收藏
下载资源

思科认证modul课件

上传人:hs****ma 文档编号:570144114 上传时间:2024-08-02 格式:PPT 页数:52 大小:533.50KB
返回 下载 相关 举报
思科认证modul课件_第1页
第1页 / 共52页
思科认证modul课件_第2页
第2页 / 共52页
思科认证modul课件_第3页
第3页 / 共52页
思科认证modul课件_第4页
第4页 / 共52页
思科认证modul课件_第5页
第5页 / 共52页
点击查看更多>>
资源描述

《思科认证modul课件》由会员分享,可在线阅读,更多相关《思科认证modul课件(52页珍藏版)》请在金锄头文库上搜索。

1、 1999, Cisco Systems, Inc. 10-1module7module7module7module7IPIPIPIP访问控制列表访问控制列表访问控制列表访问控制列表 1999, Cisco Systems, Inc. ICND10-2172.16.0.0172.17.0.0Internet管理网络中逐步增长的管理网络中逐步增长的 IP 数据数据当数据通过路由器时进行过滤当数据通过路由器时进行过滤为什么要使用访问列表为什么要使用访问列表 1999, Cisco Systems, Inc. ICND10-3访问列表的应用访问列表的应用允许、拒绝数据包通过路由器允许、拒绝数据包通过

2、路由器允许、拒绝允许、拒绝Telnet会话的建立会话的建立没有设置访问列表时,所有的数据包都会在网络上传输没有设置访问列表时,所有的数据包都会在网络上传输虚拟会话虚拟会话 (IP)端口上的数据传输端口上的数据传输 1999, Cisco Systems, Inc. ICND10-4QueueList优先级判断优先级判断访问列表的其它应用访问列表的其它应用基于数据包检测的特殊数据通讯应用基于数据包检测的特殊数据通讯应用 1999, Cisco Systems, Inc. ICND10-5QueueList优先级判断优先级判断访问列表的其它应用访问列表的其它应用按需拨号按需拨号基于数据包检测的特殊

3、数据通讯应用基于数据包检测的特殊数据通讯应用 1999, Cisco Systems, Inc. ICND10-6访问列表的其它应用访问列表的其它应用路由表过滤路由表过滤RoutingTableQueueList优先级判断优先级判断按需拨号按需拨号基于数据包检测的特殊数据通讯应用基于数据包检测的特殊数据通讯应用 1999, Cisco Systems, Inc. ICND10-7 标准标准检查源地址检查源地址通常允许、拒绝的是完整的协议通常允许、拒绝的是完整的协议OutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit?Source

4、什么是访问列表什么是访问列表-标准标准 1999, Cisco Systems, Inc. ICND10-8 标准标准检查源地址检查源地址通常允许、拒绝的是完整的协议通常允许、拒绝的是完整的协议扩展扩展检查源地址和目的地址检查源地址和目的地址通常允许、拒绝的是某个特定的协议通常允许、拒绝的是某个特定的协议OutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit?Sourceand DestinationProtocol什么是访问列表什么是访问列表-扩展扩展 1999, Cisco Systems, Inc. ICND10-9 标准标

5、准检查源地址检查源地址通常允许、拒绝的是完整的协议通常允许、拒绝的是完整的协议扩展扩展检查源地址和目的地址检查源地址和目的地址通常允许、拒绝的是某个特定的协议通常允许、拒绝的是某个特定的协议进方向和出方向进方向和出方向 OutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit?Sourceand DestinationProtocol什么是访问列表什么是访问列表 1999, Cisco Systems, Inc. ICND10-10InboundInterfacePacketsNYPacket Discard BucketChoos

6、eInterfaceNAccessList?RoutingTable Entry?YOutbound InterfacesPacketS0出端口方向上的访问列表出端口方向上的访问列表 1999, Cisco Systems, Inc. ICND10-11Outbound InterfacesPacketNYPacket Discard BucketChooseInterfaceRoutingTable Entry?NPacketTestAccess ListStatementsPermit?Y出端口方向上的访问列表出端口方向上的访问列表AccessList?YS0E0InboundInterf

7、acePackets 1999, Cisco Systems, Inc. ICND10-12Notify Sender出端口方向上的访问列表出端口方向上的访问列表If no access list statement matches then discard the packet NYPacket Discard BucketChooseInterfaceRoutingTable Entry?NYTestAccess ListStatementsPermit?YAccessList?Discard PacketNOutbound InterfacesPacketPacketS0E0Inboun

8、dInterfacePackets 1999, Cisco Systems, Inc. ICND10-13访问列表的测试:允许和拒绝访问列表的测试:允许和拒绝Packets to interfacesin the access groupPacket Discard BucketYInterface(s)DestinationDenyDenyYMatchFirstTest?Permit 1999, Cisco Systems, Inc. ICND10-14访问列表的测试:允许和拒绝访问列表的测试:允许和拒绝Packets to Interface(s)in the Access GroupPa

9、cket Discard BucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?YY 1999, Cisco Systems, Inc. ICND10-15访问列表的测试:允许和拒绝访问列表的测试:允许和拒绝Packets to Interface(s)in the Access GroupPacket Discard BucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNe

10、xtTest(s)?DenyMatchLastTest?YYNYYPermit 1999, Cisco Systems, Inc. ICND10-16访问列表的测试:允许和拒绝访问列表的测试:允许和拒绝Packets to Interface(s)in the Access GroupPacket Discard BucketYInterface(s)DestinationDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTest?YYNYYPermitImplicit DenyIf no matchdeny

11、allDenyN 1999, Cisco Systems, Inc. ICND10-17访问列表配置指南访问列表配置指南访问列表的编号指明了使用何种协议的访问列表访问列表的编号指明了使用何种协议的访问列表每个端口、每个方向、每条协议只能对应于一条访问每个端口、每个方向、每条协议只能对应于一条访问列表列表访问列表的内容决定了数据的控制顺序访问列表的内容决定了数据的控制顺序 具有严格限制条件的语句应放在访问列表所有语句的具有严格限制条件的语句应放在访问列表所有语句的最上面最上面在访问列表的最后有一条隐含声明:在访问列表的最后有一条隐含声明:deny any每一每一条正确的访问列表都至少应该有一条允

12、许语句条正确的访问列表都至少应该有一条允许语句先创建访问列表,然后应用到端口上先创建访问列表,然后应用到端口上访问列表不能过滤由路由器自己产生的数据访问列表不能过滤由路由器自己产生的数据 1999, Cisco Systems, Inc. ICND10-18访问列表设置命令访问列表设置命令Step 1: 设置访问列表测试语句的参数设置访问列表测试语句的参数access-list access-list-number permit | deny test conditions Router(config)# 1999, Cisco Systems, Inc. ICND10-19Step 1:设置

13、访问列表测试语句的参数设置访问列表测试语句的参数Router(config)#Step 2: 在端口上应用访问列表在端口上应用访问列表 protocol access-group access-list-number in | out Router(config-if)#访问列表设置命令访问列表设置命令IP 访问列表的标号为访问列表的标号为 1-99 和和 100-199access-list access-list-number permit | deny test conditions 1999, Cisco Systems, Inc. ICND10-20如何识别访问列表号如何识别访问列表

14、号编号范围编号范围访问列表类型访问列表类型IP 1-99Standard标准访问列表标准访问列表 (1 to 99) 检查检查 IP 数据包的源地址数据包的源地址 1999, Cisco Systems, Inc. ICND10-21编号范围编号范围访问列表类型访问列表类型如何识别访问列表号如何识别访问列表号IP 1-99100-199StandardExtended标准访问列表标准访问列表 (1 to 99) 检查检查 IP 数据包的源地址数据包的源地址扩展访问列表扩展访问列表 (100 to 199) 检查源地址和目的地址、具体的检查源地址和目的地址、具体的 TCP/IP 协议和目的协议和

15、目的端口端口 1999, Cisco Systems, Inc. ICND10-22编号范围编号范围1-99 1300-1999Name (Cisco IOS 11.2 and later)100-199 2000-2699Name (Cisco IOS 11.2 and later)StandardNamed访问列表类型访问列表类型如何识别访问列表号如何识别访问列表号标准访问列表标准访问列表 检查检查 IP 数据包的源地址数据包的源地址扩展访问列表扩展访问列表 检查源地址和目的地址、具体的检查源地址和目的地址、具体的 TCP/IP 协议和目的端口协议和目的端口其它访问列表编号范围表示不同协议

16、的访问列表其它访问列表编号范围表示不同协议的访问列表ExtendNamed 1999, Cisco Systems, Inc. ICND10-23例如例如 172.30.16.29 0.0.0.0 检查所有的地址位检查所有的地址位 可以简写为可以简写为 host (host 172.30.16.29)Test conditions: Check all the address bits (match all) 172.30.16.290.0.0.0(checks all bits)An IP host address, for example:Wildcard mask:通配符掩码指明特定的主

17、机通配符掩码指明特定的主机 1999, Cisco Systems, Inc. ICND10-24所有主机所有主机: 0.0.0.0 255.255.255.255可以用可以用 any 简写简写Test conditions: Ignore all the address bits (match any)0.0.0.0 255.255.255.255(ignore all)Any IP addressWildcard mask:通配符掩码指明所有主机通配符掩码指明所有主机 1999, Cisco Systems, Inc. ICND10-25Check for IP subnets 172.3

18、0.16.0/24 to 172.30.31.0/24Network Network .host 172.30.16172.30.16.00 00 00 01 10000Wildcard mask: 0 0 0 0 1 1 1 1 | 0 0 0 1 0 0 0 0 = 16 0 0 0 1 0 0 0 1 =17 0 0 0 1 0 0 1 0 = 18: : 0 0 0 1 1 1 1 1 = 31Address and wildcard mask: 172.30.16.0 0.0.15.255通配符掩码和通配符掩码和IP子网的子网的对应对应 1999, Cisco Systems, In

19、c. 10-26配置标准的配置标准的 IP 访问列表访问列表 1999, Cisco Systems, Inc. ICND10-27标准标准IP访问列表的配置访问列表的配置access-list access-list-number permit|deny source maskRouter(config)#为访问列表设置参数为访问列表设置参数IP 标准访问列表编号标准访问列表编号 1 到到 99缺省的通配符掩码缺省的通配符掩码 = 0.0.0.0“no access-list access-list-number” 命令删除访问列表命令删除访问列表 1999, Cisco Systems,

20、Inc. ICND10-28access-list access-list-number permit|deny source maskRouter(config)#在端口上应用访问列表在端口上应用访问列表指明是进方向还是出方向指明是进方向还是出方向缺省缺省 = 出方向出方向“no ip access-group access-list-number” 命令在端口上删除访问列表命令在端口上删除访问列表Router(config-if)#ip access-group access-list-number in | out 为访问列表设置参数为访问列表设置参数IP 标准访问列表编号标准访问列表编

21、号 1 到到 99缺省的通配符掩码缺省的通配符掩码 = 0.0.0.0“no access-list access-list-number” 命令删除访问列表命令删除访问列表标准标准IP访问列表的配置访问列表的配置 1999, Cisco Systems, Inc. ICND10-29172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0标准访问列表举例标准访问列表举例 1access-list 1 permit 172.16.0.0 0.0.255.255(implicit deny all - not visible in the list)

22、(access-list 1 deny 0.0.0.0 255.255.255.255) 1999, Cisco Systems, Inc. ICND10-30Permit my network onlyaccess-list 1 permit 172.16.0.0 0.0.255.255(implicit deny all - not visible in the list)(access-list 1 deny 0.0.0.0 255.255.255.255)interface ethernet 0ip access-group 1 outinterface ethernet 1ip ac

23、cess-group 1 out172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0标准访问列表举例标准访问列表举例 1 1999, Cisco Systems, Inc. ICND10-31Deny a specific host标准访问列表举例标准访问列表举例 2172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0access-list 1 deny 172.16.4.13 0.0.0.0 1999, Cisco Systems, Inc. ICND10-32标准访问列表举例标准访问列表举例

24、 2172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0Deny a specific hostaccess-list 1 deny 172.16.4.13 0.0.0.0 access-list 1 permit 0.0.0.0 255.255.255.255(implicit deny all)(access-list 1 deny 0.0.0.0 255.255.255.255) 1999, Cisco Systems, Inc. ICND10-33access-list 1 deny 172.16.4.13 0.0.0.0 access

25、-list 1 permit 0.0.0.0 255.255.255.255(implicit deny all)(access-list 1 deny 0.0.0.0 255.255.255.255)interface ethernet 0ip access-group 1 out标准访问列表举例标准访问列表举例 2172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0Deny a specific host 1999, Cisco Systems, Inc. ICND10-34Deny a specific subnet标准访问列表举例标准访

26、问列表举例 3172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0access-list 1 deny 172.16.4.0 0.0.0.255access-list 1 permit any(implicit deny all)(access-list 1 deny 0.0.0.0 255.255.255.255) 1999, Cisco Systems, Inc. ICND10-35access-list 1 deny 172.16.4.0 0.0.0.255access-list 1 permit any(implicit deny al

27、l)(access-list 1 deny 0.0.0.0 255.255.255.255)interface ethernet 0ip access-group 1 out标准访问列表举例标准访问列表举例 3172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0Deny a specific subnet 1999, Cisco Systems, Inc. 10-36用访问列表控制用访问列表控制vty访问访问 1999, Cisco Systems, Inc. ICND10-37在路由器上过滤在路由器上过滤vty五个虚拟通道五个虚拟通道 (0

28、到到 4)路由器的路由器的vty端口可以过滤数据端口可以过滤数据在路由器上执行在路由器上执行vty访问的控制访问的控制01 234Virtual ports (vty 0 through 4)Physical port e0 (Telnet)Console port (direct connect)consolee0 1999, Cisco Systems, Inc. ICND10-38如何控制如何控制vty访问访问01 234Virtual ports (vty 0 through 4)Physical port (e0) (Telnet)使用标准访问列表语句使用标准访问列表语句用用 acc

29、ess-class 命令应用访问列表命令应用访问列表在所有在所有vty通道上设置相同的限制条件通道上设置相同的限制条件Router#e0 1999, Cisco Systems, Inc. ICND10-39虚拟通道的配置虚拟通道的配置指明指明vty通道的范围通道的范围在访问列表里指明方向在访问列表里指明方向access-class access-list-number in|outline vty#vty# | vty-rangeRouter(config)#Router(config-line)# 1999, Cisco Systems, Inc. ICND10-40虚拟通道访问举例虚拟通

30、道访问举例只允许网络只允许网络192.89.55.0 内的主机连接路由器的内的主机连接路由器的 vty 通道通道access-list 12 permit 192.89.55.0 0.0.0.255!line vty 0 4 access-class 12 inControlling Inbound Access 1999, Cisco Systems, Inc. 10-41扩展扩展 IP 访问列表的配置访问列表的配置 1999, Cisco Systems, Inc. ICND10-42标准访问列表和扩展访问列表标准访问列表和扩展访问列表比较比较标准标准扩展扩展基于源地址基于源地址基于源地址

31、和目标地址基于源地址和目标地址允许和拒绝完整的允许和拒绝完整的TCP/IP协议协议指定指定TCP/IP的特定协议的特定协议和端口号和端口号编号范围编号范围 100-199和和2000-2699编号范围编号范围 1-99和和1300-1999 1999, Cisco Systems, Inc. ICND10-43扩展扩展 IP 访问列表的配置访问列表的配置Router(config)#设置访问列表的参数设置访问列表的参数access-list access-list-number permit | deny protocol source source-wildcard operator por

32、t destination destination-wildcard operator port established log 1999, Cisco Systems, Inc. ICND10-44Router(config-if)# ip access-group access-list-number in | out 扩展扩展 IP 访问列表的配置访问列表的配置在端口上应用访问列表在端口上应用访问列表Router(config)#设置访问列表的参数设置访问列表的参数access-list access-list-number permit | deny protocol source s

33、ource-wildcard operator port destination destination-wildcard operator port established log 1999, Cisco Systems, Inc. ICND10-45拒绝子网拒绝子网172.16.4.0 的数据使用路由器的数据使用路由器e0口口ftp到子网到子网172.16.3.0 允许其它数据允许其它数据172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0扩展访问列表应用举例扩展访问列表应用举例 1access-list 101 deny tcp 172.

34、16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20 1999, Cisco Systems, Inc. ICND10-46拒绝子网拒绝子网172.16.4.0 的数据使用路由器的数据使用路由器e0口口ftp到子网到子网172.16.3.0 允许其它数据允许其它数据扩展访问列表应用举例扩展访问列表应用举例 1172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0acces

35、s-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20access-list 101 permit ip any any(implicit deny all)(access-list 101 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255) 1999, Cisco Systems, Inc. ICND10-47

36、access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20access-list 101 permit ip any any(implicit deny all)(access-list 101 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255)interface ethernet 0ip access-g

37、roup 101 out拒绝子网拒绝子网172.16.4.0 的数据使用路由器的数据使用路由器e0口口ftp到子网到子网172.16.3.0 允许其它数据允许其它数据扩展访问列表应用举例扩展访问列表应用举例 1172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0 1999, Cisco Systems, Inc. ICND10-48拒绝子网拒绝子网 172.16.4.0 内的主机使用路由器的内的主机使用路由器的 E0 端口建立端口建立Telnet会话会话允许其它数据允许其它数据扩展访问列表应用举例扩展访问列表应用举例 2172.16.3.017

38、2.16.4.0172.16.4.13E0S0E1Non-172.16.0.0access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23 1999, Cisco Systems, Inc. ICND10-49拒绝子网拒绝子网 172.16.4.0 内的主机使用路由器的内的主机使用路由器的 E0 端口建立端口建立Telnet会话会话允许其它数据允许其它数据扩展访问列表应用举例扩展访问列表应用举例 2172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0access-list 101 deny tc

39、p 172.16.4.0 0.0.0.255 any eq 23access-list 101 permit ip any any(implicit deny all) 1999, Cisco Systems, Inc. ICND10-50access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23access-list 101 permit ip any any(implicit deny all)interface ethernet 0ip access-group 101 out拒绝子网拒绝子网 172.16.4.0 内的主机使用路由器的

40、内的主机使用路由器的 E0 端口建立端口建立Telnet会话会话允许其它数据允许其它数据扩展访问列表应用举例扩展访问列表应用举例 2172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0 1999, Cisco Systems, Inc. ICND10-51wg_ro_a#show ip int e0Ethernet0 is up, line protocol is up Internet address is 10.1.1.11/24 Broadcast address is 255.255.255.255 Address determined

41、 by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1 Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent IC

42、MP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is disabled IP Feature Fast switching turbo vector IP multicast fast switching is enabled IP multicast distributed fast switching is disabled 查看访问列表查看访问列表 1999, Cisco Systems, Inc. ICND10-52查看访问列表的语句查

43、看访问列表的语句wg_ro_a#show access-lists Standard IP access list 1 permit 10.2.2.1 permit 10.3.3.1 permit 10.4.4.1 permit 10.5.5.1Extended IP access list 101 permit tcp host 10.22.22.1 any eq telnet permit tcp host 10.33.33.1 any eq ftp permit tcp host 10.44.44.1 any eq wg_ro_a#show protocol access-list access-list number wg_ro_a#show access-lists access-list number

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 资格认证/考试 > 自考

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号