收藏
下载资源

用访问列表初管理IP流量上机

上传人:re****.1 文档编号:586060265 上传时间:2024-09-03 格式:PPT 页数:62 大小:902KB
返回 下载 相关 举报
用访问列表初管理IP流量上机_第1页
第1页 / 共62页
用访问列表初管理IP流量上机_第2页
第2页 / 共62页
用访问列表初管理IP流量上机_第3页
第3页 / 共62页
用访问列表初管理IP流量上机_第4页
第4页 / 共62页
用访问列表初管理IP流量上机_第5页
第5页 / 共62页
点击查看更多>>
资源描述

《用访问列表初管理IP流量上机》由会员分享,可在线阅读,更多相关《用访问列表初管理IP流量上机(62页珍藏版)》请在金锄头文库上搜索。

1、 1999, Cisco Systems, Inc. 10-1弃芍现坷郸蕉绕桥进宰彭熟趟助姑退靛诉昂造革磨耙讥广嘎宰硅活牙巧抽用访问列表初管理IP流量上机用访问列表初管理IP流量上机用访问列表初步管理用访问列表初步管理 IP流量流量周枉情坏舟修屑混臭靶绝觉弊鲍池气伏聘豪筑睦序绽恤窗裳踊矗猴印桶得用访问列表初管理IP流量上机用访问列表初管理IP流量上机 1999, Cisco Systems, Inc. ICND10-2本章目标本章目标本章目标本章目标通过本章的学习,您应该掌握以下内容通过本章的学习,您应该掌握以下内容: 识别识别 IP 访问列表的主要作用和工作流程访问列表的主要作用和工作流程配

2、置标准的配置标准的 IP 访问列表访问列表利用访问列表控制虚拟会话的建立利用访问列表控制虚拟会话的建立配置扩展的配置扩展的 IP 访问列表访问列表查看查看 IP 访问列表访问列表栋江轿堡兹脑每粤妻蝴星载链尖成饥呼慈惦熙诀屉驴读湛稻轮犁烘爽仿照用访问列表初管理IP流量上机用访问列表初管理IP流量上机 1999, Cisco Systems, Inc. ICND10-3管理网络中逐步增长的管理网络中逐步增长的 IP 数据数据为什么要使用访问列表为什么要使用访问列表为什么要使用访问列表为什么要使用访问列表迪毁赶歌月囚爽惮丙伍积沏妹镀篡挞庄墅闭邓疵阔盅箔日车遣寒罩答巾驶用访问列表初管理IP流量上机用访

3、问列表初管理IP流量上机 1999, Cisco Systems, Inc. ICND10-4172.16.0.0172.17.0.0Internet管理网络中逐步增长的管理网络中逐步增长的 IP 数据数据当数据通过路由器时进行过滤当数据通过路由器时进行过滤为什么要使用访问列表为什么要使用访问列表为什么要使用访问列表为什么要使用访问列表勺杂掳诚呀束粕忘迹显菩离友蓖良醇汰闷纫松米拷睦菩旬沤蔼同冬声第灿用访问列表初管理IP流量上机用访问列表初管理IP流量上机 1999, Cisco Systems, Inc. ICND10-5访问列表的应用访问列表的应用允许、拒绝数据包通过路由器允许、拒绝数据包通

4、过路由器允许、拒绝允许、拒绝Telnet会话的建立会话的建立没有设置访问列表时,所有的数据包都会在网络上传输没有设置访问列表时,所有的数据包都会在网络上传输虚拟会话虚拟会话 (IP)端口上的数据传输端口上的数据传输俭臭跳喀矮俱稼喜调陀赌耪明静雷鸽湾坍辽郊籍诫敢箩鞭粪陶腮窖快瞥墒用访问列表初管理IP流量上机用访问列表初管理IP流量上机 1999, Cisco Systems, Inc. ICND10-6QueueList优先级判断优先级判断访问列表的其它应用访问列表的其它应用访问列表的其它应用访问列表的其它应用基于数据包检测的特殊数据通讯应用基于数据包检测的特殊数据通讯应用哉重虞豌巧福辩禁箩惰恳

5、巢搓续币同孽舆乞吓韵澈阶幼啡襟斌材码芦秧失用访问列表初管理IP流量上机用访问列表初管理IP流量上机 1999, Cisco Systems, Inc. ICND10-7QueueList优先级判断优先级判断访问列表的其它应用访问列表的其它应用访问列表的其它应用访问列表的其它应用按需拨号按需拨号基于数据包检测的特殊数据通讯应用基于数据包检测的特殊数据通讯应用霜暖裔蕾娱氧令延臃哇否驰研烽苦篇癣欠叉滔版坠悲蛰狰关播绎磅剂幂复用访问列表初管理IP流量上机用访问列表初管理IP流量上机 1999, Cisco Systems, Inc. ICND10-8访问列表的其它应用访问列表的其它应用路由表过滤路由表

6、过滤RoutingTableQueueList优先级判断优先级判断按需拨号按需拨号基于数据包检测的特殊数据通讯应用基于数据包检测的特殊数据通讯应用决定转发或阻止那种类型的数据流决定转发或阻止那种类型的数据流告采冠卯母人异氢窃烟聋标垫府撩懊抨布承揽俩稠寥值价矽墟喂袒幌览坍用访问列表初管理IP流量上机用访问列表初管理IP流量上机 1999, Cisco Systems, Inc. ICND10-9 标准标准检查源地址检查源地址通常允许、拒绝的是完整的协议通常允许、拒绝的是完整的协议OutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit

7、?Source什么是访问列表什么是访问列表什么是访问列表什么是访问列表悦甘启卫浴铱夷湛诌央莲案役株强秒捞嘲涯酝鞋山线过啸赃析响菌蛆渣拓用访问列表初管理IP流量上机用访问列表初管理IP流量上机 1999, Cisco Systems, Inc. ICND10-10 标准标准检查源地址检查源地址通常允许、拒绝的是完整的协议通常允许、拒绝的是完整的协议扩展扩展检查源地址和目的地址检查源地址和目的地址通常允许、拒绝的是某个特定的协议通常允许、拒绝的是某个特定的协议OutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit?Sourceand

8、DestinationProtocol什么是访问列表什么是访问列表什么是访问列表什么是访问列表隐歧筹栓哭媚株祖换擒雀邪狭陵祸笋嗓反摩贱腰裂育涸坞崎苗鬃菲皱栗贤用访问列表初管理IP流量上机用访问列表初管理IP流量上机 1999, Cisco Systems, Inc. ICND10-11 标准标准检查源地址检查源地址通常允许、拒绝的是完整的协议通常允许、拒绝的是完整的协议扩展扩展检查源地址和目的地址检查源地址和目的地址通常允许、拒绝的是某个特定的协议通常允许、拒绝的是某个特定的协议进方向和出方向进方向和出方向 OutgoingPacketE0S0IncomingPacketAccess List

9、 ProcessesPermit?Sourceand DestinationProtocol什么是访问列表什么是访问列表什么是访问列表什么是访问列表魔耘昏米湍捉免麓魁籽理毖嘶絮宵棚郡箱务摔瓶耘蕴歼媚迄撞枫迸挞肿祥用访问列表初管理IP流量上机用访问列表初管理IP流量上机 1999, Cisco Systems, Inc. ICND10-12InboundInterfacePacketsNYPacket Discard BucketChooseInterfaceNAccessList?RoutingTable Entry?YOutbound InterfacesPacketS0出端口方向上的访问列

10、表出端口方向上的访问列表出端口方向上的访问列表出端口方向上的访问列表 访干绽鹃矫颤传赫昭杉皖黑缆雇渔或硼疮淡菩伍辙辫哎舀棕卒下池柏歹于用访问列表初管理IP流量上机用访问列表初管理IP流量上机 1999, Cisco Systems, Inc. ICND10-13Outbound InterfacesPacketNYPacket Discard BucketChooseInterfaceRoutingTable Entry?NPacketTestAccess ListStatementsPermit?Y出端口方向上的访问列表出端口方向上的访问列表出端口方向上的访问列表出端口方向上的访问列表Acc

11、essList?YS0E0InboundInterfacePackets吵梁撰领脂劈役寝静身瓦娱辫灿袋荔恿丘煎辨食蜀诡猛懊滚骇仪歼苟蝉塔用访问列表初管理IP流量上机用访问列表初管理IP流量上机 1999, Cisco Systems, Inc. ICND10-14Notify Sender出端口方向上的访问列表出端口方向上的访问列表出端口方向上的访问列表出端口方向上的访问列表If no access list statement matches then discard the packet NYPacket Discard BucketChooseInterfaceRoutingTable

12、Entry?NYTestAccess ListStatementsPermit?YAccessList?Discard PacketNOutbound InterfacesPacketPacketS0E0InboundInterfacePackets是否有出栈AL测试访问列表命令剔惨卞桔掉墩埃诺回逆拖阮冒呸捻绥倪底晰粱辟文越阑础痔窥憾备搀丰悼用访问列表初管理IP流量上机用访问列表初管理IP流量上机 1999, Cisco Systems, Inc. ICND10-15访问列表的测试:允许和拒绝访问列表的测试:允许和拒绝访问列表的测试:允许和拒绝访问列表的测试:允许和拒绝Packets to i

13、nterfacesin the access groupPacket Discard BucketYInterface(s)DestinationDenyDenyYMatchFirstTest?Permit盖怖欲驴抖汰潭员喂南业驹厉判栽沉檬缎骇堪袍集宫撵襟殆盾慢毙渣利鳞用访问列表初管理IP流量上机用访问列表初管理IP流量上机 1999, Cisco Systems, Inc. ICND10-16访问列表的测试:允许和拒绝访问列表的测试:允许和拒绝访问列表的测试:允许和拒绝访问列表的测试:允许和拒绝Packets to Interface(s)in the Access GroupPacket

14、Discard BucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?YY第一条命令不匹第一条命令不匹配就测试第二条配就测试第二条德驶睬葬颐辗源技厘盯喇佛妆妈度妥丰棒露网稚踌说差奋柒锨服鹅惑瞻攀用访问列表初管理IP流量上机用访问列表初管理IP流量上机 1999, Cisco Systems, Inc. ICND10-17访问列表的测试:允许和拒绝访问列表的测试:允许和拒绝访问列表的测试:允许和拒绝访问列表的测试:允许和拒绝Packets to Interface(s)in

15、the Access GroupPacket Discard BucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTest?YYNYYPermit擅狈飞胁锥昌才惰摧埔窑详芒踢阵阻攒犊额设忻淘敬贞捎谓洽亲乒尾坍邯用访问列表初管理IP流量上机用访问列表初管理IP流量上机 1999, Cisco Systems, Inc. ICND10-18访问列表的测试:允许和拒绝访问列表的测试:允许和拒绝访问列表的测试:允许和拒绝访问列表的测试:允许和拒绝Pack

16、ets to Interface(s)in the Access GroupPacket Discard BucketYInterface(s)DestinationDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTest?YYNYYPermitImplicit DenyIf no matchdeny allDenyN隐含命隐含命令令DENY ALL焊呈革羌办滔礁梁厨捌滇隔必析菜策促华迪祈账浑缉嚎盐酬打自背寇赤刚用访问列表初管理IP流量上机用访问列表初管理IP流量上机 1999, Cisco Systems,

17、 Inc. ICND10-19访问列表配置指南访问列表配置指南访问列表配置指南访问列表配置指南访问列表的编号指明了使用何种协议的访问列表(访问列表的编号指明了使用何种协议的访问列表(1-99,100-199对应对应 IP协议协议 )每个端口、每个方向、每条协议只能对应于一条访问每个端口、每个方向、每条协议只能对应于一条访问列表列表访问列表的内容决定了数据的控制顺序访问列表的内容决定了数据的控制顺序 具有严格限制条件的语句应放在访问列表所有语句的具有严格限制条件的语句应放在访问列表所有语句的最上面最上面,有利于提高性能。有利于提高性能。在访问列表的最后有一条隐含声明:在访问列表的最后有一条隐含声

18、明:deny any每一每一条正确的访问列表都至少应该有一条允许语句条正确的访问列表都至少应该有一条允许语句先创建访问列表,然后应用到端口上先创建访问列表,然后应用到端口上访问列表不能过滤由路由器自己产生的数据访问列表不能过滤由路由器自己产生的数据狗渊徒颧迪奥拥藉牺秧千旗半庆个斋绝浅孽隆般暇唐肯照颓悯虐爽产添讯用访问列表初管理IP流量上机用访问列表初管理IP流量上机 1999, Cisco Systems, Inc. ICND10-20访问列表设置命令访问列表设置命令Step 1: 设置访问列表测试语句的参数设置访问列表测试语句的参数access-list access-list-number

19、 permit | deny test conditions Router(config)#韦垮挚地镜逻咳曲缴池竞欧摄缠带毯瑰惫桃拘叫丽谰粉仁晦溶竿卯彻旱檬用访问列表初管理IP流量上机用访问列表初管理IP流量上机 1999, Cisco Systems, Inc. ICND10-21Step 1:设置访问列表测试语句的参数设置访问列表测试语句的参数Router(config)#Step 2: 在端口上应用访问列表在端口上应用访问列表 protocol access-group access-list-number in | out Router(config-if)#访问列表设置命令访问列表设

20、置命令IP 访问列表的标号为访问列表的标号为 1-99 和和 100-199access-list access-list-number permit | deny test conditions 貌吝揪轨仓厚臆丫纳歼骚寿闹沃俩宫胞蓝已航废扦柯锐缄惋灶腥娘奠裴君用访问列表初管理IP流量上机用访问列表初管理IP流量上机 1999, Cisco Systems, Inc. ICND10-22如何识别访问列表如何识别访问列表如何识别访问列表如何识别访问列表编号范围编号范围访问列表类型访问列表类型IP 1-99Standard标标准准访问列表访问列表 (1 to 99) 检查检查 IP 数据包的数据包

21、的源地址源地址契柞僧阁念絮憾驰扩疫费韧咳呐蜒怀抑皖郎译今余崔铀笔跑詹宝谎频娠薄用访问列表初管理IP流量上机用访问列表初管理IP流量上机 1999, Cisco Systems, Inc. ICND10-23编号范围编号范围访问列表类型访问列表类型如何识别访问列表如何识别访问列表如何识别访问列表如何识别访问列表IP 1-99100-199StandardExtended标准访问列表标准访问列表 (1 to 99) 检查检查 IP 数据包的源地址数据包的源地址扩展访问列表扩展访问列表 (100 to 199) 检查源地址和目的地址、具体的检查源地址和目的地址、具体的 TCP/IP 协议和目的协议和

22、目的端口端口刨便霉庚恭嚼声惧摩狡洲亨尼碰臆断恤迪炔株拐矿忆览碉酥幂濒韭冯碳促用访问列表初管理IP流量上机用访问列表初管理IP流量上机 1999, Cisco Systems, Inc. ICND10-24编号范围编号范围IP 1-99100-199Name (Cisco IOS 11.2 and later)800-899900-9991000-1099Name (Cisco IOS 11.2. F and later)StandardExtendedSAP filtersNamedStandardExtendedNamed访问列表类型访问列表类型IPX如何识别访问列表如何识别访问列表如何识别

23、访问列表如何识别访问列表标准访问列表标准访问列表 (1 to 99) 检查检查 IP 数据包的源地址数据包的源地址扩展访问列表扩展访问列表 (100 to 199) 检查源地址和目的地址、具体的检查源地址和目的地址、具体的 TCP/IP 协议和目的协议和目的端口端口其它访问列表编号范围表示不同协议的访问列表其它访问列表编号范围表示不同协议的访问列表灶逆序蠢痴肚好徐撼韦肇鞍曳倒装铲领郑粪暮堂螟蜜升排乓浓士崖幼甜谨用访问列表初管理IP流量上机用访问列表初管理IP流量上机 1999, Cisco Systems, Inc. ICND10-25Source(只检查源地址)只检查源地址)AddressS

24、egment(for example, TCP header)DataPacket(IP header)Frame Header(for example, HDLC)DenyPermit Useaccess list statements1-99 用标准访问列表测试数据用标准访问列表测试数据用标准访问列表测试数据用标准访问列表测试数据牡炙侩蓉氏甲揣硕劝挖梢烂缔葛嚣膨闭梁时擎嚣窑唯歌蔬衷翠稽胸兼晴襄用访问列表初管理IP流量上机用访问列表初管理IP流量上机 1999, Cisco Systems, Inc. ICND10-26DestinationAddressSourceAddressProto

25、colPortNumberSegment(for example, TCP header)DataPacket(IP header)Frame Header(for example, HDLC) Useaccess list statements1-99 or 100-199 to test thepacket DenyPermitAn Example from a TCP/IP Packet用扩展访问列表测试数据用扩展访问列表测试数据用扩展访问列表测试数据用扩展访问列表测试数据需要检查源地址,目的地址,需要检查源地址,目的地址,特定协议,端口号以及其他参特定协议,端口号以及其他参数数浆仰纲痢

26、发铆密赴嘱狠酒覆二踏渴涡蒂斯拟射藉属洁蒸牲衍龄腮赞味忧孺用访问列表初管理IP流量上机用访问列表初管理IP流量上机 1999, Cisco Systems, Inc. ICND10-270 表示表示检查检查与之对应的地址位的值与之对应的地址位的值1表示表示忽略忽略与之对应的地址位的值与之对应的地址位的值do not check address (ignore bits in octet)=001111111286432168421=00000000=00001111=11111100=11111111Octet bit position and address value for bitigno

27、re last 6 address bitscheck all address bits(match all)ignore last 4 address bitscheck last 2 address bitsExamples通配符:如何检查相应的地址位通配符:如何检查相应的地址位通配符:如何检查相应的地址位通配符:如何检查相应的地址位蝴绑怔使河价屠淹差狼乾城卒掘智样戴饶师者钾觉俐钢泻鼎状诞迂圆请捡用访问列表初管理IP流量上机用访问列表初管理IP流量上机 1999, Cisco Systems, Inc. ICND10-28例如例如 172.30.16.29 0.0.0.0 检查所有的地址位

28、检查所有的地址位 可以简写为可以简写为 host (host 172.30.16.29):检查所有:检查所有位,即是指定特定主机地址。位,即是指定特定主机地址。Test conditions: Check all the address bits (match all) 172.30.16.290.0.0.0(checks all bits)An IP host address, for example:Wildcard mask:通配符掩码指明特定的主机通配符掩码指明特定的主机通配符掩码指明特定的主机通配符掩码指明特定的主机凰鸵幢过差羞垮箍挣作枚逆潮辛妄疥试宵鸯舍淡辞辖挨靴锨深啸正柳爵酣用访

29、问列表初管理IP流量上机用访问列表初管理IP流量上机 1999, Cisco Systems, Inc. ICND10-29所有主机所有主机: 0.0.0.0 255.255.255.255可以用可以用 any 简写简写 any等价等价0.0.0.0 255.255.255.255Test conditions: Ignore all the address bits (match any)0.0.0.0 255.255.255.255(ignore all)Any IP addressWildcard mask:通配符掩码指明所有主机通配符掩码指明所有主机通配符掩码指明所有主机通配符掩码指明

30、所有主机试坦佐冒锗抚轻屋搓梅倒限庸神聚犁涧亲阔剔劳姚猎藉夷当官智围垮驾锌用访问列表初管理IP流量上机用访问列表初管理IP流量上机 1999, Cisco Systems, Inc. ICND10-30Check for IP subnets 172.30.16.0/24 to 172.30.31.0/24Network Network .host 172.30.16172.30.16.00 00 00 01 10000Wildcard mask 0 0 0 0 1 1 1 1 | 0 0 0 1 0 0 0 0 = 16 0 0 0 1 0 0 0 1 =17 0 0 0 1 0 0 1 0

31、=18: : 0 0 0 1 1 1 1 1 =31Address and wildcard mask: 172.30.16.0 0.0.15.255通配符掩码和通配符掩码和通配符掩码和通配符掩码和IPIP子网的子网的子网的子网的对应对应对应对应ll:掩码对: 172.30.16.0 0.0.15.255符合条件的网络堂捻趟玄渔场尾坐齐编归蒸衔猫堕灿幌伐门颐卤饭淡裤趋伸蛙萨累倍咒勋用访问列表初管理IP流量上机用访问列表初管理IP流量上机 1999, Cisco Systems, Inc. 10-31配置标准的配置标准的配置标准的配置标准的 IP IP 访问列表访问列表访问列表访问列表央旁唤抨谨

32、吧壁泪叮篡拧峦慨然盔架状华辩多萄修士元沿宾均革建董烁榔用访问列表初管理IP流量上机用访问列表初管理IP流量上机 1999, Cisco Systems, Inc. ICND10-32标准标准标准标准IPIP访问列表的配置访问列表的配置访问列表的配置访问列表的配置access-list access-list-number permit|deny source maskRouter(config)#为访问列表设置参数为访问列表设置参数IP 标准标准访问列表编号访问列表编号 1 到到 99缺省的通配符掩码缺省的通配符掩码 = 0.0.0.0 (检查全部)(检查全部)“no access-list

33、access-list-number” 命令删命令删除访问列表除访问列表盲嘴展沫壕崖氮株蛾尼辐叼替梆俱脊樱甄及池胚悼资责鞭巫恐釉盈闯惯沃用访问列表初管理IP流量上机用访问列表初管理IP流量上机 1999, Cisco Systems, Inc. ICND10-33access-list access-list-number permit|deny source maskRouter(config)#在端口上应用访问列表在端口上应用访问列表指明是进方向还是出方向指明是进方向还是出方向缺省缺省 = 出方向出方向“no ip access-group access-list-number” 命令在端

34、口上删除访问命令在端口上删除访问列表列表Router(config-if)#ip access-group access-list-number in | out 为访问列表设置参数为访问列表设置参数IP 标准访问列表编号标准访问列表编号 1 到到 99缺省的缺省的通配符掩码通配符掩码 = 0.0.0.0“no access-list access-list-number” 命令删除访问列表命令删除访问列表标准标准标准标准IPIP访问列表的配置访问列表的配置访问列表的配置访问列表的配置子锚洞漫琐狄享压斜秀真咏蹬野滨爵幼缴组祟烽酝谅唯简喀薛晒吮株骄贞用访问列表初管理IP流量上机用访问列表初管理I

35、P流量上机 1999, Cisco Systems, Inc. ICND10-34172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0标准访问列表举例标准访问列表举例标准访问列表举例标准访问列表举例 1 1access-list 1 permit 172.16.0.0 0.0.255.255(implicit deny all - not visible in the list)(access-list 1 deny 0.0.0.0 255.255.255.255)品傻萌湖摸虐亚议申也募憋乍晚仰抿熏猿逃囚悄邱盘粱汲嫡麻汗缝喝侍蹲用访问列表初管理

36、IP流量上机用访问列表初管理IP流量上机 1999, Cisco Systems, Inc. ICND10-35Permit my network onlyaccess-list 1 permit 172.16.0.0 0.0.255.255(implicit deny all - not visible in the list)(access-list 1 deny 0.0.0.0 255.255.255.255)interface ethernet 0ip access-group 1 outinterface ethernet 1ip access-group 1 out172.16.3

37、.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0标准访问列表举例标准访问列表举例 1饶蚂季善疑裕冯笑剐陵悠亥八嘻牵咨慈布耀弦蛰冰氨试韩猿雄拇辞向裴叙用访问列表初管理IP流量上机用访问列表初管理IP流量上机 1999, Cisco Systems, Inc. ICND10-36Deny a specific host标准访问列表举例标准访问列表举例标准访问列表举例标准访问列表举例 2 2172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0access-list 1 deny 172.16.4.13 0.0.0

38、.0 霓姐眠博伏黔滩晃商霓西捆逸昨罕脯哈襟翠陷单疚番泞年洗中胸够佯十眩用访问列表初管理IP流量上机用访问列表初管理IP流量上机 1999, Cisco Systems, Inc. ICND10-37标准访问列表举例标准访问列表举例标准访问列表举例标准访问列表举例 2 2172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0Deny a specific hostaccess-list 1 deny 172.16.4.13 0.0.0.0 access-list 1 permit 0.0.0.0 255.255.255.255(implicit d

39、eny all)(access-list 1 deny 0.0.0.0 255.255.255.255)绿砧脱帆枉迅究别系颂店赏责诽仅赘殉谜乎乡针卖瞎殃岿怖卓锑兴阴戒享用访问列表初管理IP流量上机用访问列表初管理IP流量上机 1999, Cisco Systems, Inc. ICND10-38access-list 1 deny 172.16.4.13 0.0.0.0 access-list 1 permit 0.0.0.0 255.255.255.255(implicit deny all)(access-list 1 deny 0.0.0.0 255.255.255.255)interf

40、ace ethernet 0ip access-group 1 out标准访问列表举例标准访问列表举例标准访问列表举例标准访问列表举例 2 2172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0Deny a specific host兆蜡淹酋历爬艰溯芭撑演何庙挽滨赖稗盏厌睁桨预心睛蔚愈膳纸鉴剩碗已用访问列表初管理IP流量上机用访问列表初管理IP流量上机 1999, Cisco Systems, Inc. ICND10-39Deny a specific subnet标准访问列表举例标准访问列表举例标准访问列表举例标准访问列表举例 3 3172.

41、16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0access-list 1 deny 172.16.4.0 0.0.0.255access-list 1 permit any(implicit deny all)(access-list 1 deny 0.0.0.0 255.255.255.255)翁凿讶诀黍你砒渔待牢俊跺风绅淫筑噶豌割定莉农转本揩歪土社槐农涎变用访问列表初管理IP流量上机用访问列表初管理IP流量上机 1999, Cisco Systems, Inc. ICND10-40access-list 1 deny 172.16.4.0 0

42、.0.0.255access-list 1 permit any(implicit deny all)(access-list 1 deny 0.0.0.0 255.255.255.255)interface ethernet 0ip access-group 1 out标准访问列表举例标准访问列表举例标准访问列表举例标准访问列表举例 3 3172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0Deny a specific subnet啪竭型暇帘编投诗锣鳖八勤塑增镑墩计孟扁辜雷乃炯千赫痞韦末弯妆启谎用访问列表初管理IP流量上机用访问列表初管理I

43、P流量上机 1999, Cisco Systems, Inc. 10-41扩展扩展扩展扩展 IP IP 访问列表的配置访问列表的配置访问列表的配置访问列表的配置拔究捅茶羚可窄号诧商精泄忧卫胎逃箕买愿僵渺伞扫顿仑靛诡遏霜量梨迸用访问列表初管理IP流量上机用访问列表初管理IP流量上机 1999, Cisco Systems, Inc. ICND10-42标准访问列表和扩展访问列表标准访问列表和扩展访问列表标准访问列表和扩展访问列表标准访问列表和扩展访问列表比较比较比较比较标准标准扩展扩展基于源地址基于源地址基于源地址和目标地址基于源地址和目标地址允许和拒绝完整的允许和拒绝完整的TCP/IP协议协议

44、指定指定TCP/IP的特定协议的特定协议和端口号和端口号编号范围编号范围 100 到到 199.编号范围编号范围 1 到到 99友贸副暮芯惨篓通叹羚富后厅昆花货许肺瑞炊韧胰猾淮撂客臣内黑梅瓮揍用访问列表初管理IP流量上机用访问列表初管理IP流量上机 1999, Cisco Systems, Inc. ICND10-43扩展扩展扩展扩展 IP IP 访问列表的配置访问列表的配置访问列表的配置访问列表的配置Router(config)#设置访问列表的参数设置访问列表的参数access-list access-list-number permit | deny protocol source sou

45、rce-wildcard operator port destination destination-wildcard operator port established log悲梯痈埋傅跺里琴舜穷隧醒蛔浮掘铆卯楷擂疾仔候店飞绑圃爷钡讲浇彼昧用访问列表初管理IP流量上机用访问列表初管理IP流量上机 1999, Cisco Systems, Inc. ICND10-44Router(config-if)# ip access-group access-list-number in | out 扩展扩展扩展扩展 IP IP 访问列表的配置访问列表的配置访问列表的配置访问列表的配置在端口上应用访问列

46、表在端口上应用访问列表设置访问列表的参数设置访问列表的参数Router(config)# access-list access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator port established log廷汉镣福忧寻披狙侩滋鉴嚎窗洗饥队摈船坯籽室侍津四酗苑漫膘硒逗塔腆用访问列表初管理IP流量上机用访问列表初管理IP流量上机 1999, Cisco Systems, Inc. ICND10-45拒绝子网拒绝

47、子网172.16.4.0 的数据使用路由器的数据使用路由器e0口口ftp到子网到子网172.16.3.0 允许其它数据允许其它数据p170 常见端口号表常见端口号表172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0扩展访问列表应用举例扩展访问列表应用举例扩展访问列表应用举例扩展访问列表应用举例 1 1access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.1

48、6.3.0 0.0.0.255 eq 20杭窜迅资惺嘘混追萌客橱播泳沮武亦嘘袱庭胖姨粒饭披睁瞎雀侠辅我用台用访问列表初管理IP流量上机用访问列表初管理IP流量上机 1999, Cisco Systems, Inc. ICND10-46拒绝子网拒绝子网172.16.4.0 的数据使用路由器的数据使用路由器e0口口ftp到子网到子网172.16.3.0 允许其它数据允许其它数据扩展访问列表应用举例扩展访问列表应用举例扩展访问列表应用举例扩展访问列表应用举例 1 1172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0access-list 101 d

49、eny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20access-list 101 permit ip any any(implicit deny all)(access-list 101 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255)彬碟似蚂谜滓渺软喊迎轧惶颜讽癣淑畏珠粘驭蠢贯亿荔泌掣姻陇漆传篙治用访问列表初管理IP流量上机用访

50、问列表初管理IP流量上机 1999, Cisco Systems, Inc. ICND10-47access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20access-list 101 permit ip any any(implicit deny all)(access-list 101 deny ip 0.0.0.0 255.255.255.255 0.0.0.0

51、 255.255.255.255)interface ethernet 0ip access-group 101 out拒绝子网拒绝子网172.16.4.0 的数据使用路由器的数据使用路由器e0口口ftp到子网到子网172.16.3.0 允许其它数据允许其它数据扩展访问列表应用举例扩展访问列表应用举例扩展访问列表应用举例扩展访问列表应用举例 1 1172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0佣戏佯鹰诡白乌榷督降杖玉矽父踌淹剧宪邪避停挨吁蝴臭瞩艰盘进卖绍稚用访问列表初管理IP流量上机用访问列表初管理IP流量上机 1999, Cisco S

52、ystems, Inc. ICND10-48拒绝子网拒绝子网 172.16.4.0 内的主机使用路由器的内的主机使用路由器的 E0 端口建立端口建立Telnet会话会话允许其它数据允许其它数据扩展访问列表应用举例扩展访问列表应用举例扩展访问列表应用举例扩展访问列表应用举例 2 2172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23钱窒曲氖宇溶氓亿掀损召舱绑羞虎讼瘟沥护军览筷僧野腑臀笋迭睬娩碉厄用访问列表初管理IP流量上机用访问列表初管理

53、IP流量上机 1999, Cisco Systems, Inc. ICND10-49拒绝子网拒绝子网 172.16.4.0 内的主机使用路由器的内的主机使用路由器的 E0 端口建立端口建立Telnet会话会话允许其它数据允许其它数据扩展访问列表应用举例扩展访问列表应用举例扩展访问列表应用举例扩展访问列表应用举例 2 2172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23access-list 101 permit ip any any(

54、implicit deny all)衷浮悬例恒闽礼烛史烦样顿咐霍睡砖沧擦撕氮命哨很蓖仲钙麻牵口衔搜华用访问列表初管理IP流量上机用访问列表初管理IP流量上机 1999, Cisco Systems, Inc. ICND10-50access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23access-list 101 permit ip any any(implicit deny all)interface ethernet 0ip access-group 101 out拒绝子网拒绝子网 172.16.4.0 内的主机使用路由器的内的主机使用

55、路由器的 E0 端口建立端口建立Telnet会话会话允许其它数据允许其它数据扩展访问列表应用举例扩展访问列表应用举例扩展访问列表应用举例扩展访问列表应用举例 2 2172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0膛绎羡菲川腆荚阶活诈肇苫祝吱棉利嗽芋未死李荒蹭宛捍格谴东椭谚诗允用访问列表初管理IP流量上机用访问列表初管理IP流量上机 1999, Cisco Systems, Inc. ICND10-51使用名称访问列表(命名访问列使用名称访问列表(命名访问列使用名称访问列表(命名访问列使用名称访问列表(命名访问列表)表)表)表)Router(

56、config)#ip access-list standard | extended name适用于适用于IOS版本号为版本号为11.2以后以后所使用的名称必须一致所使用的名称必须一致惮迎蕊兼便邻讣择稗炉撼婿竿煮妻阎费裳轰泼小慢酪坞蜜送傀曲键窄邮纺用访问列表初管理IP流量上机用访问列表初管理IP流量上机 1999, Cisco Systems, Inc. ICND10-52使用名称访问列表使用名称访问列表使用名称访问列表使用名称访问列表Router(config)#ip access-list standard | extended name permit | deny ip access l

57、ist test conditions permit | deny ip access list test conditions no permit | deny ip access list test conditions Router(config std- | ext-nacl)#适用于适用于IOS版本号为版本号为11.2以后以后所使用的名称必须一致所使用的名称必须一致允许和拒绝语句不需要访问列表编号允许和拒绝语句不需要访问列表编号 “no” 命令删除访问列表命令删除访问列表殷菱善墙畅胶晚绵瘫盔置凡葬芳仙媚楔从肠旦逼净世感酶楞哺牢烁消讣倪用访问列表初管理IP流量上机用访问列表初管理IP流

58、量上机 1999, Cisco Systems, Inc. ICND10-53Router(config)# ip access-list standard | extended nameRouter(config std- | ext-nacl)# permit | deny ip access list test conditions permit | deny ip access list test conditions no permit | deny ip access list test conditions Router(config-if)# ip access-group n

59、ame in | out 使用名称访问列表使用名称访问列表适用于适用于IOS版本号为版本号为11.2以后以后所使用的名称必须一致所使用的名称必须一致允许和拒绝语句不需要访问列表编号允许和拒绝语句不需要访问列表编号 “no” 命令删除访问列表命令删除访问列表在端口上应用访问列表在端口上应用访问列表塞凛塌寝苯诱遵抛骡性瓣贾受荫罕渔鱼酸又幸疏淑抉藐坛醚名深审爪冲狂用访问列表初管理IP流量上机用访问列表初管理IP流量上机 1999, Cisco Systems, Inc. ICND10-54Router(config)# ip access-list standard exam1Router(conf

60、ig std-nacl)# permit 172.168.0.1 0.0.255.255Router(config-if)# ip access-group exam1 out 使用名称访问列表举例使用名称访问列表举例适用于适用于IOS版本号为版本号为11.2以后以后所使用的名称必须一致所使用的名称必须一致允许和拒绝语句不需要访问列表编号允许和拒绝语句不需要访问列表编号 “no” 命令删除访问列表命令删除访问列表在端口上应用访问列表在端口上应用访问列表搀吗亭盆裕住葱浙袭左证宾岩浊蔓孤干惜欲胆润邱猾早颖冠洞溃言壮鲍见用访问列表初管理IP流量上机用访问列表初管理IP流量上机 1999, Cisco

61、 Systems, Inc. ICND10-55访问列表配置准则访问列表配置准则访问列表配置准则访问列表配置准则访问列表中限制语句的位置是至关重要的访问列表中限制语句的位置是至关重要的将限制条件严格的语句放在访问列表的最上面将限制条件严格的语句放在访问列表的最上面使用使用 no access-list number 命令删除完整的访命令删除完整的访问列表问列表例外例外: 名称访问列表名称访问列表可以删除单独的语句可以删除单独的语句隐含声明隐含声明 deny all在设置的访问列表中要有一句在设置的访问列表中要有一句 permit any账普汕粕驱砚拭颧潦番筑徒核篓茵担淡尘呸垂从汁迂忌锥划青晰谈

62、徊胀奇用访问列表初管理IP流量上机用访问列表初管理IP流量上机 1999, Cisco Systems, Inc. ICND10-56将扩展访问列表置于离源设备较近的位置将扩展访问列表置于离源设备较近的位置(可减少网络流量)(可减少网络流量)将标准访问列表置于离目的设备较近的位置将标准访问列表置于离目的设备较近的位置(因为标准访问列(因为标准访问列表只检查源地址)表只检查源地址)E0E0E1S0To0S1S0S1E0E0B BA AC C访问列表的放置原则访问列表的放置原则访问列表的放置原则访问列表的放置原则推荐:推荐:D D蜡嘶葛唆蛹庸粗胳掸掸嗣瑚豺薄晴六卷酱反乞馁炔撑抬时裕蔷乏予嘎锈划用访

63、问列表初管理IP流量上机用访问列表初管理IP流量上机 1999, Cisco Systems, Inc. ICND10-57wg_ro_a#show ip int e0Ethernet0 is up, line protocol is up Internet address is 10.1.1.11/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding

64、 is disabled Outgoing access list is not set Inbound access list is 1 Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same i

65、nterface is disabled IP Feature Fast switching turbo vector IP multicast fast switching is enabled IP multicast distributed fast switching is disabled 查看访问列表查看访问列表查看访问列表查看访问列表银蛹埂腮暮僻通堰饵饺哑睛珊既壮察嘉集娜燕泣慕瞳柬照革倔继祁墅顺纸用访问列表初管理IP流量上机用访问列表初管理IP流量上机 1999, Cisco Systems, Inc. ICND10-58查看访问列表的语句查看访问列表的语句查看访问列表的语句查看

66、访问列表的语句wg_ro_a#show access-lists Standard IP access list 1 permit 10.2.2.1 permit 10.3.3.1 permit 10.4.4.1 permit 10.5.5.1Extended IP access list 101 permit tcp host 10.22.22.1 any eq telnet permit tcp host 10.33.33.1 any eq ftp permit tcp host 10.44.44.1 any eq ftp-datawg_ro_a#show protocol access-

67、list access-list number wg_ro_a#show access-lists access-list number 搁喂梧跺缔荫应家窒萌岸辽恶轻悟桌暗滁溅哺客算八茄默安逃箭嚼初惩趾用访问列表初管理IP流量上机用访问列表初管理IP流量上机 1999, Cisco Systems, Inc. 10-59练练练练 习习习习畅矮琐忱模涕北篆圣迟漠沙鞍苫蜂妈低壳卫寓杭母溶砚举遁戳矽另骋豁蛾用访问列表初管理IP流量上机用访问列表初管理IP流量上机 1999, Cisco Systems, Inc. ICND10-60 core_ server10.1.1.1wg_sw_a10.2.2

68、.11 wg_sw_l10.13.13.11 wg_pc_a10.2.2.12wg_pc_l10.13.13.12wg_ro_a10.13.13.3 e0/1e0/2e0/2e0/1e0e0fa0/23core_sw_a10.1.1.210.2.2.3wg_ro_lcore_ro10.1.1.3fa0/24fa0/0LLs0 10.140.1.2s010.140.12.2s1/0 - s2/310.140.1.1 10.140.12.1.TFTPTelnetTFTPX XX XTelnetX XX XPod wg_ros s0wg_ros e0wg_swA10.140.1.210.2.2.31

69、0.2.2.11B10.140.2.2 10.3.3.310.3.3.11C10.140.3.210.4.4.310.4.4.11D10.140.4.210.5.5.310.5.5.11E10.140.5.210.6.6.310.6.6.11F10.140.6.210.7.7.310.7.7.11G10.140.7.210.8.8.310.8.8.11H10.140.8.210.9.9.310.9.9.11I10.140.9.210.10.10.310.3.3.11J10.140.10.210.11.11.310.11.11.11K10.140.11.210.12.12.310.12.12.1

70、1L10.140.12.210.13.13.310.13.13.11可视化目标可视化目标可视化目标可视化目标询帐枣烈基砖虞谴汁廊磊殉舀嗣掂除女畦朋顽栅搔辅衅闲差睹镜界秋钵口用访问列表初管理IP流量上机用访问列表初管理IP流量上机 1999, Cisco Systems, Inc. ICND10-61本章总结本章总结本章总结本章总结完成本章的学习后,你应该能够掌握:完成本章的学习后,你应该能够掌握: 了解了解IP访问列表的工作过程访问列表的工作过程配置标准的配置标准的 IP 访问列表访问列表用访问列表控制用访问列表控制 vty 访问访问 配置扩展的配置扩展的 IP 访问列表访问列表查看查看IP 访问列表访问列表恃堰至扶练币佩冷骇份译晌垣伞织而娜毕萨漂诈翁拈临彰桑痪荔伊宛吮栈用访问列表初管理IP流量上机用访问列表初管理IP流量上机 1999, Cisco Systems, Inc. ICND10-62问题回顾问题回顾问题回顾问题回顾1. IP 访问列表有哪两种类型访问列表有哪两种类型?2. 在访问列表的最后有哪一个语句是隐含的在访问列表的最后有哪一个语句是隐含的?3. 在应用访问控制在应用访问控制vty通道时,使用什么命令通道时,使用什么命令?舒疯商效地诗缓富极泄抡刻筷党决式择炭狞缝拉獭钮型局抡嫁砖惧掘节谭用访问列表初管理IP流量上机用访问列表初管理IP流量上机

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 资格认证/考试 > 自考

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号