I-用访问列表初步管理IP流量

第九章用访问列表初步管理IP流量本章目标通过本章的学习，您应该掌握以下内容：•识别IP访问列表的主要作用和工作流程•配置标准的IP访问列表•利用访问列表控制虚拟会话的建立•配置扩展的IP访问列表•查看IP访问列表FDDI172.16.0.0172.17.0.0TokenRingInternet为什么要使用访问列表–管理网络中逐步增长的IP数据–当数据通过路由器时进行过滤访问列表的应用–允许、拒绝数据包通过路由器–允许、拒绝Telnet会话的建立–没有设置访问列表时，所有的数据包都会在网络上传输虚拟会话(IP)端口上的数据传输QueueList优先级判断访问列表的其它应用基于数据包检测的特殊数据通讯应用QueueList优先级判断访问列表的其它应用按需拨号基于数据包检测的特殊数据通讯应用访问列表的其它应用路由表过滤RoutingTableQueueList优先级判断按需拨号基于数据包检测的特殊数据通讯应用–标准–检查源地址–通常允许、拒绝的是完整的协议OutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?Source什么是访问列表--标准–标准–检查源地址–通常允许、拒绝的是完整的协议–扩展–检查源地址和目的地址–通常允许、拒绝的是某个特定的协议OutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?SourceandDestinationProtocol什么是访问列表--扩展–标准–检查源地址–通常允许、拒绝的是完整的协议–扩展–检查源地址和目的地址–通常允许、拒绝的是某个特定的协议•进方向和出方向OutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?SourceandDestinationProtocol什么是访问列表访问列表配置指南•访问列表的编号指明了使用何种协议的访问列表•每个端口、每个方向、每条协议只能对应于一条访问列表•访问列表的内容决定了数据的控制顺序•具有严格限制条件的语句应放在访问列表所有语句的最上面•在访问列表的最后有一条隐含声明：denyany－每一条正确的访问列表都至少应该有一条允许语句•先创建访问列表，然后应用到端口上•访问列表不能过滤由路由器自己产生的数据访问列表设置命令Step1:设置访问列表测试语句的参数access-listaccess-list-number{permit|deny}{testconditions}Router(config)#Step1:设置访问列表测试语句的参数Router(config)#Step2:在端口上应用访问列表{protocol}access-groupaccess-list-number{in|out}Router(config-if)#访问列表设置命令IP访问列表的标号为1-99和100-199access-listaccess-list-number{permit|deny}{testconditions}如何识别访问列表号编号范围访问列表类型IP1-99Standard–标准访问列表(1to99)检查IP数据包的源地址编号范围访问列表类型如何识别访问列表号IP1-99100-199StandardExtended–标准访问列表(1to99)检查IP数据包的源地址–扩展访问列表(100to199)检查源地址和目的地址、具体的TCP/IP协议和目的端口编号范围IP1-99100-199Name(CiscoIOS11.2andlater)800-899900-9991000-1099Name(CiscoIOS11.2.Fandlater)StandardExtendedSAPfiltersNamedStandardExtendedNamed访问列表类型IPX如何识别访问列表号–标准访问列表(1to99)检查IP数据包的源地址–扩展访问列表(100to199)检查源地址和目的地址、具体的TCP/IP协议和目的端口–其它访问列表编号范围表示不同协议的访问列表SourceAddressSegment(forexample,TCPheader)DataPacket(IPheader)FrameHeader(forexample,HDLC)DenyPermitUseaccessliststatements1-99用标准访问列表测试数据DestinationAddressSourceAddressProtocolPortNumberSegment(forexample,TCPheader)DataPacket(IPheader)FrameHeader(forexample,HDLC)Useaccessliststatements1-99or100-199totestthepacketDenyPermit用扩展访问列表测试数据AnExamplefromaTCP/IPPacket通配符：如何检查相应的地址位–0表示检查与之对应的地址位的值–1表示忽略与之对应的地址位的值donotcheckaddress(ignorebitsinoctet)=001111111286432168421=00000000=00001111=11111100=11111111Octetbitpositionandaddressvalueforbitignorelast6addressbitscheckalladdressbits(matchall)ignorelast4addressbitschecklast2addressbitsExamples通配符掩码指明特定的主机–例如172.30.16.290.0.0.0检查所有的地址位–可以简写为host(host172.30.16.29)Testconditions:Checkalltheaddressbits(matchall)172.30.16.290.0.0.0(checksallbits)AnIPhostaddress,forexample:Wildcardmask:通配符掩码指明所有主机–所有主机:0.0.0.0255.255.255.255–可以用any简写Testconditions:Ignorealltheaddressbits(matchany)0.0.0.0255.255.255.255(ignoreall)AnyIPaddressWildcardmask:CheckforIPsubnets172.30.16.0/24to172.30.31.0/24Network.host172.30.16.000010000Wildcardmask:00001111|----match----|-----don’tcare-----|00010000=1600010001=1700010010=18::00011111=31通配符掩码和IP子网的对应Addressandwildcardmask:172.30.16.00.0.15.255标准IP访问列表的配置access-listaccess-list-number{permit|deny}source[mask]Router(config)#•为访问列表设置参数•IP标准访问列表编号1到99•缺省的通配符掩码=0.0.0.0•“noaccess-listaccess-list-number”命令删除访问列表access-listaccess-list-number{permit|deny}source[mask]Router(config)#标准IP访问列表的配置–在端口上应用访问列表–指明是进方向还是出方向–缺省=出方向–“noipaccess-groupaccess-list-number”命令在端口上删除访问列表Router(config-if)#ipaccess-groupaccess-list-number{in|out}•为访问列表设置参数•IP标准访问列表编号1到99•缺省的通配符掩码=0.0.0.0•“noaccess-listaccess-list-number”命令删除访问列表172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0标准访问列表举例1access-list1permit172.16.0.00.0.255.255(implicitdenyall-notvisibleinthelist)(access-list1deny0.0.0.0255.255.255.255)Permitmynetworkonlyaccess-list1permit172.16.0.00.0.255.255(implicitdenyall-notvisibleinthelist)(access-list1deny0.0.0.0255.255.255.255)interfaceethernet0ipaccess-group1outinterfaceethernet1ipaccess-group1out172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0标准访问列表举例1标准访问列表举例2Denyaspecifichost172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0access-list1deny172.16.4.130.0.0.0标准访问列表举例2172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0Denyaspecifichostaccess-list1deny172.16.4.130.0.0.0access-list1permit0.0.0.0255.255.255.255(implicitdenyall)(access-list1deny0.0.0.0255.255.255.255)access-list1deny172.16.4.130.0.0.0access-list1permit0.0.0.0255.255.255.255(implicitdenyall)(access-list1deny0.0.0.0255.255.255.255)interfaceethernet0ipaccess-group1out标准访问列表举例2172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0Denyaspecifichost标准访问列表举例3Denyaspecificsubnet172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0access-list1deny172.16.4.00.0.0.255access-list1permitany(implicitdenyall)(access-list1deny0.0.0.0255.255.255.255)access-list1deny172.16.4.00.0.0.255access-list1permitany(implicitdenyall)(access-list1deny0.0.0.0255.255.255.255)interfaceethernet0ipaccess-group1out标准访问列表举例3172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0Denyaspecificsubnet在路由器上过滤vty–五个虚拟通道(0到4)–路由器的vty端口可以过滤数据–在路由器上执行vty访问的控制01234Virtualports(vty0through4)Physicalporte0(Telnet)Consoleport(directconnect)consolee0如何控制vt