欢迎来到天天文库
浏览记录
ID:59209360
大小:297.00 KB
页数:43页
时间:2020-09-26
《第6章 使用访问控制列表管理数据流ppt课件.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、使用访问控制列表管理数据流第6章本章目标通过本章的学习,您应该掌握以下内容:了解访问列表的基本知识;知道访问列表的功能和工作原理;掌握如何配置标准IP访问列表、扩展IP访问列表,如何控制VTY接入。为什么要使用访问列表172.16.0.0172.17.0.0Internet管理网络中逐步增长的IP数据当数据通过路由器时进行过滤访问列表的应用允许、拒绝数据包通过路由器允许、拒绝Telnet会话的建立没有设置访问列表时,所有的数据包都会在网络上传输虚拟会话(IP)端口上的数据传输访问列表的其它应用路由表过滤RoutingTableQueue
2、List优先级判断按需拨号基于数据包检测的特殊数据通讯应用标准检查源地址通常允许、拒绝的是完整的协议OutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?Source什么是访问列表--标准标准检查源地址通常允许、拒绝的是完整的协议扩展检查源地址和目的地址通常允许、拒绝的是某个特定的协议OutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?SourceandDestinationProtocol什么是访问列表--扩
3、展标准检查源地址通常允许、拒绝的是完整的协议扩展检查源地址和目的地址通常允许、拒绝的是某个特定的协议进方向和出方向OutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?SourceandDestinationProtocol什么是访问列表NotifySender(出站)访问列表的工作原理IfnoaccessliststatementmatchesthendiscardthepacketNYPacketDiscardBucketChooseInterfaceRoutingTab
4、leEntry?NYTestAccessListStatementsPermit?YAccessList?DiscardPacketNOutboundInterfacesPacketPacketS0E0InboundInterfacePackets访问列表是由一系列语句组成的列表。ACL语句包括两个动作:拒绝(deny):即拒绝数据包通过,过滤掉数据包;允许(permit):即允许数据包通过,不过滤数据包。PacketstoInterface(s)intheAccessGroupPacketDiscardBucketYInte
5、rface(s)DestinationDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTest?YYNYYPermitImplicitDenyIfnomatchdenyallDenyN访问列表的测试:允许和拒绝访问列表配置指南访问列表的编号指明了使用何种协议的访问列表每个端口、每个方向、每条协议只能对应于一条访问列表访问列表的内容决定了数据的控制顺序具有严格限制条件的语句应放在访问列表所有语句的最上面访问列表配置指南在访问列表的最后有一条隐含声明:de
6、nyany,每一条正确的访问列表都至少应该有一条允许语句先创建访问列表,然后应用到端口上访问列表不能过滤由路由器自己产生的数据Step1:设置访问列表测试语句的参数Router(config)#Step2:在端口上应用访问列表{protocol}access-groupaccess-list-number{in
7、out}Router(config-if)#访问列表设置命令access-listaccess-list-number{permit
8、deny}{testconditions}inout源目的编号范围1-991300-1999Na
9、me(CiscoIOS11.2andlater)100-1992000-2699Name(CiscoIOS11.2andlater)StandardNamed访问列表类型如何识别访问列表号标准访问列表检查IP数据包的源地址扩展访问列表检查源地址和目的地址、具体的TCP/IP协议和目的端口其它访问列表编号范围表示不同协议的访问列表ExtendNamedIP地址与通配符掩码的作用规则32位的IP地址与32位的通配符掩码(Wildcardmask)逐位进行比较,通配符掩码为“0”的位要求IP地址的对应位必须匹配,通配符掩码为“1”的位所对应的I
10、P地址位不必匹配。IP地址与通配符掩码的作用规则例1:172.30.16.290.0.0.0表示检查所有的地址位,即IP地址172.30.16.29本身。172.30.16.290.0.0.0
此文档下载收益归作者所有