©2009,CiscoSystems,Inc.—10-1第十二章IP访问控制列表©2009,CiscoSystems,Inc.—10-2本章目标通过本章的学习,您应该掌握以下内容:掌握访问列表的分类:标准ACL,扩展ACL.知道标准ACL和扩展ACL的区别.使用标准ACL来限制远程访问.©2009,CiscoSystems,Inc.—10-3•管理网络中逐步增长的IP数据•当数据通过路由器时进行过滤为什么要使用访问列表©2009,CiscoSystems,Inc.—10-4ACL的应用:过滤•允许、拒绝数据包通过路由器•允许、拒绝Telnet会话的建立•没有设置ACL时,所有的数据包都可以在网络上传输虚拟会话(IP)端口上的数据传输©2009,CiscoSystems,Inc.—10-5ACL的其它应用基于数据包检测的特殊数据通讯应用©2009,CiscoSystems,Inc.—10-6InboundInterfacePacketsNYPacketDiscardBucketChooseInterfaceNAccessList?RoutingTableEntry?YOutboundInterfacesPacketS0出端口方向上的访问列表©2009,CiscoSystems,Inc.—10-7OutboundInterfacesPacketNYPacketDiscardBucketChooseInterfaceRoutingTableEntry?NPacketTestAccessListStatementsPermit?Y出端口方向上的访问列表AccessList?YS0S0InboundInterfacePackets©2009,CiscoSystems,Inc.—10-8NotifySender出端口方向上的访问列表IfnoaccessliststatementmatchesthendiscardthepacketNYPacketDiscardBucketChooseInterfaceRoutingTableEntry?NYTestAccessListStatementsPermit?YAccessList?DiscardPacketNOutboundInterfacesPacketPacketS0S0InboundInterfacePackets©2009,CiscoSystems,Inc.—10-9访问列表的测试:允许和拒绝PacketstointerfacesintheaccessgroupPacketDiscardBucketYInterface(s)DestinationDenyDenyYMatchFirstTest?Permit©2009,CiscoSystems,Inc.—10-10访问列表的测试:允许和拒绝PacketstoInterface(s)intheAccessGroupPacketDiscardBucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?YY©2009,CiscoSystems,Inc.—10-11访问列表的测试:允许和拒绝PacketstoInterface(s)intheAccessGroupPacketDiscardBucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTest?YYNYYPermit©2009,CiscoSystems,Inc.—10-12访问列表的测试:允许和拒绝PacketstoInterface(s)intheAccessGroupPacketDiscardBucketYInterface(s)DestinationDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTest?YYNYYPermitImplicitDenyIfnomatchdenyallDenyN©2009,CiscoSystems,Inc.—10-13ACL的分类•标准–检查源IP地址–通常允许、拒绝的是完整的协议•扩展–检查源地址和目的地址–通常允许、拒绝的是某个特定的协议•基于命名的ACL•基于编号的ACL©2009,CiscoSystems,Inc.—10-14ACL的分类基于编号的标准ACL的范围是1-99和1300-1999.基于编号的扩展ACL的范围是100-199和2000-2699.©2009,CiscoSystems,Inc.—10-15访问列表配置指南•访问列表的编号指明了使用何种类型的访问列表•每个端口的每个方向上只能对应于一条访问列表•访问列表的内容决定了数据的控制顺序•具有严格限制条件的语句应放在访问列表所有语句的最上面•在访问列表的最后有一条隐含声明:denyany每一条正确的访问列表都至少应该有一条允许语句•先创建访问列表,然后应用到端口上•访问列表不能过滤由路由器自己产生的数据©2009,CiscoSystems,Inc.—10-16•例如172.30.16.290.0.0.0检查所有的地址位•可以简写为host(host172.30.16.29)Testconditions:Checkalltheaddressbits(matchall)172.30.16.290.0.0.0(checksallbits)AnIPhostaddress,forexample:Wildcardmask:通配符掩码指明特定的主机©2009,CiscoSystems,Inc.—10-17•所有主机:0.0.0.0255.255.255.255•可以用any简写Testconditions:Ignorealltheaddressbits(matchany)0.0.0.0255.255.255.255(ignoreall)AnyIPaddressWildcardmask:通配符掩码指明所有主机©2009,CiscoSystems,Inc.—10-18访问列表设置命令Step1:设置访问列表测试语句的参数access-listaccess-list-number{permit|deny}{testconditions}Router(config)#©2009,CiscoSystems,Inc.—10-19Step1:设置访问列表测试语句的参数Router(config)#Step2:在端口上应用访问列表{protocol}access-groupaccess-list-number{in|out}Router(config-if)#访问列表设置命令access-listaccess-list-number{permit|deny}{testconditions}©2009,CiscoSystems,Inc.—10-20标准IP访问列表的配置access-listaccess-list-number{permit|deny}source[mask]Router(config)#•为访问列表设置参数•IP标准访问列表编号1到99•缺省的通配符掩码=0.0.0.0•“noaccess-listaccess-list-number”命令删除访问列表©2009,CiscoSystems,Inc.—10-21access-listaccess-list-number{permit|deny}source[mask]Router(config)#•在端口上应用访问列表•指明是进方向还是出方向•缺省=出方向•“noipaccess-groupaccess-list-number”命令在端口上删除访问列表Router(config-if)#ipaccess-groupaccess-list-number{in|out}•为访问列表设置参数•IP标准访问列表编号1到99•缺省的通配符掩码=0.0.0.0•“noaccess-listaccess-list-number”命令删除访问列表标准IP访问列表的配置©2009,CiscoSystems,Inc.—10-22标准访问列表举例1PermitmynetworkonlyRouterX(config)#access-list1permit172.16.0.00.0.255.255(implicitdenyall-notvisibleinthelist)(access-list1deny0.0.0.0255.255.255.255)RouterX(config)#interfaceethernet0RouterX(config-if)#ipaccess-group1outRouterX(config)#interfaceethernet1RouterX(config-if)#ipaccess-group1out©2009,CiscoSystems,Inc.—10-23标准访问列表举例2DenyaspecifichostRouterX(config)#access-list1deny172.16.4.130.0.0.0RouterX(config)#access-list1permit0.0.0.0255.255.255.255(implicitdenyall)(access-list1deny0.0.0.0255.255.255.255)RouterX(config)#interfaceethernet0RouterX(config-if)#ipaccess-group1out©2009,CiscoSystems,Inc.—10-24在路由器上过滤vty•五个虚拟通道(0到4)•路由器的vty端口可以过滤数据•在路由器上执行vty访问的控制01234Virtualports(vty0through4)Physicalporte0(Telnet)Consoleport(directconnect)consolee0©2009,CiscoSystems,Inc.—10-25如何控制vty访问01234Virtualports(vty0through4)Physicalport(e0)(Telnet)•使用标准访问列表语句•用access-class命令应用访问列表•在所有vty通道上设置相同的限制条件Router#e0©2009,CiscoSystems,Inc.—10-26虚拟通道的配置•指明vty通道的范围•在访问列表里指明方向access-classaccess-list-number{in|out}linevty#{vty#|vty-range}Router(config)#Router(config-line)#©20