Presentation is loading. Please wait.

Presentation is loading. Please wait.

實驗22 NetSim-Cisco存取規則清單

Published by Modified 5年之前

Similar presentations

Presentation on theme: "實驗22 NetSim-Cisco存取規則清單"— Presentation transcript:

1 實驗22 NetSim-Cisco存取規則清單
實驗目的: 明瞭Cisco安全管理法則 建立ACLs-Standard、Extended

2 背景資料 Access List(存取規則清單)或Access Control List(ACL)是網路安全中的一項必要功能,當網路規模還很小時,常會使用密碼來允許使用者得到設備的權限,但如果網路規模愈來愈大時,網路管理者會開始面臨到存取上的管理問題,而Access List就是用來解決大中型網路上存取關係問題的方式。 當Access List功能啟動之後,如果有個封包進入路由器時,路由器所扮演的不再只是轉送的角色而已,而是要經過Access List的測試,才可以轉送出去,假若無法通過Access List中的存取規則,該封包就會被丟棄(drop)。

3 IP存取列表 IP網路環境中,我們使用IP存取列表有分成IP標準的存取列表(IP Standard Access Lists)及IP延伸的存取列表(IP extended Access Lists),範圍如下表所示。

4 標準的IP存取列表 標準的IP存取列表如圖示,只有比對封包的來源位址,然後進行允許(permit)或拒絕(deny)的限制動作。

5 標準的IP存取列表 標準的IP存取列表的語法,如下所示:
access-list access-list-number {permit|deny} source [wildcard mask] access-list是主要的指令,而後面的參數說明如下: access-list-number:存取列表的號碼,標準的IP存取列表號碼是1~99。 permit|deny:指定這條規則是[允許|拒絕]。 source:要使用這條規則的來源IP位址。 wildcard mask:通配遮罩,0是進行檢查,1是不檢查。

6 通配遮罩 (wildcard mask) 範例一:source:192.192.73.120 範例二:source:192.192.73.0

7 在訪問列表的最後有一條隱含聲明︰deny any,即使並沒有設定,所以每一條正確的訪問列表都至少應該有一條允許語句。
標準的IP存取列表 在訪問列表的最後有一條隱含聲明︰deny any,即使並沒有設定,所以每一條正確的訪問列表都至少應該有一條允許語句。

8 通配遮罩 通配遮罩用來設定個別的主機、網路區塊、或特定範圍的一個網路或多個網路,和子網路遮罩不同的是它並不需要連續的0再接上連續的1,其中0是進行檢查,1是不檢查,例如 ( ),表示不檢查最後第5,2,1位元,不過除非是考試需要否則一般並不會如此設定,底下用一些實用範例來說明通配遮罩的設定。

9 通配遮罩 個別的主機 標準存取列表 延伸存取列表 Access-list 1 permit 192.168.1.1 0.0.0.0
Access-list 1 permit host 延伸存取列表 Access-list 101 permit ip any Access-list 101 permit ip host any

10 通配遮罩

11 通配遮罩

12 通配遮罩

13 通配遮罩

14 通配遮罩

15 啟動Access List 設定好存取列表的規則後,我們必需在指定的介面上啟動列表才算完成設定。啟動的語法如下所示:
ip access-group access-list-number {in | out} ip access-group是主要指令,其後面的參數說明如下: access-list-number:是已設定好的存取列表編號。 in/out:in是進入介面,out是從介面輸出,預設是out。

16 路由器有ACL的封包處理流程 路由器待處理的封包數量眾多,所以增加ACL會增加路由器的負擔,有時會建議使用專用防火牆來過濾封包。

17 路由器有ACL的封包處理流程

18 路由器有ACL的封包處理流程

19 延伸的IP存取列表 IP延伸存取列表,顧名思義,就是IP標準存取列表的進階版本。IP延伸存取列表如圖示,可以使用較多的控制參數,比對封包的來源位址、目的位址、埠號和協定,然後進行允許(permit)或拒絕(deny)的限制動作。

20 延伸的IP存取列表

21 延伸的IP存取列表 延伸的IP存取列表的語法如下所示:
access-list access-list-number {permit | deny} protocol source source-wildcard [operator port] destination destination-wildcard [operator port] [established] [log]

22 延伸的IP存取列表 其中access-list是主要的指令,而後面的參數說明如下:
access-list-number:存取列表的號碼,延伸的IP存取列表號碼是100~199。 permit|deny:指定這條規則是[允許|拒絕]。 protocol:可以使用的協定,有tcp、udp、IP、ICMP、IGRP、EIGRP、OSPF等。 source source-wildcard:來源位址的IP。source-wildcard是用來辨識來源IP位址是否符合我們想要制定的規則,當source-wildcard為1時忽略不檢查,若為0則是需要檢查,用法和標準存取列表相同,而any是代表任何來源的IP封包,也就是 。 destination destination-wildcard:目的位址的IP,和source source-wildcard的用法一樣。 operator port:協定指定的選項。 log:記錄有關封包進入存取列表的資訊。

23 延伸的IP存取列表 access-list 101 permit tcp any eq telnet access-list 102 permit ip any access-list 101 deny tcp eq 21 access-list 101 deny tcp eq 20 access-list 101 permit ip any any

24 實驗方法 實驗要求:不允許172.16.0.0/16, 192.168.2/0, 192.168.3.1連線至PC1。 首先建立存取列表
(config)#access-list 1 deny (config)#access-list 1 deny (config)#access-list 1 deny host (config)#access-list 1 permit any

25 標準存取列表 啟動這條規則,並可用『show ip interface f0/0』來驗證,過程如下所示:
(config)#interface f0/0 (config-if)#ip access-group 1 out

26 延伸存取列表 實驗要求:新竹(Router 2)只允許由高雄(Router 3)來telnet。
路由器要使用telnet命令來被遠端虛擬終端控制的話,其路由器需在vty上設有密碼,本實驗要求新竹(Router 2)可被telnet,相關命令請參考實驗十六。 首先建立存取列表 (config)#access-list 101 permit tcp host any eq telnet (config)#access-list 101 permit tcp host any eq telnet (config)#access-list 101 permit tcp host any eq telnet (config)#access-list 101 deny tcp any any eq telnet (config)#access-list 101 permit ip any any

27 延伸存取列表 啟動這條規則,並可用『show ip interface f0/0』來驗證,過程如下所示:
(config)#interface s0 (config-if)#ip access-group 101 in (config-if)#interface s1

28 延伸存取列表

29 延伸存取列表 接下來分別使用台北(Router 1)和高雄(Router 3)對新竹(Router 2) telnet來驗證。

30 延伸存取列表 實驗要求:高雄(Router 3)不允許PING。 首先建立存取列表 接下來,啟動這條規則,過程如下所示:
(config)#access-list 101 deny icmp any any (config)#access-list 101 permit ip any any 接下來,啟動這條規則,過程如下所示: (config-if)#interface s0 (config-if)#ip access-group 101 in (config-if)#interface s1 (config-if)#interface s2 (config-if)#interface f0/0

31 名稱式存取清單 名稱式存取清單不是另外種類存取清單,僅是一種產生標準與延伸式存取清單的方法,名稱式存取清單可用名稱來產生,讓我們以較有意義的方式來參考,這存取清單沒有任何新的或不同的意義,命令如下: ip access-list {extended |logging | standard} access-list-name 啟動名稱式存取清單的語法如下所示: ip access-group access-list-name {in | out}

32 學習評量 說明建立存取列表的目的。 說明標準存取列表的範圍。 說明伸存取列表的範圍。 any所代表的位址為何?
說明哪個指令是指啟動存取列表? 說明何謂Source-wildcard?該如何計算? 說明存取列表和防火牆是否相同? 說明TCP和UDP常用的port號為何? 說明標準存取列表和延伸存取列表的差異性。 在延伸存取列表的實驗中,新竹(Router 2)只允許由高雄(Router 3)來telnet,除實驗範例外有沒有其它的指定方式?

Download ppt "實驗22 NetSim-Cisco存取規則清單"

Similar presentations

项目六 路由器基本配置与管理.

项目六 路由器基本配置与管理.
打造活动品牌 推动队建发展 杨浦区少先队总辅导员 章希苓.

打造活动品牌 推动队建发展 杨浦区少先队总辅导员 章希苓.
第6章 计算机网络基础 1.

第6章 计算机网络基础 1.
08 CSS 基本語法 8-1 CSS 的演進 8-2 CSS 樣式規則與選擇器 8-3 連結HTML 文件與CSS 樣式表

08 CSS 基本語法 8-1 CSS 的演進 8-2 CSS 樣式規則與選擇器 8-3 連結HTML 文件與CSS 樣式表
第10章 局域网与Internet互联 RCNA_T010.

第10章 局域网与Internet互联 RCNA_T010.
典型的路由器的结构 路由选择处理机 3——网络层 2——数据链路层 1——物理层 路由 选择 分组 转发 交换结构 路由选择协议 路由表

典型的路由器的结构 路由选择处理机 3——网络层 2——数据链路层 1——物理层 路由 选择 分组 转发 交换结构 路由选择协议 路由表
實驗六 路由器操作設定實驗 教師: 助教:.

實驗六 路由器操作設定實驗 教師: 助教:.
安徽广播电视大学 组网技术与配置(第2版) 第8章 路由器的配置 汪本标.

安徽广播电视大学 组网技术与配置(第2版) 第8章 路由器的配置 汪本标.
校園網路管理實電務 電子計算機中心 謝進利.

校園網路管理實電務 電子計算機中心 謝進利.
专题5 RIP路由技术.

专题5 RIP路由技术.
無線寬頻分享器設定範例 銜接硬體線路 推斷無線基地台的IP 設定無線基地台 相關觀念解釋.

無線寬頻分享器設定範例 銜接硬體線路 推斷無線基地台的IP 設定無線基地台 相關觀念解釋.
IP Address A0943305 黃明陽 指導教授:梁明章教授.

IP Address A 黃明陽 指導教授:梁明章教授.
Hadoop 單機設定與啟動 step 1. 設定登入免密碼 step 2. 安裝java step 3. 下載安裝Hadoop

Hadoop 單機設定與啟動 step 1. 設定登入免密碼 step 2. 安裝java step 3. 下載安裝Hadoop
文档维护者:白金(platinum)、陈绪(bjchenxu)

文档维护者:白金(platinum)、陈绪(bjchenxu)
Cisco網路設備之設定與管理 台大計資中心 李美雯

Cisco網路設備之設定與管理 台大計資中心 李美雯
Core Switch 設定 Port的開啟與關閉 Virtual LAN建立 將Port指定到Virtual LAN

Core Switch 設定 Port的開啟與關閉 Virtual LAN建立 將Port指定到Virtual LAN
Router 設定 B91902004 許雅婷 B91902116 呂東烜 B91902117 梁琨貿 B91902120 陳人豪.

Router 設定 B 許雅婷 B 呂東烜 B 梁琨貿 B 陳人豪.
Access Control List (存取控制表)

Access Control List (存取控制表)
IPv6 技術與服務 台東大學 電算中心 郭俊賢 技術師.

IPv6 技術與服務 台東大學 電算中心 郭俊賢 技術師.
第八章 用访问列表初步管理 IP流量.

第八章 用访问列表初步管理 IP流量.

Similar presentations

Ads by Google