用访问列表初步管理IP流量上机.ppt
《用访问列表初步管理IP流量上机.ppt》由会员分享,可在线阅读,更多相关《用访问列表初步管理IP流量上机.ppt(62页珍藏版)》请在三一文库上搜索。
1、用访问列表初步管理 IP流量,本章目标,通过本章的学习,您应该掌握以下内容: 识别 IP 访问列表的主要作用和工作流程 配置标准的 IP 访问列表 利用访问列表控制虚拟会话的建立 配置扩展的 IP 访问列表 查看 IP 访问列表,管理网络中逐步增长的 IP 数据,为什么要使用访问列表,172.16.0.0,172.17.0.0,Internet,管理网络中逐步增长的 IP 数据 当数据通过路由器时进行过滤,为什么要使用访问列表,访问列表的应用,允许、拒绝数据包通过路由器 允许、拒绝Telnet会话的建立 没有设置访问列表时,所有的数据包都会在网络上传输,虚拟会话 (IP),端口上的数据传输,Q
2、ueue List,优先级判断,访问列表的其它应用,基于数据包检测的特殊数据通讯应用,Queue List,优先级判断,访问列表的其它应用,按需拨号,基于数据包检测的特殊数据通讯应用,访问列表的其它应用,路由表过滤,Routing Table,Queue List,优先级判断,按需拨号,基于数据包检测的特殊数据通讯应用 决定转发或阻止那种类型的数据流,标准 检查源地址 通常允许、拒绝的是完整的协议,Outgoing Packet,E0,S0,Incoming Packet,Access List Processes,Permit?,什么是访问列表,标准 检查源地址 通常允许、拒绝的是完整的协议
3、 扩展 检查源地址和目的地址 通常允许、拒绝的是某个特定的协议,Outgoing Packet,E0,S0,Incoming Packet,Access List Processes,Permit?,Protocol,什么是访问列表,标准 检查源地址 通常允许、拒绝的是完整的协议 扩展 检查源地址和目的地址 通常允许、拒绝的是某个特定的协议 进方向和出方向,Outgoing Packet,E0,S0,Incoming Packet,Access List Processes,Permit?,Protocol,什么是访问列表,Inbound Interface Packets,N,Y,Packe
4、t Discard Bucket,Choose Interface,N,Access List ?,Routing Table Entry ?,Y,Outbound Interfaces,Packet,S0,出端口方向上的访问列表,Outbound Interfaces,Packet,N,Y,Packet Discard Bucket,Choose Interface,Routing Table Entry ?,N,Packet,Test Access List Statements,Permit ?,Y,出端口方向上的访问列表,Access List ?,Y,S0,E0,Inbound In
5、terface Packets,Notify Sender,出端口方向上的访问列表,If no access list statement matches then discard the packet,N,Y,Packet Discard Bucket,Choose Interface,Routing Table Entry ?,N,Y,Test Access List Statements,Permit ?,Y,Access List ?,Discard Packet,N,Outbound Interfaces,Packet,Packet,S0,E0,Inbound Interface P
6、ackets,是否有出栈AL,测试访问列表命令,访问列表的测试:允许和拒绝,Packets to interfaces in the access group,Packet Discard Bucket,Y,Interface(s),Destination,Deny,Deny,Y,Match First Test ?,Permit,访问列表的测试:允许和拒绝,Packets to Interface(s) in the Access Group,Packet Discard Bucket,Y,Interface(s),Destination,Deny,Deny,Y,Match First Te
7、st ?,Permit,N,Deny,Permit,Match Next Test(s) ?,Y,Y,第一条命令不匹配就测试第二条,访问列表的测试:允许和拒绝,Packets to Interface(s) in the Access Group,Packet Discard Bucket,Y,Interface(s),Destination,Deny,Deny,Y,Match First Test ?,Permit,N,Deny,Permit,Match Next Test(s) ?,Deny,Match Last Test ?,Y,Y,N,Y,Y,Permit,访问列表的测试:允许和拒绝,
8、Packets to Interface(s) in the Access Group,Packet Discard Bucket,Y,Interface(s),Destination,Deny,Y,Match First Test ?,Permit,N,Deny,Permit,Match Next Test(s) ?,Deny,Match Last Test ?,Y,Y,N,Y,Y,Permit,Implicit Deny,If no match deny all,Deny,N,隐含命令DENY ALL,访问列表配置指南,访问列表的编号指明了使用何种协议的访问列表(1-99,100-199对
9、应 IP协议 ) 每个端口、每个方向、每条协议只能对应于一条访问列表 访问列表的内容决定了数据的控制顺序 具有严格限制条件的语句应放在访问列表所有语句的最上面,有利于提高性能。 在访问列表的最后有一条隐含声明:deny any每一条正确的访问列表都至少应该有一条允许语句 先创建访问列表,然后应用到端口上 访问列表不能过滤由路由器自己产生的数据,访问列表设置命令,Step 1: 设置访问列表测试语句的参数,access-list access-list-number permit | deny test conditions ,Router(config)#,Step 1:设置访问列表测试语句的
10、参数,Router(config)#,Step 2: 在端口上应用访问列表, protocol access-group access-list-number in | out,Router(config-if)#,访问列表设置命令,IP 访问列表的标号为 1-99 和 100-199,access-list access-list-number permit | deny test conditions ,如何识别访问列表,编号范围,访问列表类型,IP,1-99,Standard,标准访问列表 (1 to 99) 检查 IP 数据包的源地址,编号范围,访问列表类型,如何识别访问列表,IP,1
11、-99 100-199,Standard Extended,标准访问列表 (1 to 99) 检查 IP 数据包的源地址 扩展访问列表 (100 to 199) 检查源地址和目的地址、具体的 TCP/IP 协议和目的端口,编号范围,IP,1-99 100-199 Name (Cisco IOS 11.2 and later),800-899 900-999 1000-1099 Name (Cisco IOS 11.2. F and later),Standard Extended SAP filters Named,Standard Extended Named,访问列表类型,IPX,如何识别
12、访问列表,标准访问列表 (1 to 99) 检查 IP 数据包的源地址 扩展访问列表 (100 to 199) 检查源地址和目的地址、具体的 TCP/IP 协议和目的端口 其它访问列表编号范围表示不同协议的访问列表,Source(只检查源地址) Address,Segment (for example, TCP header),Data,Packet (IP header),Frame Header (for example, HDLC),Deny,Permit,Use access list statements 1-99,用标准访问列表测试数据,Destination Address,So
13、urce Address,Protocol,Port Number,Segment (for example, TCP header),Data,Packet (IP header),Frame Header (for example, HDLC),Use access list statements 1-99 or 100-199 to test the packet,Deny,Permit,An Example from a TCP/IP Packet,用扩展访问列表测试数据,需要检查源地址,目的地址,特定协议,端口号以及其他参数,0 表示检查与之对应的地址位的值 1表示忽略与之对应的地址
14、位的值,do not check address (ignore bits in octet),=,0,0,0,0,0,0,0,0,Octet bit position and address value for bit,ignore last 6 address bits,check all address bits (match all),ignore last 4 address bits,check last 2 address bits,Examples,通配符:如何检查相应的地址位,例如 172.30.16.29 0.0.0.0 检查所有的地址位 可以简写为 host (host
15、172.30.16.29):检查所有位,即是指定特定主机地址。,Test conditions: Check all the address bits (match all),172.30.16.29,0.0.0.0,(checks all bits),An IP host address, for example:,Wildcard mask:,通配符掩码指明特定的主机,所有主机: 0.0.0.0 255.255.255.255 可以用 any 简写 any等价0.0.0.0 255.255.255.255,Test conditions: Ignore all the address bi
16、ts (match any),0.0.0.0,255.255.255.255,(ignore all),Any IP address,Wildcard mask:,通配符掩码指明所有主机,Check for IP subnets 172.30.16.0/24 to 172.30.31.0/24,Network .host 172.30.16.0,Wildcard mask 0 0 0 0 1 1 1 1 | 0 0 0 1 0 0 0 0 = 16 0 0 0 1 0 0 0 1 = 17 0 0 0 1 0 0 1 0 = 18 : : 0 0 0 1 1 1 1 1 = 31,Addres
17、s and wildcard mask: 172.30.16.0 0.0.15.255,通配符掩码和IP子网的 对应,ll: 掩码对: 172.30.16.0 0.0.15.255,符合条件的网络, 1999, Cisco Systems, Inc.,,10-31,配置标准的 IP 访问列表,标准IP访问列表的配置,access-list access-list-number permit|deny source mask,Router(config)#,为访问列表设置参数 IP 标准访问列表编号 1 到 99 缺省的通配符掩码 = 0.0.0.0 (检查全部) “no access-list
18、 access-list-number” 命令删除访问列表,access-list access-list-number permit|deny source mask,Router(config)#,在端口上应用访问列表 指明是进方向还是出方向 缺省 = 出方向 “no ip access-group access-list-number” 命令在端口上删除访问列表,Router(config-if)#,ip access-group access-list-number in | out ,为访问列表设置参数 IP 标准访问列表编号 1 到 99 缺省的通配符掩码 = 0.0.0.0 “n
19、o access-list access-list-number” 命令删除访问列表,标准IP访问列表的配置,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non- 172.16.0.0,标准访问列表举例 1,access-list 1 permit 172.16.0.0 0.0.255.255 (implicit deny all - not visible in the list) (access-list 1 deny 0.0.0.0 255.255.255.255),Permit my network only,access-list 1 per
20、mit 172.16.0.0 0.0.255.255 (implicit deny all - not visible in the list) (access-list 1 deny 0.0.0.0 255.255.255.255) interface ethernet 0 ip access-group 1 out interface ethernet 1 ip access-group 1 out,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non- 172.16.0.0,标准访问列表举例 1,Deny a specific host,标准访问列
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 访问 列表 初步 管理 IP 流量 上机
链接地址:https://www.31doc.com/p-2394201.html