10第十章用访问列表初步管理-IP流量CICND10S10A

10-1LR电脑书籍网本章目标通过本章的学习，您应该掌握以下内容：•识别IP访问列表的主要作用和工作流程•配置标准的IP访问列表•利用访问列表控制虚拟会话的建立•配置扩展的IP访问列表•查看IP访问列表LR电脑书籍网•管理网络中逐步增长的IP数据TokenRing为什么要使用访问列表LR电脑书籍网•管理网络中逐步增长的IP数据•当数据通过路由器时进行过滤为什么要使用访问列表LR电脑书籍网访问列表的应用•允许、拒绝数据包通过路由器•允许、拒绝Telnet会话的建立•没有设置访问列表时，所有的数据包都会在网络上传输虚拟会话(IP)端口上的数据传输LR电脑书籍网•标准–检查源地址–通常允许、拒绝的是完整的协议OutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?Source什么是访问列表--标准LR电脑书籍网•标准–检查源地址–通常允许、拒绝的是完整的协议•扩展–检查源地址和目的地址–通常允许、拒绝的是某个特定的协议OutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?SourceandDestinationProtocol什么是访问列表--扩展LR电脑书籍网•标准–检查源地址–通常允许、拒绝的是完整的协议•扩展–检查源地址和目的地址–通常允许、拒绝的是某个特定的协议•进方向和出方向OutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?SourceandDestinationProtocol什么是访问列表LR电脑书籍网出端口方向上的访问列表LR电脑书籍网出端口方向上的访问列表AccessList?YS0E0InboundInterfacePacketsLR电脑书籍网电脑书籍网访问列表的测试：允许和拒绝PacketstointerfacesintheaccessgroupPacketDiscardBucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitLR电脑书籍网访问列表的测试：允许和拒绝PacketstoInterface(s)intheAccessGroupPacketDiscardBucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?YYLR电脑书籍网访问列表的测试：允许和拒绝PacketstoInterface(s)intheAccessGroupPacketDiscardBucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTest?YYNYYPermitLR电脑书籍网访问列表的测试：允许和拒绝PacketstoInterface(s)intheAccessGroupPacketDiscardBucketYInterface(s)DestinationDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTest?YYNYYPermitImplicitDenyIfnomatchdenyallDenyNLR电脑书籍网访问列表配置指南•访问列表的编号指明了使用何种协议的访问列表•每个端口、每个方向、每条协议只能对应于一条访问列表•访问列表的内容决定了数据的控制顺序•具有严格限制条件的语句应放在访问列表所有语句的最上面•在访问列表的最后有一条隐含声明：denyany－每一条正确的访问列表都至少应该有一条允许语句•先创建访问列表，然后应用到端口上•访问列表不能过滤由路由器自己产生的数据LR电脑书籍网设置访问列表测试语句的参数access-listaccess-list-number{permit|deny}{testconditions}Router(config)#LR电脑书籍网设置访问列表测试语句的参数Router(config)#Step2:在端口上应用访问列表{protocol}access-groupaccess-list-number{in|out}Router(config-if)#访问列表设置命令IP访问列表的标号为1-99和100-199access-listaccess-list-number{permit|deny}{testconditions}LR电脑书籍网•标准访问列表(1to99)检查IP数据包的源地址LR电脑书籍网•标准访问列表(1to99)检查IP数据包的源地址•扩展访问列表(100to199)检查源地址和目的地址、具体的TCP/IP协议和目的端口LR电脑书籍网(CiscoIOS11.2andlater)800-899900-9991000-1099Name(CiscoIOS11.2.Fandlater)StandardExtendedSAPfiltersNamedStandardExtendedNamed访问列表类型IPX如何识别访问列表号•标准访问列表(1to99)检查IP数据包的源地址•扩展访问列表(100to199)检查源地址和目的地址、具体的TCP/IP协议和目的端口•其它访问列表编号范围表示不同协议的访问列表LR电脑书籍网(forexample,TCPheader)DataPacket(IPheader)FrameHeader(forexample,HDLC)DenyPermitUseaccessliststatements1-99用标准访问列表测试数据LR电脑书籍网(forexample,TCPheader)DataPacket(IPheader)FrameHeader(forexample,HDLC)Useaccessliststatements1-99or100-199totestthepacketDenyPermitAnExamplefromaTCP/IPPacket用扩展访问列表测试数据LR电脑书籍网•0表示检查与之对应的地址位的值•1表示忽略与之对应的地址位的值donotcheckaddress(ignorebitsinoctet)=001111111286432168421=00000000=00001111=11111100=11111111Octetbitpositionandaddressvalueforbitignorelast6addressbitscheckalladdressbits(matchall)ignorelast4addressbitschecklast2addressbitsExamples通配符：如何检查相应的地址位LR电脑书籍网•例如172.30.16.290.0.0.0检查所有的地址位•可以简写为host(host172.30.16.29)Testconditions:Checkalltheaddressbits(matchall)172.30.16.290.0.0.0(checksallbits)AnIPhostaddress,forexample:Wildcardmask:通配符掩码指明特定的主机LR电脑书籍网•所有主机:0.0.0.0255.255.255.255•可以用any简写Testconditions:Ignorealltheaddressbits(matchany)0.0.0.0255.255.255.255(ignoreall)AnyIPaddressWildcardmask:通配符掩码指明所有主机LR电脑书籍网:00001111|----match----|-----don’tcare-----|00010000=1600010001=1700010010=18::00011111=31Addressandwildcardmask:172.30.16.00.0.15.255通配符掩码和IP子网的对应©1999,CiscoSystems,Inc.{permit|deny}source[mask]Router(config)#•为访问列表设置参数•IP标准