16 使用访问列表管理 IP 流量

©2004,Enhaninfo,Inc.Allrightsreserved.使用AccessLists管理IP流量目标通过本章学习，你能够完成以下工作:•运用CiscoIOS命令来配置标准访问控制列表和扩展的访问控制列表•运用show的相关命令来校验访问控制列表的配置©2002,CiscoSystems,Inc.Allrightsreserved.4访问控制列表的应用目标通过本章学习，你能够完成以下内容:•解释使用访问控制列表的目的及访问控制列表潜在的相关应用•描述如何通过使用CiscoIOS命令将标准的访问控制列表和扩展的访问控制列表应用到接口的进方向和出方向•管理IP流量及接入网络的增长•对经过路由器的特定数据包进行过滤为什么要使用访问控制列表?•允许或拒绝数据包通过路由器.•允许或拒绝vty接入到路由器•如果没有使用访问控制列表，数据包在特定的网络上传输将不受限制访问控制列表应用•通过对数据包的检查来做特殊的处理其他访问控制列表应用•标准的访问控制列表–检查源地址–标准的访问控制列表允许或拒绝的是整个协议•扩展的访问控制列表–检查源和目的地址–扩展的访问控制列表允许或拒绝特定的协议访问控制列表类型用标准的访问控制列表来检查数据包用扩展的访问控制列表来检查数据包如何识别访问控制列表•标准的访问控制列表(1-99)testconditionsofallIPpacketsfromsourceaddresses.•扩展的访问控制列表(100-199)testconditionsofsourceanddestinationaddresses,specificTCP/IPprotocols,anddestinationports.•StandardIPlists(1300-1999)(expandedrange).•ExtendedIPlists(2000-2699)(expandedrange).•Otheraccesslistnumberrangestestconditionsforothernetworkingprotocols.出接口ACL操作•Ifnoaccessliststatementmatches,thendiscardthepacket.列表测试:拒绝或允许•0代表检查相应的地址位•1代表忽略相应的地址位.匹配码:如何检查相应的地址位•例如,172.30.16.290.0.0.0检查所有的地址位.•通过使用host关键字来缩写匹配位(host172.30.16.29).•检查所有的地址位(匹配所有).•检验一个IP地址,例如:通配码匹配特定的IP地址•接受任何地址:any•缩写以上表达使用关键字any.•测试条件:忽略任何的IP地址(匹配任何).•一个IP主机地址,例如:通配码匹配任何IP地址•检查IP子网172.30.16.0/24to172.30.31.0/24.•地址和通配码:172.30.16.00.0.15.255通配码匹配IP子网访问控制列表配置Router(config)#access-listaccess-list-number{permit|deny|remark}source[mask]配置标准访问控制列表Router(config)#access-listaccess-list-number{permit|deny}protocolsourcesource-wildcard[operatorport]destinationdestination-wildcard[operatorport][established][log]配置扩展访问控制列表Router(config)#ipaccess-list{standard|extended}nameRouter(config{std-|ext-}nacl)#{permit|deny}{ipaccesslisttestconditions}Router(config{std-|ext-}nacl)#{no{permit|deny}{ipaccesslisttestconditions配置命名访问控制列表Router(config-if)#ipaccess-group{access-list-number|name}{in|out}应用访问控制列表ACL配置实例Router(config)#access-list1deny10.0.0.00.255.255.255logRouter(config)#access-list1deny172.16.0.00.15.255.255logRouter(config)#access-list1deny192.168.0.00.0.255.255logRouter(config)#access-list1permitanyRouter(config)#interfacee0Router(config-if)#ipaccess-group1inRouter(config)#access-list100denyip10.0.0.00.255.255.255anylog-inputRouter(config)#access-list100denyip172.16.0.00.15.255.255anylog-inputRouter(config)#access-list100denyip192.168.0.00.0.255.255anylog-inputRouter(config)#access-list100permitipanyanyRouter(config)#interfacee0Router(config-if)#ipaccess-group100inACL配置实例Router(config)#ipaccess-listextendedDENY_RFC1918Router(config-ext-nacl)#denyip10.0.0.00.255.255.255anylog-inputRouter(config-ext-nacl)#denyip172.16.0.00.15.255.255anylog-inputRouter(config-ext-nacl)#denyip192.168.0.00.0.255.255anylog-inputRouter(config-ext-nacl)#permitipanyanyRouter(config)#interfacee0Router(config-if)#ipaccess-groupDENY_RFC1918inRouter(config)#ipaccess-liststandardDENY_RFC1918Router(config-std-nacl)#deny10.0.0.00.255.255.255logRouter(config-std-nacl)#deny172.16.0.00.15.255.255logRouter(config-std-nacl)#deny192.168.0.00.0.255.255logRouter(config-std-nacl)#permitanyRouter(config)#interfacee0Router(config-if)#ipaccess-groupDENY_RFC1918in配置基于时间的访问控制列表Router(config)#time-rangetime-range-name定义时间段Router(config-time-range)#absolute[starttimedate][endtimedate]定义绝对时间段Router(config-time-range)#periodicdays-of-the-weekhh:mmto[days-of-the-week]hh:mm定义时间段周期Periodic可以有多个语句，absolute只能有一条基于时间访问控制列表配置实例Router(config)#time-rangeno-httpRouter(config-time-range)#periodicweekdays8:00to17:59Router(config)#time-rangeudp-yesRouter(config-time-range)#periodicweekend12:00to19:59Router(config)#ipaccess-listextendedstrictRouter(config-ext-nacl)#denytcpanyanyeqhttptime-rangeno-httpRouter(config-ext-nacl)#permitudpanyanytime-rangeudp-yesRouter(config)#interfaceethernet0Router(config-if)#ipaccess-groupstrictin总结•访问控制列表为网络控制提供了一个强有力的工具.访问控制列表可以灵活的应用于路由器的进接口或出接口.可以对网络的流量和用户的接入进行管理.•一个IP访问控制列表是有序的列表,它能根据IP地址或上层协议做出允许或拒绝,控制列表可以过滤通过本路由器的流量,但是不能过滤自身产生的流量.•访问控制列表是CiscoIOS的一个附加机制.你能够定义访问控制列表来过滤数据包,或测试数据包是否到达目的地或者被丢弃总结(续.)•进接口的访问控制列表用来检查进接口方向的数据,在他们被路由到出接口方向之前,出接口的访问控制列表在出接口的方向应用,用来检查出接口的数据包.•CiscoIOS软件执行访问控制列表是按顺序的,所以第一个访问控制列表的条目被第一个检查,然后以次类推•使用通配码来来检验或忽略IP地址