I-用訪(fǎng)問(wèn)列表初步管理IP流量.ppt

第九章用訪(fǎng)問(wèn)列表初步管理IP流量 本章目標(biāo) 通過(guò)本章的學(xué)習(xí) 您應(yīng)該掌握以下內(nèi)容 識(shí)別IP訪(fǎng)問(wèn)列表的主要作用和工作流程配置標(biāo)準(zhǔn)的IP訪(fǎng)問(wèn)列表利用訪(fǎng)問(wèn)列表控制虛擬會(huì)話(huà)的建立配置擴(kuò)展的IP訪(fǎng)問(wèn)列表查看IP訪(fǎng)問(wèn)列表 172 16 0 0 172 17 0 0 Internet 為什么要使用訪(fǎng)問(wèn)列表 管理網(wǎng)絡(luò)中逐步增長(zhǎng)的IP數(shù)據(jù)當(dāng)數(shù)據(jù)通過(guò)路由器時(shí)進(jìn)行過(guò)濾 訪(fǎng)問(wèn)列表的應(yīng)用 允許 拒絕數(shù)據(jù)包通過(guò)路由器允許 拒絕Telnet會(huì)話(huà)的建立沒(méi)有設(shè)置訪(fǎng)問(wèn)列表時(shí) 所有的數(shù)據(jù)包都會(huì)在網(wǎng)絡(luò)上傳輸 虛擬會(huì)話(huà) IP 端口上的數(shù)據(jù)傳輸 QueueList 優(yōu)先級(jí)判斷 訪(fǎng)問(wèn)列表的其它應(yīng)用 基于數(shù)據(jù)包檢測(cè)的特殊數(shù)據(jù)通訊應(yīng)用 QueueList 優(yōu)先級(jí)判斷 訪(fǎng)問(wèn)列表的其它應(yīng)用 按需撥號(hào) 基于數(shù)據(jù)包檢測(cè)的特殊數(shù)據(jù)通訊應(yīng)用 訪(fǎng)問(wèn)列表的其它應(yīng)用 路由表過(guò)濾 RoutingTable QueueList 優(yōu)先級(jí)判斷 按需撥號(hào) 基于數(shù)據(jù)包檢測(cè)的特殊數(shù)據(jù)通訊應(yīng)用 標(biāo)準(zhǔn)檢查源地址通常允許 拒絕的是完整的協(xié)議 OutgoingPacket E0 S0 IncomingPacket AccessListProcesses Permit 什么是訪(fǎng)問(wèn)列表 標(biāo)準(zhǔn) 標(biāo)準(zhǔn)檢查源地址通常允許 拒絕的是完整的協(xié)議擴(kuò)展檢查源地址和目的地址通常允許 拒絕的是某個(gè)特定的協(xié)議 OutgoingPacket E0 S0 IncomingPacket AccessListProcesses Permit Protocol 什么是訪(fǎng)問(wèn)列表 擴(kuò)展 標(biāo)準(zhǔn)檢查源地址通常允許 拒絕的是完整的協(xié)議擴(kuò)展檢查源地址和目的地址通常允許 拒絕的是某個(gè)特定的協(xié)議進(jìn)方向和出方向 OutgoingPacket E0 S0 IncomingPacket AccessListProcesses Permit Protocol 什么是訪(fǎng)問(wèn)列表 訪(fǎng)問(wèn)列表配置指南 訪(fǎng)問(wèn)列表的編號(hào)指明了使用何種協(xié)議的訪(fǎng)問(wèn)列表每個(gè)端口 每個(gè)方向 每條協(xié)議只能對(duì)應(yīng)于一條訪(fǎng)問(wèn)列表訪(fǎng)問(wèn)列表的內(nèi)容決定了數(shù)據(jù)的控制順序具有嚴(yán)格限制條件的語(yǔ)句應(yīng)放在訪(fǎng)問(wèn)列表所有語(yǔ)句的最上面在訪(fǎng)問(wèn)列表的最后有一條隱含聲明 denyany 每一條正確的訪(fǎng)問(wèn)列表都至少應(yīng)該有一條允許語(yǔ)句先創(chuàng)建訪(fǎng)問(wèn)列表 然后應(yīng)用到端口上訪(fǎng)問(wèn)列表不能過(guò)濾由路由器自己產(chǎn)生的數(shù)據(jù) 訪(fǎng)問(wèn)列表設(shè)置命令 Step1 設(shè)置訪(fǎng)問(wèn)列表測(cè)試語(yǔ)句的參數(shù) access listaccess list number permit deny testconditions Router config Step1 設(shè)置訪(fǎng)問(wèn)列表測(cè)試語(yǔ)句的參數(shù) Router config Step2 在端口上應(yīng)用訪(fǎng)問(wèn)列表 protocol access groupaccess list number in out Router config if 訪(fǎng)問(wèn)列表設(shè)置命令 IP訪(fǎng)問(wèn)列表的標(biāo)號(hào)為1 99和100 199 access listaccess list number permit deny testconditions 如何識(shí)別訪(fǎng)問(wèn)列表號(hào) 編號(hào)范圍 訪(fǎng)問(wèn)列表類(lèi)型 IP 1 99 Standard 標(biāo)準(zhǔn)訪(fǎng)問(wèn)列表 1to99 檢查IP數(shù)據(jù)包的源地址 編號(hào)范圍 訪(fǎng)問(wèn)列表類(lèi)型 如何識(shí)別訪(fǎng)問(wèn)列表號(hào) IP 1 99100 199 StandardExtended 標(biāo)準(zhǔn)訪(fǎng)問(wèn)列表 1to99 檢查IP數(shù)據(jù)包的源地址擴(kuò)展訪(fǎng)問(wèn)列表 100to199 檢查源地址和目的地址 具體的TCP IP協(xié)議和目的端口 編號(hào)范圍 IP 1 99100 199Name CiscoIOS11 2andlater 800 899900 9991000 1099Name CiscoIOS11 2 Fandlater StandardExtendedSAPfiltersNamed StandardExtendedNamed 訪(fǎng)問(wèn)列表類(lèi)型 IPX 如何識(shí)別訪(fǎng)問(wèn)列表號(hào) 標(biāo)準(zhǔn)訪(fǎng)問(wèn)列表 1to99 檢查IP數(shù)據(jù)包的源地址擴(kuò)展訪(fǎng)問(wèn)列表 100to199 檢查源地址和目的地址 具體的TCP IP協(xié)議和目的端口其它訪(fǎng)問(wèn)列表編號(hào)范圍表示不同協(xié)議的訪(fǎng)問(wèn)列表 SourceAddress Segment forexample TCPheader Data Packet IPheader FrameHeader forexample HDLC Deny Permit Useaccessliststatements1 99 用標(biāo)準(zhǔn)訪(fǎng)問(wèn)列表測(cè)試數(shù)據(jù) DestinationAddress SourceAddress Protocol PortNumber Segment forexample TCPheader Data Packet IPheader FrameHeader forexample HDLC Useaccessliststatements1 99or100 199totestthepacket Deny Permit 用擴(kuò)展訪(fǎng)問(wèn)列表測(cè)試數(shù)據(jù) AnExamplefromaTCP IPPacket 通配符 如何檢查相應(yīng)的地址位 0表示檢查與之對(duì)應(yīng)的地址位的值1表示忽略與之對(duì)應(yīng)的地址位的值 donotcheckaddress ignorebitsinoctet 0 0 0 0 0 0 0 0 Octetbitpositionandaddressvalueforbit ignorelast6addressbits checkalladdressbits matchall ignorelast4addressbits checklast2addressbits Examples 通配符掩碼指明特定的主機(jī) 例如172 30 16 290 0 0 0檢查所有的地址位可以簡(jiǎn)寫(xiě)為host host172 30 16 29 Testconditions Checkalltheaddressbits matchall 172 30 16 29 0 0 0 0 checksallbits AnIPhostaddress forexample Wildcardmask 通配符掩碼指明所有主機(jī) 所有主機(jī) 0 0 0 0255 255 255 255可以用any簡(jiǎn)寫(xiě) Testconditions Ignorealltheaddressbits matchany 0 0 0 0 255 255 255 255 ignoreall AnyIPaddress Wildcardmask CheckforIPsubnets172 30 16 0 24to172 30 31 0 24 Network host172 30 16 0 Wildcardmask 00001111 00010000 1600010001 1700010010 18 00011111 31 通配符掩碼和IP子網(wǎng)的對(duì)應(yīng) Addressandwildcardmask 172 30 16 00 0 15 255 標(biāo)準(zhǔn)IP訪(fǎng)問(wèn)列表的配置 access listaccess list number permit deny source mask Router config 為訪(fǎng)問(wèn)列表設(shè)置參數(shù)IP標(biāo)準(zhǔn)訪(fǎng)問(wèn)列表編號(hào)1到99缺省的通配符掩碼 0 0 0 0 noaccess listaccess list number 命令刪除訪(fǎng)問(wèn)列表 access listaccess list number permit deny source mask Router config 標(biāo)準(zhǔn)IP訪(fǎng)問(wèn)列表的配置 在端口上應(yīng)用訪(fǎng)問(wèn)列表指明是進(jìn)方向還是出方向缺省 出方向 noipaccess groupaccess list number 命令在端口上刪除訪(fǎng)問(wèn)列表 Router config if ipaccess groupaccess list number in out 為訪(fǎng)問(wèn)列表設(shè)置參數(shù)IP標(biāo)準(zhǔn)訪(fǎng)問(wèn)列表編號(hào)1到99缺省的通配符掩碼 0 0 0 0 noaccess listaccess list number 命令刪除訪(fǎng)問(wèn)列表 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 標(biāo)準(zhǔn)訪(fǎng)問(wèn)列表舉例1 access list1permit172 16 0 00 0 255 255 implicitdenyall notvisibleinthelist access list1deny0 0 0 0255 255 255 255 Permitmynetworkonly access list1permit172 16 0 00 0 255 255 implicitdenyall notvisibleinthelist access list1deny0 0 0 0255 255 255 255 interfaceethernet0ipaccess group1outinterfaceethernet1ipaccess group1out 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 標(biāo)準(zhǔn)訪(fǎng)問(wèn)列表舉例1 標(biāo)準(zhǔn)訪(fǎng)問(wèn)列表舉例2 Denyaspecifichost 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 access list1deny172 16 4 130 0 0 0 標(biāo)準(zhǔn)訪(fǎng)問(wèn)列表舉例2 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 Denyaspecifichost access list1deny172 16 4 130 0 0 0access list1permit0 0 0 0255 255 255 255 implicitdenyall access list1deny0 0 0 0255 255 255 255 access list1deny172 16 4 130 0 0 0access list1permit0 0 0 0255 255 255 255 implicitdenyall access list1deny0 0 0 0255 255 255 255 interfaceethernet0ipaccess group1out 標(biāo)準(zhǔn)訪(fǎng)問(wèn)列表舉例2 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 Denyaspecifichost 標(biāo)準(zhǔn)訪(fǎng)問(wèn)列表舉例3 Denyaspecificsubnet 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 access list1deny172 16 4 00 0 0 255access list1permitany implicitdenyall access list1deny0 0 0 0255 255 255 255 access list1deny172 16 4 00 0 0 255access list1permitany implicitdenyall access list1deny0 0 0 0255 255 255 255 interfaceethernet0ipaccess group1out 標(biāo)準(zhǔn)訪(fǎng)問(wèn)列表舉例3 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 Denyaspecificsubnet 在路由器上過(guò)濾vty 五個(gè)虛擬通道 0到4 路由器的vty端口可以過(guò)濾數(shù)據(jù)在路由器上執(zhí)行vty訪(fǎng)問(wèn)的控制 0 1 2 3 4 Virtualports vty0through4 Physicalporte0 Telnet Consoleport directconnect console e0 如何控制vty訪(fǎng)問(wèn) 0 1 2 3 4 Virtualports vty0through4 Physicalport e0 Telnet 使用標(biāo)準(zhǔn)訪(fǎng)問(wèn)列表語(yǔ)句用access class命令應(yīng)用訪(fǎng)問(wèn)列表在所有vty通道上設(shè)置相同的限制條件 Router e0 虛擬通道的配置 指明vty通道的范圍 在訪(fǎng)問(wèn)列表里指明方向 access classaccess list number in out linevty04 Router config Router config line 虛擬通道訪(fǎng)問(wèn)舉例 只允許網(wǎng)絡(luò)192 89 55 0內(nèi)的主機(jī)連接路由器的vty通道 access list12permit192 89 55 00 0 0 255 linevty04access class12in ControllingInboundAccess 標(biāo)準(zhǔn)訪(fǎng)問(wèn)列表和擴(kuò)展訪(fǎng)問(wèn)列表比較 標(biāo)準(zhǔn) 擴(kuò)展 基于源地址 基于源地址和目標(biāo)地址 允許和拒絕完整的TCP IP協(xié)議 指定TCP IP的特定協(xié)議和端口號(hào) 編號(hào)范圍100到199 編號(hào)范圍1到99 擴(kuò)展IP訪(fǎng)問(wèn)列表的配置 Router config 設(shè)置訪(fǎng)問(wèn)列表的參數(shù) access listaccess list number permit deny protocolsourcesource wildcard operatorport destinationdestination wildcard operatorport established log Router config if ipaccess groupaccess list number in out 擴(kuò)展IP訪(fǎng)問(wèn)列表的配置 在端口上應(yīng)用訪(fǎng)問(wèn)列表 設(shè)置訪(fǎng)問(wèn)列表的參數(shù) Router config access listaccess list number permit deny protocolsourcesource wildcard operatorport destinationdestination wildcard operatorport established log 擴(kuò)展訪(fǎng)問(wèn)列表應(yīng)用舉例1 拒絕子網(wǎng)172 16 4 0的數(shù)據(jù)使用路由器e0口ftp到子網(wǎng)172 16 3 0允許其它數(shù)據(jù) 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 access list101denytcp172 16 4 00 0 0 255172 16 3 00 0 0 255eq21access list101denytcp172 16 4 00 0 0 255172 16 3 00 0 0 255eq20access list101permitipanyany implicitdenyall access list101denyip0 0 0 0255 255 255 2550 0 0 0255 255 255 255 access list101denytcp172 16 4 00 0 0 255172 16 3 00 0 0 255eq21access list101denytcp172 16 4 00 0 0 255172 16 3 00 0 0 255eq20access list101permitipanyany implicitdenyall access list101denyip0 0 0 0255 255 255 2550 0 0 0255 255 255 255 interfaceethernet0ipaccess group101out 擴(kuò)展訪(fǎng)問(wèn)列表應(yīng)用舉例1 拒絕子網(wǎng)172 16 4 0的數(shù)據(jù)使用路由器e0口ftp到子網(wǎng)172 16 3 0允許其它數(shù)據(jù) 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 擴(kuò)展訪(fǎng)問(wèn)列表應(yīng)用舉例2 拒絕子網(wǎng)172 16 4 0內(nèi)的主機(jī)使用路由器的E0端口建立Telnet會(huì)話(huà)允許其它數(shù)據(jù) 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 access list101denytcp172 16 4 00 0 0 255anyeq23access list101permitipanyany implicitdenyall access list101denytcp172 16 4 00 0 0 255anyeq23access list101permitipanyany implicitdenyall interfaceethernet0ipaccess group101out 擴(kuò)展訪(fǎng)問(wèn)列表應(yīng)用舉例2 拒絕子網(wǎng)172 16 4 0內(nèi)的主機(jī)使用路由器的E0端口建立Telnet會(huì)話(huà)允許其它數(shù)據(jù) 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 使用名稱(chēng)訪(fǎng)問(wèn)列表 Router config ipaccess list standard extended name 適用于IOS版本號(hào)為11 2以后 所使用的名稱(chēng)必須一致 使用名稱(chēng)訪(fǎng)問(wèn)列表 適用于IOS版本號(hào)為11 2以后 所使用的名稱(chēng)必須一致 允許和拒絕語(yǔ)句不需要訪(fǎng)問(wèn)列表編號(hào) no 命令刪除訪(fǎng)問(wèn)列表 在端口上應(yīng)用訪(fǎng)問(wèn)列表 訪(fǎng)問(wèn)列表配置準(zhǔn)則 訪(fǎng)問(wèn)列表中限制語(yǔ)句的位置是至關(guān)重要的將限制條件嚴(yán)格的語(yǔ)句放在訪(fǎng)問(wèn)列表的最上面使用noaccess listnumber命令刪除完整的訪(fǎng)問(wèn)列表例外 名稱(chēng)訪(fǎng)問(wèn)列表可以刪除單獨(dú)的語(yǔ)句隱含聲明denyall在設(shè)置的訪(fǎng)問(wèn)列表中要有一句permitany 訪(fǎng)問(wèn)列表的放置原則 將擴(kuò)展訪(fǎng)問(wèn)列表置于離源設(shè)備較近的位置將標(biāo)準(zhǔn)訪(fǎng)問(wèn)列表置于離目的設(shè)備較近的位置 E0 E0 E1 S0 To0 S1 S0 S1 E0 E0 B A C 推薦 D Router showipinte0Ethernet0isup lineprotocolisupInternetaddressis10 1 1 11 24Broadcastaddressis255 255 255 255AddressdeterminedbysetupcommandMTUis1500bytesHelpe