收藏
下载资源

ccna第14章 IP访问控制列表ppt.ppt

上传人:灯火****19 文档编号:135429907 上传时间:2020-06-15 格式:PPT 页数:52 大小:1.05MB
返回 下载 相关 举报
ccna第14章 IP访问控制列表ppt.ppt_第1页
第1页 / 共52页
ccna第14章 IP访问控制列表ppt.ppt_第2页
第2页 / 共52页
ccna第14章 IP访问控制列表ppt.ppt_第3页
第3页 / 共52页
ccna第14章 IP访问控制列表ppt.ppt_第4页
第4页 / 共52页
ccna第14章 IP访问控制列表ppt.ppt_第5页
第5页 / 共52页
点击查看更多>>
资源描述

《ccna第14章 IP访问控制列表ppt.ppt》由会员分享,可在线阅读,更多相关《ccna第14章 IP访问控制列表ppt.ppt(52页珍藏版)》请在金锄头文库上搜索。

1、第十四章IP访问控制列表 172 16 0 0 172 17 0 0 Internet 管理网络中逐步增长的IP数据当数据通过路由器时进行过滤 为什么要使用访问列表 访问列表的应用 允许 拒绝数据包通过路由器允许 拒绝Telnet会话的建立没有设置访问列表时 所有的数据包都会在网络上传输 虚拟会话 IP 端口上的数据传输 QueueList 优先级判断 访问列表的其它应用 基于数据包检测的特殊数据通讯应用 QueueList 优先级判断 访问列表的其它应用 按需拨号 基于数据包检测的特殊数据通讯应用 访问列表的其它应用 路由表过滤 RoutingTable QueueList 优先级判断 按需

2、拨号 基于数据包检测的特殊数据通讯应用 标准检查源地址通常允许 拒绝的是完整的协议 OutgoingPacket E0 S0 IncomingPacket AccessListProcesses Permit 什么是访问列表 标准 标准检查源地址通常允许 拒绝的是完整的协议扩展检查源地址和目的地址通常允许 拒绝的是某个特定的协议 OutgoingPacket E0 S0 IncomingPacket AccessListProcesses Permit Protocol 什么是访问列表 扩展 标准检查源地址通常允许 拒绝的是完整的协议扩展检查源地址和目的地址通常允许 拒绝的是某个特定的协议进方

3、向和出方向 OutgoingPacket E0 S0 IncomingPacket AccessListProcesses Permit Protocol 什么是访问列表 InboundInterfacePackets N Y PacketDiscardBucket ChooseInterface N AccessList RoutingTableEntry Y OutboundInterfaces Packet S0 出端口方向上的访问列表 OutboundInterfaces Packet N Y PacketDiscardBucket ChooseInterface RoutingTab

4、leEntry N Packet TestAccessListStatements Permit Y 出端口方向上的访问列表 AccessList Y S0 E0 InboundInterfacePackets NotifySender 出端口方向上的访问列表 Ifnoaccessliststatementmatchesthendiscardthepacket N Y PacketDiscardBucket ChooseInterface RoutingTableEntry N Y TestAccessListStatements Permit Y AccessList DiscardPack

5、et N OutboundInterfaces Packet Packet S0 E0 InboundInterfacePackets 访问列表的测试 允许和拒绝 Packetstointerfacesintheaccessgroup PacketDiscardBucket Y Interface s Destination Deny Deny Y MatchFirstTest Permit 访问列表的测试 允许和拒绝 PacketstoInterface s intheAccessGroup PacketDiscardBucket Y Interface s Destination Deny

6、 Deny Y MatchFirstTest Permit N Deny Permit MatchNextTest s Y Y 访问列表的测试 允许和拒绝 PacketstoInterface s intheAccessGroup PacketDiscardBucket Y Interface s Destination Deny Deny Y MatchFirstTest Permit N Deny Permit MatchNextTest s Deny MatchLastTest Y Y N Y Y Permit 访问列表的测试 允许和拒绝 PacketstoInterface s int

7、heAccessGroup PacketDiscardBucket Y Interface s Destination Deny Y MatchFirstTest Permit N Deny Permit MatchNextTest s Deny MatchLastTest Y Y N Y Y Permit ImplicitDeny Ifnomatchdenyall Deny N 访问列表配置指南 访问列表的编号指明了使用何种协议的访问列表每个端口 每个方向 每条协议只能对应于一条访问列表访问列表的内容决定了数据的控制顺序具有严格限制条件的语句应放在访问列表所有语句的最上面在访问列表的最后有一

8、条隐含声明 denyany 每一条正确的访问列表都至少应该有一条允许语句先创建访问列表 然后应用到端口上访问列表不能过滤由路由器自己产生的数据 访问列表设置命令 Step1 设置访问列表测试语句的参数 access listaccess list number permit deny testconditions Router config Step1 设置访问列表测试语句的参数 Router config Step2 在端口上应用访问列表 protocol access groupaccess list number in out Router config if 访问列表设置命令 IP访问

9、列表的标号为1 99和100 199 access listaccess list number permit deny testconditions 如何识别访问列表号 编号范围 访问列表类型 IP 1 99 Standard 标准访问列表 1to99 检查IP数据包的源地址 编号范围 访问列表类型 如何识别访问列表号 IP 1 99100 199 StandardExtended 标准访问列表 1to99 检查IP数据包的源地址扩展访问列表 100to199 检查源地址和目的地址 具体的TCP IP协议和目的端口 编号范围 1 991300 1999Name CiscoIOS11 2and

10、later 100 1992000 2699Name CiscoIOS11 2andlater StandardNamed 访问列表类型 如何识别访问列表号 标准访问列表检查IP数据包的源地址扩展访问列表检查源地址和目的地址 具体的TCP IP协议和目的端口其它访问列表编号范围表示不同协议的访问列表 ExtendNamed 例如172 30 16 290 0 0 0检查所有的地址位可以简写为host host172 30 16 29 Testconditions Checkalltheaddressbits matchall 172 30 16 29 0 0 0 0 checksallbits

11、 AnIPhostaddress forexample Wildcardmask 通配符掩码指明特定的主机 所有主机 0 0 0 0255 255 255 255可以用any简写 Testconditions Ignorealltheaddressbits matchany 0 0 0 0 255 255 255 255 ignoreall AnyIPaddress Wildcardmask 通配符掩码指明所有主机 CheckforIPsubnets172 30 16 0 24to172 30 31 0 24 Network host172 30 16 0 Wildcardmask 00001

12、111 00010000 1600010001 1700010010 18 00011111 31 Addressandwildcardmask 172 30 16 00 0 15 255 通配符掩码和IP子网的对应 1999 CiscoSystems Inc 10 26 配置标准的IP访问列表 标准IP访问列表的配置 access listaccess list number permit deny source mask Router config 为访问列表设置参数IP标准访问列表编号1到99缺省的通配符掩码 0 0 0 0 noaccess listaccess list number

13、 命令删除访问列表 access listaccess list number permit deny source mask Router config 在端口上应用访问列表指明是进方向还是出方向缺省 出方向 noipaccess groupaccess list number 命令在端口上删除访问列表 Router config if ipaccess groupaccess list number in out 为访问列表设置参数IP标准访问列表编号1到99缺省的通配符掩码 0 0 0 0 noaccess listaccess list number 命令删除访问列表 标准IP访问列表

14、的配置 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 标准访问列表举例1 access list1permit172 16 0 00 0 255 255 implicitdenyall notvisibleinthelist access list1deny0 0 0 0255 255 255 255 Permitmynetworkonly access list1permit172 16 0 00 0 255 255 implicitdenyall notvisibleinthelist access list1deny0

15、 0 0 0255 255 255 255 interfaceethernet0ipaccess group1outinterfaceethernet1ipaccess group1out 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 标准访问列表举例1 Denyaspecifichost 标准访问列表举例2 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 access list1deny172 16 4 130 0 0 0 标准访问列表举例2 172 16

16、 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 Denyaspecifichost access list1deny172 16 4 130 0 0 0access list1permit0 0 0 0255 255 255 255 implicitdenyall access list1deny0 0 0 0255 255 255 255 access list1deny172 16 4 130 0 0 0access list1permit0 0 0 0255 255 255 255 implicitdenyall access list1deny0 0 0 0255 255 255 255 interfaceethernet0ipaccess group1out 标准访问列表举例2 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 Denyaspecifichost Denyaspecificsubnet 标准访问列表举例3 172 16 3 0 172 16

展开阅读全文
相关资源
相关搜索

当前位置:首页 > IT计算机/网络 > 其它相关文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号