網(wǎng)絡(luò)互聯(lián)技術(shù)9- 訪問控制列表.ppt_第1頁
網(wǎng)絡(luò)互聯(lián)技術(shù)9- 訪問控制列表.ppt_第2頁
網(wǎng)絡(luò)互聯(lián)技術(shù)9- 訪問控制列表.ppt_第3頁
網(wǎng)絡(luò)互聯(lián)技術(shù)9- 訪問控制列表.ppt_第4頁
網(wǎng)絡(luò)互聯(lián)技術(shù)9- 訪問控制列表.ppt_第5頁
已閱讀5頁,還剩26頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、網(wǎng)絡(luò)互聯(lián)技術(shù),第9章訪問控制列表,提升網(wǎng)絡(luò)技術(shù)打造未來世界,9.1 訪問列表概述,9.1.1 ACL簡介 ACL適用于所有被路由協(xié)議,如IP、IPX等。 ACL通過在路由器接口處控制路由數(shù)據(jù)包是被轉(zhuǎn)發(fā)還是被阻塞來過濾網(wǎng)絡(luò)通信流量。 ACL的檢測條件:源地址、目的地址、上層協(xié)議及端口號(hào)。,網(wǎng)絡(luò)互聯(lián)技術(shù),提升網(wǎng)絡(luò)技術(shù)打造未來世界,9.1 訪問列表概述,主機(jī)A,主機(jī)B,人力資源網(wǎng)絡(luò),研發(fā)網(wǎng)絡(luò),第9章訪問控制列表,網(wǎng)絡(luò)互聯(lián)技術(shù),提升網(wǎng)絡(luò)技術(shù)打造未來世界,9.1 訪問列表概述,9.1.2 ACL工作過程,可路由嗎?,入站,N,Y,路由表?,N,Y,選擇接口,ACL,N,Y,允許?,Y,N,出站,第9章訪

2、問控制列表,網(wǎng)絡(luò)互聯(lián)技術(shù),提升網(wǎng)絡(luò)技術(shù)打造未來世界,9.1 訪問列表概述,9.1.3 ACL檢查過程,匹配第一步?,接口數(shù)據(jù)包,匹配下一步?,匹配最后一步?,允許?,Y,Y,Y,N,N,N,N,Y,第9章訪問控制列表,網(wǎng)絡(luò)互聯(lián)技術(shù),提升網(wǎng)絡(luò)技術(shù)打造未來世界,9.2 訪問列表配置,9.2.1 配置ACL的基本步驟 1、定義訪問控制列表 Router(config)#access-list access-list-number permit | deny test-conditions 其中:access-list-number:表號(hào)(1-99)、(100-199) permit :允許滿足測試條

3、件的數(shù)據(jù)包。 deny:拒絕滿足測試條件的數(shù)據(jù)包。 test-conditions:測試條件,第9章訪問控制列表,網(wǎng)絡(luò)互聯(lián)技術(shù),提升網(wǎng)絡(luò)技術(shù)打造未來世界,9.2 訪問列表配置,取消定義的訪問控制列表 Router(config)#no access-list access-list-number 注意:要修改列表的條目必須要先刪除列表,然后再重新 建立新的列表。,第9章訪問控制列表,網(wǎng)絡(luò)互聯(lián)技術(shù),提升網(wǎng)絡(luò)技術(shù)打造未來世界,9.2 訪問列表配置,例: 定義訪問控制列表 Router(config )#access-list 1 permit 55 Rout

4、er(config )#access-list 2 deny 55,第9章訪問控制列表,網(wǎng)絡(luò)互聯(lián)技術(shù),提升網(wǎng)絡(luò)技術(shù)打造未來世界,9.2 訪問列表配置,2、將訪問控制列表應(yīng)用到某一接口上 Router(config-if)#protocl access-group Access-list-number in |out 其中:IN 或OUT 表示作用在接口的方向,第9章訪問控制列表,網(wǎng)絡(luò)互聯(lián)技術(shù),提升網(wǎng)絡(luò)技術(shù)打造未來世界,9.2 訪問列表配置,例:應(yīng)用訪問控制列表 Router(config-if)#ip access-group 1 out Router(

5、config-if)#ip access-group 2 in,第9章訪問控制列表,網(wǎng)絡(luò)互聯(lián)技術(shù),提升網(wǎng)絡(luò)技術(shù)打造未來世界,9.2 訪問列表配置,IN,OUT,第9章訪問控制列表,網(wǎng)絡(luò)互聯(lián)技術(shù),提升網(wǎng)絡(luò)技術(shù)打造未來世界,9.2 訪問列表配置,3、訪問控制列表的表號(hào) 1-99:IP 標(biāo)準(zhǔn)訪問控制列表 100-199:IP擴(kuò)展訪控制問列表 600-699:APPLETALK 800-899:IPX,第9章訪問控制列表,網(wǎng)絡(luò)互聯(lián)技術(shù),提升網(wǎng)絡(luò)技術(shù)打造未來世界,9.2 訪問列表配置,4、通配符掩碼 0:表示檢查相應(yīng)位 1:表示不檢查相應(yīng)位 表示檢查所有位 55

6、 表示忽略所有位 55 表示只檢查前24位,忽略后8位,第9章訪問控制列表,網(wǎng)絡(luò)互聯(lián)技術(shù),提升網(wǎng)絡(luò)技術(shù)打造未來世界,9.2 訪問列表配置,0表示檢查相應(yīng)的地址比特 1表示不檢查相應(yīng)的地址比特,0,0,0,0,0,0,0,0,第9章訪問控制列表,網(wǎng)絡(luò)互聯(lián)技術(shù),提升網(wǎng)絡(luò)技術(shù)打造未來世界,9.2 訪問列表配置,5、通配符掩碼中的縮寫字 ANY :表示所有地址 HOST:表示一個(gè)特定主機(jī)地址 以下語句功能相同: Router(config)#access-list 1 permit 55 Router(config)# access-list 1

7、 permit any,第9章訪問控制列表,網(wǎng)絡(luò)互聯(lián)技術(shù),提升網(wǎng)絡(luò)技術(shù)打造未來世界,9.2 訪問列表配置,以下語句功能相同: Router(config)#access-list 2 permit Router(config)# access-list 2 permit host ,第9章訪問控制列表,網(wǎng)絡(luò)互聯(lián)技術(shù),提升網(wǎng)絡(luò)技術(shù)打造未來世界,9.3 標(biāo)準(zhǔn)訪問列表,9.3.1 標(biāo)準(zhǔn)ACL工作原理和配置命令 只是對源地址進(jìn)行控制 1、用途: 阻止來自某一個(gè)網(wǎng)絡(luò)的所有通信流量 允許來自某一個(gè)特定網(wǎng)絡(luò)的所有通信流量 想要拒絕某一協(xié)議簇的所有通

8、信流量,第9章訪問控制列表,網(wǎng)絡(luò)互聯(lián)技術(shù),提升網(wǎng)絡(luò)技術(shù)打造未來世界,9.3 標(biāo)準(zhǔn)訪問列表,2、配置實(shí)例: 定義一個(gè)標(biāo)準(zhǔn)ACL允許處于三個(gè)不同網(wǎng)絡(luò)上相應(yīng)的主機(jī)進(jìn)行訪問 Router(config)#access-list 1 permit 55 Router(config)#access-list 1 permit 55 Router(config)#access-list 1 permit 55 Router(config )#int s0 Router(config if

9、)#ip access-group 1 in,第9章訪問控制列表,網(wǎng)絡(luò)互聯(lián)技術(shù),提升網(wǎng)絡(luò)技術(shù)打造未來世界,9.3 標(biāo)準(zhǔn)訪問列表,主機(jī)A 4.3,主機(jī)B 4.4,,,Fa0,Fa1,第9章訪問控制列表,網(wǎng)絡(luò)互聯(lián)技術(shù),提升網(wǎng)絡(luò)技術(shù)打造未來世界,9.3 標(biāo)準(zhǔn)訪問列表,允許一個(gè)網(wǎng)段上的通信流量通過 只允許的網(wǎng)絡(luò)通信流量通過,而阻止其它所有的通信流量 Router(config)#access-list 1 permit 55 Router(config)#int fa 0 Router(config i

10、f)#ip access-group 1 out Router(config)#int fa 1 Router(config-if)#ip access-group 1 out,第9章訪問控制列表,網(wǎng)絡(luò)互聯(lián)技術(shù),提升網(wǎng)絡(luò)技術(shù)打造未來世界,9.3 標(biāo)準(zhǔn)訪問列表,拒絕一個(gè)特定主機(jī)的通信流量通過 阻止特定主機(jī)的通信流量通過,而允許其它所有的通信流量 Router(config)#access-list 1 deny host Router(config)#access-list 1 permit any Router(config)#int fa 0 Rou

11、ter(config-if)#ip access-group 1 out,第9章訪問控制列表,網(wǎng)絡(luò)互聯(lián)技術(shù),提升網(wǎng)絡(luò)技術(shù)打造未來世界,9.3 標(biāo)準(zhǔn)訪問列表,拒絕一個(gè)特定子網(wǎng)的通信流量通過 阻止特定子網(wǎng)的通信流量通過,而允許其它所有的通信流量 Router(config)#access-list 1 deny 55 Router(config)#access-list 1 permit any Router(config)#int fa 0 Router(config-if)#ip access-group 1 out,第9章訪問控制列表,

12、網(wǎng)絡(luò)互聯(lián)技術(shù),提升網(wǎng)絡(luò)技術(shù)打造未來世界,9.4 擴(kuò)展訪問列表,1、擴(kuò)展ACL工作原理和配置命令 檢查條件: 數(shù)據(jù)包的源地址、目的地址、協(xié)議類型及端口號(hào)等。 ACL編號(hào):100-199,第9章訪問控制列表,網(wǎng)絡(luò)互聯(lián)技術(shù),提升網(wǎng)絡(luò)技術(shù)打造未來世界,9.4 擴(kuò)展訪問列表,主機(jī)A,主機(jī)B,人力資源網(wǎng)絡(luò),研發(fā)網(wǎng)絡(luò),允許E-mail信息通過,拒絕telnet信息通過,第9章訪問控制列表,網(wǎng)絡(luò)互聯(lián)技術(shù),提升網(wǎng)絡(luò)技術(shù)打造未來世界,9.4 擴(kuò)展訪問列表,常用端口號(hào): 文件傳輸協(xié)議(FTP)數(shù)據(jù) 21 文件傳輸協(xié)議(FTP)程序 23 TELNET TFTP WWW,第9章訪問控制列表,網(wǎng)絡(luò)互聯(lián)技術(shù),提升網(wǎng)絡(luò)技術(shù)

13、打造未來世界,9.4 擴(kuò)展訪問列表,Access-list 格式: Router(config)#access- list access-list-number permit|deny protocol source source-wildcard Destination destination-wildcard operator port 其中: Access-list-number:訪問控制列表表號(hào) Permit /deny:條件滿足時(shí)的操作 Protocal:協(xié)議類型,如:IP 、TCP、 UDP、 ICMP等,第9章訪問控制列表,網(wǎng)絡(luò)互聯(lián)技術(shù),提升網(wǎng)絡(luò)技術(shù)打造未來世界,9.4 擴(kuò)展訪問

14、列表,Source /destination:源地址、目標(biāo)地址 wildcard :通配符 Operator:lt ,gt,eq,neq(小于、大于、等于、不等于) Port:端口號(hào),第9章訪問控制列表,網(wǎng)絡(luò)互聯(lián)技術(shù),提升網(wǎng)絡(luò)技術(shù)打造未來世界,9.4 擴(kuò)展訪問列表,2、擴(kuò)展ACL配置實(shí)例 (1)只允許WWW的通信流量 只允許網(wǎng)絡(luò)的WWW通信流量到達(dá)網(wǎng)絡(luò) ,其它流量全部拒絕。 Router(config)#access-list 101 permit tcp 55 55 eq 80 R

15、outer(config)#int fa 0 Router(config-if)#ip access-group 101 out,第9章訪問控制列表,網(wǎng)絡(luò)互聯(lián)技術(shù),提升網(wǎng)絡(luò)技術(shù)打造未來世界,9.4 擴(kuò)展訪問列表,(2) 拒絕通過fa 0的FTP通信流量 拒絕FTP通信流量通過FA0 Router(config)#access-list 101 deny tcp 55 55 eq 21 Router(config)#access-list 101 permit ip 55 any Router(config)#int fa 0 Router(config-if)#ip access-group 101 out,第9章訪問控制列表,網(wǎng)絡(luò)互聯(lián)技術(shù),提升網(wǎng)絡(luò)技術(shù)打造未來世界,9.4 擴(kuò)展訪問列表,(3) 只拒絕通過fa 0的Telnet通信流量 只拒絕從通過FA0發(fā)往別處的Telnet 流量,而 允許所有其它來源的通信流量。 Router(config)#access-list 101 deny tcp 55 ANY eq 23 Router(config)#access-list 101 permit ip an

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論