【教学课件】第十二章IP访问控制列表.ppt

Body Text,Second Level,Third Level,Fourth Level,Fifth Level,Slide Title,1999,Cisco Systems,Inc.,,ICND10-,*,第十二章,IP,访问控制列表,Internet,管理网络中逐步增长的,IP,数据,当数据通过路由器时进行过滤,为什么要使用访问列表,访问列表的应用,允许、拒绝数据包通过路由器,允许、拒绝,Telnet,会话的建立,没有设置访问列表时，所有的数据包都会在网络上传输,虚拟会话(,IP),端口上的数据传输,标准,检查源地址,通常允许、拒绝的是完整的协议,Outgoing,Packet,E0,S0,Incoming,Packet,Access List Processes,Permit?,Source,什么是访问列表-,标准,标准,检查源地址,通常允许、拒绝的是完整的协议,扩展,检查源地址和目的地址,通常允许、拒绝的是某个特定的协议,Outgoing,Packet,E0,S0,Incoming,Packet,Access List Processes,Permit?,Source,and Destination,Protocol,什么是访问列表-,扩展,标准,检查源地址,通常允许、拒绝的是完整的协议,扩展,检查源地址和目的地址,通常允许、拒绝的是某个特定的协议,进方向和出方向,Outgoing,Packet,E0,S0,Incoming,Packet,Access List Processes,Permit?,Source,and Destination,Protocol,什么是访问列表,InboundInterface,Packets,N,Y,Packet Discard Bucket,Choose,Interface,N,Access,List?,Routing,Table Entry,?,Y,Outbound Interfaces,Packet,S0,出端口方向上的访问列表,Outbound Interfaces,Packet,N,Y,Packet Discard Bucket,Choose,Interface,Routing,Table Entry,?,N,Packet,Test,Access List,Statements,Permit?,Y,出端口方向上的访问列表,Access,List?,Y,S0,E0,InboundInterface,Packets,Notify Sender,出端口方向上的访问列表,If no access list statement matches then discard the packet,N,Y,Packet Discard Bucket,Choose,Interface,Routing,Table Entry,?,N,Y,Test,Access List,Statements,Permit?,Y,Access,List?,Discard Packet,N,Outbound Interfaces,Packet,Packet,S0,E0,InboundInterface,Packets,访问列表的测试：允许和拒绝,Packets to interfaces,in the access group,Packet Discard,Bucket,Y,Interface(s),Destination,Deny,Deny,Y,Match,First,Test,?,Permit,访问列表的测试：允许和拒绝,Packets to Interface(s),in the Access Group,Packet Discard,Bucket,Y,Interface(s),Destination,Deny,Deny,Y,Match,First,Test,?,Permit,N,Deny,Permit,Match,Next,Test(s),?,Y,Y,访问列表的测试：允许和拒绝,Packets to Interface(s),in the Access Group,Packet Discard,Bucket,Y,Interface(s),Destination,Deny,Deny,Y,Match,First,Test,?,Permit,N,Deny,Permit,Match,Next,Test(s),?,Deny,Match,Last,Test?,Y,Y,N,Y,Y,Permit,访问列表的测试：允许和拒绝,Packets to Interface(s),in the Access Group,Packet Discard,Bucket,Y,Interface(s),Destination,Deny,Y,Match,First,Test,?,Permit,N,Deny,Permit,Match,Next,Test(s),?,Deny,Match,Last,Test?,Y,Y,N,Y,Y,Permit,Implicit,Deny,If no match,deny all,Deny,N,访问列表配置指南,访问列表的编号指明了使用何种协议的访问列表,每个端口、每个方向、每条协议只能对应于一条访问列表,访问列表的内容决定了数据的控制顺序,具有严格限制条件的语句应放在访问列表所有语句的最上面,在访问列表的最后有一条隐含声明：,deny any,每一条正确的访问列表都至少应该有一条允许语句,先创建访问列表，然后应用到端口上,访问列表不能过滤由路由器自己产生的数据,访问列表设置命令,Step 1:,设置访问列表测试语句的参数,access-list,access-list-number,permit|deny ,test,conditions,Router(config)#,Step 1:,设置访问列表测试语句的参数,Router(config)#,Step 2:,在端口上应用访问列表,ip access-group,access-list-number in|out,Router(config-if)#,访问列表设置命令,IP,访问列表的标号为 1-99 和,100-199,access-list,access-list-number,permit|deny ,test,conditions,如何识别访问列表号,编号范围,访问列表类型,IP,1-99,Standard,标准访问列表(1,to 99),检查,IP,数据包的源地址,编号范围,访问列表类型,如何识别访问列表号,IP,1-99,100-199,Standard,Extended,标准访问列表(1,to 99),检查,IP,数据包的源地址,扩展访问列表,(100 to 199),检查源地址和目的地址、具体的,TCP/IP,协议和目的端口,编号范围,1-99,1300-1999,Name(Cisco IOS 11.2 and later),100-199 2000-2699,Name(Cisco IOS 11.2 and later),Standard,Named,访问列表类型,如何识别访问列表号,标准访问列表 检查,IP,数据包的源地址,扩展访问列表,检查源地址和目的地址、具体的,TCP/IP,协议和目的端口,其它访问列表编号范围表示不同协议的访问列表,Extend,Named,例如 检查所有的地址位,可以简写为,host,(host 172.30.16.29),Test conditions:Check all the address bits(match all),172.30.16.29,(,checks all bits),An IP host address,for example:,Wildcard mask:,通配符掩码指明特定的主机,所有主机:,可以用,any,简写,Test conditions:Ignore all the address bits(match any),0.0.0.0,(,ignore all),Any IP address,Wildcard mask:,通配符掩码指明所有主机,标准,IP,访问列表的配置,access-list,access-list-number,permit|deny,source,inverse-,mask,Router(config)#,为访问列表设置参数,IP,标准访问列表编号 1 到,99,“,no,access-list,access-list-number,”,命令删除访问列表,access-list,access-list-number,permit|deny,source,mask,Router(config)#,在端口上应用访问列表,指明是进方向还是出方向,“no ip,access-group,access-list-number,”,命令在端口上删除访问列表,Router(config-if)#,ip access-group,access-list-number,in|out,为访问列表设置参数,IP,标准访问列表编号 1 到,99,“no,access-list,access-list-number,”,命令删除访问列表,标准,IP,访问列表的配置,E0,S0,E1,Non-,标准访问列表举例 1,(implicit deny all-not visible in the list),(access-list 1 deny 0.0.0.0 255.255.255.255),Permit my network only,(implicit deny all-not visible in the list),(access-list 1 deny 0.0.0.0 255.255.255.255),interface ethernet 0,ip access-group 1 out,interface ethernet 1,ip access-group 1 out,E0,S0,E1,Non-,标准访问列表举例 1,Deny a specific host,标准访问列表举例 2,E0,S0,E1,Non-,access-list 1 deny 172.16.4.13 0.0.0.0,标准访问列表举例 2,E0,S0,E1,Non-,Deny a specific host,access-list 1 deny 172.16.4.13 0.0.0.0,access-list 1 permit 0.0.0.0,(implicit deny all),(access-list 1 deny 0.0.0.0 255.255.255.255),access-list 1 deny 172.16.4.13 0.0.0.0,access-list 1 permit 0.0.0.0,(implicit deny all),(access-list 1 deny 0.0.0.0 255.255.255.255),interface ethernet 0,ip access-group 1 out,标准访问列表举例 2,E0,S0,E1,Non-,Deny a specific host,Deny a specific subnet,标准访问列表举例 3,E0,S0,E1,Non-,access-list 1 deny 172.16.4.0,access-list 1 permit any,(implicit deny all),(access-list 1 deny 0.0.0.0 255.255.255.255),access-list 1 deny 172.16.4.0,access-list 1 permit any,(implicit deny all),(access-list 1 deny 0.0.0.0 255.255.255.255),interface ethe。