路由器的配置和管理(3)

本章内容访问控制列表ACL网络地址转换NATFDDI172.16.0.0172.17.0.0TokenRingInternet管理网络中逐步增长的IP数据当数据通过路由器时进行过滤为什么要使用访问列表访问列表的应用允许、拒绝数据包通过路由器允许、拒绝Telnet会话的建立没有设置访问列表时，所有的数据包都会在网络上传输虚拟会话(IP)端口上的数据传输•标准–检查源地址–通常允许、拒绝的是完整的协议OutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?Source什么是访问列表--标准•标准–检查源地址–通常允许、拒绝的是完整的协议•扩展–检查源地址和目的地址–通常允许、拒绝的是某个特定的协议OutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?SourceandDestinationProtocol什么是访问列表--扩展•标准–检查源地址–通常允许、拒绝的是完整的协议•扩展–检查源地址和目的地址–通常允许、拒绝的是某个特定的协议•进方向和出方向OutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?SourceandDestinationProtocol什么是访问列表InboundInterfacePacketsNYPacketDiscardBucketChooseInterfaceNAccessList?RoutingTableEntry?YOutboundInterfacesPacketS0出端口方向上的访问列表OutboundInterfacesPacketNYPacketDiscardBucketChooseInterfaceRoutingTableEntry?NPacketTestAccessListStatementsPermit?Y出端口方向上的访问列表AccessList?YS0E0InboundInterfacePacketsNotifySender出端口方向上的访问列表IfnoaccessliststatementmatchesthendiscardthepacketNYPacketDiscardBucketChooseInterfaceRoutingTableEntry?NYTestAccessListStatementsPermit?YAccessList?DiscardPacketNOutboundInterfacesPacketPacketS0E0InboundInterfacePackets访问列表的测试：允许和拒绝PacketstointerfacesintheaccessgroupPacketDiscardBucketYInterface(s)DestinationDenyDenyYMatchFirstTest?Permit访问列表的测试：允许和拒绝PacketstoInterface(s)intheAccessGroupPacketDiscardBucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?YY访问列表的测试：允许和拒绝PacketstoInterface(s)intheAccessGroupPacketDiscardBucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTest?YYNYYPermit访问列表的测试：允许和拒绝PacketstoInterface(s)intheAccessGroupPacketDiscardBucketYInterface(s)DestinationDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTest?YYNYYPermitImplicitDenyIfnomatchdenyallDenyN访问列表配置指南访问列表的编号指明了使用何种协议的访问列表每个端口、每个方向、每条协议只能对应于一条访问列表访问列表的内容决定了数据的控制顺序具有严格限制条件的语句应放在访问列表所有语句的最上面在访问列表的最后有一条隐含声明：denyany－每一条正确的访问列表都至少应该有一条允许语句先创建访问列表，然后应用到端口上访问列表不能过滤由路由器自己产生的数据访问列表设置命令Step1:设置访问列表测试语句的参数access-listaccess-list-number{permit|deny}{testconditions}Router(config)#Step1:设置访问列表测试语句的参数Router(config)#Step2:在端口上应用访问列表ipaccess-groupaccess-list-number{in|out}Router(config-if)#访问列表设置命令IP访问列表的标号为1-99和100-199access-listaccess-list-number{permit|deny}{testconditions}如何识别访问列表号编号范围访问列表类型IP1-99Standard•标准访问列表(1to99)检查IP数据包的源地址编号范围访问列表类型如何识别访问列表号IP1-99100-199StandardExtended•标准访问列表(1to99)检查IP数据包的源地址•扩展访问列表(100to199)检查源地址和目的地址、具体的TCP/IP协议和目的端口编号范围1-991300-1999Name(CiscoIOS11.2andlater)100-1992000-2699Name(CiscoIOS11.2andlater)StandardNamed访问列表类型如何识别访问列表号标准访问列表检查IP数据包的源地址扩展访问列表检查源地址和目的地址、具体的TCP/IP协议和目的端口其它访问列表编号范围表示不同协议的访问列表ExtendNamed例如172.30.16.290.0.0.0检查所有的地址位可以简写为host(host172.30.16.29)Testconditions:Checkalltheaddressbits(matchall)172.30.16.290.0.0.0(checksallbits)AnIPhostaddress,forexample:Wildcardmask:通配符掩码指明特定的主机所有主机:0.0.0.0255.255.255.255可以用any简写Testconditions:Ignorealltheaddressbits(matchany)0.0.0.0255.255.255.255(ignoreall)AnyIPaddressWildcardmask:通配符掩码指明所有主机标准IP访问列表的配置access-listaccess-list-number{permit|deny}source[inverse-mask]Router(config)#•为访问列表设置参数•IP标准访问列表编号1到99•“noaccess-listaccess-list-number”命令删除访问列表access-listaccess-list-number{permit|deny}source[mask]Router(config)#在端口上应用访问列表指明是进方向还是出方向“noipaccess-groupaccess-list-number”命令在端口上删除访问列表Router(config-if)#ipaccess-groupaccess-list-number{in|out}•为访问列表设置参数•IP标准访问列表编号1到99•缺省的通配符掩码=0.0.0.0•“noaccess-listaccess-list-number”命令删除访问列表标准IP访问列表的配置172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0标准访问列表举例1access-list1permit172.16.0.00.0.255.255(implicitdenyall-notvisibleinthelist)(access-list1deny0.0.0.0255.255.255.255)Permitmynetworkonlyaccess-list1permit172.16.0.00.0.255.255(implicitdenyall-notvisibleinthelist)(access-list1deny0.0.0.0255.255.255.255)interfaceethernet0ipaccess-group1outinterfaceethernet1ipaccess-group1out172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0标准访问列表举例1Denyaspecifichost标准访问列表举例2172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0access-list1deny172.16.4.130.0.0.0标准访问列表举例2172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0Denyaspecifichostaccess-list1deny172.16.4.130.0.0.0access-list1permit0.0.0.0255.255.255.255(implicitdenyall)(access-list1deny0.0.0.0255.255.255.255)access-list1deny172.16.4.130.0.0.0access-list1permit0.0.0.0255.255.255.255(implicitdenyall)(access-list1deny0.0.0.0255.255.255.255)interfaceethernet0ipaccess-group1out标准访问列表举例2172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0DenyaspecifichostDenyaspecificsubnet标准访问列表举例3172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0access-list1deny172.16.4.00.0.0.255access-list1permitany(implicitdenyall)(access-list1deny0.0.0.0255.255.255.255)access-list1deny172.16.4.00.0.0.255access-list1permitany(implicitdenyall)(access-list1deny0.0.0.0255.255.255.255)interfaceethernet0ipaccess-group1out标准访问列表举例3172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0Denyaspecificsubnet在路由器上过滤vty五个虚拟通道(0到4)路由器的vty端口可以过滤数据在路由器上执行vty访问的控制01234Virtualports(vty0through4)Physicalporte0(Telnet)Consoleport(directconnect)con