网络互联技术9- 访问控制列表.ppt_第1页
网络互联技术9- 访问控制列表.ppt_第2页
网络互联技术9- 访问控制列表.ppt_第3页
网络互联技术9- 访问控制列表.ppt_第4页
网络互联技术9- 访问控制列表.ppt_第5页
已阅读5页,还剩26页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、网络互联技术,第9章访问控制列表,提升网络技术打造未来世界,9.1 访问列表概述,9.1.1 ACL简介 ACL适用于所有被路由协议,如IP、IPX等。 ACL通过在路由器接口处控制路由数据包是被转发还是被阻塞来过滤网络通信流量。 ACL的检测条件:源地址、目的地址、上层协议及端口号。,网络互联技术,提升网络技术打造未来世界,9.1 访问列表概述,主机A,主机B,人力资源网络,研发网络,第9章访问控制列表,网络互联技术,提升网络技术打造未来世界,9.1 访问列表概述,9.1.2 ACL工作过程,可路由吗?,入站,N,Y,路由表?,N,Y,选择接口,ACL,N,Y,允许?,Y,N,出站,第9章访

2、问控制列表,网络互联技术,提升网络技术打造未来世界,9.1 访问列表概述,9.1.3 ACL检查过程,匹配第一步?,接口数据包,匹配下一步?,匹配最后一步?,允许?,Y,Y,Y,N,N,N,N,Y,第9章访问控制列表,网络互联技术,提升网络技术打造未来世界,9.2 访问列表配置,9.2.1 配置ACL的基本步骤 1、定义访问控制列表 Router(config)#access-list access-list-number permit | deny test-conditions 其中:access-list-number:表号(1-99)、(100-199) permit :允许满足测试条

3、件的数据包。 deny:拒绝满足测试条件的数据包。 test-conditions:测试条件,第9章访问控制列表,网络互联技术,提升网络技术打造未来世界,9.2 访问列表配置,取消定义的访问控制列表 Router(config)#no access-list access-list-number 注意:要修改列表的条目必须要先删除列表,然后再重新 建立新的列表。,第9章访问控制列表,网络互联技术,提升网络技术打造未来世界,9.2 访问列表配置,例: 定义访问控制列表 Router(config )#access-list 1 permit 55 Rout

4、er(config )#access-list 2 deny 55,第9章访问控制列表,网络互联技术,提升网络技术打造未来世界,9.2 访问列表配置,2、将访问控制列表应用到某一接口上 Router(config-if)#protocl access-group Access-list-number in |out 其中:IN 或OUT 表示作用在接口的方向,第9章访问控制列表,网络互联技术,提升网络技术打造未来世界,9.2 访问列表配置,例:应用访问控制列表 Router(config-if)#ip access-group 1 out Router(

5、config-if)#ip access-group 2 in,第9章访问控制列表,网络互联技术,提升网络技术打造未来世界,9.2 访问列表配置,IN,OUT,第9章访问控制列表,网络互联技术,提升网络技术打造未来世界,9.2 访问列表配置,3、访问控制列表的表号 1-99:IP 标准访问控制列表 100-199:IP扩展访控制问列表 600-699:APPLETALK 800-899:IPX,第9章访问控制列表,网络互联技术,提升网络技术打造未来世界,9.2 访问列表配置,4、通配符掩码 0:表示检查相应位 1:表示不检查相应位 表示检查所有位 55

6、 表示忽略所有位 55 表示只检查前24位,忽略后8位,第9章访问控制列表,网络互联技术,提升网络技术打造未来世界,9.2 访问列表配置,0表示检查相应的地址比特 1表示不检查相应的地址比特,0,0,0,0,0,0,0,0,第9章访问控制列表,网络互联技术,提升网络技术打造未来世界,9.2 访问列表配置,5、通配符掩码中的缩写字 ANY :表示所有地址 HOST:表示一个特定主机地址 以下语句功能相同: Router(config)#access-list 1 permit 55 Router(config)# access-list 1

7、 permit any,第9章访问控制列表,网络互联技术,提升网络技术打造未来世界,9.2 访问列表配置,以下语句功能相同: Router(config)#access-list 2 permit Router(config)# access-list 2 permit host ,第9章访问控制列表,网络互联技术,提升网络技术打造未来世界,9.3 标准访问列表,9.3.1 标准ACL工作原理和配置命令 只是对源地址进行控制 1、用途: 阻止来自某一个网络的所有通信流量 允许来自某一个特定网络的所有通信流量 想要拒绝某一协议簇的所有通

8、信流量,第9章访问控制列表,网络互联技术,提升网络技术打造未来世界,9.3 标准访问列表,2、配置实例: 定义一个标准ACL允许处于三个不同网络上相应的主机进行访问 Router(config)#access-list 1 permit 55 Router(config)#access-list 1 permit 55 Router(config)#access-list 1 permit 55 Router(config )#int s0 Router(config if

9、)#ip access-group 1 in,第9章访问控制列表,网络互联技术,提升网络技术打造未来世界,9.3 标准访问列表,主机A 4.3,主机B 4.4,,,Fa0,Fa1,第9章访问控制列表,网络互联技术,提升网络技术打造未来世界,9.3 标准访问列表,允许一个网段上的通信流量通过 只允许的网络通信流量通过,而阻止其它所有的通信流量 Router(config)#access-list 1 permit 55 Router(config)#int fa 0 Router(config i

10、f)#ip access-group 1 out Router(config)#int fa 1 Router(config-if)#ip access-group 1 out,第9章访问控制列表,网络互联技术,提升网络技术打造未来世界,9.3 标准访问列表,拒绝一个特定主机的通信流量通过 阻止特定主机的通信流量通过,而允许其它所有的通信流量 Router(config)#access-list 1 deny host Router(config)#access-list 1 permit any Router(config)#int fa 0 Rou

11、ter(config-if)#ip access-group 1 out,第9章访问控制列表,网络互联技术,提升网络技术打造未来世界,9.3 标准访问列表,拒绝一个特定子网的通信流量通过 阻止特定子网的通信流量通过,而允许其它所有的通信流量 Router(config)#access-list 1 deny 55 Router(config)#access-list 1 permit any Router(config)#int fa 0 Router(config-if)#ip access-group 1 out,第9章访问控制列表,

12、网络互联技术,提升网络技术打造未来世界,9.4 扩展访问列表,1、扩展ACL工作原理和配置命令 检查条件: 数据包的源地址、目的地址、协议类型及端口号等。 ACL编号:100-199,第9章访问控制列表,网络互联技术,提升网络技术打造未来世界,9.4 扩展访问列表,主机A,主机B,人力资源网络,研发网络,允许E-mail信息通过,拒绝telnet信息通过,第9章访问控制列表,网络互联技术,提升网络技术打造未来世界,9.4 扩展访问列表,常用端口号: 文件传输协议(FTP)数据 21 文件传输协议(FTP)程序 23 TELNET TFTP WWW,第9章访问控制列表,网络互联技术,提升网络技术

13、打造未来世界,9.4 扩展访问列表,Access-list 格式: Router(config)#access- list access-list-number permit|deny protocol source source-wildcard Destination destination-wildcard operator port 其中: Access-list-number:访问控制列表表号 Permit /deny:条件满足时的操作 Protocal:协议类型,如:IP 、TCP、 UDP、 ICMP等,第9章访问控制列表,网络互联技术,提升网络技术打造未来世界,9.4 扩展访问

14、列表,Source /destination:源地址、目标地址 wildcard :通配符 Operator:lt ,gt,eq,neq(小于、大于、等于、不等于) Port:端口号,第9章访问控制列表,网络互联技术,提升网络技术打造未来世界,9.4 扩展访问列表,2、扩展ACL配置实例 (1)只允许WWW的通信流量 只允许网络的WWW通信流量到达网络 ,其它流量全部拒绝。 Router(config)#access-list 101 permit tcp 55 55 eq 80 R

15、outer(config)#int fa 0 Router(config-if)#ip access-group 101 out,第9章访问控制列表,网络互联技术,提升网络技术打造未来世界,9.4 扩展访问列表,(2) 拒绝通过fa 0的FTP通信流量 拒绝FTP通信流量通过FA0 Router(config)#access-list 101 deny tcp 55 55 eq 21 Router(config)#access-list 101 permit ip 55 any Router(config)#int fa 0 Router(config-if)#ip access-group 101 out,第9章访问控制列表,网络互联技术,提升网络技术打造未来世界,9.4 扩展访问列表,(3) 只拒绝通过fa 0的Telnet通信流量 只拒绝从通过FA0发往别处的Telnet 流量,而 允许所有其它来源的通信流量。 Router(config)#access-list 101 deny tcp 55 ANY eq 23 Router(config)#access-list 101 permit ip an

人人文库> 全部分类> 教育资料 > 课件下载

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论