首页 10第十章用访问列表初步管理 IP流量CICND10S10A

10第十章用访问列表初步管理 IP流量CICND10S10A

举报
开通vip

10第十章用访问列表初步管理 IP流量CICND10S10Anull第十章 用访问列表初步管理 IP流量第十章 用访问列表初步管理 IP流量本章目标本章目标通过本章的学习,您应该掌握以下内容: 识别 IP 访问列表的主要作用和工作流程 配置标准的 IP 访问列表 利用访问列表控制虚拟会话的建立 配置扩展的 IP 访问列表 查看 IP 访问列表为什么要使用访问列表为什么要使用访问列表管理网络中逐步增长的 IP 数据 为什么要使用访问列表为什么要使用访问列表172.16.0.0172.17.0.0Internet管理网络中逐步增长的 IP 数据 当数据通过路由器时进行过滤访问...

10第十章用访问列表初步管理 IP流量CICND10S10A
null第十章 用访问列表初步管理 IP流量第十章 用访问列表初步管理 IP流量本章目标本章目标通过本章的学习,您应该掌握以下内容: 识别 IP 访问列表的主要作用和工作 流程 快递问题件怎么处理流程河南自建厂房流程下载关于规范招聘需求审批流程制作流程表下载邮件下载流程设计 配置 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 的 IP 访问列表 利用访问列表控制虚拟会话的建立 配置扩展的 IP 访问列表 查看 IP 访问列表为什么要使用访问列表为什么要使用访问列表管理网络中逐步增长的 IP 数据 为什么要使用访问列表为什么要使用访问列表172.16.0.0172.17.0.0Internet管理网络中逐步增长的 IP 数据 当数据通过路由器时进行过滤访问列表的应用访问列表的应用允许、拒绝数据包通过路由器 允许、拒绝Telnet会话的建立 没有设置访问列表时,所有的数据包都会在网络上传输虚拟会话 (IP)端口上的数据传输访问列表的其它应用访问列表的其它应用Queue List优先级判断基于数据包检测的特殊数据通讯应用访问列表的其它应用访问列表的其它应用Queue List优先级判断按需拨号基于数据包检测的特殊数据通讯应用访问列表的其它应用访问列表的其它应用路由表过滤Routing Table Queue List优先级判断按需拨号基于数据包检测的特殊数据通讯应用什么是访问列表--标准什么是访问列表--标准标准 检查源地址 通常允许、拒绝的是完整的协议 Outgoing PacketE0S0Incoming PacketAccess List ProcessesPermit?什么是访问列表--扩展什么是访问列表--扩展 标准 检查源地址 通常允许、拒绝的是完整的协议 扩展 检查源地址和目的地址 通常允许、拒绝的是某个特定的协议 Outgoing PacketE0S0Incoming PacketAccess List ProcessesPermit?Protocol什么是访问列表什么是访问列表 标准 检查源地址 通常允许、拒绝的是完整的协议 扩展 检查源地址和目的地址 通常允许、拒绝的是某个特定的协议 进方向和出方向 Outgoing PacketE0S0Incoming PacketAccess List ProcessesPermit?Protocol出端口方向上的访问列表 出端口方向上的访问列表 Inbound Interface Packets NYPacket Discard BucketChoose Interface NAccess List ?Routing Table Entry ?YOutbound InterfacesPacketS0出端口方向上的访问列表出端口方向上的访问列表Outbound InterfacesPacketNYPacket Discard BucketChoose Interface Routing Table Entry ?NPacketTest Access List StatementsPermit ?YAccess List ?YS0E0Inbound Interface Packets 出端口方向上的访问列表出端口方向上的访问列表Notify SenderIf no access list statement matches then discard the packet NYPacket Discard BucketChoose Interface Routing Table Entry ?NYTest Access List StatementsPermit ?YAccess List ?Discard PacketNOutbound InterfacesPacketPacketS0E0Inbound Interface Packets 访问列表的测试:允许和拒绝访问列表的测试:允许和拒绝Packets to interfaces in the access groupPacket Discard BucketYInterface(s)DestinationDenyDenyYMatch First Test ?Permit访问列表的测试:允许和拒绝访问列表的测试:允许和拒绝Packets to Interface(s) in the Access GroupPacket Discard BucketYInterface(s)DestinationDenyDenyYMatch First Test ?PermitNDenyPermitMatch Next Test(s) ?YY访问列表的测试:允许和拒绝访问列表的测试:允许和拒绝Packets to Interface(s) in the Access GroupPacket Discard BucketYInterface(s)DestinationDenyDenyYMatch First Test ?PermitNDenyPermitMatch Next Test(s) ?DenyMatch Last Test ?YYNYYPermit访问列表的测试:允许和拒绝访问列表的测试:允许和拒绝Packets to Interface(s) in the Access GroupPacket Discard BucketYInterface(s)DestinationDenyYMatch First Test ?PermitNDenyPermitMatch Next Test(s) ?DenyMatch Last Test ?YYNYYPermitImplicit DenyIf no match deny allDenyN访问列表配置指南访问列表配置指南访问列表的编号指明了使用何种协议的访问列表 每个端口、每个方向、每条协议只能对应于一条访问列表 访问列表的内容决定了数据的控制顺序 具有严格限制条件的语句应放在访问列表所有语句的最上面 在访问列表的最后有一条隐含声明:deny any-每一条正确的访问列表都至少应该有一条允许语句 先创建访问列表,然后应用到端口上 访问列表不能过滤由路由器自己产生的数据访问列表设置命令访问列表设置命令Step 1: 设置访问列表测试语句的参数access-list access-list-number { permit | deny } { test conditions }Router(config)#访问列表设置命令访问列表设置命令Step 1:设置访问列表测试语句的参数Router(config)#Step 2: 在端口上应用访问列表{ protocol } access-group access-list-number {in | out} Router(config-if)#IP 访问列表的标号为 1-99 和 100-199access-list access-list-number { permit | deny } { test conditions }如何识别访问列表号如何识别访问列表号编号范围访问列表类型IP 1-99Standard标准访问列表 (1 to 99) 检查 IP 数据包的源地址 如何识别访问列表号如何识别访问列表号编号范围访问列表类型IP 1-99 100-199Standard Extended标准访问列表 (1 to 99) 检查 IP 数据包的源地址 扩展访问列表 (100 to 199) 检查源地址和目的地址、具体的 TCP/IP 协议和目的端口 如何识别访问列表号如何识别访问列表号编号范围IP 1-99 100-199 Name (Cisco IOS 11.2 and later)800-899 900-999 1000-1099 Name (Cisco IOS 11.2. F and later)Standard Extended SAP filters NamedStandard Extended Named访问列表类型IPX标准访问列表 (1 to 99) 检查 IP 数据包的源地址 扩展访问列表 (100 to 199) 检查源地址和目的地址、具体的 TCP/IP 协议和目的端口 其它访问列表编号范围表示不同协议的访问列表用标准访问列表测试数据用标准访问列表测试数据Source AddressSegment (for example, TCP header)DataPacket (IP header)Frame Header (for example, HDLC)DenyPermit Use access list statements 1-99 用扩展访问列表测试数据用扩展访问列表测试数据Destination AddressSource AddressProtocolPort NumberSegment (for example, TCP header)DataPacket (IP header)Frame Header (for example, HDLC) Use access list statements 1-99 or 100-199 to test the packet DenyPermitAn Example from a TCP/IP Packet通配符:如何检查相应的地址位通配符:如何检查相应的地址位0 表示检查与之对应的地址位的值 1表示忽略与之对应的地址位的值do not check address (ignore bits in octet)=00000000Octet bit position and address value for bitignore last 6 address bitscheck all address bits (match all)ignore last 4 address bitscheck last 2 address bitsExamples通配符掩码指明特定的主机通配符掩码指明特定的主机例如 172.30.16.29 0.0.0.0 检查所有的地址位 可以简写为 host (host 172.30.16.29)Test conditions: Check all the address bits (match all) 172.30.16.29 0.0.0.0(checks all bits)An IP host address, for example:Wildcard mask:通配符掩码指明所有主机通配符掩码指明所有主机所有主机: 0.0.0.0 255.255.255.255 可以用 any 简写Test conditions: Ignore all the address bits (match any)0.0.0.0 255.255.255.255(ignore all)Any IP addressWildcard mask:通配符掩码和IP子网的 对应通配符掩码和IP子网的 对应 Check for IP subnets 172.30.16.0/24 to 172.30.31.0/24Network .host 172.30.16.0 Wildcard mask: 0 0 0 0 1 1 1 1 |<---- match ---->|<----- don’t care ----->| 0 0 0 1 0 0 0 0 = 16 0 0 0 1 0 0 0 1 = 17 0 0 0 1 0 0 1 0 = 18 : : 0 0 0 1 1 1 1 1 = 31Address and wildcard mask: 172.30.16.0 0.0.15.255配置标准的 IP 访问列表配置标准的 IP 访问列表© 1999, Cisco Systems, Inc. www.cisco.com10-*标准IP访问列表的配置标准IP访问列表的配置access-list access-list-number {permit|deny} source [mask]Router(config)#为访问列表设置参数 IP 标准访问列表编号 1 到 99 缺省的通配符掩码 = 0.0.0.0 “no access-list access-list-number” 命令删除访问列表标准IP访问列表的配置标准IP访问列表的配置access-list access-list-number {permit|deny} source [mask]Router(config)#在端口上应用访问列表 指明是进方向还是出方向 缺省 = 出方向 “no ip access-group access-list-number” 命令在端口上删除访问列表Router(config-if)#ip access-group access-list-number { in | out }为访问列表设置参数 IP 标准访问列表编号 1 到 99 缺省的通配符掩码 = 0.0.0.0 “no access-list access-list-number” 命令删除访问列表标准访问列表举例 1标准访问列表举例 1172.16.3.0172.16.4.0172.16.4.13E0S0E1Non- 172.16.0.0access-list 1 permit 172.16.0.0 0.0.255.255 (implicit deny all - not visible in the list) (access-list 1 deny 0.0.0.0 255.255.255.255) 标准访问列表举例 1标准访问列表举例 1Permit my network onlyaccess-list 1 permit 172.16.0.0 0.0.255.255 (implicit deny all - not visible in the list) (access-list 1 deny 0.0.0.0 255.255.255.255) interface ethernet 0 ip access-group 1 out interface ethernet 1 ip access-group 1 out172.16.3.0172.16.4.0172.16.4.13E0S0E1Non- 172.16.0.0标准访问列表举例 2标准访问列表举例 2Deny a specific host172.16.3.0172.16.4.0172.16.4.13E0S0E1Non- 172.16.0.0access-list 1 deny 172.16.4.13 0.0.0.0 标准访问列表举例 2标准访问列表举例 2172.16.3.0172.16.4.0172.16.4.13E0S0E1Non- 172.16.0.0Deny a specific hostaccess-list 1 deny 172.16.4.13 0.0.0.0 access-list 1 permit 0.0.0.0 255.255.255.255 (implicit deny all) (access-list 1 deny 0.0.0.0 255.255.255.255) 标准访问列表举例 2标准访问列表举例 2access-list 1 deny 172.16.4.13 0.0.0.0 access-list 1 permit 0.0.0.0 255.255.255.255 (implicit deny all) (access-list 1 deny 0.0.0.0 255.255.255.255) interface ethernet 0 ip access-group 1 out172.16.3.0172.16.4.0172.16.4.13E0S0E1Non- 172.16.0.0Deny a specific host标准访问列表举例 3标准访问列表举例 3Deny a specific subnet172.16.3.0172.16.4.0172.16.4.13E0S0E1Non- 172.16.0.0access-list 1 deny 172.16.4.0 0.0.0.255 access-list 1 permit any (implicit deny all) (access-list 1 deny 0.0.0.0 255.255.255.255) 标准访问列表举例 3标准访问列表举例 3access-list 1 deny 172.16.4.0 0.0.0.255 access-list 1 permit any (implicit deny all) (access-list 1 deny 0.0.0.0 255.255.255.255) interface ethernet 0 ip access-group 1 out172.16.3.0172.16.4.0172.16.4.13E0S0E1Non- 172.16.0.0Deny a specific subnet用访问列表控制vty访问用访问列表控制vty访问© 1999, Cisco Systems, Inc. www.cisco.com10-*在路由器上过滤vty在路由器上过滤vty五个虚拟通道 (0 到 4) 路由器的vty端口可以过滤数据 在路由器上执行vty访问的控制01234Virtual ports (vty 0 through 4)Physical port e0 (Telnet)Console port (direct connect)consolee0如何控制vty访问如何控制vty访问01234Virtual ports (vty 0 through 4)Physical port (e0) (Telnet)使用标准访问列表语句 用 access-class 命令应用访问列表 在所有vty通道上设置相同的限制条件Router#e0虚拟通道的配置虚拟通道的配置指明vty通道的范围在访问列表里指明方向access-class access-list-number {in|out}line vty#{vty# | vty-range}Router(config)#Router(config-line)#虚拟通道访问举例虚拟通道访问举例只允许网络192.89.55.0 内的主机连接路由器的 vty 通道access-list 12 permit 192.89.55.0 0.0.0.255 ! line vty 0 4 access-class 12 inControlling Inbound Access扩展 IP 访问列表的配置扩展 IP 访问列表的配置© 1999, Cisco Systems, Inc. www.cisco.com10-*标准访问列表和扩展访问列表 比较标准访问列表和扩展访问列表 比较标准扩展基于源地址基于源地址和目标地址允许和拒绝完整的 TCP/IP协议指定TCP/IP的特定协议 和端口号编号范围 100 到 199.编号范围 1 到 99扩展 IP 访问列表的配置扩展 IP 访问列表的配置Router(config)#设置访问列表的参数access-list access-list-number { permit | deny } protocol source source-wildcard [operator port] destination destination-wildcard [ operator port ] [ established ] [log]扩展 IP 访问列表的配置扩展 IP 访问列表的配置Router(config-if)# ip access-group access-list-number { in | out }在端口上应用访问列表设置访问列表的参数Router(config)# access-list access-list-number { permit | deny } protocol source source-wildcard [operator port] destination destination-wildcard [ operator port ] [ established ] [log]扩展访问列表应用举例 1扩展访问列表应用举例 1拒绝子网172.16.4.0 的数据使用路由器e0口ftp到子网172.16.3.0 允许其它数据172.16.3.0172.16.4.0172.16.4.13E0S0E1Non- 172.16.0.0access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21 access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20 扩展访问列表应用举例 1扩展访问列表应用举例 1拒绝子网172.16.4.0 的数据使用路由器e0口ftp到子网172.16.3.0 允许其它数据172.16.3.0172.16.4.0172.16.4.13E0S0E1Non- 172.16.0.0access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21 access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20 access-list 101 permit ip any any (implicit deny all) (access-list 101 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255) 扩展访问列表应用举例 1扩展访问列表应用举例 1access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21 access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20 access-list 101 permit ip any any (implicit deny all) (access-list 101 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255) interface ethernet 0 ip access-group 101 out拒绝子网172.16.4.0 的数据使用路由器e0口ftp到子网172.16.3.0 允许其它数据172.16.3.0172.16.4.0172.16.4.13E0S0E1Non- 172.16.0.0扩展访问列表应用举例 2扩展访问列表应用举例 2拒绝子网 172.16.4.0 内的主机使用路由器的 E0 端口建立Telnet会话 允许其它数据172.16.3.0172.16.4.0172.16.4.13E0S0E1Non- 172.16.0.0access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23 扩展访问列表应用举例 2扩展访问列表应用举例 2拒绝子网 172.16.4.0 内的主机使用路由器的 E0 端口建立Telnet会话 允许其它数据172.16.3.0172.16.4.0172.16.4.13E0S0E1Non- 172.16.0.0access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23 access-list 101 permit ip any any (implicit deny all) 扩展访问列表应用举例 2扩展访问列表应用举例 2access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23 access-list 101 permit ip any any (implicit deny all) interface ethernet 0 ip access-group 101 out拒绝子网 172.16.4.0 内的主机使用路由器的 E0 端口建立Telnet会话 允许其它数据172.16.3.0172.16.4.0172.16.4.13E0S0E1Non- 172.16.0.0使用名称访问列表使用名称访问列表Router(config)#ip access-list { standard | extended } name适用于IOS版本号为11.2以后所使用的名称必须一致使用名称访问列表使用名称访问列表Router(config)#ip access-list { standard | extended } name{ permit | deny } { ip access list test conditions } { permit | deny } { ip access list test conditions } no { permit | deny } { ip access list test conditions } Router(config {std- | ext-}nacl)#适用于IOS版本号为11.2以后所使用的名称必须一致允许和拒绝语句不需要访问列表编号 “no” 命令删除访问列表使用名称访问列表使用名称访问列表适用于IOS版本号为11.2以后所使用的名称必须一致允许和拒绝语句不需要访问列表编号 “no” 命令删除访问列表在端口上应用访问列表访问列表配置准则访问列表配置准则访问列表中限制语句的位置是至关重要的 将限制条件严格的语句放在访问列表的最上面 使用 no access-list number 命令删除完整的访问列表 例外: 名称访问列表可以删除单独的语句 隐含声明 deny all 在设置的访问列表中要有一句 permit any访问列表的放置原则访问列表的放置原则将扩展访问列表置于离源设备较近的位置 将标准访问列表置于离目的设备较近的位置E0E0E1S0To0S1S0S1E0E0BAC推荐:D查看访问列表查看访问列表wg_ro_a#show ip int e0 Ethernet0 is up, line protocol is up Internet address is 10.1.1.11/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1 Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is disabled IP Feature Fast switching turbo vector IP multicast fast switching is enabled IP multicast distributed fast switching is disabled 查看访问列表的语句查看访问列表的语句wg_ro_a#show access-lists Standard IP access list 1 permit 10.2.2.1 permit 10.3.3.1 permit 10.4.4.1 permit 10.5.5.1 Extended IP access list 101 permit tcp host 10.22.22.1 any eq telnet permit tcp host 10.33.33.1 any eq ftp permit tcp host 10.44.44.1 any eq ftp-datawg_ro_a#show access-lists {access-list number} 练 习练 习© 1999, Cisco Systems, Inc. www.cisco.com10-*可视化目标可视化目标 core_ server 10.1.1.1 wg_sw_a 10.2.2.11 wg_sw_l 10.13.13.11 wg_pc_a 10.2.2.12wg_pc_l 10.13.13.12wg_ro_a10.13.13.3 e0/1e0/2e0/2e0/1e0e0fa0/23core_sw_a 10.1.1.210.2.2.3wg_ro_lcore_ro 10.1.1.3fa0/24fa0/0LLs0 10.140.1.2s0 10.140.12.2s1/0 - s2/310.140.1.1 … 10.140.12.1...TFTPTelnetTFTPXXTelnetXXPod wg_ro’s s0 wg_ro’s e0 wg_sw A 10.140.1.2 10.2.2.3 10.2.2.11 B 10.140.2.2 10.3.3.3 10.3.3.11 C 10.140.3.2 10.4.4.3 10.4.4.11 D 10.140.4.2 10.5.5.3 10.5.5.11 E 10.140.5.2 10.6.6.3 10.6.6.11 F 10.140.6.2 10.7.7.3 10.7.7.11 G 10.140.7.2 10.8.8.3 10.8.8.11 H 10.140.8.2 10.9.9.3 10.9.9.11 I 10.140.9.2 10.10.10.3 10.3.3.11 J 10.140.10.2 10.11.11.3 10.11.11.11 K 10.140.11.2 10.12.12.3 10.12.12.11 L 10.140.12.2 10.13.13.3 10.13.13.11本章总结本章总结完成本章的学习后,你应该能够掌握: 了解IP访问列表的工作过程 配置标准的 IP 访问列表 用访问列表控制 vty 访问 配置扩展的 IP 访问列表 查看IP 访问列表问题回顾问题回顾 1. IP 访问列表有哪两种类型? 2. 在访问列表的最后有哪一个语句是隐含的? 3. 在应用访问控制vty通道时,使用什么命令?
本文档为【10第十章用访问列表初步管理 IP流量CICND10S10A】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑, 图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
该文档来自用户分享,如有侵权行为请发邮件ishare@vip.sina.com联系网站客服,我们会及时删除。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。
本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。
网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
下载需要: 免费 已有0 人下载
最新资料
资料动态
专题动态
is_147093
暂无简介~
格式:ppt
大小:881KB
软件:PowerPoint
页数:0
分类:互联网
上传时间:2010-10-05
浏览量:18