内的主机使用路由器的E0

端口建立Telnet会话允许其它数据扩展访问列表应用举例23E0S0E1Non-access-list

101

deny

tcp

55 any

eq

23access-list

101

permit

ip

any

any(implicit

deny

all)access-list

101

deny

tcp

55 any

eq

23access-list

101

permit

ip

any

any(implicit

deny

all)interface

ethernet

0ip

access-group

101

out拒绝子网

内的主机使用路由器的E0

端口建立Telnet会话允许其它数据扩展访问列表应用举例23E0S0E1Non-wg_ro_a#show

ip

int

e0Ethernet0

is

up,

line

protocol

is

upInternet

addressis

1/24Broadcastaddressis

55Address

determinedby

setupcommandMTU

is

1500

bytesHelper

address

is

notsetDirected

broadcastforwarding

isdisabledOutgoing

access

list

is

not

setInbound

access

list

is

1Proxy

ARP

is

enabledSecurity

levelis

defaultSplit

horizon

isenabledICMP

redirects

are

always

sentICMP

unreachablesarealways

sentICMP

maskrepliesareneversentIP

fast

switching

isenabledIP

fast

switching

on