访问权限表
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
(config-std-nacl)#
(config)#ip access-list extended 访问控制列表名
(config-ext-nacl)#
拼搏
访问权限表的实例
PC1 10.2.2.12 e0/1 e0/2 FTP e0 10.2.2.3
X
路由器1 路由器 s0 10.140.1.2
交换机1 交换机 10.2.2.11
第二步:把表应用到路由器相应的端口,注意方向 第二步:把表应用到路由器相应的端口, (config)#interface 端口号 (config-if)#ip access-group 表号 in/out
拼搏
查看和删除访问权限表
查看访问权限表: 查看访问权限表: #show access-lists #show access-list 表号
参数: 参数:eq 等于 neq 不等于 gt大于 大于 lt小Baidu Nhomakorabea 小于
第二步: 第二步:把表应用到路由器相应的端口 (config)#interface 端口号 (config-if)# ip access-group 表号 in / out
拼搏
扩展访问权限表实例
172.16.3.0
172.16.5.0 S0
172.16.4.0 172.16.4.13
E0
E1
要求如下:禁止子网172.16.3.0用FTP访问子网172.16.4.0 要求如下:禁止子网172.16.3.0用FTP访问子网172.16.4.0 172.16.3.0 访问子网172.16. 允许其他信息传输
拼搏
扩展访问权限表实例
172.16.3.0
X
PC2 10.13.13.12 e0/1 FTP 路由器2 X 路由器 s0 10.140.12.2 Telnet e0/2 e0 DDN
10.13.13.3 交换机2 交换机 10.13.13.11
X
交换机3 交换机 10.1.1.2
Telnet ...
服务器 10.1.1.1
路由器3 路由器 10.1.1.3
流入的数据包
流出的数据包
s0
扩展访问权限表 – 检查源地址和目的地址 – 允许或禁止数据包传输
拼搏
扩展访问权限表的配置
第一步: 第一步:建立访问权限表 (config)#access-list 表号 permit | deny 协议 源网络IP 源网络匹 配码 目的网络IP 目的网络匹配码 参数 端口号 log
删除访问权限表: 删除访问权限表: (cofnig)#no access-list 表号
拼搏
基本表实例
172.16.3.0 S0
172.16.3.1/16
172.16.4.0 E1
E0
172.16.3.2/16
要求如下: 要求如下: 只允许172.16.3.1访问 只允许 访问172.16.4.0网络 网络 访问
Y
遗弃数据包
拼搏
出站访问权限表
Packet Inbound Interface Packets Choose Interface Test Access List Statements Access List ?
Y N N
S0 Outbound Interfaces
Y Routing Table Entry
拼搏
基本访问权限表
e0 访问权限表的工作流程
Source Permit?
流入的数据包
流出的数据包
s0
基本访问权限表工作机理 – 检查源地址 – 允许或禁止数据包传输
拼搏
入站访问权限表
acket
N
Routing table perm it deny N
S0
Y
出站端口
入站数据包
Access List ?
Logo
CISCO课程 CISCO课程
教师: 教师:尹伟
拼搏
为什么要用访问权限表? 为什么要用访问权限表?
172.16.0.0
Internet
172.18.0.0
172.17.0.0
过滤通过路由器的数据包
拼搏
访问权限表的应用
数据包在端口上传输
没有访问权限表, 没有访问权限表,所有的数据包能传输到网络的任何位置 有访问权限表,按照访问权限表的定义,决定数据包的允许或禁止 有访问权限表,按照访问权限表的定义,
拼搏
基本表实例
172.16.2.0
172.16.3.0
172.16.4.0 S0 E0 E1
要求如下: 要求如下: 允许以上网络相互访问 但禁止172.16.3.0网络访问 但禁止 网络访问172.16.4.0网络 网络 网络访问
拼搏
扩展访问权限表
e0
访问权限表工作过程
Source and Destination Protocol Permit?
?
N
Permit ?
Y
Discard Packet 遗弃数据包 Notify Sender
拼搏
基本权限表配置
第一步: 第一步:根据实际需求建立访问权限表 (config)#access-list 表号 deny/permit 源IP 源匹配码
注意:每个表的表尾隐含 注意:每个表的表尾隐含deny any语句 语句
172.16.5.0 S0
172.16.4.0 172.16.4.13
E0
E1
要求如下:禁止子网 要求如下:禁止子网172.16.3.0 Telnet到172.16.4.13服务器 到 服务器 允许其他信息传输
拼搏
以名为主的访问控制列表
(config)#ip access-list standard 访问控制列表名