IP访问列表课件.ppt

计算机网络（第 4 版） 授课人：章程 Q Q: 1428828 E-mail: sameboy@ 访问列表 合理的矛盾:在网络设计中，如何为用户合理分配流量，又能提供安全有效的网络管理，是一个具有挑战性的难题！ 访问列表类型 IP标准访问列表 能够对源地址进行过滤，是一种简单，直接的数据控制手段。 IP扩展访问列表 除了基于数据包源地址的过滤以外，还能够对协议，目的地址，端口号进行网络流量过滤。当然，配置也更复杂。 访问列表的作用 访问列表中语句的顺序 访问列表中的语句按照由上而下的顺序依次对数据包进行处理，直到出现匹配的情况，决定是否让访问列表通过。 路由器接口 就访问列表本身来说，它只是放在路由器内部的存储器中的一串语句。创建访问列表是针对某个路由器接口的。 在访问列表的运用方面，有一个重要的问题，就是接口的方向问题。访问列表即可以用于入口（inbound），也可以用于出口（outbound）。 标准型IP访问列表 （1）标准型IP访问列表的格式 access-list[list number][permit|deny][source address] [address][wildcard mask][log] list number参数具有双重功能: （1）定义访问列表的操作协议; （2）通知IOS在处理access-list语句时，把相同的list number参数作为同一实体对待。 标准型IP访问列表 （2）允许/拒绝数据包通过 使用permit语句可以使得和访问列表项目匹配的数据包通过接口，而deny语句可以在接口过滤掉和访问列表项目匹配的数据包。source address代表主机的IP地址，利用不同掩码的组合可以指定主机。 access-list 1 permit 55 标准型IP访问列表 （3）指定地址 如果您想要指定一个特定的主机，可以增加一个通配符掩码。 例如 ---- Access-list 1 permit 在Cisco的访问列表中，用户除了使用上述的通配符掩码来指定特定的主机外，还可以使用“host”这一关键字。 例如 ---- Access-list 1 permit host 标准型IP访问列表 关键字“any”可以作为源地址的缩写，代表通配符掩码 55。 例如，如果希望拒绝来自IP地址为的站点的数据包，可以在访问列表中增加以下语句： ---- Access-list 1 deny host ---- Access-list 1 permit any 注意上述2条访问列表语句的次序。 标准型IP访问列表 （4）拒绝的奥秘 在默认情况下，除非明确规定允许通过，访问列表总是阻止或拒绝一切数据包的通过，即实际上在每个访问列表的最后，都隐含有一条“deny any”的语句。 假设我们使用了前面创建的标准IP访问列表，从路由器的角度来看，这条语句的实际内容如下： ---- access-list 1 deny host ---- access-list 1 permit any ---- access-list 1 deny any 在上述例子里面，由于访问列表中第2条语句明确允许任何数据包都通过，所以隐含的拒绝语句不起作用，但实际情况并不总是如此。 例如，如果希望来自源地址为和2的数据包通过路由器的接口，同时阻止其他一切数据包通过，则访问列表的代码如下： ---- access-list 1 permit host ---- access-list 1 permit host 2 扩展型IP访问列表 扩展型IP访问列表可以基于源地址和目标地址过滤外，还可以根据协议、源端口和目的端口过滤，甚至可以利用各种选项过滤。 扩展型IP访问列表的通用格式如下： ---- access-list[list number][permit|deny] [protocol|protocol key word] [source address source-wildcard mask][source port] [destination address destination-wildcard mask] [destination port][log options] 扩展型IP访问列表 access-list 101 permit tcp any host eq www access-list 101 permit ICMP any host 2 eq 8 在这2条语句中，第一条语句允许来自任何主机的TCP到达指定的IP地址为的主机，只要数据包传输Web流量。其中可以用80取代www，因为Web流量通过端口80。 第二