1501 使用访问列表管理IP流量

©2004,Enhaninfo,Inc.Allrightsreserved.©2004,Enhaninfo,Inc.Allrightsreserved.©2002,CiscoSystems,Inc.Allrightsreserved.使用AccessLists管理IP流量©2002,CiscoSystems,Inc.Allrightsreserved.目标通过本次课学习,你能够完成以下工作:•理解访问控制列表的工作原理•熟练掌握运用CiscoIOS命令来配置标准访问控制列表和扩展的访问控制列表.•掌握运用show的相关命令来校验访问控制列表的配置.©2002,CiscoSystems,Inc.Allrightsreserved.©2002,CiscoSystems,Inc.Allrightsreserved.4访问控制列表的应用©2002,CiscoSystems,Inc.Allrightsreserved.目标通过本章学习,你能够完成以下内容:•了解使用访问控制列表的目的及访问控制列表潜在的相关应用.•理解访问控制列表的工作原理•掌握如何通过使用CiscoIOS命令将标准的访问控制列表和扩展的访问控制列表应用到接口的进方向和出方向.©2002,CiscoSystems,Inc.Allrightsreserved.•管理IP流量及接入网络的增长•对经过路由器的特定数据包进行过滤为什么要使用访问控制列表?©2002,CiscoSystems,Inc.Allrightsreserved.•允许或拒绝数据包通过路由器.•允许或拒绝vty接入到路由器.•如果没有使用访问控制列表，数据包在特定的网络上传输将不受限制.访问控制列表应用控制一个接口上数据包的传输控制一个接口上数据包的传输控制虚拟线路上数据包的传输©2002,CiscoSystems,Inc.Allrightsreserved.•通过对数据包的检查来做特殊的处理其他访问控制列表应用©2002,CiscoSystems,Inc.Allrightsreserved.•标准的访问控制列表–检查源地址–标准的访问控制列表允许或拒绝的是整个协议•扩展的访问控制列表–检查源和目的地址–扩展的访问控制列表允许或拒绝特定的协议访问控制列表类型©2002,CiscoSystems,Inc.Allrightsreserved.用标准的访问控制列表来检查数据包©2002,CiscoSystems,Inc.Allrightsreserved.用扩展的访问控制列表来检查数据包©2002,CiscoSystems,Inc.Allrightsreserved.如何识别访问控制列表•标准的访问控制列表(1-99)检查从源地址发出的所有IP数据包.•扩展的访问控制列表(100-199)检查从源到目标地址中特殊的TCP/IP协议和目标端口.•标准IPlists(1300-1999)(扩展编号).•扩展IPlists(2000-2699)(扩展编号).•其他的访问列表的的编号用于其他的的网络协议.©2002,CiscoSystems,Inc.Allrightsreserved.操作•如果数据包没有匹配任何访问列表条目则此数据包被丢弃.©2002,CiscoSystems,Inc.Allrightsreserved.列表测试:拒绝或允许©2002,CiscoSystems,Inc.Allrightsreserved.•0代表检查相应的地址位•1代表忽略相应的地址位.匹配码:如何检查相应的地址位©2002,CiscoSystems,Inc.Allrightsreserved.•例如,172.30.16.290.0.0.0检查所有的地址位.•通过使用host关键字来缩写匹配位(host172.30.16.29).•检查所有的地址位(匹配所有).•检验一个IP地址,例如:通配码匹配特定的IP地址©2002,CiscoSystems,Inc.Allrightsreserved.•接受任何地址:any•缩写以上表达使用关键字any.•测试条件:忽略任何的IP地址(匹配任何).•一个IP主机地址,例如:通配码匹配任何IP地址©2002,CiscoSystems,Inc.Allrightsreserved.•检查IP子网172.30.16.0/24to172.30.31.0/24.•地址和通配码:172.30.16.00.0.15.255通配码匹配IP子网©2002,CiscoSystems,Inc.Allrightsreserved.总结•访问控制列表为网络控制提供了一个强有力的工具.访问控制列表可以灵活的应用于路由器的进接口或出接口.可以对网络的流量和用户的接入进行管理.•一个IP访问控制列表是有序的列表,它能根据IP地址或上层协议做出允许或拒绝,控制列表可以过滤通过本路由器的流量,但是不能过滤自身产生的流量.•访问控制列表是CiscoIOS的一个附加机制.你能够定义访问控制列表来过滤数据包,或测试数据包是否符合条件或者被丢弃.©2002,CiscoSystems,Inc.Allrightsreserved.总结(续.)•进接口的访问控制列表用来检查进接口方向的数据,在他们被路由到出接口方向之前,出接口的访问控制列表在出接口的方向应用,用来检查出接口的数据包.•CiscoIOS软件执行访问控制列表是按顺序的,所以访问控制列表的第一个条目被第一个检查,然后以次类推.•使用通配码来检验或忽略IP地址.©2004,Enhaninfo,Inc.Allrightsreserved.