返回
计算机组网工程与实训 教学课件 作者 陈学平 主编 王明昊 副主编项目5 NAT PPP及ACL配置与管理.ppt

计算机组网工程与实训 教学课件 作者 陈学平 主编 王明昊 副主编项目5 NAT PPP及ACL配置与管理.ppt

ID:50514911

大小:776.00 KB

页数:47页

时间:2020-03-10

计算机组网工程与实训 教学课件 作者 陈学平 主编 王明昊 副主编项目5 NAT PPP及ACL配置与管理.ppt_第1页
计算机组网工程与实训 教学课件 作者 陈学平 主编 王明昊 副主编项目5 NAT PPP及ACL配置与管理.ppt_第2页
计算机组网工程与实训 教学课件 作者 陈学平 主编 王明昊 副主编项目5 NAT PPP及ACL配置与管理.ppt_第3页
计算机组网工程与实训 教学课件 作者 陈学平 主编 王明昊 副主编项目5 NAT PPP及ACL配置与管理.ppt_第4页
计算机组网工程与实训 教学课件 作者 陈学平 主编 王明昊 副主编项目5 NAT PPP及ACL配置与管理.ppt_第5页
资源描述:

《计算机组网工程与实训 教学课件 作者 陈学平 主编 王明昊 副主编项目5 NAT PPP及ACL配置与管理.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、项目5学习目标NAT、PPP及ACL配置与管理(1)掌握路由器的标准访问列表的配置(2)掌握路由器的扩展访问列表的配置(3)掌握路由器的NAT配置(4)掌握路由器的PPP认证配置5.1任务1访问控制列表的配置5.1.1任务分析网络应用与互联网的普及在大幅提高企业的生产经营效率的同时,也带来了诸如数据的安全性,员工利用互联网做与工作不相干事等负面影响。如何将一个网络有效的管理起来,尽可能的降低网络所带来的负面影响就成了摆在网络管理员面前的一个重要课题。还有就是数据流量的控制都离不开ACL访问控制列表,如:只允许端口下的用户只能访问特定的服务器网段,只允许用户访问单个网页服务

2、器,禁止VLAN之间的互相访问,对于两台计算机主机之间实现单向访问控制等。还有就是现在电信,联通实现的80端口用户出口关闭,这些都需要在路由器上实施ACL,因此,我们本任务将介绍ACL的访问控制列表,介绍ACL的基本配置和扩展配置。5.1.2相关知识1、访问列表简介ACL通常被看作是一种过滤工具,过滤进入或离开路由器的流量。ACL支持下列所有类型的操作:2、ACL和过滤当ACL用作过滤流量时,通常称为过滤器(FILTER)。基于在路由器上定义的条件(规则),可以应用道这些流量的决定包括允许或者丢弃流量。条件可以在数据包的内容中查找匹配信息,包括:3、ACL类型ACL类型有

3、如下几种:4、处理ACLACL语句有两个组件:一个是条件,一个是操作。条件用于匹配数据包内容。当为条件找到匹配时,则会采取一个操作:允许或者拒绝数据包。6、标准访问控制列表格式访问控制列表ACL分很多种,不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表,他是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99来创建相应的ACL。标准访问控制列表是最简单的ACL。它的具体格式如下:access-listACL号permit

4、denyhostip地址例如:access-list10denyhost192.168.1.1这句命令是将所有来自192.1

5、68.1.1地址的数据包丢弃。当然我们也可以用网段来表示,对某个网段进行过滤。命令如下:access-list10deny192.168.1.00.0.0.255通过上面的配置将来自192.168.1.0/24的所有计算机数据包进行过滤丢弃。为什么后头的子网掩码表示的是0.0.0.255呢?这是因为CISCO规定在ACL中用反向掩玛表示子网掩码,反向掩码为0.0.0.255的代表他的子网掩码为255.255.255.0。注意:对于标准访问控制列表来说,默认的命令是HOST,也就是说access-list10deny192.168.1.1表示的是拒绝192.168.1.1这

6、台主机数据包通讯,可以省去我们输入host命令。7、标准访问控制列表实例实例1:网络环境介绍:图5-1简单ACL的拓扑图我们采用如图5-1所示的网络结构。路由器连接了二个网段,分别为172.16.4.0/24,172.16.3.0/24。在172.16.4.0/24网段中有一台服务器提供WWW服务,IP地址为172.16.4.13。实例1:禁止172.16.4.0/24网段中除172.16.4.13这台计算机访问172.16.3.0/24的计算机。172.16.4.13可以正常访问172.16.3.0/24。实例2:配置任务:禁止172.16.4.13这个计算机对172.

7、16.3.0/24网段的访问,而172.16.4.0/24中的其他计算机可以正常访问。我们还是以图5-23所示为例。路由器配置命令:access-list1denyhost172.16.4.13数据包通过access-list1permitany容许其他地址的计算机进行通讯inte1进入E1端口将ACL1宣告,ipaccess-group1in来完成宣告。配置完毕后除了172.16.4.13其他IP地址都可以通过路由器正常通讯,传输数据包。说明:标准ACL占用路由器资源很少,是一种最基本最简单的访问控制列表格式。应用比较广泛,经常在要求控制级别较低的情况下使用。如果要更加

8、复杂的控制数据包的传输就需要使用扩展访问控制列表了,他可以满足我们到端口级的要求。8、扩展访问控制列表的格式前面我们提到了标准访问控制列表,它是基于IP地址进行过滤的,是最简单的ACL。那么如果我们希望将过滤细到端口怎么办呢?或者希望对数据包的目的地址进行过滤。这时候就需要使用扩展访问控设置ACL,设置ACL,禁止172.16.4.13的同理可以进入E0端口后使用ipaccess-group1out制列表了。使用扩展IP访问列表可以有效的容许用户访问物理LAN而并不容许他使用某个特定服务(例如WWW,FTP等)。扩展访问控制列

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。