會計學1第網絡安全IP訪問控制列表訪問列表的應用允許、拒絕數據包通過路由器允許、拒絕Telnet會話的建立沒有設置訪問列表時，所有的數據包都會在網絡上傳輸虛擬會話(IP)端口上的數據傳輸第1頁/共41頁

標準檢查源地址通常允許、拒絕的是完整的協議

OutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?Source什么是訪問列表--標準第2頁/共41頁

標準檢查源地址通常允許、拒絕的是完整的協議擴展檢查源地址和目的地址通常允許、拒絕的是某個特定的協議OutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?Sourceand

DestinationProtocol什么是訪問列表--擴展第3頁/共41頁

標準檢查源地址通常允許、拒絕的是完整的協議擴展檢查源地址和目的地址通常允許、拒絕的是某個特定的協議進方向和出方向

OutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?Sourceand

DestinationProtocol什么是訪問列表第4頁/共41頁Inbound

InterfacePacketsNYPacketDiscardBucketChooseInterface

NAccessList

?RoutingTable

Entry

?YOutbound

InterfacesPacketS0出端口方向上的訪問列表第5頁/共41頁Outbound

InterfacesPacketNYPacketDiscardBucketChooseInterface

RoutingTable

Entry

?NPacketTestAccessListStatementsPermit

?Y出端口方向上的訪問列表AccessList

?YS0E0Inbound

InterfacePackets第6頁/共41頁NotifySender出端口方向上的訪問列表IfnoaccessliststatementmatchesthendiscardthepacketNYPacketDiscardBucketChooseInterface

RoutingTable

Entry

?NYTestAccessListStatementsPermit

?YAccessList

?DiscardPacketNOutbound

InterfacesPacketPacketS0E0Inbound

InterfacePackets第7頁/共41頁訪問列表的測試：允許和拒絕PacketstointerfacesintheaccessgroupPacket

DiscardBucketYInterface(s)DestinationDenyDenyYMatchFirstTest?Permit第8頁/共41頁訪問列表的測試：允許和拒絕PacketstoInterface(s)intheAccessGroupPacket

DiscardBucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?YY第9頁/共41頁訪問列表的測試：允許和拒絕PacketstoInterface(s)intheAccessGroupPacket

DiscardBucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTest

?YYNYYPermit第10頁/共41頁訪問列表的測試：允許和拒絕PacketstoInterface(s)intheAccessGroupPacket

DiscardBucketYInterface(s)DestinationDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTest

?YYNYYPermitImplicitDenyIfnomatchdenyallDenyN第11頁/共41頁訪問列表配置指南訪問列表的編號指明了使用何種協議的訪問列表每個端口、每個方向、每條協議只能對應于一條訪問列表訪問列表的內容決定了數據的控制順序具有嚴格限制條件的語句應放在訪問列表所有語句的最上面在訪問列表的最后有一條隱含聲明：denyany－每一條正確的訪問列表都至少應該有一條允許語句先創建訪問列表，然后應用到端口上訪問列表不能過濾由路由器自己產生的數據第12頁/共41頁訪問列表設置命令Step1:設置訪問列表測試語句的參數access-listaccess-list-number{permit|deny}{test

conditions}Router(config)#第13頁/共41頁Step1:設置訪問列表測試語句的參數Router(config)#Step2:在端口上應用訪問列表ipaccess-groupaccess-list-number{in|out}Router(config-if)#訪問列表設置命令IP訪問列表的標號為1-99和100-199access-listaccess-list-number{permit|deny}{test

conditions}第14頁/共41頁如何識別訪問列表號編號范圍訪問列表類型IP

1-99Standard標準訪問列表(1to99)檢查IP數據包的源地址第15頁/共41頁編號范圍訪問列表類型如何識別訪問列表號IP

1-99100-199StandardExtended標準訪問列表(1to99)檢查IP數據包的源地址擴展訪問列表(100to199)檢查源地址和目的地址、具體的TCP/IP協議和目的端口第16頁/共41頁編號范圍1-991300-1999Name(CiscoIOS11.2andlater)100-1992000-2699Name(CiscoIOS11.2andlater)StandardNamed訪問列表類型如何識別訪問列表號標準訪問列表檢查IP數據包的源地址擴展訪問列表

檢查源地址和目的地址、具體的TCP/IP協議和目的端口其它訪問列表編號范圍表示不同協議的訪問列表ExtendNamed第17頁/共41頁例如9檢查所有的地址位可以簡寫為host(host9)Testconditions:Checkalltheaddressbits(matchall)9

(checksallbits)AnIPhostaddress,forexample:Wildcardmask:通配符掩碼指明特定的主機第18頁/共41頁所有主機:55可以用any簡寫Testconditions:Ignorealltheaddressbits(matchany)

55(ignoreall)AnyIPaddressWildcardmask:通配符掩碼指明所有主機第19頁/共41頁標準IP訪問列表的配置access-listaccess-list-number{permit|deny}source[inverse-mask]Router(config)#為訪問列表設置參數IP標準訪問列表編號1到99“noaccess-listaccess-list-number”命令刪除訪問列表第20頁/共41頁access-listaccess-list-number{permit|deny}source[mask]Router(config)#在端口上應用訪問列表指明是進方向還是出方向“noipaccess-groupaccess-list-number”命令在端口上刪除訪問列表Router(config-if)#ipaccess-groupaccess-list-number{in|out}為訪問列表設置參數IP標準訪問列表編號1到99缺省的通配符掩碼=“noaccess-listaccess-list-number”命令刪除訪問列表標準IP訪問列表的配置第21頁/共41頁3E0S0E1Non-標準訪問列表舉例1access-list1permit

55(implicitdenyall-notvisibleinthelist)(access-list1deny55)第22頁/共41頁Permitmynetworkonlyaccess-list1permit

55(implicitdenyall-notvisibleinthelist)(access-list1deny55)interfaceethernet0ipaccess-group1outinterfaceethernet1ipaccess-group1out3E0S0E1Non-標準訪問列表舉例1第23頁/共41頁Denyaspecifichost標準訪問列表舉例23E0S0E1Non-access-list1deny3第24頁/共41頁標準訪問列表舉例23E0S0E1Non-Denyaspecifichostaccess-list1deny3access-list1permit55(implicitdenyall)(access-list1deny55)第25頁/共41頁access-list1deny3access-list1permit55(implicitdenyall)(access-list1deny55)interfaceethernet0ipaccess-group1out標準訪問列表舉例23E0S0E1Non-Denyaspecifichost第26頁/共41頁在路由器上過濾vty五個虛擬通道(0到4)路由器的vty端口可以過濾數據在路由器上執行vty訪問的控制01234Virtualports(vty0through4)Physicalporte0(Telnet)Consoleport(directconnect)consolee0第27頁/共41頁如何控制vty訪問01234Virtualports(vty0through4)Physicalport(e0)(Telnet)使用標準訪問列表語句用access-class

命令應用訪問列表在所有vty通道上設置相同的限制條件Router#e0第28頁/共41頁虛擬通道的配置指明vty通道的范圍在訪問列表里指明方向access-classaccess-list-number{in|out}linevty#{vty#|vty-range}Router(config)#Router(config-line)#第29頁/共41頁虛擬通道訪問舉例只允許網絡

內的主機連接路由器的vty通道access-list12permit55!linevty04access-class12inControllingInboundAccess第30頁/共41頁標準訪問列表和擴展訪問列表

比較標準擴展基于源地址基于源地址和目標地址允許和拒絕完整的TCP/IP協議指定TCP/IP的特定協議和端口號編號范圍100-199和2000-2699編號范圍1-99和1300-1999第31頁/共41頁擴展IP訪問列表的配置Router(config)#設置訪問列表的參數access-listaccess-list-number{permit|deny}protocolsource

source-wildcard[operatorport]

destinationdestination-wildcard

[operatorport]第32頁/共41頁Router(config-if)#ipaccess-groupaccess-list-number{in|out}擴展IP訪問列表的配置在端口上應用訪問列表Router(config)#設置訪問列表的參數access-listaccess-list-number{permit|deny}protocolsource

source-wildcard[operatorport]

destinationdestination-wildcard

[operatorport]第33頁/共41頁拒絕子網

的數據使用路由器e0口ftp到子網

允許其它數據3E0S0E1Non-擴展訪問列表應用舉例1access-list101denytcp

5555eq21access-list101denytcp5555eq20第34頁/共41頁拒絕子網

的數據使用路由器e0口ftp到子網

允許其它數據擴展訪問列表應用舉例13E0S0E1Non-access-list101denytcp

5555eq21access-list101denytcp5555eq20access-list101permitipanyany(implicitdenyall)(access-list101denyip5555)第35頁/共41頁access-list101denytcp

5555eq21access-list101denytcp5555eq20access-list101permitipanyany(implicitdenyall)(access-list101denyip5555)interfaceethernet0ipaccess-group101out拒絕子網

的數據使用路由器e0口ftp到子網

允許其它數據擴展訪問列表應用舉例13E0S0E1Non-第36頁/共41頁拒絕子網

內的主機使用路由器的E0端口建立Telnet會話允許其它數據擴展訪問列表應用舉例23E0S0E1Non-access-list101denytcp55anyeq