配置IP访问列表.ppt

目标 完成本章后，你能: 使用IOS命令熟练地配置标准和扩展访问控制列表。 使用show命令显示你的配置信息，并通过相应的show命令观察你的过滤结果信息。 访问列表配置指南 在路由器的全局配置模式下创建ACL。 指定一个访问列表的表号，1-99表示标准ACL；100-199表示扩展访问列表，不到必要的时候，不要使用扩展的列表号码. 每接口、每协议、每方向只能有一个访问列表。 在ACL中，你输入列表条目的顺序就是IOS测试的顺序。 记住：把最严格的条目写在最上面，并且注意好判断语句之间的逻辑顺序，防止出错。 ACL的最后一行语句默认是拒绝所有，此条目并不显示，所以要非常注意。你要根据实际情况，添加相应的允许(permit)语句。 在把ACL映射到接口之前先做好这个ACL，否则就全部拒绝。 ACL对穿越路由器和到达路由器的流量起作用，对来自路由器本身的流量不起作用。 访问列表命令概述 标准IP访问列表的配置 标准IP访问列表范例1：允许一个源的通信流量通过 标准IP访问列表范例2：拒绝一个特定主机的通信流量 标准IP访问列表范例3:拒绝一个特定子网的通信流量 扩展IP访问列表配置 扩展访问列表范例1：拒绝FTP通信流量通过ETHERNET0 扩展访问列表范例2:拒绝TELNET流量通过ETHERNET0接口 使用Named(命名)IP访问列表 对访问路由器的TELNET流量实施过滤 缺省路由器开启5个虚拟终端线路(线路号为:0到4,每个线路对应一个端口就叫做虚拟端口(vty ports));在路由器内部就是由这5个虚拟端口来处理远程登陆(telnet)的流量；而端口号码就是区分不同的telnet会话的。 可以根据你的管理要求对访问VTY端口的管理流量实施单独、组合或全部相同的线路过滤控制. 我们可以在IN和OUT两个方向上控制对VTY端口的访问. 可以使用line命令配置更多的虚拟端口(vty ports). 如何控制VTY的访问 Vty命令 Vty访问范例 访问列表的配置原则 访问列表中表项的顺序是至关重要的. 推荐: 在PC中使用文本编辑器创建访问列表的表项, 然后剪切并粘贴到路由器的配置文件中. 访问列表是从上至下的顺序处理的，要牢记 要把最严谨的表项放在最前面，防止产生错误. 不能对列表中的条目重新排序和移除. 使用no access-list number移除整个访问列表. 例外: 命名访问列表可以移除单个表项条目，但无法重新排序，如果使用PIX防火墙就没有问题；估计在以后的新版本中可能会做到. 对于任何表项条目都不匹配的，IOS默认为拒绝所有. 除非在访问列表的结束位置用明确的permit语句允许. 正确放置IP访问列表 检查ACL 检查ACL的表项条目 总结 良好的设计和实施的ACL对你的网络安全性是至关重要的。在CCSP中SECURE IOS这门课中基本都是高级ACL的应用技术。 为实现标准和扩展ACL的功能，你需要在IOS的配置模式下完成它，并把它作用到相应接口上。 命名ACL与编号ACL类似，但由于没有号码范围的限制，又可以单独删除某个条目，并且不需要重复输入列表前缀，因此得到普遍的使用；以后的IOS版本也是针对命名ACL的修订，编号ACL将逐步被取缔。 总结(继续) 出于安全的目的，你可以对TELNET会话做过滤，从而允许和拒绝相应的IP地址对你重要设备的管理性访问。 注意按照课程中的推荐的方法放置访问列表；否则会带来未知的结果。 当你完成ACL的配置，要经常使用SHOW命令进行检查和测试。 扩展的IP访问控制列表 顾名思义，扩展的IP访问表用于扩展报文过滤能力。一个扩展的IP访问表允许用户根据如下内容过滤报文：源和目的地址、协议、源和目的端口以及在特定报文字段中允许进行特殊位比较等等。幻灯中是一个扩展的IP访问表的一般语法格式。 下面简要介绍各个关键字的功能：　　1、list number----表号范围　　扩展IP访问表的表号标识从l00到199。　　2、protocol-----协议　　协议项定义了需要被过滤的协议，例如IP、TCP、UDP、1CMP等等。协议选项是很重要的，因为在TCP/IP协议栈中的各种协议之间有很密切的关系，如果管理员希望根据特殊协议进行报文过滤，就要指定该协议。 　　另外，管理员应该注意将相对重要的过滤项放在靠前的位置。如果管理员设置的命令中，允许IP地址的语句放在拒绝TCP地址的语句前面，则后一个语句根本不起作用。但是如果将这两条语句换一下位置，则在允许该地址上的其他协议的同时，拒绝了TCP协议。　　3、源端口号和目的端口号　　源端口号可以用几种不同的方法来指定。它可以显式地指定，使用一个数字或者使用一个可识别的助记符。例如，我们可以使