九章使用訪問列表管理流量1剖析教案_第1頁
九章使用訪問列表管理流量1剖析教案_第2頁
九章使用訪問列表管理流量1剖析教案_第3頁
九章使用訪問列表管理流量1剖析教案_第4頁
九章使用訪問列表管理流量1剖析教案_第5頁
已閱讀5頁,還剩61頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領

文檔簡介

1、九章使用訪問列表管理流量1剖析教案 第九章 使用訪問控制列表管理IP流量本章主要內(nèi)容:訪問控制列表的概述出口方向上訪問控制列表的執(zhí)行 如何識別訪問控制列表通配符掩碼配置訪問控制列表管理訪問控制列表 第九章 使用訪問控制列表管理IP流量 了解 IP 訪問列表的主要作用 掌握 IP 訪問列表工作流程 能夠配置標準的 IP 訪問列表 能夠利用訪問列表控制虛擬會話的建立 能夠配置擴展的 IP 訪問列表 管理 IP 訪問列表重點:配置IP 訪問列表難點:IP 訪問列表工作流程要求:管理網(wǎng)絡中逐步增長的 IP 數(shù)據(jù)訪問控制列表概述一、為什么要使用訪問列表Internet管理網(wǎng)絡中逐步增長的 IP 數(shù)據(jù)當數(shù)

2、據(jù)通過路由器時進行過濾訪問控制列表概述訪問控制列表概述允許、拒絕數(shù)據(jù)包通過路由器允許、拒絕Telnet會話的建立沒有設置訪問列表時,所有的數(shù)據(jù)包都會在網(wǎng)絡上傳輸虛擬會話 (IP)端口上的數(shù)據(jù)傳輸二、訪問列表的應用QueueList優(yōu)先級判斷訪問控制列表概述基于數(shù)據(jù)包檢測的特殊數(shù)據(jù)通訊應用二、訪問列表的其他應用QueueList優(yōu)先級判斷訪問控制列表概述按需撥號基于數(shù)據(jù)包檢測的特殊數(shù)據(jù)通訊應用二、訪問列表的其他應用訪問控制列表概述路由表過濾RoutingTableQueueList優(yōu)先級判斷按需撥號基于數(shù)據(jù)包檢測的特殊數(shù)據(jù)通訊應用二、訪問列表的其他應用訪問控制列表概述三、什么是訪問列表1.訪問控

3、制列表:是一個控制網(wǎng)絡的有力工具,由一系列對包進行分類的條件組成。它提供了數(shù)據(jù)的過濾,可以在不妨礙合法通信連接的同時阻止非法的或不必要的數(shù)據(jù)流,保護網(wǎng)絡資源。2.訪問控制列表的分類:標準訪問控制列表擴展訪問控制列表命名的訪問控制列表 標準檢查源地址通常允許、拒絕的是完整的協(xié)議數(shù)據(jù)包出口E0S0數(shù)據(jù)包入口Access List ProcessesPermit?Source訪問控制列表概述 標準檢查源地址通常允許、拒絕的是完整的協(xié)議擴展檢查源地址和目的地址通常允許、拒絕的是某個特定的協(xié)議數(shù)據(jù)包出口E0S0數(shù)據(jù)包入口Access List ProcessesPermit?Sourceand Dest

4、inationProtocol訪問控制列表概述 標準檢查源地址通常允許、拒絕的是完整的協(xié)議擴展檢查源地址和目的地址通常允許、拒絕的是某個特定的協(xié)議進方向和出方向 數(shù)據(jù)包出口E0S0數(shù)據(jù)包入口Access List ProcessesPermit?Sourceand DestinationProtocol訪問控制列表概述數(shù)據(jù)包入口NY丟棄選擇接口NACL?有路由嗎??Y數(shù)據(jù)包出口S0出端口方向上的訪問列表的執(zhí)行 數(shù)據(jù)包出口PacketNY選擇接口有路由嗎?NPacket檢查條件Permit?Y出端口方向上的訪問列表的執(zhí)行 ACL?YS0E0數(shù)據(jù)包入口丟棄Notify Sender出端口方向上的訪

5、問列表的執(zhí)行 If no access list statement matches then discard the packet NYNYPermit?YACL?NPacketPacketS0E0數(shù)據(jù)包入口有路由嗎?選擇接口檢查條件數(shù)據(jù)包出口丟棄丟棄訪問列表的測試:允許和拒絕數(shù)據(jù)包到達接口丟棄Y通過接口DenyDenyY第一個條件匹配?Permit訪問列表的測試:允許和拒絕YDenyDenyYPermitNDenyPermitYY數(shù)據(jù)包到達接口第一個條件匹配?第二個條件匹配?通過接口丟棄訪問列表的測試:允許和拒絕YDenyDenyYPermitNDenyPermitDenyYYNYYPer

6、mit數(shù)據(jù)包到達接口第一個條件匹配?第二個條件匹配?最后一個條件匹配?丟棄通過接口訪問列表的測試:允許和拒絕YDenyYPermitNDenyPermitDenyYYNYYPermitImplicit DenyIf no matchdeny allDenyN數(shù)據(jù)包到達接口第一個條件匹配?第二個條件匹配?最后一個條件匹配?通過接口丟棄如何識別訪問列表編號范圍訪問列表類型IP 1-99Standard標準訪問列表 (1 to 99) 檢查 IP 數(shù)據(jù)包的源地址編號范圍訪問列表類型如何識別訪問列表IP 1-99100-199StandardExtended標準訪問列表 (1 to 99) 檢查 IP

7、 數(shù)據(jù)包的源地址擴展訪問列表 (100 to 199) 檢查源地址和目的地址、具體的 TCP/IP 協(xié)議和目的端口編號范圍IP 1-99100-199Name (Cisco IOS 11.2 and later)800-899900-9991000-1099Name (Cisco IOS 11.2. F and later)StandardExtendedSAP filtersNamedStandardExtendedNamed訪問列表類型IPX如何識別訪問列表標準訪問列表 (1 to 99) 檢查 IP 數(shù)據(jù)包的源地址擴展訪問列表 (100 to 199) 檢查源地址和目的地址、具體的 TC

8、P/IP 協(xié)議和目的端口其它訪問列表編號范圍表示不同協(xié)議的訪問列表SourceAddressSegment(for exle, TCP header)DataPacket(IP header)Frame Header(for exle, HDLC)DenyPermit Useaccess list statements1-99 用標準訪問列表測試數(shù)據(jù)DestinationAddressSourceAddressProtocolPortNumberSegment(for exle, TCP header)DataPacket(IP header)Frame Header(for exle, HD

9、LC) Useaccess list statements1-99 or 100-199 to test thepacket DenyPermitAn Exle from a TCP/IP Packet用擴展訪問列表測試數(shù)據(jù)通配符掩碼(Wildcard Mask)通配符掩碼的規(guī)定如下:通配符掩碼位為0表示檢查數(shù)據(jù)包的IP地址相對應的比特位。通配符掩碼位為1表示不檢查數(shù)據(jù)包的IP地址相對應的比特位。通配符和主機或網(wǎng)絡地址一起使用來告訴路由器要過濾的有效范圍。0 表示檢查與之對應的地址位的值1表示忽略與之對應的地址位的值=001111111286432168421=00000000=0000111

10、1=11111100=11111111檢查所有的地址位例如通配符:如何檢查相應的地址位忽略最后六位忽略最后四位檢查最后兩位忽略所有的地址位如果要指定一個主機,訪問控制列表中地址應當寫成: 可以簡寫為 host (host 9) 90 . 0 . 0 . 0(檢查所有的位) 主機地址為:通配符掩碼:通配符掩碼指明特定的主機例:某公司的網(wǎng)絡管理員計劃使用訪問控制列表控制主機對FTP服務器的訪問,目的是不允許地址為9 的主機訪問FTP服務器。 172. 30. 16. 00 . 0 . 0 . 255(檢查前三個字節(jié))一個子網(wǎng)為:通配符掩碼:通配符掩碼指明一個子網(wǎng)如果是不允許地

11、址在172. 30.16. 0 子網(wǎng)的所有主機訪問FTP服務器。訪問控制列表中地址應當寫成:172. 30. 16. 0 55 可以用 any 簡寫0. 0. 0. 0(忽略所有位)任意地址:通配符掩碼:通配符掩碼指明所有主機如果需要在訪問列表中表達所有的主機檢查從到 的所有子網(wǎng)Network .host .000010000通配符掩碼: 0 0 0 0 1 1 1 1 | 0 0 0 1 0 0 0 0 = 16 0 0 0 1 0 0 0 1 =17 0 0 0 1 0 0 1 0 =18: : 0 0 0 1 1 1 1 1 =31 地址和通配符掩碼: 通配符掩碼和IP子網(wǎng)的對應訪問列表

12、配置準則訪問列表的編號指明了使用何種協(xié)議的訪問列表每個端口、每個方向、每條協(xié)議只能對應于一條訪問列表訪問列表中限制語句的位置是至關重要的將限制條件嚴格的語句放在訪問列表的最上面隱含聲明 deny all在設置的訪問列表中要有一句 permit any訪問列表配置準則先創(chuàng)建訪問列表,然后應用到端口上訪問列表不能過濾由路由器自己產(chǎn)生的數(shù)據(jù)使用 no access-list number 命令刪除完整的訪問列表例外: 名稱訪問列表可以刪除單獨的語句配置訪問控制列表Step 1: 設置訪問列表測試語句的參數(shù)access-list access-list-number permit | deny tes

13、t conditions Router(config)#Step 1:設置訪問列表測試語句的參數(shù)Router(config)#Step 2: 在端口上應用訪問列表 protocol access-group access-list-number in | out Router(config-if)#配置訪問控制列表IP 訪問列表的標號為 1-99 和 100-199access-list access-list-number permit | deny test conditions 標準IP訪問列表的配置access-list access-list-number permit|deny s

14、ource maskRouter(config)#為訪問列表設置參數(shù)IP 標準訪問列表編號 1 到 99“no access-list access-list-number” 命令刪除訪問列表access-list access-list-number permit|deny source maskRouter(config)#在端口上應用訪問列表指明是進方向還是出方向缺省 = 出方向“no ip access-group access-list-number” 命令在端口上刪除訪問列表Router(config-if)#ip access-group access-list-number i

15、n | out 為訪問列表設置參數(shù)IP 標準訪問列表編號 1 到 99“no access-list access-list-number” 命令刪除訪問列表標準IP訪問列表的配置E0S0E1Non-標準訪問列表舉例 1(implicit deny all - not visible in the list)(access-list 1 deny 55)Permit my network only(implicit deny all - not visible in the list)(access-list 1 deny 55)interface ethernet 0ip access-gr

16、oup 1 outinterface ethernet 1ip access-group 1 outE0S0E1Non-標準訪問列表舉例 1Deny a specific host標準訪問列表舉例 2E0S0E1Non-access-list 1 deny 3 標準訪問列表舉例 2E0S0E1Non-Deny a specific hostaccess-list 1 deny 3 (implicit deny all)(access-list 1 deny 55)access-list 1 deny 3 (implicit deny all)(access-list 1 deny 55)int

17、erface ethernet 0ip access-group 1 out標準訪問列表舉例 2E0S0E1Non-Deny a specific hostDeny a specific subnet標準訪問列表舉例 3E0S0E1Non-access-list 1 permit any(implicit deny all)(access-list 1 deny 55)access-list 1 permit any(implicit deny all)(access-list 1 deny 55)interface ethernet 0ip access-group 1 out標準訪問列表舉

18、例 3E0S0E1Non-Deny a specific subnet在路由器上過濾vty五個虛擬通道 (0 到 4)路由器的vty端口可以過濾數(shù)據(jù)在路由器上執(zhí)行vty訪問的控制01234Virtual ports (vty 0 through 4)Physical port e0 (Telnet)Console port (direct connect)consolee0如何控制vty訪問01234Virtual ports (vty 0 through 4)Physical port (e0) (Telnet)使用標準訪問列表語句用 access-class 命令應用訪問列表在所有vty通

19、道上設置相同的限制條件Router#e0虛擬通道的配置指明vty通道的范圍在訪問列表里指明方向ip access-class access-list-number in|outline vty vty# | vty-rangeRouter(config)#Router(config-line)#虛擬通道訪問舉例只允許網(wǎng)絡 內(nèi)的主機連接路由器的 vty 通道!line vty 0 4 access-class 12 inControlling Inbound Access標準訪問列表和擴展訪問列表比較標準擴展基于源地址基于源地址和目標地址允許和拒絕完整的TCP/IP協(xié)議指定TCP/IP的特定協(xié)議

20、和端口號編號范圍 100 到 199.編號范圍 1 到 99擴展 IP 訪問列表的配置Router(config)#設置訪問列表的參數(shù)access-list access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator port established logRouter(config-if)# ip access-group access-list-number in | out 擴展 IP 訪問列表的配置在端口上

21、應用訪問列表設置訪問列表的參數(shù)Router(config)# access-list access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator port established log拒絕子網(wǎng) 的數(shù)據(jù)使用路由器e0口ftp到子網(wǎng) 允許其它數(shù)據(jù)E0S0E1Non-擴展訪問列表應用舉例 1access-list 101 deny tcp 55 55 eq 21access-list 101 deny tcp 55 5

22、5 eq 20拒絕子網(wǎng) 的數(shù)據(jù)使用路由器e0口ftp到子網(wǎng) 允許其它數(shù)據(jù)擴展訪問列表應用舉例 1E0S0E1Non-access-list 101 deny tcp 55 55 eq 21access-list 101 deny tcp 55 55 eq 20access-list 101 permit ip any any(implicit deny all)(access-list 101 deny ip 55 55)access-list 101 deny tcp 55 55 eq 21access-list 101 deny tcp 55 55 eq 20access-list 101

23、 permit ip any any(implicit deny all)(access-list 101 deny ip 55 55)interface ethernet 0ip access-group 101 out拒絕子網(wǎng) 的數(shù)據(jù)使用路由器e0口ftp到子網(wǎng) 允許其它數(shù)據(jù)擴展訪問列表應用舉例 1E0S0E1Non-拒絕子網(wǎng) 內(nèi)的主機使用路由器的 E0 端口建立Telnet會話允許其它數(shù)據(jù)擴展訪問列表應用舉例 2E0S0E1Non-access-list 101 deny tcp 55 any eq 23拒絕子網(wǎng) 內(nèi)的主機使用路由器的 E0 端口建立Telnet會話允許其它數(shù)據(jù)擴展訪問列

24、表應用舉例 2E0S0E1Non-access-list 101 deny tcp 55 any eq 23access-list 101 permit ip any any(implicit deny all)access-list 101 deny tcp 55 any eq 23access-list 101 permit ip any any(implicit deny all)interface ethernet 0ip access-group 101 out拒絕子網(wǎng) 內(nèi)的主機使用路由器的 E0 端口建立Telnet會話允許其它數(shù)據(jù)擴展訪問列表應用舉例 2E0S0E1Non-使用名

25、稱訪問列表Router(config)#ip access-list standard | extended name適用于IOS版本號為11.2以后所使用的名稱必須一致使用名稱訪問列表Router(config)#ip access-list standard | extended name permit | deny ip access list test conditions permit | deny ip access list test conditions no permit | deny ip access list test conditions Router(config

26、std- | ext-nacl)#適用于IOS版本號為11.2以后所使用的名稱必須一致允許和拒絕語句不需要訪問列表編號 “no” 命令刪除訪問列表Router(config)# ip access-list standard | extended nameRouter(config std- | ext-nacl)# permit | deny ip access list test conditions permit | deny ip access list test conditions no permit | deny ip access list test conditions Ro

27、uter(config-if)# ip access-group name in | out 使用名稱訪問列表適用于IOS版本號為11.2以后所使用的名稱必須一致允許和拒絕語句不需要訪問列表編號 “no” 命令刪除訪問列表在端口上應用訪問列表將擴展訪問列表置于離源設備較近的位置將標準訪問列表置于離目的設備較近的位置E0E0E1S0To0S1S0S1E0E0BAC訪問列表的放置原則推薦:D源主機目標主機wg_ro_a#show ip int e0Ethernet0 is up, line protocol is up Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1 Proxy ARP is enabled Security level is default Split horizon is enabled ICMP r

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論