网络管理课件_第7章 访问列表
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
交换机/ 交换机/路由器配置与管理
扩展IP访问列表配置举例配置
router# configure terminal !允许网段LAN3的主机访问Internet的WWW,FTP,SMTP和POP3服务 router(config)#access-list 101 permit tcp 192.168.3.0 0.0.0.255 any eq www router(config)#access-list 101 permit tcp 192.168.3.0 0.0.0.255 any eq ftp router(config)#access-list 101 permit tcp 192.168.3.0 0.0.0.255 any eq smtp router(config)#access-list 101 permit tcp 192.168.3.0 0.0.0.255 any eq pop3 !禁止LAN1的主机访问internet router(config)#access-list 101 deny ip 192.168.1.0 0.0.0.255 any
命名访问列表配置举例一配置
router# configure terminal router(config)#ip access-list standard denyhost1 router(config-std-nacl)#deny host 192.168.1.1 router(config-std-nacl)# permit any router(config-std-nacl)#exit !应用访问列表denyhost1 router(config)# interface Ethernet 0 router(config)# ip access-group denyhost1 out
标准IP访问列表的配置举例配置
router# configure terminal router(config)# access-list 1 deny host 192.168.1.1 router(config)# access-list 1 permit any router(config)# interface Ethernet 1 router(config)# ip access-group 1 out
交换机/ 交换机/路由器配置与管理
命名IP访问列表
命名IP访问列表通过一个名称而不是一个编号 来引用的。 命名的访问列表可用于标准的和扩展的访问表 中。 名称的使用是区分大小写的,并且必须以字母 开头。在名称的中间可以包含任何字母数字混 合使用的字符,也可以在其中包含[,]、{,}、 _、-、+、/、\、.、&、$、#、@、!以及?等特 殊字符 名称的最大长度为1 0 0个字符
交换机/ 交换机/路由器配置与管理
访问列表配置步骤
第一步是配置访问列表语句 第二步是把配置好的访问列表应用到某个端口 上
交换机/ 交换机/路由器配置与管理
标准IP访问列表的配置命令
配置标准访问列表
access-list access-list-number deny|permit source-address source-wildcard [log] access-list-number:只能是1~99之间的一个数字 deny|permit:deny表示匹配的数据包将被过滤掉; permit表示允许匹配的数据包通过 source-address:表示单台或一个网段内的主机的 IP地址 source-wildcard:通配符掩码 Log:访问列表日志,如果该关键字用于访问列 表中,则对匹配访问列表中条件的报文作日志
显示IP访问列表
show ip access-list [access-list-number]
交换机/ 交换机/路由器配置与管理
标准IP访问列表的配置举例
主机192.168.1.1不能访问主机192.168.2.1,但可 访问其他主机,对其他主机间的访问不做任何 限制
交换机/ 交换机/路由器配置与管理
交换机/ 交换机/路由器配置与管理
通配符掩码示例
交换机/ 交换机/路由器配置与管理
通配符掩码掩码的两种特殊形式
host表示一台主机,是通配符掩码0.0.0.0的简写 形式 192.168.1.10 0.0.0.0等价于host 192.168.1.10 any表示所有主机,是通配符掩码掩码 255.255.255.255的简写形式 192.168.1.10 255.255.255.255等价于any
交换机/ 交换机/路由器配置与管理
扩展IP访问列表的配置命令续
source-port:可以是单一的某个端口,也可以是一个 端口范围
交换机/ 交换机/路由器配置与管理
扩展IP访问列表的配置命令续
destination-address:目的IP地址 destination-wildcard:目的地址通配符掩码 destination-port:目的端口号,指定方法与源端口号 的指定方法相同
交换机/ 交换机/路由器配置与管理
扩展IP访问列表配置举例
要求允许LAN3的所有主机能登录Internet,但只能浏览WWW、 FTP、SMTP、POP3协议的通信。LAN2中的主机192.168.2.1向 Internet提供WWW服务,主机192.168.2.2向Internet提供FTP服 务,主机192.168.2.3向Internet提供SMTP服务,其余主机不能 被Internet访问。LAN1中的主机不能访问Internet,但可以访问 LAN2和LAN3
交换机/ 交换机/路由器配置与管理
ACL的相关特性
每一个接口可以在进入(inbound)和离开 (outbound)两个方向上分别应用一个ACL, 且每个方向上只能应用一个ACL。 ACL语句包括两个动作:拒绝(deny)和允许 (permit) 数据包进入路由器时,进入方向(In方向)的 ACL起作用。 数据包离开路由器时,出方向(Out方向)的 ACL起作用 每个ACL列表结尾有一个隐含的“拒绝的所有 数据包(deny any)”的语句
交换机路由器配置与管理
第7章 访问列表
交换机/ 交换机/路由器配置与管理
访问列表概述
访问列表由一系列语句组成,这些语句主要包 括匹配条件和采取的动作(允许或禁止)两个 部分 访问列表应用在路由器的接口上,通过匹配数 据包信息与访问列表参数来决定允许还是拒绝 数据包通过某个接口。 数据包是通过还是拒绝,主要通过数据包中的 源地址、目的地址、源端口、目的端口、协议 等信息来决定。
交换机/ 交换机/路由器配置与管理
访问列表的功能
控制网络流量,提高网络性能 控制用户网络行为 控制网络病毒的传播
交换机/ 交换机/路由器配置与管理
访问列表类型
访问列百度文库可分为标准IP访问列表和扩展IP访问 列表。
标准访问列表:其只检查数据包的源地址,从而允许 或拒绝基于网络、子网或主机的IP地址的所有通信流 量通过路由器的出口。 扩展IP访问列表:它不仅检查数据包的源地址,还要 检查数据包的目的地址、特定协议类型、源端口号、 目的端口号等
交换机/ 交换机/路由器配置与管理
扩展IP访问列表的配置命令
配置扩展访问列表
access-list access-list-number permit|deny protocol source-address source-wildcard source-port destinaiton address destination-wildcard destination-port log options access-list-numberL:编号范围为100~199。 Permit:通过;deny:禁止通过 Protocol:需要被过滤的协议的类型,如IP、TCP、 UDP、ICMP、EIGRP,GRE等。 source-address :源IP地址 source-wildcard:源通配符掩码
交换机/ 交换机/路由器配置与管理
访问列表配置注意事项
注意访问列表中语句的次序,尽量把作用范围 小的语句放在前面 新的表项只能被添加到访问表的末尾,即不允 许将新的语句插入到原有的访问列表中 标准的IP访问列表只匹配源地址,如果要检查 更多的条件,则使用扩展的IP访问列表 标准的访问列表尽量靠近目的 在应用访问列表时,要特别注意应用的方向
交换机/ 交换机/路由器配置与管理
交换机/ 交换机/路由器配置与管理
编号与命名访问列表命令比较
交换机/ 交换机/路由器配置与管理
命名访问列表配置举例一
通过配置命名访问列表来实现以下要求:主机 192.168.1.1不能访问主机192.168.2.1,但可访问 其他主机,对其他主机间的访问不做任何限制
交换机/ 交换机/路由器配置与管理
交换机/ 交换机/路由器配置与管理 扩展IP访问列表配置举例配置续 !应用访问列表101 router(config)# interface serial 1 router(config-if)# ip access-group 101 out !允许其他网段的主机访问LAN2的WWW,FTP,SMTP服务,拒绝其他 请求 router(config)#access-list 102 permit tcp any host 192.168.2.1 eq www router(config)#access-list 102 permit tcp any host 192.168.2.2 eq ftp router(config)#access-list 102 permit tcp any host 192.168.2.3 eq smtp router(config)#access-list 102 deny ip any any ! 应用访问列表102 router(config-if)#interface ethernet 0 router(config-if)#ip access-group 102 out
交换机/ 交换机/路由器配置与管理
编号IP访问列表和命名IP访问列表的区别
名字能更直观地反映出访问列表完成的功能 命名访问列表突破了99个标准访问列表和100个 扩展访问列表的数量限制,能够定义更多的访 问列表。 命名IP访问列表允许删除个别语句,而编号访 问列表只能删除整个访问列表 单个路由器上命名访问列表的名称必须是唯一 的,而不同路由器上的命名访问列表名称可以 相同
交换机/ 交换机/路由器配置与管理
ACL转发的过程
交换机/ 交换机/路由器配置与管理
IP地址与通配符掩码的作用规
32位的IP地址与32位的通配符掩码逐位进行比 较,通配符掩码为0的位要求IP地址的对应位必 须匹配,通配符掩码为1的位所对应的IP地址位 不必匹配 例:
IP地址为 192.168.1.0,通配符掩码为0.0.0.255对应的 二进制为: 11000000 10101000 00000001 00000000 00000000 00000000 00000000 11111111 检查的地址范围为:192.168.1.0~192.168.1.255
交换机/ 交换机/路由器配置与管理
标准IP访问列表的配置命令续
应用访问列表到接口
ip access-group access-list-number in|out In:检查进入路由器的报文 Out:检查离开路由器的报文
显示所有协议的访问列表配置细节
show access-list [access-list-number]
交换机/ 交换机/路由器配置与管理
命名访问列表配置举例二
LAN3的所有主机只能访问Internet中的WWW、FTP、 SMTP、POP3服务。LAN2中的主机192.168.2.1只提供 WWW服务,主机192.168.2.2 只提供FTP服务,主机 192.168.2.3只提供SMTP服务。LAN1中的主机不能访问 Internet,但可以访问LAN2和LAN3