經(jīng)管營銷訪問控制列表PPT課件

1、訪問列表的應(yīng)用訪問列表的應(yīng)用 允許、拒絕數(shù)據(jù)包通過路由器 允許、拒絕Telnet會話的建立 沒有設(shè)置訪問列表時，所有的數(shù)據(jù)包都會在網(wǎng)絡(luò)上傳輸虛擬會話 (IP)端口上的數(shù)據(jù)傳輸?shù)?頁/共49頁QueueList優(yōu)先級判斷訪問列表的其它應(yīng)用訪問列表的其它應(yīng)用基于數(shù)據(jù)包檢測的特殊數(shù)據(jù)通訊應(yīng)用第2頁/共49頁QueueList優(yōu)先級判斷訪問列表的其它應(yīng)用訪問列表的其它應(yīng)用按需撥號基于數(shù)據(jù)包檢測的特殊數(shù)據(jù)通訊應(yīng)用第3頁/共49頁訪問列表的其它應(yīng)用訪問列表的其它應(yīng)用路由表過濾RoutingTableQueueList優(yōu)先級判斷按需撥號基于數(shù)據(jù)包檢測的特殊數(shù)據(jù)通訊應(yīng)用第4頁/共49頁 標(biāo)準(zhǔn) 檢查源地址 通常

2、允許、拒絕的是完整的協(xié)議OutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit?Source什么是訪問列表什么是訪問列表-標(biāo)準(zhǔn)標(biāo)準(zhǔn)第5頁/共49頁 標(biāo)準(zhǔn) 檢查源地址 通常允許、拒絕的是完整的協(xié)議 擴(kuò)展 檢查源地址和目的地址 通常允許、拒絕的是某個特定的協(xié)議OutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit?Sourceand DestinationProtocol什么是訪問列表什么是訪問列表-擴(kuò)展擴(kuò)展第6頁/共49頁 標(biāo)準(zhǔn) 檢查源地址 通常允許、拒絕的是完整的協(xié)議

3、 擴(kuò)展 檢查源地址和目的地址 通常允許、拒絕的是某個特定的協(xié)議 進(jìn)方向和出方向 OutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit?Sourceand DestinationProtocol什么是訪問列表什么是訪問列表第7頁/共49頁InboundInterfacePacketsNYPacket Discard BucketChooseInterfaceNAccessList?RoutingTable Entry?YOutbound InterfacesPacketS0出端口方向上的訪問列表出端口方向上的訪問列表 第8頁/共4

4、9頁Outbound InterfacesPacketNYPacket Discard BucketChooseInterfaceRoutingTable Entry?NPacketTestAccess ListStatementsPermit?Y出端口方向上的訪問列表出端口方向上的訪問列表AccessList?YS0E0InboundInterfacePackets第9頁/共49頁Notify Sender出端口方向上的訪問列表出端口方向上的訪問列表If no access list statement matches then discard the packet NYPacket Dis

5、card BucketChooseInterfaceRoutingTable Entry?NYTestAccess ListStatementsPermit?YAccessList?Discard PacketNOutbound InterfacesPacketPacketS0E0InboundInterfacePackets第10頁/共49頁訪問列表的測試：允許和拒絕訪問列表的測試：允許和拒絕Packets to interfacesin the access groupPacket Discard BucketYInterface(s)DestinationDenyDenyYMatchFi

6、rstTest?Permit第11頁/共49頁訪問列表的測試：允許和拒絕訪問列表的測試：允許和拒絕Packets to Interface(s)in the Access GroupPacket Discard BucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?YY第12頁/共49頁訪問列表的測試：允許和拒絕訪問列表的測試：允許和拒絕Packets to Interface(s)in the Access GroupPacket Discard BucketYInter

7、face(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTest?YYNYYPermit第13頁/共49頁訪問列表的測試：允許和拒絕訪問列表的測試：允許和拒絕Packets to Interface(s)in the Access GroupPacket Discard BucketYInterface(s)DestinationDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTest?Y

8、YNYYPermitImplicit DenyIf no matchdeny allDenyN第14頁/共49頁訪問列表配置指南訪問列表配置指南 訪問列表的編號指明了使用何種協(xié)議的訪問列表 每個端口、每個方向、每條協(xié)議只能對應(yīng)于一條訪問列表 訪問列表的內(nèi)容決定了數(shù)據(jù)的控制順序 具有嚴(yán)格限制條件的語句應(yīng)放在訪問列表所有語句的最上面 在訪問列表的最后有一條隱含聲明：deny any每一條正確的訪問列表都至少應(yīng)該有一條允許語句 先創(chuàng)建訪問列表，然后應(yīng)用到端口上 訪問列表不能過濾由路由器自己產(chǎn)生的數(shù)據(jù)第15頁/共49頁訪問列表設(shè)置命令訪問列表設(shè)置命令Step 1: 設(shè)置訪問列表測試語句的參數(shù)acces

9、s-list access-list-number permit | deny test conditions Router(config)#第16頁/共49頁Step 1:設(shè)置訪問列表測試語句的參數(shù)Router(config)#Step 2: 在端口上應(yīng)用訪問列表 protocol access-group access-list-number in | out Router(config-if)#訪問列表設(shè)置命令訪問列表設(shè)置命令I(lǐng)P 訪問列表的標(biāo)號為 1-99 和 100-199access-list access-list-number permit | deny test condit

10、ions 第17頁/共49頁編號范圍訪問列表類型如何識別訪問列表號如何識別訪問列表號IP 1-99100-199StandardExtended 標(biāo)準(zhǔn)訪問列表 (1 to 99) 檢查 IP 數(shù)據(jù)包的源地址 擴(kuò)展訪問列表 (100 to 199) 檢查源地址和目的地址、具體的 TCP/IP 協(xié)議和目的端口第18頁/共49頁編號范圍1-99 1300-1999Name (Cisco IOS 11.2 and later)100-199 2000-2699Name (Cisco IOS 11.2 and later)StandardNamed訪問列表類型如何識別訪問列表號如何識別訪問列表號 標(biāo)準(zhǔn)訪

11、問列表 檢查 IP 數(shù)據(jù)包的源地址 擴(kuò)展訪問列表 檢查源地址和目的地址、具體的 TCP/IP 協(xié)議和目的端口 其它訪問列表編號范圍表示不同協(xié)議的訪問列表ExtendNamed第19頁/共49頁通配符掩碼指明特定的主機(jī)通配符掩碼指明特定的主機(jī) 例如 檢查所有的地址位 可以簡寫為 host Test conditions: Check all the address bits (match all)(checks all bits)An IP host address, for example:Wildcard mask:第20頁/共49頁通配符掩碼指明所有主機(jī)通配符掩碼指明所有主機(jī) 所有主機(jī):

12、可以用 any 簡寫Test conditions: Ignore all the address bits (match any)(ignore all)Any IP addressWildcard mask:第21頁/共49頁Check for IP subnets /24 to /24.host .00000Wildcard mask: 0 0 0 0 1 1 1 1 | 0 0 0 1 0 0 0 0 = 16 0 0 0 1 0 0 0 1 =17 0 0 0 1 0 0 1 0 =18: : 0 0 0 1 1 1 1 1 =31通配符掩

13、碼和通配符掩碼和IP子網(wǎng)的對應(yīng)子網(wǎng)的對應(yīng)Address and wildcard mask: 第22頁/共49頁配置標(biāo)準(zhǔn)的 IP 訪問列表第23頁/共49頁標(biāo)準(zhǔn)標(biāo)準(zhǔn)IP訪問列表的配置訪問列表的配置access-list access-list-number permit|deny source maskRouter(config)# 為訪問列表設(shè)置參數(shù) IP 標(biāo)準(zhǔn)訪問列表編號 1 到 99 “no access-list access-list-number” 命令刪除訪問列表第24頁/共49頁access-list access-list-number permit|deny source

14、maskRouter(config)#標(biāo)準(zhǔn)標(biāo)準(zhǔn)IP訪問列表的配置訪問列表的配置 在端口上應(yīng)用訪問列表 指明是進(jìn)方向還是出方向 缺省 = 出方向 “no ip access-group access-list-number” 命令在端口上刪除訪問列表Router(config-if)#ip access-group access-list-number in | out 為訪問列表設(shè)置參數(shù) IP 標(biāo)準(zhǔn)訪問列表編號 1 到 99 “no access-list access-list-number” 命令刪除訪問列表第25頁/共49頁E0S0E1Non-標(biāo)準(zhǔn)訪問列表舉例標(biāo)準(zhǔn)訪問列表舉例 1 (im

15、plicit deny all - not visible in the list)第26頁/共49頁P(yáng)ermit my network only (implicit deny all - not visible in the list)interface ethernet 0ip access-group 1 outinterface ethernet 1ip access-group 1 outE0S0E1Non-標(biāo)準(zhǔn)訪問列表舉例標(biāo)準(zhǔn)訪問列表舉例 1第27頁/共49頁標(biāo)準(zhǔn)訪問列表舉例標(biāo)準(zhǔn)訪問列表舉例 2Deny a specific hostE0S0E1Non-第28頁/共49頁標(biāo)準(zhǔn)訪問列

16、表舉例標(biāo)準(zhǔn)訪問列表舉例 2E0S0E1Non-Deny a specific host(implicit deny all)第29頁/共49頁(implicit deny all)interface ethernet 0ip access-group 1 out標(biāo)準(zhǔn)訪問列表舉例標(biāo)準(zhǔn)訪問列表舉例 2E0S0E1Non-Deny a specific host第30頁/共49頁標(biāo)準(zhǔn)訪問列表舉例標(biāo)準(zhǔn)訪問列表舉例 3Deny a specific subnetE0S0E1Non-access-list 1 permit any(implicit deny all)第31頁/共49頁access-lis

17、t 1 permit any(implicit deny all)interface ethernet 0ip access-group 1 out標(biāo)準(zhǔn)訪問列表舉例標(biāo)準(zhǔn)訪問列表舉例 3E0S0E1Non-Deny a specific subnet第32頁/共49頁用訪問列表控制vty訪問第33頁/共49頁在路由器上過濾在路由器上過濾vty 五個虛擬通道 (0 到 4) 路由器的vty端口可以過濾數(shù)據(jù) 在路由器上執(zhí)行vty訪問的控制01 234Virtual ports (vty 0 through 4)Physical port e0 (Telnet)Console port (direct

18、 connect)consolee0第34頁/共49頁如何控制如何控制vty訪問訪問01 234Virtual ports (vty 0 through 4)Physical port (e0) (Telnet) 使用標(biāo)準(zhǔn)訪問列表語句 用 access-class 命令應(yīng)用訪問列表 在所有vty通道上設(shè)置相同的限制條件Router#e0第35頁/共49頁虛擬通道的配置虛擬通道的配置 指明vty通道的范圍 在訪問列表里指明方向access-class access-list-number in|outline vty#vty# | vty-rangeRouter(config)#Router(c

19、onfig-line)#第36頁/共49頁虛擬通道訪問舉例虛擬通道訪問舉例只允許網(wǎng)絡(luò)內(nèi)的主機(jī)連接路由器的 vty 通道!line vty 0 4 access-class 12 inControlling Inbound Access第37頁/共49頁擴(kuò)展 IP 訪問列表的配置第38頁/共49頁標(biāo)準(zhǔn)訪問列表和擴(kuò)展訪問列表比較標(biāo)準(zhǔn)訪問列表和擴(kuò)展訪問列表比較標(biāo)準(zhǔn)標(biāo)準(zhǔn)擴(kuò)展擴(kuò)展基于源地址基于源地址基于源地址和目標(biāo)地址基于源地址和目標(biāo)地址允許和拒絕完整的允許和拒絕完整的TCP/IP協(xié)議協(xié)議指定指定TCP/IP的特定協(xié)議的特定協(xié)議和端口號和端口號編號范圍編號范圍 100-199和和2000-2699編號范

20、圍編號范圍 1-99和和1300-1999第39頁/共49頁擴(kuò)展擴(kuò)展 IP 訪問列表的配置訪問列表的配置Router(config)# 設(shè)置訪問列表的參數(shù)access-list access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator port established log第40頁/共49頁Router(config-if)# ip access-group access-list-number in | ou

21、t 擴(kuò)展擴(kuò)展 IP 訪問列表的配置訪問列表的配置 在端口上應(yīng)用訪問列表Router(config)# 設(shè)置訪問列表的參數(shù)access-list access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator port established log第41頁/共49頁擴(kuò)展訪問列表應(yīng)用舉例擴(kuò)展訪問列表應(yīng)用舉例 1 拒絕子網(wǎng)的數(shù)據(jù)使用路由器e0口ftp到子網(wǎng) 允許其它數(shù)據(jù)E0S0E1Non-access-list 101 第

22、42頁/共49頁擴(kuò)展訪問列表應(yīng)用舉例擴(kuò)展訪問列表應(yīng)用舉例 1 拒絕子網(wǎng)的數(shù)據(jù)使用路由器e0口ftp到子網(wǎng) 允許其它數(shù)據(jù)E0S0E1Non-access-list 101 access-list 101 permit ip any any(implicit deny all)第43頁/共49頁access-list 101 access-list 101 permit ip any any(implicit deny all)interface ethernet 0ip access-group 101 out擴(kuò)展訪問列表應(yīng)用舉例擴(kuò)展訪問列表應(yīng)用舉例 1 拒絕子網(wǎng)的數(shù)據(jù)使用路由器e0口ftp到子網(wǎng) 允許其它數(shù)據(jù)E0S0E1Non-第44頁/共49頁wg_ro_a#show ip int e0Ethernet0 is up, line protocol is up Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound acc