交换机路由器配置管理第二十二章访问控制列表PPT课件
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
UDP,ICMP,Telnet,FTP
等)或者端口号进行检查
2020/2/16
可编辑
6
认识协议与端口号
端口号 20 21 23 25 53 69 80 110 161 520
表 22-1 常用协议及端口号
协议 TCP TCP TCP TCP TCP,UDP UDP TCP TCP UDP UDP
应用 FTP 控制 FTP 控制 Telnet 简单邮件传输协议(SMTP) 域名系统(DNS) 简单 FTP(TFTP) HTTP 邮局协议第 3 版(POP3) SNMP RIP
2020/2/16
可编辑
9
特殊匹配地址
目
的Байду номын сангаас
每个比特位必须进行比较
不必关注比特位的比较
表 22-3 两个特殊匹配地址
通配符掩码 0.0.0.0 255.255.255.255
Host any
特别关键字
2020/2/16
可编辑
10
访问列表表项匹配规则
2020/2/16
可编辑
11
思科两个重要的ACL设计建议
2020/2/16
可编辑
7
牢记ACL编号规则
IP 标准 ACL IP 扩展 ACL AppleTalk 标准 IPX 标准 IPX 扩展 IPX SAP
协议/类型
表 22-2 ACL 的编号范围
编号范围 1~99,1 300~1 999 100~199,2 000~2 699 600~ 699 800~ 899 900~ 999 1 000~1 999
access-list access-list-number wildcard-mask
deny | permit source-ip-address
其中,access-list-number 为列表号,取值如表 22-2 所示;deny | permit 意思是“拒绝|允
许”,必选其一;source-ip-address 为源 IP 地址或网络地址;wildcard-mask 为通配符掩码。
拓展学习
访问控制列表除了 上述介绍的标准ACL 和扩展ACL外,思科 路由器产品还提供 了命名ACL和基于时 间的ACL,动态ACL
和自反ACL。
2020/2/16
可编辑
20
2020/2/16
思考题
1.路由器防火墙功能的实现方式有哪些? 2.仔细分析两个访问列表实例实现的工作原理。 3.练习资源库中有关第2章基于ACL的端口绑定 技术的应用案例。
可编辑
21
其中,access-list-number 为访问列表号;out 表示在数据包出去的端口上进行检查;in 则
表示在数据包进去的端口上进行检查。Cisco 路由器默认的是在出口上进行检查。
可编辑
13
关于入站与出站
入站表示流量从外源进入接 口。对于入站ACL,在IOS 将分组转发到其他接口之前, ISO将分组和接口的ACL进
行比较。
出站表示在流量出接口之前。 对于出站ACL,在接口上接 收分组,然后将分组转发到 出站接口,此时,IOS才将
分组和ACL进行比较。
2020/2/16
可编辑
14
标准访问控制列表学习情景
2020/2/16
可编辑
15
扩展访问控制列表 学习情境
2020/2/16
可编辑
16
任务与设计
2020/2/16
在其他可选参数(other parameter)中,最常用的是:
eq protocol-name | port-number
含义为对协议或其端口进行匹配。例如,要允许或拒绝文件传输,则该项配置就写成
eq ftp 或 eq 21
(3) 在端口配置模式下进行,绑定端口的命令格式为:
ip access-group access -list-number out | in
如何排列ACL陈述 的顺序
• 将比较精确的陈述放在前面 • 比较概括的陈述放在后面
在网络中的什么位 置放置ACL有关
• 对于标准ACL,Cisco建议将 ACL尽可能的靠近目的主机
• 对于扩展ACL,应尽可能地靠 近源主机
2020/2/16
可编辑
12
2020/2/16
常用命令
(1) 在全局配置模式下,标准 IP 访问列表的命令格式为:
可编辑
2
每课一屏
了解网络 安全形势
2020/2/16
可编辑
3
路由器安全功能
路由器主要功能是发现达 到目标网络的路径
又是硬件防火墙
配置访问列表实现包过滤
网络地址转换
2020/2/16
可编辑
4
访问列表
路由器配置访问列表 可以控制网络流量, 按规则过滤数据报文, 提高网络的安全性。
2020/2/16
(2)配置扩展访问控制列表命令
access-list access-list-number deny | permit protocol | protocol-keyword source-ip wildcard mask destination-ip wildcard mask [other parameter]
可编辑
5
访问控制列表分类
包过滤规则称为访问列表。对于IP,IPX或Apple Talk网络, 其过滤规则有差异,IP网络的称为IP访问列表(Access List)
扩展IP访问列表 该种包过
标准IP访问列表 该种包过 滤规则对数据包中的源地址、
滤规则只对数据包中的源地 目的地址、协议(如TCP,
址进行检查
第22章 访问控制列表
主讲:张平安教授
2020/2/16
可编辑
1
2020/2/16
学习目标
知识目标
• 掌握路由器的标准访问控制列表的基本原理 • 掌握路由器的扩展访问控制列表的基本原理
技能目标
• 熟练掌握标准访问控制列表的配置方法与技巧 • 熟练掌握扩展访问控制列表的配置方法与技巧
素养目标
• 培养初步的网络访问权限的设计能力 • 培养自觉的信息安全意识
2020/2/16
可编辑
8
如何判断符合匹配规则
标准和扩展的IP ACL都允许用户 指定一个特定的IP地址或者一个 IP地址范围。如果数据包的地址 属于所配置的地址范围之内,那
么数据包就符合匹配规则
ACL的通配符掩码定义了数据包 地址中的哪部分需要匹配ACL中 已列出的地址,以及哪些部分不
需要匹配。
可编辑
17
访问控制列表配置步骤
确定访问 控制列表
号
全局模式 下配置访 问控制列
表
2020/2/16
设计访问 控制列表
规则
接口模式 下绑定访 问控制列
表
可编辑
18
访问控制列表任务实施
相关准 备工作
配置交 换机 VLAN
配置路 由器的
IP
配置路 由器的
路由
配置 ACL
验证
2020/2/16
可编辑
19