Presentation is loading. Please wait.

Presentation is loading. Please wait.

第7章 访问控制列表 访问控制列表概述 标准、扩展及命名的访问控制列表 ACL执行 通配符掩码 配置访问控制列表 控制Telnet会话

Published byMilton Franca Sales Modified 5年之前

Similar presentations

Presentation on theme: "第7章 访问控制列表 访问控制列表概述 标准、扩展及命名的访问控制列表 ACL执行 通配符掩码 配置访问控制列表 控制Telnet会话"— Presentation transcript:

1 第7章 访问控制列表 访问控制列表概述 标准、扩展及命名的访问控制列表 ACL执行 通配符掩码 配置访问控制列表 控制Telnet会话
第7章 访问控制列表 访问控制列表概述 标准、扩展及命名的访问控制列表 ACL执行 通配符掩码 配置访问控制列表 控制Telnet会话 ACL指南 验证ACL配置的命令 2018/12/8

2 访问控制列表概述-用途 按照优先级或用户队列处理数据包 检查和过滤数据包 限制对路由器虚拟终端的访问 对数据流进行限制以提高网络性能
定义发起DDR呼叫的数据 检查和过滤数据包 对数据流进行限制以提高网络性能 限制或减少路由更新的内容 2018/12/8

3 访问控制列表概述-类型 Standard Checks source address
Generally permits or denies entire protocol suite Extended Checks source and destination address Generally permits or denies specific protocols 2018/12/8

4 访问控制列表概述-类型区分 Standard IP lists (1-99) test conditions of all IP packets from source addresses. Extended IP lists ( ) test conditions of source and destination addresses, specific TCP/IP protocols, and destination ports. Standard IP lists ( ) (expanded range). Extended IP lists ( ) (expanded range). Other access list number ranges test conditions for other networking protocols. 2018/12/8

5 标准访问控制列表 2018/12/8

6 扩展访问控制列表 2018/12/8

7 出口ACL执行 如ACL中没有匹配语句,丢弃包(inbound:入站) 2018/12/8

8 ACL内部执行顺序 2018/12/8

9 通配符掩码(Wildcard Mask) 通配符掩码为0表示检查数据包的IP地址相对应的比特位
2018/12/8

10 通配符掩码(Wildcard Mask) Check all the address bits (match all).
Verify an IP host address, for example: For example, checks all the address bits. Abbreviate this wildcard mask using the IP address preceded by the keyword host (host ). 2018/12/8

11 通配符掩码(Wildcard Mask) Ignore all the address bits (match any).
An IP host address, for example: Accept any address: any Abbreviate the expression using the keyword any. 2018/12/8

12 通配符掩码(Wildcard Mask) Address and wildcard mask: Check for IP subnets /24 to /24. 2018/12/8

13 配置访问控制列表 Step 1: Set parameters for this access list test statement (which can be one of several statements). Router(config)#access-list access-list-number {permit | deny} {test conditions} Step 2: Enable an interface to use the specified access list. Router(config-if)#{protocol} access-group access-list-number {in | out} Standard IP lists (1-99) Extended IP lists ( ) Standard IP lists ( ) (expanded range) Extended IP lists ( ) (expanded range) 2018/12/8

14 配置访问控制列表-标准 Sets parameters for this list entry
Router(config)#access-list access-list-number {permit | deny | remark} source [mask] Sets parameters for this list entry IP standard access lists use 1 to 99 Default wildcard mask = no access-list access-list-number removes entire access list remark option lets you add a description for the access list Router(config-if)#ip access-group access-list-number {in | out} Activates the list on an interface Sets inbound or outbound testing Default = outbound no ip access-group access-list-number removes access list from the interface 2018/12/8

15 配置访问控制列表-标准-例 禁止来自外部网络的数据流通过(允许内部主机访问外网) 2018/12/8

16 配置访问控制列表-标准-例 禁止来自某台主机的数据流通过(拒绝主机 访问网络 ) 2018/12/8

17 配置访问控制列表-标准-例 禁止来自某个子网的数据流通过 2018/12/8

18 配置访问控制列表-扩展 Sets parameters for this list entry
Router(config)#access-list access-list-number {permit | deny} protocol source source-wildcard [operator port] destination destination-wildcard [operator port] [established] [log] Sets parameters for this list entry Router(config-if)#ip access-group access-list-number {in | out} Activates the extended list on an interface 2018/12/8

19 配置访问控制列表-扩展-例 禁止来自子网 172.16.4.0 且前往子网172.16.3.0 的FTP数据流通过接口 E0.
Permit all other traffic. 2018/12/8

20 配置访问控制列表-扩展-例 禁止来自特定子网的Telnet数据流通过. Permit all other traffic.
2018/12/8

21 命名的访问控制列表 Alphanumeric name string must be unique.
Router(config)#ip access-list {standard | extended} name Alphanumeric name string must be unique. Router(config {std- | ext-}nacl)#{permit | deny} {ip access list test conditions} {permit | deny} {ip access list test conditions} no {permit | deny} {ip access list test conditions} Permit or deny statements have no prepended number. “no” removes the specific test from the named access list. Router(config-if)#ip access-group name {in | out} Activates the IP named access list on an interface. 2018/12/8

22 命名的访问控制列表 禁止来自特定子网的Telnet数据流通过的命名扩展访问列表
Router(config)#ip access-list extended screen Router(config-ext-nacl)#deny tcp eq 23 Router(config-ext-nacl)#permit ip any any Router(config-ext-nacl)#interface ethernet 0 Router(config-if)#ip access-group out 禁止来自特定子网的Telnet数据流通过的命名扩展访问列表 2018/12/8

23 控制Telnet会话 物理接口上设置访问控制列表?繁锁 在Telnet所使用的虚拟端口上设置ACL 2018/12/8

24 控制Telnet会话 创建一标准ACL,只允许所希望的主机能Telnet至路由器 进入vty配置模式
Router(config)#line vty {vty# | vty-range} 进入vty配置模式 Router(config-line)#access-class access-list-number {in | out} 使用access-class命令将ACL应用到VTY线路 2018/12/8

25 控制Telnet会话-例 仅允许 192.168.1.0 网络中主机过程登录到路由器
access-list 12 permit (implicit deny all) ! line vty 0 4 access-class 12 in 仅允许 网络中主机过程登录到路由器 2018/12/8

26 ACL指南 每个接口、每个方向、每个协议只能有一个ACL
除了命名的ACL外,不能单独删除ACL中某个条件语句。可使用no access-list number删除整个列表 应把标准ACL放在靠近数据目标地址的路由器上,把扩展ACL放在靠近数据源发地的路由器上。 2018/12/8

27 ACL指南 ACL应放在边界路由器或防火墙上 2018/12/8

28 验证访问列表配置的命令 wg_ro_a#show ip interfaces e0
Ethernet0 is up, line protocol is up Internet address is /24 Broadcast address is Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1 Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is disabled IP Feature Fast switching turbo vector IP multicast fast switching is enabled IP multicast distributed fast switching is disabled <text ommitted> 2018/12/8

29 验证访问列表配置的命令 wg_ro_a#show access-lists {access-list number}
Standard IP access list 1 permit permit permit permit Extended IP access list 101 permit tcp host any eq telnet permit tcp host any eq ftp permit tcp host any eq ftp-data 2018/12/8

Download ppt "第7章 访问控制列表 访问控制列表概述 标准、扩展及命名的访问控制列表 ACL执行 通配符掩码 配置访问控制列表 控制Telnet会话"

Similar presentations

第 8 章 IP 基礎與定址.

第 8 章 IP 基礎與定址.
第6章 计算机网络基础 1.

第6章 计算机网络基础 1.
2017/3/6 WIRESHARK 的安裝與基本操作.

2017/3/6 WIRESHARK 的安裝與基本操作.
第 4 章 网络层.

第 4 章 网络层.
第10章 局域网与Internet互联 RCNA_T010.

第10章 局域网与Internet互联 RCNA_T010.
数据转发过程.

数据转发过程.
NetGuru 創新 網路通訊實驗教學解決方案 PART I TCP/IP通訊協定深入剖析/以NetGuru實作

NetGuru 創新 網路通訊實驗教學解決方案 PART I TCP/IP通訊協定深入剖析/以NetGuru實作
第7章 路由技术 7. 1 广域网技术概述 7. 2 IP子网间的路由技术 7. 3 访问控制列表 7.4 网络地址转换(NAT)技术.

第7章 路由技术 7. 1 广域网技术概述 7. 2 IP子网间的路由技术 7. 3 访问控制列表 7.4 网络地址转换(NAT)技术.
安徽广播电视大学 组网技术与配置(第2版) 第8章 路由器的配置 汪本标.

安徽广播电视大学 组网技术与配置(第2版) 第8章 路由器的配置 汪本标.
课程介绍 教师:邹国忠、白金荣、沐士光 内容:课堂实验、课外实验、选作实验 时间安排:实验:双周 考试形式:闭卷、每人一组独立操作。

课程介绍 教师:邹国忠、白金荣、沐士光 内容:课堂实验、课外实验、选作实验 时间安排:实验:双周 考试形式:闭卷、每人一组独立操作。
校園網路管理實電務 電子計算機中心 謝進利.

校園網路管理實電務 電子計算機中心 謝進利.
Netman (netman@study-area.org) Linux 的防火牆設計與應用 Netman (netman@study-area.org)

Netman Linux 的防火牆設計與應用 Netman
项目四 组建跨地区网络 授课教师:肖颖.

项目四 组建跨地区网络 授课教师:肖颖.
计算机网络 吴功宜 编著 欢迎辞.

计算机网络 吴功宜 编著 欢迎辞.
網路基本概念與設定方法 林文宗 資管系助理教授 92.3.5.

網路基本概念與設定方法 林文宗 資管系助理教授
宽带路由器配置与应用.

宽带路由器配置与应用.
第7章 网络安全.

第7章 网络安全.
PPP协议 点到点协议 深圳职业技术学院计算机系网络专业.

PPP协议 点到点协议 深圳职业技术学院计算机系网络专业.
网络安全威胁与防御策略. TCP/IP Protocols  Contains Five Layers  Top three layers contains many protocols  Actual transmission at the physical layer.

网络安全威胁与防御策略. TCP/IP Protocols  Contains Five Layers  Top three layers contains many protocols  Actual transmission at the physical layer.
Authentication, Authorization, and Accounting

Authentication, Authorization, and Accounting

Similar presentations

Ads by Google