《访问列表-思科-路由.ppt》由会员分享,可在线阅读,更多相关《访问列表-思科-路由.ppt(21页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、访问列表访问列表-思科思科-路由路由2Cisxo Education SolutionACCESSACCESSLISTLIST(访问列表)(访问列表)通过建立通过建立ACLACL,可以控制任何,可以控制任何IPIP地址对网络的访地址对网络的访问,并能有效的实现对一些敏感设备的访问。问,并能有效的实现对一些敏感设备的访问。3Cisxo Education Solution访问列表目标访问列表目标性能性能 对网络设计中特定的用户进行控制对网络设计中特定的用户进行控制 拒绝网络之间进行访问拒绝网络之间进行访问安全安全 可以基于主机地址、目的地址和服务器类型来允可以基于主机地址、目的地址和服务器类型来
2、允许或禁止为特定的用户提供资源许或禁止为特定的用户提供资源 4Cisxo Education Solution访问列表的实现访问列表的实现CiscoCisco路由器基于接口的输入和输出路由器基于接口的输入和输出输入列表应用到接口则控制流入流量输入列表应用到接口则控制流入流量输出列表应用到接口则控制流出输出列表应用到接口则控制流出 流量流量如:拒绝如:拒绝192.168.1.2192.168.1.2的主机通过的主机通过S0S0访问网络。访问网络。5Cisxo Education Solution6Cisxo Education Solution访问列表类型访问列表类型IPIP标准访问列表标准访问
3、列表能够对源地址进行过滤,是一种简单,直接的数能够对源地址进行过滤,是一种简单,直接的数据控制手段。据控制手段。IPIP扩展访问列表扩展访问列表除了基于数据包源地址的过滤以外,还能够对协除了基于数据包源地址的过滤以外,还能够对协议,目的地址,端口号进行网络流量过滤。当然,议,目的地址,端口号进行网络流量过滤。当然,配置也更复杂。配置也更复杂。7Cisxo Education SolutionIPIP访问列表的一般用法访问列表的一般用法限制对网络的限制对网络的FTPFTP访问访问禁止一个子网到另一个子网的访问禁止一个子网到另一个子网的访问允许规定主机允许规定主机TelnetTelnet访问路由器
4、访问路由器如:不允许指定的主机如:不允许指定的主机TELNETTELNET访问。访问。8Cisxo Education Solution9Cisxo Education Solution10Cisxo Education Solution访问表位置访问表位置路由器路由器源inout路由器目的11Cisxo Education SolutionIPIP标准访问列表的一般配置标准访问列表的一般配置Router#Router#Router#configure terminalRouter#configure terminalRouter(config)#Router(config)#Router(c
5、onfig)#access-list 1 permit 172.16.2.0 0.0.0.255Router(config)#access-list 1 permit 172.16.2.0 0.0.0.255 上面配置的访问列表是允许来自网络上面配置的访问列表是允许来自网络172.16.2.0172.16.2.0的流量的流量12Cisxo Education SolutionIPIP标准访问列表的一般配置标准访问列表的一般配置禁止来自网络禁止来自网络172.16.3.0172.16.3.0的流量的流量!Router#configure terminalRouter#configure term
6、inalRouter(config)#Router(config)#Router(config)#access-list 2 deny 172.16.3.0 0.0.0.255Router(config)#access-list 2 deny 172.16.3.0 0.0.0.255Router(config)#access-list 2 permit any Router(config)#access-list 2 permit any Router(config)#int s0Router(config)#int s0Router(config-if)#ip access-group 2
7、outRouter(config-if)#ip access-group 2 outRouter(config-if)#Router(config-if)#13Cisxo Education SolutionIPIP标准访问列表的配置(一)标准访问列表的配置(一)Router#Router#Router#configure terminalRouter#configure terminalRouter(config)#Router(config)#Router(config)#access-list 1 deny host 192.168.2.1Router(config)#access-li
8、st 1 deny host 192.168.2.1Router(config)#access-list 1 permit anyRouter(config)#access-list 1 permit any上面配置的访问列表是拒绝特定主机上面配置的访问列表是拒绝特定主机192.168.2.1192.168.2.1,允许其它主机访问,允许其它主机访问14Cisxo Education Solution访问列表应用到接口访问列表应用到接口(二二)Router#Router#Router#configure terminalRouter#configure terminalRouter(confi
9、g)#Router(config)#Router(config)#interface Ethernet 0Router(config)#interface Ethernet 0Router(config-if)#Router(config-if)#Router(config-if)#ip access-group 1 in(Router(config-if)#ip access-group 1 in(输入输入)Router(config-if)#ip access-group 1 Router(config-if)#ip access-group 1 outout(输出输出)15Cisxo E
10、ducation Solution访问表位置访问表位置路由器路由器源inout路由器目的16Cisxo Education Solution访问表位置访问表位置扩展访问表尽量放在靠近过滤源的位置扩展访问表尽量放在靠近过滤源的位置 目的:不会影响其它接口上的上的数据目的:不会影响其它接口上的上的数据标准访问表尽量放在靠近目的端口的位置标准访问表尽量放在靠近目的端口的位置 17Cisxo Education SolutionIPIP标准访问列表的一般配置标准访问列表的一般配置为什么我们禁止后,要加为什么我们禁止后,要加access-list 1 permit any access-list 1 p
11、ermit any?在标准或扩展在标准或扩展IPIP或或IPXIPX的每个访问表的末尾,总有的每个访问表的末尾,总有一个隐含的一个隐含的deny alldeny all。也就是说报文与语句不匹配,。也就是说报文与语句不匹配,则此隐含命令将禁止该报文则此隐含命令将禁止该报文18Cisxo Education Solution删除访问表删除访问表Router#Router#Router#configure terminalRouter#configure terminalRouter(config)#Router(config)#Router(config)#no access-list numb
12、erRouter(config)#no access-list number19Cisxo Education Solution访问列表的查看:访问列表的查看:2501a#show ip access-lists 12501a#show ip access-lists 1Standard IP access list 1Standard IP access list 1 permit any(2 matches)permit any(2 matches)deny 202.1.1.0,wildcard bits 0.0.0.255 deny 202.1.1.0,wildcard bits 0.0
13、.0.2552501a#sh ip access-lists2501a#sh ip access-listsStandard IP access list 1Standard IP access list 1 permit any permit anyExtended IP access list 101Extended IP access list 101 deny icmp 200.1.1.0 0.0.0.255 192.168.10.0 0.0.0.255 echo deny icmp 200.1.1.0 0.0.0.255 192.168.10.0 0.0.0.255 echo permit ip any any permit ip any any2501a#2501a#20Cisxo Education Solution21Cisxo Education Solution思考:我应该如何做呢?思考:我应该如何做呢?禁止主机一访问主机二;禁止主机一访问主机二;禁止主机一访问网络禁止主机一访问网络B B;禁止网络禁止网络A A访问主机二;访问主机二;禁止网络禁止网络A A访问网络访问网络B B;只允许主机一访问网络只允许主机一访问网络B B;
限制150内