(精品)CCNA第14章IP访问控制列表.ppt
《(精品)CCNA第14章IP访问控制列表.ppt》由会员分享,可在线阅读,更多相关《(精品)CCNA第14章IP访问控制列表.ppt(52页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、第十四章IP访问控制列表主讲人:ALLEN172.16.0.0172.17.0.0Internet管理网络中逐步增长的 IP 数据当数据通过路由器时进行过滤为什么要使用访问列表访问列表的应用允许、拒绝数据包通过路由器允许、拒绝Telnet会话的建立没有设置访问列表时,所有的数据包都会在网络上传输虚拟会话虚拟会话(IP)端口上的数据传输端口上的数据传输QueueList优先级判断优先级判断访问列表的其它应用基于数据包检测的特殊数据通讯应用基于数据包检测的特殊数据通讯应用QueueList优先级判断优先级判断访问列表的其它应用按需拨号按需拨号基于数据包检测的特殊数据通讯应用基于数据包检测的特殊数据
2、通讯应用访问列表的其它应用路由表过滤路由表过滤RoutingTableQueueList优先级判断优先级判断按需拨号按需拨号基于数据包检测的特殊数据通讯应用基于数据包检测的特殊数据通讯应用 标准标准检查源地址检查源地址通常允许、拒绝的是完整的协议通常允许、拒绝的是完整的协议OutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit?Source什么是访问列表-标准 标准标准检查源地址检查源地址通常允许、拒绝的是完整的协议通常允许、拒绝的是完整的协议扩展扩展检查源地址和目的地址检查源地址和目的地址通常允许、拒绝的是某个特定的协议通常允许
3、、拒绝的是某个特定的协议OutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit?Sourceand DestinationProtocol什么是访问列表-扩展 标准标准检查源地址检查源地址通常允许、拒绝的是完整的协议通常允许、拒绝的是完整的协议扩展扩展检查源地址和目的地址检查源地址和目的地址通常允许、拒绝的是某个特定的协议通常允许、拒绝的是某个特定的协议进方向和出方向进方向和出方向 OutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit?Sourceand Desti
4、nationProtocol什么是访问列表InboundInterfacePacketsNYPacket Discard BucketChooseInterfaceNAccessList?RoutingTable Entry?YOutbound InterfacesPacketS0出端口方向上的访问列表 Outbound InterfacesPacketNYPacket Discard BucketChooseInterfaceRoutingTable Entry?NPacketTestAccess ListStatementsPermit?Y出端口方向上的访问列表AccessList?YS0
5、E0InboundInterfacePacketsNotify Sender出端口方向上的访问列表If no access list statement matches then discard the packet NYPacket Discard BucketChooseInterfaceRoutingTable Entry?NYTestAccess ListStatementsPermit?YAccessList?Discard PacketNOutbound InterfacesPacketPacketS0E0InboundInterfacePackets访问列表的测试:允许和拒绝Pa
6、ckets to interfacesin the access groupPacket Discard BucketYInterface(s)DestinationDenyDenyYMatchFirstTest?Permit访问列表的测试:允许和拒绝Packets to Interface(s)in the Access GroupPacket Discard BucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?YY访问列表的测试:允许和拒绝Packets to Int
7、erface(s)in the Access GroupPacket Discard BucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTest?YYNYYPermit访问列表的测试:允许和拒绝Packets to Interface(s)in the Access GroupPacket Discard BucketYInterface(s)DestinationDenyYMatchFirstTest?PermitNDenyPermitMat
8、chNextTest(s)?DenyMatchLastTest?YYNYYPermitImplicit DenyIf no matchdeny allDenyN访问列表配置指南访问列表的编号指明了使用何种协议的访问列表每个端口、每个方向、每条协议只能对应于一条访问列表访问列表的内容决定了数据的控制顺序 具有严格限制条件的语句应放在访问列表所有语句的最上面在访问列表的最后有一条隐含声明:deny any每一条正确的访问列表都至少应该有一条允许语句先创建访问列表,然后应用到端口上访问列表不能过滤由路由器自己产生的数据访问列表设置命令Step 1:设置访问列表测试语句的参数设置访问列表测试语句的参数
9、access-list access-list-number permit|deny test conditions Router(config)#Step 1:设置访问列表测试语句的参数设置访问列表测试语句的参数Router(config)#Step 2:在端口上应用访问列表在端口上应用访问列表 protocol access-group access-list-number in|out Router(config-if)#访问列表设置命令IP 访问列表的标号为 1-99 和 100-199access-list access-list-number permit|deny test co
10、nditions 如何识别访问列表号编号范围编号范围访问列表类型访问列表类型IP 1-99Standard标准访问列表标准访问列表(1 to 99)检查检查 IP 数据包的源地址数据包的源地址编号范围编号范围访问列表类型访问列表类型如何识别访问列表号IP 1-99100-199StandardExtended标准访问列表标准访问列表(1 to 99)检查检查 IP 数据包的源地址数据包的源地址扩展访问列表扩展访问列表(100 to 199)检查源地址和目的地址、具体的检查源地址和目的地址、具体的 TCP/IP 协议和目的协议和目的端口端口编号范围编号范围1-99 1300-1999Name(C
11、isco IOS 11.2 and later)100-199 2000-2699Name(Cisco IOS 11.2 and later)StandardNamed访问列表类型访问列表类型如何识别访问列表号标准访问列表 检查 IP 数据包的源地址扩展访问列表 检查源地址和目的地址、具体的 TCP/IP 协议和目的端口其它访问列表编号范围表示不同协议的访问列表ExtendNamed例如 172.30.16.29 0.0.0.0 检查所有的地址位 可以简写为 host(host 172.30.16.29)Test conditions:Check all the address bits(ma
12、tch all)172.30.16.290.0.0.0(checks all bits)An IP host address,for example:Wildcard mask:通配符掩码指明特定的主机所有主机:0.0.0.0 255.255.255.255可以用 any 简写Test conditions:Ignore all the address bits(match any)0.0.0.0 255.255.255.255(ignore all)Any IP addressWildcard mask:通配符掩码指明所有主机Check for IP subnets 172.30.16.0/
13、24 to 172.30.31.0/24Network Network .host 172.30.16172.30.16.00 00 00 01 10000Wildcard mask:0 0 0 0 1 1 1 1|0 0 0 1 0 0 0 0 =16 0 0 0 1 0 0 0 1 =17 0 0 0 1 0 0 1 0 =18:0 0 0 1 1 1 1 1 =31Address and wildcard mask:172.30.16.0 0.0.15.255通配符掩码和IP子网的对应 1999,Cisco Systems,I10-26配置标准的 IP 访问列表标准IP访问列表的配置ac
14、cess-list access-list-number permit|deny source maskRouter(config)#为访问列表设置参数为访问列表设置参数IP 标准访问列表编号标准访问列表编号 1 到到 99缺省的通配符掩码缺省的通配符掩码=0.0.0.0“no access-list access-list-number”命令删除访问列表命令删除访问列表access-list access-list-number permit|deny source maskRouter(config)#在端口上应用访问列表指明是进方向还是出方向缺省=出方向“no ip access-gro
15、up access-list-number”命令在端口上删除访问列表Router(config-if)#ip access-group access-list-number in|out 为访问列表设置参数为访问列表设置参数IP 标准访问列表编号标准访问列表编号 1 到到 99缺省的通配符掩码缺省的通配符掩码=0.0.0.0“no access-list access-list-number”命令删除访问列表命令删除访问列表标准IP访问列表的配置172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0标准访问列表举例 1access-list 1
16、permit 172.16.0.0 0.0.255.255(implicit deny all-not visible in the list)(access-list 1 deny 0.0.0.0 255.255.255.255)Permit my network onlyaccess-list 1 permit 172.16.0.0 0.0.255.255(implicit deny all-not visible in the list)(access-list 1 deny 0.0.0.0 255.255.255.255)interface ethernet 0ip access-gr
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 精品 CCNA 14 IP 访问 控制 列表
限制150内