路由技術(shù)教學(xué)講座課件PPT.ppt_第1頁(yè)
路由技術(shù)教學(xué)講座課件PPT.ppt_第2頁(yè)
路由技術(shù)教學(xué)講座課件PPT.ppt_第3頁(yè)
路由技術(shù)教學(xué)講座課件PPT.ppt_第4頁(yè)
路由技術(shù)教學(xué)講座課件PPT.ppt_第5頁(yè)
已閱讀5頁(yè),還剩50頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1 網(wǎng)絡(luò)實(shí)用技術(shù) 路由技術(shù) 三 2 本堂課任務(wù) 1 不允許外部網(wǎng)絡(luò)訪問(wèn)行政網(wǎng)絡(luò)2 不允許pc0所在子網(wǎng)內(nèi)pc訪問(wèn)行政網(wǎng)絡(luò)ftp服務(wù)器 3 本堂課任務(wù) 如何配置路由器 只允許部分ip地址的數(shù)據(jù)包能通過(guò)本路由器 如何配置路由器 使內(nèi)部網(wǎng)絡(luò)的用戶只能訪問(wèn)外部web服務(wù)器 解決方法配置訪問(wèn)控制列表 acl 學(xué)習(xí)并掌握標(biāo)準(zhǔn)acl 擴(kuò)展acl以及命名acl的配置方法 4 訪問(wèn)控制列表acl概要 訪問(wèn)控制列表 acl 是一種包過(guò)濾技術(shù) 是應(yīng)用在路由器接口的指令列表 acl告訴路由器哪些數(shù)據(jù)報(bào)可以允許 哪些需要拒絕 至于是允許還是拒絕 可以由類似源地址 目的地址 端口號(hào)等條件來(lái)作過(guò)濾決定 acl可以用來(lái) 限制網(wǎng)絡(luò)流量 提高網(wǎng)絡(luò)性能 同時(shí)acl也是網(wǎng)絡(luò)訪問(wèn)控制的基本安全手段 5 訪問(wèn)控制列表的應(yīng)用 允許或拒絕數(shù)據(jù)包通過(guò)路由器允許或拒絕vty訪問(wèn)進(jìn)入或離開路由器如果沒有訪問(wèn)控制列表 所有數(shù)據(jù)包都可以傳輸?shù)侥愕木W(wǎng)絡(luò) virtualterminallineaccess ip transmissionofpacketsonaninterface 6 訪問(wèn)控制列表 標(biāo)準(zhǔn)訪問(wèn)控制列表檢查源地址通常允許或拒絕整個(gè)協(xié)議簇 outgoingpacket e0 s0 incomingpacket accesslistprocesses permit 7 訪問(wèn)控制列表 標(biāo)準(zhǔn)訪問(wèn)控制列表檢查源地址通常允許或拒絕整個(gè)協(xié)議簇?cái)U(kuò)展訪問(wèn)控制列表檢查源和目的地址允許或拒絕特定的協(xié)議 outgoingpacket e0 s0 incomingpacket accesslistprocesses permit protocol 8 訪問(wèn)控制列表 標(biāo)準(zhǔn)訪問(wèn)控制列表檢查源地址通常允許或拒絕整個(gè)協(xié)議簇?cái)U(kuò)展訪問(wèn)控制列表檢查源和目的地址允許或拒絕特定的協(xié)議入站或出站均可進(jìn)行控制 outgoingpacket e0 s0 incomingpacket accesslistprocesses permit protocol 出站訪問(wèn)控制列表 inboundinterfacepackets n y packetdiscardbucket chooseinterface n accesslist routingtableentry y outboundinterfaces packet s0 出站訪問(wèn)控制列表 outboundinterfaces packet n y packetdiscardbucket chooseinterface routingtableentry n packet testaccessliststatements permit y accesslist y s0 e0 inboundinterfacepackets 出站訪問(wèn)控制列表 notifysender 如果沒有訪問(wèn)控制列表相匹配則丟棄報(bào)文 n y packetdiscardbucket chooseinterface routingtableentry n y testaccessliststatements permit y accesslist discardpacket n outboundinterfaces packet packet s0 e0 inboundinterfacepackets 12 列表測(cè)試 拒絕或允許 packetstointerfacesintheaccessgroup packetdiscardbucket y interface s destination deny deny y matchfirsttest permit 13 列表測(cè)試 拒絕或允許 packetstointerface s intheaccessgroup packetdiscardbucket y interface s destination deny deny y matchfirsttest permit n deny permit matchnexttest s y y 14 列表測(cè)試 拒絕或允許 packetstointerface s intheaccessgroup packetdiscardbucket y interface s destination deny deny y matchfirsttest permit n deny permit matchnexttest s deny matchlasttest y y n y y permit 15 列表測(cè)試 拒絕或允許 packetstointerface s intheaccessgroup packetdiscardbucket y interface s destination deny y matchfirsttest permit n deny permit matchnexttest s deny matchlasttest y y n y y permit implicitdeny ifnomatchdenyall deny n 16 訪問(wèn)控制列表命令概要 步驟1 使用下列命令定義訪問(wèn)控制列表acl access listaccess list number permit deny testconditions router config 17 訪問(wèn)控制列表命令概要 步驟1 使用下列命令定義訪問(wèn)控制列表acl router config 步驟2 使用access group命令把該訪問(wèn)控制列表應(yīng)用到某一接口上 protocol access groupaccess list number in out router config if ip訪問(wèn)控制列表的標(biāo)號(hào)范圍為1 99或100 199 access listaccess list number permit deny testconditions 18 為acl分配表號(hào) numberrange identifier accesslisttype ip 1 99或1300 1999 standard 標(biāo)準(zhǔn)ip列表 1to99 測(cè)試ip報(bào)文中的源地址 19 為acl分配表號(hào) numberrange identifier accesslisttype ip 1 99或1300 1999100 199或2000 2699 standardextended 標(biāo)準(zhǔn)ip列表 1to99 測(cè)試ip報(bào)文中的源地址擴(kuò)展ip列表 100to199 能測(cè)試源和目的地址 特定的tcp ip協(xié)議 以及目的端口 20 為acl分配表號(hào) numberrange identifier ip 1 99或1300 1999100 199或2000 2699name ciscoios11 2andlater 800 899900 999 standardextended standardextendednamed accesslisttype ipx 標(biāo)準(zhǔn)ip列表 1to99 測(cè)試ip報(bào)文中的源地址擴(kuò)展ip列表 100to199 能測(cè)試源和目的地址 特定的tcp ip協(xié)議 以及目的端口其它訪問(wèn)控制列表表號(hào)范圍測(cè)試其它網(wǎng)絡(luò)協(xié)議 21 標(biāo)準(zhǔn)訪問(wèn)控制列表報(bào)文測(cè)試 sourceaddress segment forexample tcpheader data packet ipheader frameheader forexample hdlc deny permit useaccessliststatements1 99 22 擴(kuò)展訪問(wèn)控制列表報(bào)文測(cè)試 destinationaddress sourceaddress protocol portnumber segment forexample tcpheader data packet ipheader frameheader forexample hdlc useaccessliststatements100 199totestthepacket deny permit tcp ip報(bào)文舉例 23 如何使用通配符掩碼位 0表示檢查相應(yīng)地址位的值1表示忽略相應(yīng)地址位的值 不檢查地址 忽略所有 0 0 0 0 0 0 0 0 忽略后6位地址位 檢查所有地址位 匹配所有 忽略后4位地址位 檢查后2位地址位 24 通配符掩碼位匹配特定的ip主機(jī)地址 172 30 16 290 0 0 0檢查所有地址位可以使用在地址前加縮寫詞host來(lái)表達(dá)上面的測(cè)試條件 host172 30 16 29 測(cè)試條件 檢查所有的地址位 全部匹配 172 30 16 29 0 0 0 0 檢查所有位 例如 一個(gè)ip主機(jī)地址 通配符掩碼 25 通配符掩碼位匹配任意ip地址 接受任意地址 0 0 0 0255 255 255 255可以使用縮寫字any表達(dá)上面的測(cè)試條件 測(cè)試條件 忽略所有的地址位 0 0 0 0 255 255 255 255 全部忽略 anyipaddress 通配符掩碼 26 通配符掩碼位匹配ip子網(wǎng) 檢查ip子網(wǎng)172 30 16 0 24to172 30 31 0 24 network host172 30 16 0 通配符掩碼 00001111 00010000 1600010001 1700010010 18 00011111 31 地址和通配符掩碼 172 30 16 00 0 15 255 27 標(biāo)準(zhǔn)acl配置 access listaccess list number permit deny source mask router config 為此列表?xiàng)l目設(shè)置參數(shù)setsparametersforthislistentryip標(biāo)準(zhǔn)訪問(wèn)列表使用1到99缺省通配符掩碼 0 0 0 0 noaccess listaccess list number 刪除整個(gè)訪問(wèn)列表 28 標(biāo)準(zhǔn)acl配置 access listaccess list number permit deny source mask router config 在一個(gè)接口上激活此列表設(shè)置入站或出站測(cè)試缺省 出站 noipaccess groupaccess list number 刪除此接口的訪問(wèn)列表 router config if ipaccess groupaccess list number in out 為此列表?xiàng)l目設(shè)置參數(shù)setsparametersforthislistentryip標(biāo)準(zhǔn)訪問(wèn)列表使用1到99缺省通配符掩碼 0 0 0 0 noaccess listaccess list number 刪除整個(gè)訪問(wèn)列表 29 標(biāo)準(zhǔn)acl例一 172 16 3 0 172 16 4 0 172 16 4 13 e0 s0 e1 non 172 16 0 0 access list1permit172 16 0 00 0 255 255 implicitdenyall notvisibleinthelist access list1deny0 0 0 0255 255 255 255 30 標(biāo)準(zhǔn)acl例一 只允許我的網(wǎng)絡(luò) access list1permit172 16 0 00 0 255 255 implicitdenyall notvisibleinthelist access list1deny0 0 0 0255 255 255 255 interfaceethernet0ipaccess group1outinterfaceethernet1ipaccess group1out 172 16 3 0 172 16 4 0 172 16 4 13 e0 s0 e1 non 172 16 0 0 31 標(biāo)準(zhǔn)acl例二 拒絕一臺(tái)特定主機(jī) 172 16 3 0 172 16 4 0 172 16 4 13 e0 s0 e1 non 172 16 0 0 access list1deny172 16 4 130 0 0 0 32 標(biāo)準(zhǔn)acl例二 172 16 3 0 172 16 4 0 172 16 4 13 e0 s0 e1 non 172 16 0 0 拒絕一臺(tái)特定主機(jī) access list1deny172 16 4 130 0 0 0access list1permit0 0 0 0255 255 255 255 implicitdenyall access list1deny0 0 0 0255 255 255 255 33 標(biāo)準(zhǔn)acl例二 access list1deny172 16 4 130 0 0 0access list1permit0 0 0 0255 255 255 255 implicitdenyall access list1deny0 0 0 0255 255 255 255 interfaceethernet0ipaccess group1out 172 16 3 0 172 16 4 0 172 16 4 13 e0 s0 e1 non 172 16 0 0 拒絕一臺(tái)特定主機(jī) 34 標(biāo)準(zhǔn)acl例三 拒絕一個(gè)特定子網(wǎng) 172 16 3 0 172 16 4 0 172 16 4 13 e0 s0 e1 non 172 16 0 0 access list1deny172 16 4 00 0 0 255access list1permitany implicitdenyall access list1deny0 0 0 0255 255 255 255 35 標(biāo)準(zhǔn)acl例三 access list1deny172 16 4 00 0 0 255access list1permitany implicitdenyall access list1deny0 0 0 0255 255 255 255 interfaceethernet0ipaccess group1out 172 16 3 0 172 16 4 0 172 16 4 13 e0 s0 e1 non 172 16 0 0 拒絕一個(gè)特定子網(wǎng) 36 過(guò)濾虛擬終端 vty 訪問(wèn)路由器 五條虛擬終端線 0到4 過(guò)濾能訪問(wèn)到路由器vty端口的地址過(guò)濾離開路由器的vty訪問(wèn) 0 1 2 3 4 虛擬端口 vty0到4 物理端口e0 telnet 控制臺(tái)端口 直連 console e0 37 如何控制vty訪問(wèn) 0 1 2 3 4 虛擬端口 vty0到4 物理端口 e0 telnet 用標(biāo)準(zhǔn)訪問(wèn)控制列表設(shè)置ip地址過(guò)濾使用line配置模式過(guò)濾訪問(wèn) 命令為access class對(duì)所有vty設(shè)置相同的限制 router e0 38 虛擬終端line命令 進(jìn)入虛擬終端配置模式 限制在訪問(wèn)控制列表地址中的vty連接流入或流出 access classaccess list number in out linevty vty vty range router config router config line 39 虛擬終端訪問(wèn)舉例 僅允許網(wǎng)絡(luò)192 89 55 0中的主機(jī)連接到路由器的vty access list12permit192 89 55 00 0 0 255 linevty04access class12in 控制入站訪問(wèn) 40 標(biāo)準(zhǔn)與擴(kuò)展訪問(wèn)控制列表比較 標(biāo)準(zhǔn) 擴(kuò)展 基于源地址過(guò)濾 基于源和目的地址過(guò)濾 允許或拒絕整個(gè)tcp ip協(xié)議族 指定特定的協(xié)議和端口號(hào) 范圍從100到199或2000到2699 范圍從1到99或1300到1999 41 擴(kuò)展acl配置 router config 為此列表列表?xiàng)l目設(shè)置參數(shù) access listaccess list number permit deny protocolsourcesource wildcard operatorport destinationdestination wildcard operatorport established log 42 擴(kuò)展acl配置 router config if ipaccess groupaccess list number in out 在一個(gè)接口上激活擴(kuò)展列表 為此列表列表?xiàng)l目設(shè)置參數(shù) router config access listaccess list number permit deny protocolsourcesource wildcard operatorport destinationdestination wildcard operatorport established log 43 擴(kuò)展acl例一 拒絕ftp從子網(wǎng)172 16 4 0到子網(wǎng)172 16 3 0 從e0輸出允許所有其它流量 172 16 3 0 172 16 4 0 172 16 4 13 e0 s0 e1 non 172 16 0 0 access list101denytcp172 16 4 00 0 0 255172 16 3 00 0 0 255eq21access list101denytcp172 16 4 00 0 0 255172 16 3 00 0 0 255eq20 44 擴(kuò)展acl例一 172 16 3 0 172 16 4 0 172 16 4 13 e0 s0 e1 non 172 16 0 0 access list101denytcp172 16 4 00 0 0 255172 16 3 00 0 0 255eq21access list101denytcp172 16 4 00 0 0 255172 16 3 00 0 0 255eq20access list101permitipanyany implicitdenyall access list101denyip0 0 0 0255 255 255 2550 0 0 0255 255 255 255 拒絕ftp從子網(wǎng)172 16 4 0到子網(wǎng)172 16 3 0 從e0輸出允許所有其它流量 45 擴(kuò)展acl例一 access list101denytcp172 16 4 00 0 0 255172 16 3 00 0 0 255eq21access list101denytcp172 16 4 00 0 0 255172 16 3 00 0 0 255eq20access list101permitipanyany implicitdenyall access list101denyip0 0 0 0255 255 255 2550 0 0 0255 255 255 255 interfaceethernet0ipaccess group101out 172 16 3 0 172 16 4 0 172 16 4 13 e0 s0 e1 non 172 16 0 0 拒絕ftp從子網(wǎng)172 16 4 0到子網(wǎng)172 16 3 0 從e0輸出允許所有其它流量 46 擴(kuò)展acl例二 只拒絕來(lái)自子網(wǎng)172 16 4 0的telnet 從e0輸出允許所有其它流量 172 16 3 0 172 16 4 0 172 16 4 13 e0 s0 e1 non 172 16 0 0 access list101denytcp172 16 4 00 0 0 255anyeq23 47 擴(kuò)展acl例二 172 16 3 0 172 16 4 0 172 16 4 13 e0 s0 e1 non 172 16 0 0 access list101denytcp172 16 4 00 0 0 255anyeq23access list101permitipanyany implicitdenyall 只拒絕來(lái)自子網(wǎng)172 16 4 0的telnet 從e0輸出允許所有其它流量 48 擴(kuò)展acl例二 access list101denytcp172 16 4 00 0 0 255anyeq23access list101permitipanyany implicitdenyall interfaceethernet0ipaccess group101out 172 16 3 0 172 16 4 0 172 16 4 13 e0 s0 e1 non 172 16 0 0 只拒絕來(lái)自子網(wǎng)172 16 4 0的telnet 從e0輸出允許所有其它流量 49 使用命名訪問(wèn)控制列表 router config ipaccess list standard extended name ciscoios11 2或更新版本 字母數(shù)字名字字符串必須是唯一的 50 使用命名訪問(wèn)控制列表 router config ipaccess list standard extended name permit deny ipaccesslisttestconditions permit deny ipaccesslisttestconditions no permit deny ipaccesslisttestconditions router config std ext nacl ciscoios11 2或更新版本 字母數(shù)字名字字符串必須是唯一的 允許或拒絕語(yǔ)句沒有前綴號(hào) no 從命名訪問(wèn)列表去掉特定的測(cè)試語(yǔ)句 51 使用命名訪問(wèn)控制列表 ciscoios11 2或更新版本 字母數(shù)字名字字符串必須是唯一的 允許或拒絕語(yǔ)句沒有前綴號(hào) no 從命名訪問(wèn)列表去掉特定的測(cè)試語(yǔ)句 在接口上激活ip命名訪問(wèn)列表 52 訪問(wèn)控制列表配置原則 訪問(wèn)控制列表語(yǔ)句的順序至關(guān)重要推薦 使用文本編輯器進(jìn)行剪切和粘貼至頂向下處理優(yōu)先放置更重要的測(cè)試語(yǔ)句不能重排或取消語(yǔ)句使用noaccess listnumber命令取消整個(gè)訪問(wèn)控

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論