收藏
下载资源

I-用访问列表初步管理-IP流量

上传人:枫** 文档编号:586673104 上传时间:2024-09-05 格式:PPT 页数:48 大小:647KB
返回 下载 相关 举报
I-用访问列表初步管理-IP流量_第1页
第1页 / 共48页
I-用访问列表初步管理-IP流量_第2页
第2页 / 共48页
I-用访问列表初步管理-IP流量_第3页
第3页 / 共48页
I-用访问列表初步管理-IP流量_第4页
第4页 / 共48页
I-用访问列表初步管理-IP流量_第5页
第5页 / 共48页
点击查看更多>>
资源描述

《I-用访问列表初步管理-IP流量》由会员分享,可在线阅读,更多相关《I-用访问列表初步管理-IP流量(48页珍藏版)》请在金锄头文库上搜索。

1、第九章用访问列表初步管理 IP流量本章目标本章目标通过本章的学习,您应该掌握以下内容: 识别 IP 访问列表的主要作用和工作流程配置标准的 IP 访问列表利用访问列表控制虚拟会话的建立配置扩展的 IP 访问列表查看 IP 访问列表Internet为什么要使用访问列表为什么要使用访问列表管理网络中逐步增长的 IP 数据当数据通过路由器时进行过滤访问列表的应用访问列表的应用允许、拒绝数据包通过路由器允许、拒绝Telnet会话的建立没有设置访问列表时,所有的数据包都会在网络上传输虚拟会话虚拟会话 (IP)端口上的数据传输端口上的数据传输QueueList优先级判断优先级判断访问列表的其它应用访问列表

2、的其它应用基于数据包检测的特殊数据通讯应用基于数据包检测的特殊数据通讯应用QueueList优先级判断优先级判断访问列表的其它应用访问列表的其它应用按需拨号按需拨号基于数据包检测的特殊数据通讯应用基于数据包检测的特殊数据通讯应用访问列表的其它应用访问列表的其它应用路由表过滤路由表过滤RoutingTableQueueList优先级判断优先级判断按需拨号按需拨号基于数据包检测的特殊数据通讯应用基于数据包检测的特殊数据通讯应用 标准检查源地址通常允许、拒绝的是完整的协议OutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit?Sourc

3、e什么是访问列表什么是访问列表-标准标准 标准检查源地址通常允许、拒绝的是完整的协议扩展检查源地址和目的地址通常允许、拒绝的是某个特定的协议OutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit?Sourceand DestinationProtocol什么是访问列表什么是访问列表-扩展扩展 标准检查源地址通常允许、拒绝的是完整的协议扩展检查源地址和目的地址通常允许、拒绝的是某个特定的协议进方向和出方向 OutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit?Sour

4、ceand DestinationProtocol什么是访问列表什么是访问列表访问列表配置指南访问列表配置指南访问列表的编号指明了使用何种协议的访问列表每个端口、每个方向、每条协议只能对应于一条访问列表访问列表的内容决定了数据的控制顺序 具有严格限制条件的语句应放在访问列表所有语句的最上面在访问列表的最后有一条隐含声明:deny any每一条正确的访问列表都至少应该有一条允许语句先创建访问列表,然后应用到端口上访问列表不能过滤由路由器自己产生的数据访问列表设置命令访问列表设置命令Step 1: 设置访问列表测试语句的参数设置访问列表测试语句的参数access-list access-list-

5、number permit | deny test conditions Router(config)#Step 1:设置访问列表测试语句的参数设置访问列表测试语句的参数Router(config)#Step 2: 在端口上应用访问列表在端口上应用访问列表 protocol access-group access-list-number in | out Router(config-if)#访问列表设置命令访问列表设置命令IP 访问列表的标号为 1-99 和 100-199access-list access-list-number permit | deny test conditions

6、如何识别访问列表号如何识别访问列表号编号范围编号范围访问列表类型访问列表类型IP 1-99Standard标准访问列表 (1 to 99) 检查 IP 数据包的源地址编号范围编号范围访问列表类型访问列表类型如何识别访问列表号如何识别访问列表号IP 1-99100-199StandardExtended标准访问列表 (1 to 99) 检查 IP 数据包的源地址扩展访问列表 (100 to 199) 检查源地址和目的地址、具体的 TCP/IP 协议和目的端口编号范围编号范围IP 1-99100-199Name (Cisco IOS 11.2 and later)800-899900-999100

7、0-1099Name (Cisco IOS 11.2. F and later)StandardExtendedSAP filtersNamedStandardExtendedNamed访问列表类型访问列表类型IPX如何识别访问列表号如何识别访问列表号标准访问列表 (1 to 99) 检查 IP 数据包的源地址扩展访问列表 (100 to 199) 检查源地址和目的地址、具体的 TCP/IP 协议和目的端口其它访问列表编号范围表示不同协议的访问列表SourceAddressSegment(for example, TCP header)DataPacket(IP header)Frame He

8、ader(for example, HDLC)DenyPermit Useaccess list statements1-99 用标准访问列表测试数据用标准访问列表测试数据DestinationAddressSourceAddressProtocolPortNumberSegment(for example, TCP header)DataPacket(IP header)Frame Header(for example, HDLC) Useaccess list statements1-99 or 100-199 to test thepacket DenyPermit用扩展访问列表测试数据

9、用扩展访问列表测试数据An Example from a TCP/IP Packet通配符:如何检查相应的地址位通配符:如何检查相应的地址位0 表示检查与之对应的地址位的值1表示忽略与之对应的地址位的值do not check address (ignore bits in octet)=001111111286432168421=00000000=00001111=11111100=11111111Octet bit position and address value for bitignore last 6 address bitscheck all address bits(match

10、 all)ignore last 4 address bitscheck last 2 address bitsExamples通配符掩码指明特定的主机通配符掩码指明特定的主机例如 172.30.16.29 0.0.0.0 检查所有的地址位 可以简写为 host (host 172.30.16.29)Test conditions: Check all the address bits (match all) 172.30.16.29(checks all bits)An IP host address, for example:Wildcard mask:通配符掩码指明所有主机通配符掩码指明

11、所有主机可以用 any 简写Test conditions: Ignore all the address bits (match any)0.0.0.0(ignore all)Any IP addressWildcard mask:Network Network .host .00 00 00 01 10000Wildcard mask: 0 0 0 0 1 1 1 1 | 0 0 0 1 0 0 0 0 = 16 0 0 0 1 0 0 0 1 =17 0 0 0 1 0 0 1 0 =18: : 0 0 0 1 1 1 1 1 =31通配符掩码和通配符掩码和IP子网的对应子网的对应Add

12、ress and wildcard mask: 标准标准IP访问列表的配置访问列表的配置access-list access-list-number permit|deny source maskRouter(config)#为访问列表设置参数为访问列表设置参数IP 标准访问列表编号标准访问列表编号 1 到到 99“no access-list access-list-number” 命令删除访问列表命令删除访问列表access-list access-list-number permit|deny source maskRouter(config)#标准标准IP访问列表的配置访问列表的配置在

13、端口上应用访问列表指明是进方向还是出方向缺省 = 出方向“no ip access-group access-list-number” 命令在端口上删除访问列表Router(config-if)#ip access-group access-list-number in | out 为访问列表设置参数为访问列表设置参数IP 标准访问列表编号标准访问列表编号 1 到到 99“no access-list access-list-number” 命令删除访问列表命令删除访问列表E0S0E1Non-标准访问列表举例标准访问列表举例 1(implicit deny all - not visible

14、in the list)(access-list 1 deny 0.0.0.0 255.255.255.255)Permit my network only(implicit deny all - not visible in the list)(access-list 1 deny 0.0.0.0 255.255.255.255)interface ethernet 0ip access-group 1 outinterface ethernet 1ip access-group 1 outE0S0E1Non-标准访问列表举例标准访问列表举例 1标准访问列表举例标准访问列表举例 2Deny

15、a specific hostE0S0E1Non-access-list 1 deny 172.16.4.13 0.0.0.0 标准访问列表举例标准访问列表举例 2E0S0E1Non-Deny a specific hostaccess-list 1 deny 172.16.4.13 0.0.0.0 (implicit deny all)(access-list 1 deny 0.0.0.0 255.255.255.255)access-list 1 deny 172.16.4.13 0.0.0.0 (implicit deny all)(access-list 1 deny 0.0.0.0

16、255.255.255.255)interface ethernet 0ip access-group 1 out标准访问列表举例标准访问列表举例 2E0S0E1Non-Deny a specific host标准访问列表举例标准访问列表举例 3Deny a specific subnetE0S0E1Non-access-list 1 permit any(implicit deny all)(access-list 1 deny 0.0.0.0 255.255.255.255)access-list 1 permit any(implicit deny all)(access-list 1

17、deny 0.0.0.0 255.255.255.255)interface ethernet 0ip access-group 1 out标准访问列表举例标准访问列表举例 3E0S0E1Non-Deny a specific subnet在路由器上过滤在路由器上过滤vty五个虚拟通道 (0 到 4)路由器的vty端口可以过滤数据在路由器上执行vty访问的控制01 234Virtual ports (vty 0 through 4)Physical port e0 (Telnet)Console port (direct connect)consolee0如何控制如何控制vty访问访问01 2

18、34Virtual ports (vty 0 through 4)Physical port (e0) (Telnet)使用标准访问列表语句用 access-class 命令应用访问列表在所有vty通道上设置相同的限制条件Router#e0虚拟通道的配置虚拟通道的配置指明vty通道的范围在访问列表里指明方向access-class access-list-number in|outline vty 0 4Router(config)#Router(config-line)#虚拟通道访问举例虚拟通道访问举例只允许网络192.89.55.0 内的主机连接路由器的 vty 通道!line vty 0

19、 4 access-class 12 inControlling Inbound Access标准访问列表和扩展访问列表比较标准访问列表和扩展访问列表比较标准标准扩展扩展基于源地址基于源地址基于源地址和目标地址基于源地址和目标地址允许和拒绝完整的允许和拒绝完整的TCP/IP协议协议指定指定TCP/IP的特定协议的特定协议和端口号和端口号编号范围编号范围 100 到到 199.编号范围编号范围 1 到到 99扩展扩展 IP 访问列表的配置访问列表的配置Router(config)#设置访问列表的参数access-list access-list-number permit | deny prot

20、ocol source source-wildcard operator port destination destination-wildcard operator port established logRouter(config-if)# ip access-group access-list-number in | out 扩展扩展 IP 访问列表的配置访问列表的配置在端口上应用访问列表在端口上应用访问列表设置访问列表的参数Router(config)# access-list access-list-number permit | deny protocol source sourc

21、e-wildcard operator port destination destination-wildcard operator port established log扩展访问列表应用举例扩展访问列表应用举例 1拒绝子网172.16.4.0 的数据使用路由器e0口ftp到子网172.16.3.0 允许其它数据E0S0E1Non-access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0

22、.0.255 eq 20access-list 101 permit ip any any(implicit deny all)(access-list 101 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255)access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20access-list 101 per

23、mit ip any any(implicit deny all)(access-list 101 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255)interface ethernet 0ip access-group 101 out扩展访问列表应用举例扩展访问列表应用举例 1拒绝子网172.16.4.0 的数据使用路由器e0口ftp到子网172.16.3.0 允许其它数据E0S0E1Non-扩展访问列表应用举例扩展访问列表应用举例 2拒绝子网 172.16.4.0 内的主机使用路由器的 E0 端口建立Telnet会话允许其它数据

24、E0S0E1Non-access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23access-list 101 permit ip any any(implicit deny all)access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23access-list 101 permit ip any any(implicit deny all)interface ethernet 0ip access-group 101 out扩展访问列表应用举例扩展访问列表应用举例 2拒绝子网 172.16

25、.4.0 内的主机使用路由器的 E0 端口建立Telnet会话允许其它数据E0S0E1Non-访问列表配置准则访问列表配置准则访问列表中限制语句的位置是至关重要的将限制条件严格的语句放在访问列表的最上面使用 no access-list number 命令删除完整的访问列表例外: 名称访问列表可以删除单独的语句隐含声明 deny all在设置的访问列表中要有一句 permit any访问列表的放置原则访问列表的放置原则将扩展访问列表置于离源设备较近的位置将标准访问列表置于离目的设备较近的位置E0E0E1S0To0S1S0S1E0E0B BA AC C推荐:推荐:D DRouter#show i

26、p int e0Ethernet0 is up, line protocol is up Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1 Proxy ARP is enabled Security level is default Split horizon is enabled ICMP

27、 redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is disabled IP Feature Fast switching turbo vector IP multicast fast switching is enabled IP multicast distributed fast switching is disa

28、bled 查看访问列表查看访问列表查看访问列表的语句查看访问列表的语句router#show access-lists Standard IP access list 1Extended IP access list 101 permit tcp host 10.22.22.1 any eq telnet permit tcp host 10.33.33.1 any eq ftp permit tcp host 10.44.44.1 any eq ftp-dataRouter#show protocol access-list access-list number router#show access-lists access-list number 本章总结本章总结完成本章的学习后,你应该能够掌握: 了解IP访问列表的工作过程配置标准的 IP 访问列表用访问列表控制 vty 访问 配置扩展的 IP 访问列表查看IP 访问列表问题回顾问题回顾1. IP 访问列表有哪两种类型?2. 在访问列表的最后有哪一个语句是隐含的?3. 在应用访问控制vty通道时,使用什么命令?

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 办公文档 > PPT模板库 > PPT素材/模板

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号