版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、第26講實(shí)驗(yàn)12 標(biāo)準(zhǔn)訪問(wèn)控制列表(ACL),主講:史寶會(huì),2,一、實(shí)驗(yàn)?zāi)康?1. 理解網(wǎng)絡(luò)訪問(wèn)控制列表的作用2. 掌握標(biāo)準(zhǔn)訪問(wèn)控制列表的工作原則3. 掌握標(biāo)準(zhǔn)訪問(wèn)控制列表的配置方法4. 掌握將標(biāo)準(zhǔn)訪問(wèn)控制
2、列表綁定到路由器端口的方法,3,二、網(wǎng)絡(luò)拓樸,4,三、實(shí)驗(yàn)內(nèi)容,1.根據(jù)實(shí)驗(yàn)拓樸圖連接網(wǎng)絡(luò)環(huán)境2.使用RIP協(xié)議達(dá)到全網(wǎng)連通3.使用標(biāo)準(zhǔn)訪問(wèn)列表,限制網(wǎng)絡(luò)通信,具體要求如下:RC的E0端口只允許來(lái)自于網(wǎng)絡(luò)192.16810.0的數(shù)據(jù)報(bào)被轉(zhuǎn)發(fā),其余的將被阻止。RC的S0端口不允許來(lái)自于特定地址PC4的數(shù)據(jù)流,其它的數(shù)據(jù)流將被轉(zhuǎn)發(fā)。RA的S0端口不允許來(lái)自于特定網(wǎng)絡(luò)192.168.30.0的數(shù)據(jù),而轉(zhuǎn)發(fā)其它的數(shù)據(jù)RB的S0端口不
3、允許來(lái)自于特定網(wǎng)絡(luò)192.168.30.0的數(shù)據(jù),而轉(zhuǎn)發(fā)其它的數(shù)據(jù),5,實(shí)驗(yàn)注意事項(xiàng),配置標(biāo)準(zhǔn)訪問(wèn)列表之前保證配置RIP協(xié)議過(guò)到全網(wǎng)連通通過(guò)串口線連接的路由器端口(S口)使用HDLC封裝協(xié)議注意配置串口線的DCE端口的時(shí)鐘速率注意每一條標(biāo)準(zhǔn)訪問(wèn)列表中最少有一條permit語(yǔ)句訪問(wèn)列表定義之后一定要綁定到路由器的某個(gè)端口上,6,實(shí)驗(yàn)報(bào)告要求,1.畫出實(shí)驗(yàn)網(wǎng)絡(luò)環(huán)境拓樸。2.寫出實(shí)驗(yàn)過(guò)程所有路由器的配置內(nèi)容。3.分析實(shí)驗(yàn)過(guò)程中配置
4、網(wǎng)絡(luò)設(shè)備的命令,并寫出現(xiàn)的問(wèn)題的解決的方案,7,教學(xué)目標(biāo),Access Control List訪問(wèn)列表(ACL)的作用訪問(wèn)列表的分類標(biāo)準(zhǔn)訪問(wèn)列表的應(yīng)用及配置擴(kuò)展訪問(wèn)列表的應(yīng)用及配置應(yīng)用ACL控制和管理通信流量,8,訪問(wèn)列表的概念,訪問(wèn)列表的定義是一系列運(yùn)用網(wǎng)絡(luò)地址或者上層協(xié)議上的允許或拒絕指令的集合這些指令將運(yùn)用到網(wǎng)絡(luò)地址或者上層協(xié)議上這些指令告訴路由器接受哪些數(shù)據(jù)報(bào)而拒絕哪些數(shù)據(jù)報(bào)。ACL使得用戶能夠管理數(shù)據(jù)流,檢
5、測(cè)特定的數(shù)據(jù)報(bào)。接受或者拒絕根據(jù)一定的規(guī)則進(jìn)行,如源地址,目標(biāo)地址,端口號(hào)等。路由器將根據(jù)ACL中指定的條件,對(duì)經(jīng)過(guò)路由器端口的數(shù)據(jù)報(bào)進(jìn)行檢查。ACL可以基于所有的Routed Protocols,如IP,IPX,對(duì)經(jīng)過(guò)路由器的數(shù)據(jù)報(bào)進(jìn)行過(guò)濾。,9,訪問(wèn)列表應(yīng)用圖例,10,訪問(wèn)控制列表的作用,ACL具有靈活的基本數(shù)據(jù)流過(guò)濾能力和特定的控制能力。訪問(wèn)列表可以控制非法的網(wǎng)絡(luò)訪問(wèn),允許正常的網(wǎng)絡(luò)訪問(wèn)路由器提供了基本的數(shù)據(jù)流過(guò)濾能力
6、如使用訪問(wèn)控制列表(ACL),可以有條件地阻止Internet數(shù)據(jù)流。在路由器接口處,決定哪種類型的通信流量被轉(zhuǎn)發(fā)、哪種類型的通信流量被阻塞,11,ACL需求,限制網(wǎng)絡(luò)數(shù)據(jù)流,增加網(wǎng)絡(luò)性能。列隊(duì)管理?根據(jù)不同的協(xié)議,ACL可以指定路由器優(yōu)先處理哪些數(shù)據(jù)報(bào)?路由器可以不處理不需要的數(shù)據(jù)報(bào)?隊(duì)列管理限制了網(wǎng)絡(luò)數(shù)據(jù)流,減少了網(wǎng)絡(luò)擁塞提供數(shù)據(jù)流控制。ACL可以限定或者減少路由更新的內(nèi)容。為網(wǎng)絡(luò)訪問(wèn)提供基本的安全層。ACL可以允
7、許某個(gè)主機(jī)訪問(wèn)網(wǎng)絡(luò)的某一部分,而阻止另一臺(tái)主機(jī)訪問(wèn)網(wǎng)絡(luò)的這個(gè)部分。決定轉(zhuǎn)發(fā)或者阻止哪些類型的數(shù)據(jù)流??梢栽试S路由e_mail數(shù)據(jù)流,而阻止telnet數(shù)據(jù)流,12,ACL定義的原則,ACL在路由器的端口過(guò)濾網(wǎng)絡(luò)數(shù)據(jù)流,決定是否轉(zhuǎn)發(fā)或者阻止數(shù)據(jù)報(bào)。ACL應(yīng)該根據(jù)路由器的端口所允許的每個(gè)協(xié)議來(lái)制定。如果需要控制流經(jīng)某個(gè)端口的所有數(shù)據(jù)流,就需要為該端口允許的每一個(gè)協(xié)議分別創(chuàng)建ACL。例如,如果端口配置成允許IP,Appletalk和I
8、PX協(xié)議的數(shù)據(jù)流,那么就需要?jiǎng)?chuàng)建至少三個(gè)ACL。ACL可以用作控制和過(guò)濾流經(jīng)路由器端口的數(shù)據(jù)報(bào)的工具。,13,ACL指令的配置原則,ACL中的指令以按順序執(zhí)行的先滿足條件則之后的指令不執(zhí)行配置ACL指令時(shí),要先配置最嚴(yán)格的條件、之后較松的條件對(duì)于某些協(xié)議,可以創(chuàng)建多個(gè)ACL:一個(gè)用于過(guò)濾進(jìn)入端口的數(shù)據(jù)流inbound,一個(gè)用于過(guò)濾流出端口的數(shù)據(jù)流outbound,14,ACL指令,一個(gè)ACL就是一組指令,規(guī)定數(shù)據(jù)報(bào)如何:進(jìn)
9、入路由器的某個(gè)端口在路由器內(nèi)的轉(zhuǎn)送離開路由器的某個(gè)端口ACL允許控制哪些客戶端可以訪問(wèn)的網(wǎng)絡(luò)。在ACL中的條件可以是:篩選某些主機(jī)允許或者禁止訪問(wèn)的部分網(wǎng)絡(luò)允許或者禁止用戶訪問(wèn)某一類協(xié)議,如FTP,HTTP等。,15,ACL的工作流程,無(wú)論是否使用ACL,開始的通信過(guò)程是相同的。當(dāng)一個(gè)數(shù)據(jù)報(bào)進(jìn)入一個(gè)端口,路由器檢查這個(gè)數(shù)據(jù)報(bào)是否可路由。如果是可以路由的,路由器檢查這個(gè)端口是否有ACL控制進(jìn)入數(shù)據(jù)報(bào)。如果有,根據(jù)ACL中的
10、條件指令,檢查這個(gè)數(shù)據(jù)報(bào)。如果數(shù)據(jù)報(bào)是被允許的,就查詢路由表,決定數(shù)據(jù)報(bào)的目標(biāo)端口。路由器檢查目標(biāo)端口是否存在ACL控制流出的數(shù)據(jù)報(bào)不存在,這個(gè)數(shù)據(jù)報(bào)就直接發(fā)送到目標(biāo)端口。如果存在,就再根據(jù)ACL進(jìn)行取舍。,16,ACL的工作流程,17,ACL條件順序,,Cisco IOS按照各描述語(yǔ)句在ACL中的順序,根據(jù)各描述語(yǔ)句的判斷條件,對(duì)數(shù)據(jù)包進(jìn)行檢查。一旦找到了某一匹配條件,就結(jié)束比較過(guò)程,不再檢查以后的其他條件判斷語(yǔ)句。,18,A
11、CL分類,標(biāo)準(zhǔn)ACL檢查源地址允許或拒絕整個(gè)協(xié)議族標(biāo)準(zhǔn)ACL(數(shù)字1到99),可以提供數(shù)據(jù)流過(guò)濾控制。它是基于源地址和通配掩碼。標(biāo)準(zhǔn)ACL可以允許或禁止整套IP協(xié)議。,19,ACL分類,擴(kuò)展ACL檢查源和目的地址通常允許或拒絕特定的協(xié)議為了更加精確的數(shù)據(jù)流過(guò)濾,需要擴(kuò)展ACL。擴(kuò)展ACL檢查源地址和目標(biāo)地址,以及TCP或UDP端口號(hào)。還可以指定擴(kuò)展ACL針對(duì)特定的協(xié)議的進(jìn)行操作。擴(kuò)展ACL使用的數(shù)字范圍是:100-199。
12、,20,用擴(kuò)展ACL檢查數(shù)據(jù)包,21,常見(jiàn)端口號(hào),22,ACL表號(hào),23,通配符掩碼,1.是一個(gè)32比特位的數(shù)字字符串2.0表示“檢查相應(yīng)的位”,1表示“不檢查(忽略)相應(yīng)的位”,24,特殊的通配符掩碼,1. Any0.0.0.0 255.255.255.2552. Host 172.30.16.29 0.0.0.0Host 172.30.16.29,25,ACL的配置,創(chuàng)建一個(gè)ACL訪問(wèn)控制Router(config)#
13、 access-list access_list_number {permit|deny} {test_conditions}將訪問(wèn)控制綁定到接口上Router(config-if)# {protocol} access-group access_list_number {in|out} 關(guān)閉訪問(wèn)控制列表Router(config)# no access-list access_list_number,26,創(chuàng)建標(biāo)準(zhǔn)ACL,Ro
14、uter(config)# access-list access-list-number {deny | permit} source [source-wildcard ] [log]例如:access-list 1 permit 172.16.0.0 0.0.255.255 刪除訪問(wèn)列表Router(config)# no access-list access-list-number 例如:no access-list 1,
15、27,實(shí)例分析,實(shí)例1:E0和E1端口只允許來(lái)自于網(wǎng)絡(luò)172.16.0.0的數(shù)據(jù)報(bào)被轉(zhuǎn)發(fā),其余的將被阻止。實(shí)例2:E0端口不允許來(lái)自于特定地址172.16.4.13的數(shù)據(jù)流,其它的數(shù)據(jù)流將被轉(zhuǎn)發(fā)。實(shí)例3:E0端口不允許來(lái)自于特定子網(wǎng)172.16.4.0的數(shù)據(jù),而轉(zhuǎn)發(fā)其它的數(shù)據(jù)。,28,實(shí)例1的禁止一個(gè)協(xié)議簇,第一個(gè)ACL命令用“permit”允許來(lái)自于此指定網(wǎng)絡(luò)的數(shù)據(jù)流,通配掩碼0.0.255.255表明要檢查匹配IP地址中的網(wǎng)絡(luò)位
16、(前16位)。最后將ACL關(guān)聯(lián)到端口E0和E1。,access-list 1 permit 172.16.0.0 0.0.255.255(implicit deny all - not visible in the list)(access-list 1 deny 0.0.0.0 255.255.255.255)interface ethernet 0ip access-group 1 outinterface eth
17、ernet 1ip access-group 1 out,29,實(shí)例2:禁止來(lái)自特定地址的數(shù)據(jù),第一個(gè)ACL命令用“deny”禁止來(lái)自于此指定主機(jī)的數(shù)據(jù)流,通配掩碼0.0.0.0表明要檢查匹配地址中的所有的位。第二個(gè)ACL命令中,“0.0.0.0 255.255.255.255”IP地址和通配掩碼組合,表示允許來(lái)自于任何源的數(shù)據(jù)流。這個(gè)組合,也可以用關(guān)鍵字“any”替代。最后將ACL關(guān)聯(lián)到端口E0。,30,實(shí)例3:禁止來(lái)自特定子網(wǎng)
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫(kù)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 第12章 acl訪問(wèn)列表
- acl訪問(wèn)控制列表配置
- 第27講擴(kuò)展訪問(wèn)控制列表
- 52:擴(kuò)展acl訪問(wèn)控制列表實(shí)驗(yàn)三
- ACL訪問(wèn)控制列表在交易連接平臺(tái)上的應(yīng)用.pdf
- 標(biāo)準(zhǔn)、擴(kuò)展、名稱訪問(wèn)控制列表配置
- 訪問(wèn)控制列表
- cisco訪問(wèn)控制列表
- cisco訪問(wèn)控制列表
- 16_訪問(wèn)控制列表
- 擴(kuò)展ip訪問(wèn)控制列表配置
- cisco基本訪問(wèn)控制列表管理
- 第26講 平移
- 第26講 統(tǒng)計(jì)
- 反向訪問(wèn)列表
- 第26講 績(jī)效面談
- 第26講氧化還原滴定法第3講
- 11實(shí)訓(xùn)十一擴(kuò)展訪問(wèn)控制列表答案
- 第12講 圖像
- [學(xué)習(xí)]訪問(wèn)列表-思科-路由
評(píng)論
0/150
提交評(píng)論