《经管营销访问控制列表.pptx》由会员分享,可在线阅读,更多相关《经管营销访问控制列表.pptx(49页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、访问列表的应用访问列表的应用允许、拒绝数据包通过路由器允许、拒绝Telnet会话的建立没有设置访问列表时,所有的数据包都会在网络上传输虚拟会话(IP)端口上的数据传输第1页/共49页QueueList优先级判断访问列表的其它应用访问列表的其它应用基于数据包检测的特殊数据通讯应用第2页/共49页QueueList优先级判断访问列表的其它应用访问列表的其它应用按需拨号基于数据包检测的特殊数据通讯应用第3页/共49页访问列表的其它应用访问列表的其它应用路由表过滤RoutingTableQueueList优先级判断按需拨号基于数据包检测的特殊数据通讯应用第4页/共49页 标准检查源地址通常允许、拒绝的
2、是完整的协议OutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit?Source什么是访问列表什么是访问列表-标准标准第5页/共49页 标准检查源地址通常允许、拒绝的是完整的协议扩展检查源地址和目的地址通常允许、拒绝的是某个特定的协议OutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit?Sourceand DestinationProtocol什么是访问列表什么是访问列表-扩展扩展第6页/共49页 标准检查源地址通常允许、拒绝的是完整的协议扩展检查源地址和目的地址通
3、常允许、拒绝的是某个特定的协议进方向和出方向 OutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit?Sourceand DestinationProtocol什么是访问列表什么是访问列表第7页/共49页InboundInterfacePacketsNYPacket Discard BucketChooseInterfaceNAccessList?RoutingTable Entry?YOutbound InterfacesPacketS0出端口方向上的访问列表出端口方向上的访问列表 第8页/共49页Outbound Interf
4、acesPacketNYPacket Discard BucketChooseInterfaceRoutingTable Entry?NPacketTestAccess ListStatementsPermit?Y出端口方向上的访问列表出端口方向上的访问列表AccessList?YS0E0InboundInterfacePackets第9页/共49页Notify Sender出端口方向上的访问列表出端口方向上的访问列表If no access list statement matches then discard the packet NYPacket Discard BucketChoose
5、InterfaceRoutingTable Entry?NYTestAccess ListStatementsPermit?YAccessList?Discard PacketNOutbound InterfacesPacketPacketS0E0InboundInterfacePackets第10页/共49页访问列表的测试:允许和拒绝访问列表的测试:允许和拒绝Packets to interfacesin the access groupPacket Discard BucketYInterface(s)DestinationDenyDenyYMatchFirstTest?Permit第11
6、页/共49页访问列表的测试:允许和拒绝访问列表的测试:允许和拒绝Packets to Interface(s)in the Access GroupPacket Discard BucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?YY第12页/共49页访问列表的测试:允许和拒绝访问列表的测试:允许和拒绝Packets to Interface(s)in the Access GroupPacket Discard BucketYInterface(s)Destinatio
7、nDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTest?YYNYYPermit第13页/共49页访问列表的测试:允许和拒绝访问列表的测试:允许和拒绝Packets to Interface(s)in the Access GroupPacket Discard BucketYInterface(s)DestinationDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTest?YYNYYPermitImplici
8、t DenyIf no matchdeny allDenyN第14页/共49页访问列表配置指南访问列表配置指南访问列表的编号指明了使用何种协议的访问列表每个端口、每个方向、每条协议只能对应于一条访问列表访问列表的内容决定了数据的控制顺序 具有严格限制条件的语句应放在访问列表所有语句的最上面在访问列表的最后有一条隐含声明:deny any每一条正确的访问列表都至少应该有一条允许语句先创建访问列表,然后应用到端口上访问列表不能过滤由路由器自己产生的数据第15页/共49页访问列表设置命令访问列表设置命令Step 1:设置访问列表测试语句的参数access-list access-list-numbe
9、r permit|deny test conditions Router(config)#第16页/共49页Step 1:设置访问列表测试语句的参数Router(config)#Step 2:在端口上应用访问列表 protocol access-group access-list-number in|out Router(config-if)#访问列表设置命令访问列表设置命令IP 访问列表的标号为 1-99 和 100-199access-list access-list-number permit|deny test conditions 第17页/共49页编号范围访问列表类型如何识别访问列
10、表号如何识别访问列表号IP 1-99100-199StandardExtended标准访问列表(1 to 99)检查 IP 数据包的源地址扩展访问列表(100 to 199)检查源地址和目的地址、具体的 TCP/IP 协议和目的端口第18页/共49页编号范围1-99 1300-1999Name(Cisco IOS 11.2 and later)100-199 2000-2699Name(Cisco IOS 11.2 and later)StandardNamed访问列表类型如何识别访问列表号如何识别访问列表号标准访问列表 检查 IP 数据包的源地址扩展访问列表 检查源地址和目的地址、具体的 T
11、CP/IP 协议和目的端口其它访问列表编号范围表示不同协议的访问列表ExtendNamed第19页/共49页通配符掩码指明特定的主机通配符掩码指明特定的主机例如 检查所有的地址位 可以简写为 host Test conditions:Check all the address bits(match all)(checks all bits)An IP host address,for example:Wildcard mask:第20页/共49页通配符掩码指明所有主机通配符掩码指明所有主机所有主机:可以用 any 简写Test conditions:Ignore all the address
12、 bits(match any)(ignore all)Any IP addressWildcard mask:第21页/共49页Check for IP subnets 172.30.16.0/24 to 172.30.31.0/24Network Network .host.00 00 00 01 10000Wildcard mask:0 0 0 0 1 1 1 1|0 0 0 1 0 0 0 0 =16 0 0 0 1 0 0 0 1 =17 0 0 0 1 0 0 1 0 =18:0 0 0 1 1 1 1 1 =31通配符掩码和通配符掩码和IP子网的对应子网的对应Address an
13、d wildcard mask:第22页/共49页配置标准的 IP 访问列表第23页/共49页标准标准IP访问列表的配置访问列表的配置access-list access-list-number permit|deny source maskRouter(config)#为访问列表设置参数IP 标准访问列表编号 1 到 99“no access-list access-list-number”命令删除访问列表第24页/共49页access-list access-list-number permit|deny source maskRouter(config)#标准标准IP访问列表的配置访问列
14、表的配置在端口上应用访问列表指明是进方向还是出方向缺省=出方向“no ip access-group access-list-number”命令在端口上删除访问列表Router(config-if)#ip access-group access-list-number in|out 为访问列表设置参数IP 标准访问列表编号 1 到 99“no access-list access-list-number”命令删除访问列表第25页/共49页E0S0E1Non-标准访问列表举例标准访问列表举例 1 (implicit deny all-not visible in the list)第26页/共4
15、9页Permit my network only (implicit deny all-not visible in the list)interface ethernet 0ip access-group 1 outinterface ethernet 1ip access-group 1 outE0S0E1Non-标准访问列表举例标准访问列表举例 1第27页/共49页标准访问列表举例标准访问列表举例 2Deny a specific hostE0S0E1Non-第28页/共49页标准访问列表举例标准访问列表举例 2E0S0E1Non-Deny a specific host(implici
16、t deny all)第29页/共49页(implicit deny all)interface ethernet 0ip access-group 1 out标准访问列表举例标准访问列表举例 2E0S0E1Non-Deny a specific host第30页/共49页标准访问列表举例标准访问列表举例 3Deny a specific subnetE0S0E1Non-access-list 1 permit any(implicit deny all)第31页/共49页access-list 1 permit any(implicit deny all)interface ethernet
17、 0ip access-group 1 out标准访问列表举例标准访问列表举例 3E0S0E1Non-Deny a specific subnet第32页/共49页用访问列表控制vty访问第33页/共49页在路由器上过滤在路由器上过滤vty五个虚拟通道(0 到 4)路由器的vty端口可以过滤数据在路由器上执行vty访问的控制01 234Virtual ports(vty 0 through 4)Physical port e0(Telnet)Console port(direct connect)consolee0第34页/共49页如何控制如何控制vty访问访问01 234Virtual po
18、rts(vty 0 through 4)Physical port(e0)(Telnet)使用标准访问列表语句用 access-class 命令应用访问列表在所有vty通道上设置相同的限制条件Router#e0第35页/共49页虚拟通道的配置虚拟通道的配置指明vty通道的范围在访问列表里指明方向access-class access-list-number in|outline vty#vty#|vty-rangeRouter(config)#Router(config-line)#第36页/共49页虚拟通道访问举例虚拟通道访问举例只允许网络内的主机连接路由器的 vty 通道!line vty
19、 0 4 access-class 12 inControlling Inbound Access第37页/共49页扩展 IP 访问列表的配置第38页/共49页标准访问列表和扩展访问列表比较标准访问列表和扩展访问列表比较标准标准扩展扩展基于源地址基于源地址基于源地址和目标地址基于源地址和目标地址允许和拒绝完整的允许和拒绝完整的TCP/IP协议协议指定指定TCP/IP的特定协议的特定协议和端口号和端口号编号范围编号范围 100-199和和2000-2699编号范围编号范围 1-99和和1300-1999第39页/共49页扩展扩展 IP 访问列表的配置访问列表的配置Router(config)#设
20、置访问列表的参数access-list access-list-number permit|deny protocol source source-wildcard operator port destination destination-wildcard operator port established log第40页/共49页Router(config-if)#ip access-group access-list-number in|out 扩展扩展 IP 访问列表的配置访问列表的配置在端口上应用访问列表Router(config)#设置访问列表的参数access-list acce
21、ss-list-number permit|deny protocol source source-wildcard operator port destination destination-wildcard operator port established log第41页/共49页扩展访问列表应用举例扩展访问列表应用举例 1拒绝子网的数据使用路由器e0口ftp到子网允许其它数据E0S0E1Non-access-list 101 第42页/共49页扩展访问列表应用举例扩展访问列表应用举例 1拒绝子网的数据使用路由器e0口ftp到子网允许其它数据E0S0E1Non-access-list 1
22、01 access-list 101 permit ip any any(implicit deny all)第43页/共49页access-list 101 access-list 101 permit ip any any(implicit deny all)interface ethernet 0ip access-group 101 out扩展访问列表应用举例扩展访问列表应用举例 1拒绝子网的数据使用路由器e0口ftp到子网允许其它数据E0S0E1Non-第44页/共49页wg_ro_a#show ip int e0Ethernet0 is up,line protocol is up
23、 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1 Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables
24、 are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is disabled IP Feature Fast switching turbo vector IP multicast fast switching is enabled IP multicast distributed fast switching is disabled 查看访问列表查看访问列表第45页/共49页查看访问列表的语句查看访问列表的语句
25、wg_ro_a#show access-lists Standard IP access list 1Extended IP access list 101wg_ro_a#show protocol access-list access-list number wg_ro_a#show access-lists access-list number 第46页/共49页访问控制列表的放置原则访问控制列表的放置原则推荐:将扩展访问列表置于离源设备较近的位置将标准访问列表置于离目的设备较近的位置Internet第47页/共49页演示到此结束,谢谢!讲师:刘道军讲师:刘道军第48页/共49页感谢您的观看!第49页/共49页