ICND第八章 訪問列表_第1頁
ICND第八章 訪問列表_第2頁
ICND第八章 訪問列表_第3頁
ICND第八章 訪問列表_第4頁
ICND第八章 訪問列表_第5頁
已閱讀5頁,還剩49頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、精選ppt第八章訪問列表精選ppt訪問列表的應(yīng)用 允許、拒絕數(shù)據(jù)包通過路由器 允許、拒絕Telnet會話的建立 沒有設(shè)置訪問列表時,所有的數(shù)據(jù)包都會在網(wǎng)絡(luò)上傳輸虛擬會話虛擬會話 (IP)端口上的數(shù)據(jù)傳輸端口上的數(shù)據(jù)傳輸精選ppt 標(biāo)準(zhǔn) 檢查源地址 通常允許、拒絕的是完整的協(xié)議OutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit?Source什么是訪問列表精選ppt 標(biāo)準(zhǔn) 檢查源地址 通常允許、拒絕的是完整的協(xié)議 擴(kuò)展 檢查源地址和目的地址 通常允許、拒絕的是某個特定的協(xié)議OutgoingPacketE0S0IncomingPac

2、ketAccess List ProcessesPermit?Sourceand DestinationProtocol什么是訪問列表精選ppt 標(biāo)準(zhǔn) 檢查源地址 通常允許、拒絕的是完整的協(xié)議 擴(kuò)展 檢查源地址和目的地址 通常允許、拒絕的是某個特定的協(xié)議 進(jìn)方向和出方向 OutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit?Sourceand DestinationProtocol什么是訪問列表精選pptInboundInterfacePacketsNYPacket Discard BucketChooseInterfaceNA

3、ccessList?RoutingTable Entry?YOutbound InterfacesPacketS0出端口方向上的訪問列表 精選pptOutbound InterfacesPacketNYPacket Discard BucketChooseInterfaceRoutingTable Entry?NPacketTestAccess ListStatementsPermit?Y出端口方向上的訪問列表AccessList?YS0E0InboundInterfacePackets精選pptNotify Sender出端口方向上的訪問列表If no access list stateme

4、nt matches then discard the packet NYPacket Discard BucketChooseInterfaceRoutingTable Entry?NYTestAccess ListStatementsPermit?YAccessList?Discard PacketNOutbound InterfacesPacketPacketS0E0InboundInterfacePackets精選ppt訪問列表的測試:允許和拒絕Packets to interfacesin the access groupPacket Discard BucketYInterface

5、(s)DestinationDenyDenyYMatchFirstTest?Permit精選ppt訪問列表的測試:允許和拒絕Packets to Interface(s)in the Access GroupPacket Discard BucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?YY精選ppt訪問列表的測試:允許和拒絕Packets to Interface(s)in the Access GroupPacket Discard BucketYInterface

6、(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTest?YYNYYPermit精選ppt訪問列表的測試:允許和拒絕Packets to Interface(s)in the Access GroupPacket Discard BucketYInterface(s)DestinationDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTest?YYNYYPermitImplicit De

7、nyIf no matchdeny allDenyN精選ppt訪問列表設(shè)置命令Step 1: 設(shè)置訪問列表測試語句的參數(shù)設(shè)置訪問列表測試語句的參數(shù)access-list access-list-number permit | deny test conditions Router(config)#精選pptStep 1:設(shè)置訪問列表測試語句的參數(shù)設(shè)置訪問列表測試語句的參數(shù)Router(config)#Step 2: 在端口上應(yīng)用訪問列表在端口上應(yīng)用訪問列表 protocol access-group access-list-number in | out Router(config-if)#訪

8、問列表設(shè)置命令I(lǐng)P 訪問列表的標(biāo)號為 1-99 和 100-199access-list access-list-number permit | deny test conditions 精選ppt如何識別訪問列表編號范圍編號范圍訪問列表類型訪問列表類型IP 1-99Standard 標(biāo)準(zhǔn)訪問列表 (1 to 99) 檢查 IP 數(shù)據(jù)包的源地址精選ppt編號范圍編號范圍訪問列表類型訪問列表類型如何識別訪問列表IP 1-99100-199StandardExtended 標(biāo)準(zhǔn)訪問列表 (1 to 99) 檢查 IP 數(shù)據(jù)包的源地址 擴(kuò)展訪問列表 (100 to 199) 檢查源地址和目的地址、具

9、體的 TCP/IP 協(xié)議和目的端口精選ppt編號范圍編號范圍IP 1-99100-199Name (Cisco IOS 11.2 and later)800-899900-9991000-1099Name (Cisco IOS 11.2. F and later)StandardExtendedSAP filtersNamedStandardExtendedNamed訪問列表類型訪問列表類型IPX如何識別訪問列表 標(biāo)準(zhǔn)訪問列表 (1 to 99) 檢查 IP 數(shù)據(jù)包的源地址 擴(kuò)展訪問列表 (100 to 199) 檢查源地址和目的地址、具體的 TCP/IP 協(xié)議和目的端口 其它訪問列表編號范圍

10、表示不同協(xié)議的訪問列表精選pptSourceAddressSegment(for example, TCP header)DataPacket(IP header)Frame Header(for example, HDLC)DenyPermit Useaccess list statements1-99 用標(biāo)準(zhǔn)訪問列表測試數(shù)據(jù)精選pptDestinationAddressSourceAddressProtocolPortNumberSegment(for example, TCP header)DataPacket(IP header)Frame Header(for example, HD

11、LC) Useaccess list statements1-99 or 100-199 to test thepacket DenyPermit An Example from a TCP/IP Packet用擴(kuò)展訪問列表測試數(shù)據(jù)精選ppt 0 表示檢查與之對應(yīng)的地址位的值 1表示忽略與之對應(yīng)的地址位的值do not check address (ignore bits in octet)=001111111286432168421=00000000=00001111=11111100=11111111Octet bit position and address value for biti

12、gnore last 6 address bitscheck all address bits(match all)ignore last 4 address bitscheck last 2 address bitsExamples反掩碼:如何檢查相應(yīng)的地址位精選ppt 例如 檢查所有的地址位 可以簡寫為 host (host 9)Test conditions: Check all the address bits (match all) 9(checks all bits)An IP host address, for example:Wild

13、card mask:反掩碼指明特定的主機(jī)精選ppt 所有主機(jī): 可以用 any 簡寫Test conditions: Ignore all the address bits (match any)(ignore all)Any IP addressWildcard mask:反掩碼指明所有主機(jī)精選ppt 1999, Cisco Systems, Inc. 10-23配置標(biāo)準(zhǔn)的 IP 訪問列表精選ppt標(biāo)準(zhǔn)IP訪問列表的配置access-list access-list-number permit|deny source maskRouter(config)# 為訪問列表設(shè)置參數(shù)為

14、訪問列表設(shè)置參數(shù) IP 標(biāo)準(zhǔn)訪問列表編號標(biāo)準(zhǔn)訪問列表編號 1 到到 99 “no access-list access-list-number” 命令刪除訪問列表命令刪除訪問列表精選pptaccess-list access-list-number permit|deny source maskRouter(config)# 在端口上應(yīng)用訪問列表 指明是進(jìn)方向還是出方向 缺省 = 出方向 “no ip access-group access-list-number” 命令在端口上刪除訪問列表Router(config-if)#ip access-group access-list-number

15、 in | out 為訪問列表設(shè)置參數(shù)為訪問列表設(shè)置參數(shù) IP 標(biāo)準(zhǔn)訪問列表編號標(biāo)準(zhǔn)訪問列表編號 1 到到 99 “no access-list access-list-number” 命令刪除訪問列表命令刪除訪問列表標(biāo)準(zhǔn)IP訪問列表的配置精選pptE0E0S0S0E1E1Non-Non-標(biāo)準(zhǔn)訪問列表舉例 1 (implicit deny all - not visible in the list)(implicit deny all - not visible in the list)(access-list 1 deny 55)(access-li

16、st 1 deny 55)精選ppt只允許本網(wǎng)絡(luò) (implicit deny all - not visible in the list)(implicit deny all - not visible in the list)(access-list 1 deny 55)(access-list 1 deny 55)interface ethernet 0interface ethernet 0ip access-group 1 outip access-group

17、 1 outinterface ethernet 1interface ethernet 1ip access-group 1 outip access-group 1 outE0E0S0S0E1E1Non-Non-標(biāo)準(zhǔn)訪問列表舉例 1精選ppt拒絕一個指定的主機(jī)標(biāo)準(zhǔn)訪問列表舉例 2E0E0S0S0E1E1Non-Non-access-list 1 deny 3 access-list 1 deny 3 精選ppt標(biāo)準(zhǔn)訪問列表舉例 2E0E0S0S0E1E1Non-Non-拒絕一個指定的主機(jī)access-list 1 de

18、ny 3 access-list 1 deny 3 access-list 1 permit access-list 1 permit (implicit deny all)(implicit deny all)(access-list 1 deny 55)(access-list 1 deny 55)精選pptaccess-list 1 deny 3 access-lis

19、t 1 deny 3 access-list 1 permit access-list 1 permit (implicit deny all)(implicit deny all)(access-list 1 deny 55)(access-list 1 deny 55)interface ethernet 0interface ethernet 0ip access-group 1 outip access-group 1 out標(biāo)準(zhǔn)訪問列

20、表舉例 2E0E0S0S0E1E1Non-Non-拒絕一個指定的主機(jī)精選ppt拒絕一個指定的網(wǎng)絡(luò)標(biāo)準(zhǔn)訪問列表舉例 3E0E0S0S0E1E1Non-Non-access-list 1 deny access-list 1 deny access-list 1 permit anyaccess-list 1 permit any(implicit deny all)(implicit deny all)(access-list 1 deny 55)(access-list 1 deny 255.

21、255.255.255)精選pptaccess-list 1 deny access-list 1 deny access-list 1 permit anyaccess-list 1 permit any(implicit deny all)(implicit deny all)(access-list 1 deny 55)(access-list 1 deny 55)interface ethernet 0interface ethernet 0ip access

22、-group 1 outip access-group 1 out標(biāo)準(zhǔn)訪問列表舉例 3E0E0S0S0E1E1Non-Non-拒絕一個指定的網(wǎng)絡(luò)精選ppt 1999, Cisco Systems, Inc. 10-33用訪問列表控制vty訪問精選ppt在路由器上過濾vty 五個VTY (0 到 4) 路由器的vty端口可以過濾連接 在路由器上執(zhí)行vty訪問的控制01 234Virtual ports (vty 0 through 4)Physical port e0 (Telnet)Console port (direct connect)consolee0精選ppt如何控制vty訪問01 2

23、34Virtual ports (vty 0 through 4)Physical port (e0) (Telnet) 使用標(biāo)準(zhǔn)訪問列表語句 用 access-class 命令應(yīng)用訪問列表 在所有vty通道上設(shè)置相同的限制條件Router#e0精選pptVTY的配置 指明vty通道的范圍 在訪問列表里指明方向access-class access-list-number in|outline vty#vty# | vty-rangeRouter(config)#Router(config-line)#精選pptVTY訪問舉例只允許網(wǎng)絡(luò) 內(nèi)的主機(jī)連接路由器的 vty 通道

24、 ! line vty 0 4 access-class 12 inControlling Inbound Access精選ppt 1999, Cisco Systems, Inc. 10-38擴(kuò)展 IP 訪問列表的配置精選ppt標(biāo)準(zhǔn)訪問列表和擴(kuò)展訪問列表比較標(biāo)準(zhǔn)標(biāo)準(zhǔn)擴(kuò)展擴(kuò)展基于源地址基于源地址基于源地址和目標(biāo)地址基于源地址和目標(biāo)地址允許和拒絕完整的允許和拒絕完整的TCP/IP協(xié)議協(xié)議指定指定TCP/IP的特定協(xié)議的特定協(xié)議和端口號和端口號編號范圍編號范圍 100 到到 199.編號范圍編號范圍 1 到到 99精選ppt擴(kuò)展 IP 訪問列表的配置Router(config)# 設(shè)置訪問列表的參

25、數(shù)access-list access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator port established log精選pptRouter(config-if)# ip access-group access-list-number in | out 擴(kuò)展 IP 訪問列表的配置 在端口上應(yīng)用訪問列表在端口上應(yīng)用訪問列表 設(shè)置訪問列表的參數(shù)Router(config)# access-list access

26、-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator port established log精選ppt拒絕子網(wǎng) 的數(shù)據(jù)使用路由器e0口ftp到子網(wǎng) 允許其它數(shù)據(jù)E0E0S0S0E1E1Non-Non-擴(kuò)展訪問列表應(yīng)用舉例 1access-list 101 access-list 101 55 55 eq 55 1

27、 55 eq 21access-list 101 deny tcp 55 55 eq 20access-list 101 deny tcp 55 55 eq 20精選ppt拒絕子網(wǎng) 的數(shù)據(jù)使用路由器e0口ftp到子網(wǎng) 允許其它數(shù)據(jù)擴(kuò)展訪問列表應(yīng)用舉例 1E0E0S0S0E1E1Non-Non-access-list 101 access-list 101 55 172

28、.16.3.0 55 eq 55 55 eq 21access-list 101 deny tcp 55 55 eq 20access-list 101 deny tcp 55 55 eq 20access-list 101 permit ip any anyaccess-list 101 permit ip any any(implicit deny all)(implicit de

29、ny all)(access-list 101 deny ip 55 55)(access-list 101 deny ip 55 55)精選pptaccess-list 101 access-list 101 55 55 eq 55 55 eq 21access-list 101 deny tcp 0.

30、0.0.255 55 eq 20access-list 101 deny tcp 55 55 eq 20access-list 101 permit ip any anyaccess-list 101 permit ip any any(implicit deny all)(implicit deny all)(access-list 101 deny ip 55 55)(access-list 101

31、deny ip 55 55)interface ethernet 0interface ethernet 0ip access-group 101 outip access-group 101 out拒絕子網(wǎng) 的數(shù)據(jù)使用路由器e0口ftp到子網(wǎng) 允許其它數(shù)據(jù)擴(kuò)展訪問列表應(yīng)用舉例 1E0E0S0S0E1E1Non-Non-精選ppt拒絕子網(wǎng) 內(nèi)的主機(jī)使用路由器的 E0 端口建立Telnet會話允許其它數(shù)據(jù)擴(kuò)展訪問列表應(yīng)用舉例 2E0E0S0S0E1E1

32、Non-Non-access-list 101 deny tcp access-list 101 deny tcp 55 55 any eq 23 any eq 23精選ppt拒絕子網(wǎng) 內(nèi)的主機(jī)使用路由器的 E0 端口建立Telnet會話允許其它數(shù)據(jù)擴(kuò)展訪問列表應(yīng)用舉例 2E0E0S0S0E1E1Non-Non-access-list 101 deny tcp access-list 101 deny tcp 55 55 any

33、eq 23 any eq 23access-list 101 permit ip any anyaccess-list 101 permit ip any any(implicit deny all)(implicit deny all)精選pptaccess-list 101 deny tcp access-list 101 deny tcp 55 55 any eq 23 any eq 23access-list 101 permit ip any anyaccess-list 101 permit ip any an

34、y(implicit deny all)(implicit deny all)interface ethernet 0interface ethernet 0ip access-group 101 outip access-group 101 out拒絕子網(wǎng) 內(nèi)的主機(jī)使用路由器的 E0 端口建立Telnet會話允許其它數(shù)據(jù)擴(kuò)展訪問列表應(yīng)用舉例 2E0E0S0S0E1E1Non-Non-精選ppt使用命名訪問列表Router(config)#ip access-list standard | extended name 適用于適用于IOS 所使用的命名必須一致所使用的命名必

35、須一致精選ppt使用命名訪問列表Router(config)#ip access-list standard | extended name permit | deny ip access list test conditions permit | deny ip access list test conditions no permit | deny ip access list test conditions Router(config std- | ext-nacl)# 適用于適用于IOS 所使用的命名必須一致所使用的命名必須一致 允許和拒絕語句不需要訪問列表編號允許和拒絕語句不需要訪問

36、列表編號 “no” 命令刪除訪問列表命令刪除訪問列表精選pptRouter(config)# ip access-list standard | extended nameRouter(config std- | ext-nacl)# permit | deny ip access list test conditions permit | deny ip access list test conditions no permit | deny ip access list test conditions Router(config-if)# ip access-group name in |

37、 out 使用命名訪問列表 適用于適用于IOS 所使用的命名必須一致所使用的命名必須一致 允許和拒絕語句不需要訪問列表編號允許和拒絕語句不需要訪問列表編號 “no” 命令刪除訪問列表命令刪除訪問列表 在端口上應(yīng)用訪問列表在端口上應(yīng)用訪問列表精選ppt訪問列表配置準(zhǔn)則訪問列表中限制語句的位置是至關(guān)重要的將限制條件嚴(yán)格的語句放在訪問列表的最上面使用 no access-list number 命令將刪除整個訪問列表例外: 命名訪問列表可以刪除單獨的語句隱含聲明 deny all在設(shè)置的訪問列表中要有一句 permit any精選ppt 將擴(kuò)展訪問列表置于離源設(shè)備較近的位置 將標(biāo)準(zhǔn)訪問列表置于離目的

38、設(shè)備較近的位置E0E0E1S0To0S1S0S1E0E0TokenRing訪問列表的放置原則推薦:推薦:精選pptwg_ro_a#show ip int e0wg_ro_a#show ip int e0Ethernet0 is up, line protocol is upEthernet0 is up, line protocol is up Address determined by setup command Address determined by setup command MTU is 1500 bytes MTU is 1500 bytes Helper address is not set Helper address is not set Direct

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論