實驗22 NetSim-Cisco存取規則清單

Slides:



Advertisements
Similar presentations
项目六 路由器基本配置与管理.
Advertisements

打造活动品牌 推动队建发展 杨浦区少先队总辅导员 章希苓.
第6章 计算机网络基础 1.
08 CSS 基本語法 8-1 CSS 的演進 8-2 CSS 樣式規則與選擇器 8-3 連結HTML 文件與CSS 樣式表
第10章 局域网与Internet互联 RCNA_T010.
典型的路由器的结构 路由选择处理机 3——网络层 2——数据链路层 1——物理层 路由 选择 分组 转发 交换结构 路由选择协议 路由表
實驗六 路由器操作設定實驗 教師: 助教:.
安徽广播电视大学 组网技术与配置(第2版) 第8章 路由器的配置 汪本标.
校園網路管理實電務 電子計算機中心 謝進利.
专题5 RIP路由技术.
無線寬頻分享器設定範例 銜接硬體線路 推斷無線基地台的IP 設定無線基地台 相關觀念解釋.
IP Address A 黃明陽 指導教授:梁明章教授.
Hadoop 單機設定與啟動 step 1. 設定登入免密碼 step 2. 安裝java step 3. 下載安裝Hadoop
文档维护者:白金(platinum)、陈绪(bjchenxu)
Cisco網路設備之設定與管理 台大計資中心 李美雯
Core Switch 設定 Port的開啟與關閉 Virtual LAN建立 將Port指定到Virtual LAN
Router 設定 B 許雅婷 B 呂東烜 B 梁琨貿 B 陳人豪.
Access Control List (存取控制表)
IPv6 技術與服務 台東大學 電算中心 郭俊賢 技術師.
第八章 用访问列表初步管理 IP流量.
TCP協定 (傳輸層).
第六章 差错与控制报文 (ICMP).
NetFilter IPTables.
第二章 Linux基本指令與工具操作 LINUX 按圖施工手冊.
访问控制列表(ACL) Version 1.0.
TCP/IP Protocol Suite TCP/IP協定 第二組 投影片製作by簡嘉宏 綦凱宏 林睿敏 滕孟哲.
系統與網路管理工具.
HiNet 光世代非固定制 用戶端IPv6設定方式說明
第 10 章 安全.
第 2 章 TCP / IP 簡介.
SQL Stored Procedure SQL 預存程序.
CHT IPv6測試 D-Link Taiwan 友訊科技台灣分公司 TTSS 電信技術支援課 Name:
CISCO基本指令 課程補充教材.
考试题型 填空题(30) 选择题(20) 名词解释(10) 问答题(24) 计算题(16) 附加题(30) 成绩核算:
网络系统集成技术 访问控制列表 Access Control List 第七章.
第7章 访问控制列表 访问控制列表概述 标准、扩展及命名的访问控制列表 ACL执行 通配符掩码 配置访问控制列表 控制Telnet会话
第4章 OSI傳輸層.
TCP/IP介紹 講師:陳育良 2018/12/28.
網路安全管理 期末報告 分散式阻斷服務攻擊 - DDoS 指導教授:梁明章 教授 學生:陳皓昕 A
無線路由器(AP)管理.
Access Control List (存取控制表)
江西财经大学信息管理学院 《组网技术》课程组
ACL与包过滤 技术培训中心.
IP, Port, Router and Port forward
第二章 防火墙基础技术.
DHCP for W2K.
交换机基本配置.
網路安全技術期末報告 Proxy Server
第2讲 网络安全协议基础 此为封面页,需列出课程编码、课程名称和课程开发室名称。
第11章 網路的設定與測試.
Firewall-pfsense Mars Su
Wireshark DNS&HTTP封包分析
實驗24 NetSim-Cisco WAN專線服務-PPP、ISDN
VLAN间路由 LAN 交换及无线–第 6 章.
實驗23 NetSim - Network Address Translation (NAT)
網頁資料知多少? 事 實 ? 謠言?.
傳輸控制協議 /互聯網協議 TCP/IP.
谢聪.
指導老師:溫翔安 組員:溫允中4970E011 李雅俐4970E025 蕭積遠4970E026 陳欣暉4970E086
探測工具:NetCat.
Class & Object 靜宜大學資工系 蔡奇偉副教授 ©2011.
Chapter 11 使用者資料包通訊協定.
第十二章 NetSim - Network Address Translation (NAT)
MiRanda Java Interface v1.0的使用方法
基本指令.
IP Layer Basics, Firewall, VPN, and NAT
網路安全管理個人報告 封包偽裝攻擊 A 魏兆言 2007/11/30.
網路安全技術期末報告 ICMP協定 學生 : A 黃昱儒.
IP Layer Basics & Firewall
CHT IPv6測試 D-Link Taiwan 友訊科技台灣分公司 TTSS 電信技術支援課 Name:
Presentation transcript:

實驗22 NetSim-Cisco存取規則清單 實驗目的: 明瞭Cisco安全管理法則 建立ACLs-Standard、Extended

背景資料 Access List(存取規則清單)或Access Control List(ACL)是網路安全中的一項必要功能,當網路規模還很小時,常會使用密碼來允許使用者得到設備的權限,但如果網路規模愈來愈大時,網路管理者會開始面臨到存取上的管理問題,而Access List就是用來解決大中型網路上存取關係問題的方式。 當Access List功能啟動之後,如果有個封包進入路由器時,路由器所扮演的不再只是轉送的角色而已,而是要經過Access List的測試,才可以轉送出去,假若無法通過Access List中的存取規則,該封包就會被丟棄(drop)。

IP存取列表 IP網路環境中,我們使用IP存取列表有分成IP標準的存取列表(IP Standard Access Lists)及IP延伸的存取列表(IP extended Access Lists),範圍如下表所示。

標準的IP存取列表 標準的IP存取列表如圖示,只有比對封包的來源位址,然後進行允許(permit)或拒絕(deny)的限制動作。

標準的IP存取列表 標準的IP存取列表的語法,如下所示: access-list access-list-number {permit|deny} source [wildcard mask] access-list是主要的指令,而後面的參數說明如下: access-list-number:存取列表的號碼,標準的IP存取列表號碼是1~99。 permit|deny:指定這條規則是[允許|拒絕]。 source:要使用這條規則的來源IP位址。 wildcard mask:通配遮罩,0是進行檢查,1是不檢查。

通配遮罩 (wildcard mask) 範例一:source:192.192.73.120 範例二:source:192.192.73.0

在訪問列表的最後有一條隱含聲明︰deny any,即使並沒有設定,所以每一條正確的訪問列表都至少應該有一條允許語句。 標準的IP存取列表 在訪問列表的最後有一條隱含聲明︰deny any,即使並沒有設定,所以每一條正確的訪問列表都至少應該有一條允許語句。

通配遮罩 通配遮罩用來設定個別的主機、網路區塊、或特定範圍的一個網路或多個網路,和子網路遮罩不同的是它並不需要連續的0再接上連續的1,其中0是進行檢查,1是不檢查,例如0.0.0.19(00010011),表示不檢查最後第5,2,1位元,不過除非是考試需要否則一般並不會如此設定,底下用一些實用範例來說明通配遮罩的設定。

通配遮罩 個別的主機 標準存取列表 延伸存取列表 Access-list 1 permit 192.168.1.1 0.0.0.0 Access-list 1 permit host 192.168.1.1 延伸存取列表 Access-list 101 permit ip 192.168.1.1 0.0.0.0 any Access-list 101 permit ip host 192.168.1.1 any

通配遮罩

通配遮罩

通配遮罩

通配遮罩

通配遮罩

啟動Access List 設定好存取列表的規則後,我們必需在指定的介面上啟動列表才算完成設定。啟動的語法如下所示: ip access-group access-list-number {in | out} ip access-group是主要指令,其後面的參數說明如下: access-list-number:是已設定好的存取列表編號。 in/out:in是進入介面,out是從介面輸出,預設是out。

路由器有ACL的封包處理流程 路由器待處理的封包數量眾多,所以增加ACL會增加路由器的負擔,有時會建議使用專用防火牆來過濾封包。

路由器有ACL的封包處理流程

路由器有ACL的封包處理流程

延伸的IP存取列表 IP延伸存取列表,顧名思義,就是IP標準存取列表的進階版本。IP延伸存取列表如圖示,可以使用較多的控制參數,比對封包的來源位址、目的位址、埠號和協定,然後進行允許(permit)或拒絕(deny)的限制動作。

延伸的IP存取列表

延伸的IP存取列表 延伸的IP存取列表的語法如下所示: access-list access-list-number {permit | deny} protocol source source-wildcard [operator port] destination destination-wildcard [operator port] [established] [log]

延伸的IP存取列表 其中access-list是主要的指令,而後面的參數說明如下: access-list-number:存取列表的號碼,延伸的IP存取列表號碼是100~199。 permit|deny:指定這條規則是[允許|拒絕]。 protocol:可以使用的協定,有tcp、udp、IP、ICMP、IGRP、EIGRP、OSPF等。 source source-wildcard:來源位址的IP。source-wildcard是用來辨識來源IP位址是否符合我們想要制定的規則,當source-wildcard為1時忽略不檢查,若為0則是需要檢查,用法和標準存取列表相同,而any是代表任何來源的IP封包,也就是0.0.0.0 255.255.255.255。 destination destination-wildcard:目的位址的IP,和source source-wildcard的用法一樣。 operator port:協定指定的選項。 log:記錄有關封包進入存取列表的資訊。

延伸的IP存取列表 access-list 101 permit tcp 192.168.1.16 0.0.0.15 any eq telnet access-list 102 permit ip 192.168.2.0 0.0.0.15 any access-list 101 deny tcp 172.16.1.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21 access-list 101 deny tcp 172.16.1.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20 access-list 101 permit ip any any

實驗方法 實驗要求:不允許172.16.0.0/16, 192.168.2/0, 192.168.3.1連線至PC1。 首先建立存取列表 (config)#access-list 1 deny 172.16.0.0 0.0.255.255 (config)#access-list 1 deny 192.168.2.0 0.0.0.255 (config)#access-list 1 deny host 192.168.3.1 (config)#access-list 1 permit any

標準存取列表 啟動這條規則,並可用『show ip interface f0/0』來驗證,過程如下所示: (config)#interface f0/0 (config-if)#ip access-group 1 out

延伸存取列表 實驗要求:新竹(Router 2)只允許由高雄(Router 3)來telnet。 路由器要使用telnet命令來被遠端虛擬終端控制的話,其路由器需在vty上設有密碼,本實驗要求新竹(Router 2)可被telnet,相關命令請參考實驗十六。 首先建立存取列表 (config)#access-list 101 permit tcp host 172.16.2.253 any eq telnet (config)#access-list 101 permit tcp host 172.16.3.254 any eq telnet (config)#access-list 101 permit tcp host 172.16.5.253 any eq telnet (config)#access-list 101 deny tcp any any eq telnet (config)#access-list 101 permit ip any any

延伸存取列表 啟動這條規則,並可用『show ip interface f0/0』來驗證,過程如下所示: (config)#interface s0 (config-if)#ip access-group 101 in (config-if)#interface s1

延伸存取列表

延伸存取列表 接下來分別使用台北(Router 1)和高雄(Router 3)對新竹(Router 2) telnet來驗證。

延伸存取列表 實驗要求:高雄(Router 3)不允許PING。 首先建立存取列表 接下來,啟動這條規則,過程如下所示: (config)#access-list 101 deny icmp any any (config)#access-list 101 permit ip any any 接下來,啟動這條規則,過程如下所示: (config-if)#interface s0 (config-if)#ip access-group 101 in (config-if)#interface s1 (config-if)#interface s2 (config-if)#interface f0/0

名稱式存取清單 名稱式存取清單不是另外種類存取清單,僅是一種產生標準與延伸式存取清單的方法,名稱式存取清單可用名稱來產生,讓我們以較有意義的方式來參考,這存取清單沒有任何新的或不同的意義,命令如下: ip access-list {extended |logging | standard} access-list-name 啟動名稱式存取清單的語法如下所示: ip access-group access-list-name {in | out}

學習評量 說明建立存取列表的目的。 說明標準存取列表的範圍。 說明伸存取列表的範圍。 any所代表的位址為何? 說明哪個指令是指啟動存取列表? 說明何謂Source-wildcard?該如何計算? 說明存取列表和防火牆是否相同? 說明TCP和UDP常用的port號為何? 說明標準存取列表和延伸存取列表的差異性。 在延伸存取列表的實驗中,新竹(Router 2)只允許由高雄(Router 3)來telnet,除實驗範例外有沒有其它的指定方式?