思科2013年下期教學(xué)10訪(fǎng)問(wèn)控制列表_第1頁(yè)
思科2013年下期教學(xué)10訪(fǎng)問(wèn)控制列表_第2頁(yè)
思科2013年下期教學(xué)10訪(fǎng)問(wèn)控制列表_第3頁(yè)
思科2013年下期教學(xué)10訪(fǎng)問(wèn)控制列表_第4頁(yè)
思科2013年下期教學(xué)10訪(fǎng)問(wèn)控制列表_第5頁(yè)
已閱讀5頁(yè),還剩26頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、訪(fǎng)問(wèn)控制列表Access Control List教學(xué)目標(biāo)( Objectives )訪(fǎng)問(wèn)控制列表2.配置標(biāo)準(zhǔn)訪(fǎng)問(wèn)控制列表3. 配置擴(kuò)展訪(fǎng)問(wèn)控制列表4.配置命名訪(fǎng)問(wèn)控制列表Internet當(dāng)網(wǎng)絡(luò)訪(fǎng)問(wèn)增長(zhǎng)時(shí),管理IP通信當(dāng)數(shù)據(jù)包通過(guò)路由器時(shí),起到過(guò)濾作用為什么使用ACL?ACL作用1限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能。 2提供對(duì)通信流量的控制手段。3提供網(wǎng)絡(luò)訪(fǎng)問(wèn)的基本安全手段。4在路由器接口處,決定哪種類(lèi)型的通信流量被轉(zhuǎn)發(fā)、哪種類(lèi)型的通信流量被阻塞。 ACL如何工作ACL條件順序ACL條件順序Cisco IOS按照各描述語(yǔ)句在ACL中的順序,根據(jù)各描述語(yǔ)句的判斷條件,對(duì)數(shù)據(jù)包進(jìn)行檢查。一旦找到了某一匹配

2、條件,就結(jié)束比較過(guò)程,不再檢查以后的其他條件判斷語(yǔ)句。 什么是ACL?標(biāo)準(zhǔn) ACL 檢查源地址允許或拒絕整個(gè)協(xié)議族OutgoingPacketfa0/0S0/0 ingPacketAccess List ProcessesPermit?Source 擴(kuò)展 ACL 檢查源和目的地址通常允許或拒絕特定的協(xié)議OutgoingPacketFa0/0s0/0 ingPacketAccess List ProcessesPermit?Sourceand DestinationProtocol什么是ACL?用擴(kuò)展ACL檢查數(shù)據(jù)包常見(jiàn)端口號(hào)端口號(hào)20文件傳輸協(xié)議(FTP)數(shù)據(jù)21文件傳輸協(xié)議(FTP)程序23

3、遠(yuǎn)程登錄(Telnet)25簡(jiǎn)單郵件傳輸協(xié)議(SMTP)69普通文件傳送協(xié)議(TFTP)80超文本傳輸協(xié)議(HTTP)53域名服務(wù)系統(tǒng)(DNS)ACL表號(hào)(ACL Number ) 協(xié)議(Protocol)ACL表號(hào)的取值范圍(ACL Range)IP(Internet協(xié)議)1-99Extended IP(擴(kuò)展Internet協(xié)議)100-199AppleTalk600-699IPX(互聯(lián)網(wǎng)數(shù)據(jù)包交換)800-899Extended IPX(擴(kuò)展互聯(lián)網(wǎng)數(shù)據(jù)包交換)900-999IPX service Advertising Protocol(IPX服務(wù)通告協(xié)議)1000-1099通配符掩碼1.

4、是一個(gè)32比特位的數(shù)字字符串2.0表示“檢查相應(yīng)的位”,1表示“不檢查(忽略)相應(yīng)的位”特殊的通配符掩碼1. Any 552. Host9 Host 9Access List 命令Step 1:定義訪(fǎng)問(wèn)控制列表access-list access-list-number permit | deny test conditions Router(config)#Router(config)#access-list 1 permit 55Step 2:將訪(fǎng)問(wèn)控制列表應(yīng)用到某一接口上 protocol access-group access-list-number in | out Router(c

5、onfig-if)#Access List 命令Router(config-if)#ip access-group 1 out僅允許我的網(wǎng)絡(luò)access-list 1 permit 55(implicit deny all - not visible in the list)(access-list 1 deny 55)interface ethernet 0ip access-group 1 outinterface ethernet 1ip access-group 1 out標(biāo)準(zhǔn)IP ACL實(shí)例13E0S0E1Non-access-list 1 deny 3 access-list 1

6、permit 255(implicit deny all)(access-list 1 deny 55)interface ethernet 0ip access-group 1 out標(biāo)準(zhǔn)IP ACL實(shí)例23E0S0E1Non-拒絕特定的主機(jī)access-list 1 deny 55access-list 1 permit any(implicit deny all)(access-list 1 deny 55)interface ethernet 0ip access-group 1 out標(biāo)準(zhǔn)IP ACL實(shí)例33E0S0E1Non-拒絕特定的子網(wǎng)標(biāo)準(zhǔn)ACL與擴(kuò)展ACL比較標(biāo)準(zhǔn)擴(kuò)展過(guò)濾基于

7、源過(guò)濾基于源和目的允許或拒絕整個(gè)協(xié)議族允許或拒絕特定的IP協(xié)議或端口范圍(100-199)范圍(1-99)CASE STUDY首先使得PC1所在的網(wǎng)絡(luò)不能通過(guò)路由器R1訪(fǎng)問(wèn)PC2所在的網(wǎng)絡(luò)。擴(kuò)展ACL配置Router(config)# access-list access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator port established log參數(shù)參數(shù)描述access-list-number訪(fǎng)問(wèn)控制列

8、表表號(hào)permit|deny如果滿(mǎn)足條件,允許或拒絕后面指定特定地址的通信流量protocol用來(lái)指定協(xié)議類(lèi)型,如IP、TCP、UDP、ICMP等source and destination分別用來(lái)標(biāo)識(shí)源地址和目的地址source-mask通配符掩碼,跟源地址相對(duì)應(yīng)destination-mask通配符掩碼,跟目的地址相對(duì)應(yīng)operator lt,gt,eq,neq(小于,大于,等于,不等于) operand一個(gè)端口號(hào)established如果數(shù)據(jù)包使用一個(gè)已建立連接,便可允許TCP信息通過(guò)access-list 101 deny tcp 55 55 eq 21access-list 101

9、deny tcp 55 55 eq 20access-list 101 permit ip any any(implicit deny all)(access-list 101 deny ip 55 55)interface ethernet 0ip access-group 101 out拒絕從到的經(jīng)過(guò)E0出方向的FTP流量允許其他所有的流量擴(kuò)展ACL實(shí)例13E0S0E1Non-access-list 101 deny tcp 55 any eq 23access-list 101 permit ip any any(implicit deny all)interface ethernet

10、0ip access-group 101 out僅拒絕子網(wǎng) 在E0出方向的流量允許其他流量擴(kuò)展ACL實(shí)例 23E0S0E1Non-使用命名IP ACLRouter(config)#ip access-list standard | extended nameIOS11.2 以后支持的特征名字字符串要唯一 使用命名IP ACL permit | deny ip access list test conditions permit | deny ip access list test conditions no permit | deny ip access list test condition

11、s Router(config std- | ext-nacl)#允許或拒絕陳述條件前沒(méi)有表號(hào)可以用“NO”命令移去特定的陳述Router(config-if)# ip access-group name in | out 使用命名IP ACL在接口上激活命名ACL擴(kuò)展ACL靠近源標(biāo)準(zhǔn)ACL靠近目的E0E0E1S0To0S1S0S1E0E0BAC放置ACLDwg_ro_a#show ip int e0Ethernet0 is up, line protocol is up Internet address is 1/24 Broadcast address is 55 Address dete

12、rmined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1 Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always s

13、ent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is disabled IP Feature Fast switching turbo vector IP multicast fast switching is enabled IP multicast distributed fast switching is disabled 驗(yàn)證ACL監(jiān)視ACL陳述條件wg_ro_a#show access-lists Standard IP access list 1 permit permit permit permit Extended IP access list 101 permit tcp host any eq telnet permit tcp host any eq ftp permit tcp host any eq ftp-datawg_ro_a#show protocol access-list access-list

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論