返回
第十五讲访问控制列表配置

第十五讲访问控制列表配置

ID:20055357

大小:2.13 MB

页数:5页

时间:2018-10-08

第十五讲访问控制列表配置_第1页
第十五讲访问控制列表配置_第2页
第十五讲访问控制列表配置_第3页
第十五讲访问控制列表配置_第4页
第十五讲访问控制列表配置_第5页
资源描述:

《第十五讲访问控制列表配置》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、第十章访问控制列表配置教学目的:1.了解访问控制列表的作用2.了解标准访问控制列表与扩展访问列表的异同3.掌握访问控制列表的原理4.掌握访问列表的配置方法知识点:1.访问列表2.包过滤3.流量控制4.通配掩码10.1访问控制列表(access-list)一、访问列表的作用访问控制列表是在使用路由技术的网络中,识别和过滤进入到网络或发出去的符合规定条件的数据流量,以决定是否允许发送或丢弃数据流量。访问控制是控制流量的一种方法,是实现防火墙的重要手段。二、访问列表的应用1.在物理接口上应用访问控制列表实现流量控制。2.在虚拟终端线路接口(vty)应用

2、访问控制列表,实现对登录用户的控制。3.还可以应用到队列技术、按需拨号、VPN、NAT等。三、访问列表的工作流程1.进方向上的工作流程:51.出方向上的工作流程:四、访问列表的控制条件根据IP数据包中包含的信息,可以对数据包的源IP地址、目的IP地址、被路由的协议类型、数据要访问的端口等作为判断条件。5五、访问列表执行流程访问控制列表实际上是一些列判断语句,被过滤的数据包会一个个和这些条件语句进行比较,当符合条件则执行操作(permit或deny);否则进行下一条件判断。六、注意事项1.访问控制列表的列表号指出是哪种协议的访问控制列表。即每种协议

3、(IP、IPX等)定义一个访问控制列表。2.一个访问控制列表的配置是每协议、每接口、每方向的。每种协议可以定义进出两个控制访问控制列表。3.访问控制列表的顺序决定了对数据包控制顺序。4.在访问控制列表最后,有一条隐含的“全部拒绝”命令,因此在控制列表里至少有一条“允许”语句。5.访问控制列表只能过滤穿过路由器的数据流量,不能过滤路由器本身发出的数据包。10.2访问控制列表分类访问控制列表有两种类型:标准访问控制列表、扩展访问控制列表。ü标准访问控制列表判断条件是数据包的源IP地址,只能过滤来自某个网络或主机的数据包。ü扩展访问控制列表判断条件是数

4、据包的源IP地址、目的IP地址、协议和数据要访问的端口。10.3访问控制列表配置方法一、在相应的接口上应用访问控制列表配置完标准或扩展访问列表后,再把列表绑定在路由器的某个端口上,就完成了访问控制的配置。进入到相应接口模式,然后采用以下命令:ipaccess-groupaccess-list-number{in

5、out}5默认时是out,即出方向。Out表示在数据包出去的端口上进行检查,in表示在数据包进去的端口上进行检查。二、标准访问控制列表配置命令在全局模式下配置。·命令格式Access-listaccess-list-number{perm

6、it

7、deny}source[source-wildcard]说明:access-list-number访问控制列表号,标准为1~99,扩展为100~199source源IP地址source-wildcard通配符掩码,该掩码与子网掩码刚好相反,如掩码为:192.168.1.0255.255.255.0则通配符掩码写成:0.0.0.255。特别的:0.0.0.0255.255.255.255写成any,把192.168.1.10.0.0.0写成host192.168.1.1(针对某一个主机)。注:当有多条访问控制条件时,采用同一列表号进行多次定义

8、即可。·举例过滤ip地址为192.168.1.0、192.168.3.0网段发来的数据包,可以采用如下配置access-list2deny192.168.1.00.0.0.255access-list2deny192.168.3.00.0.0.255access-list2permitanyintf0/1ipaccess-group2in三、扩展访问控制列表配置命令在全局模式下配置。·命令格式Access-listaccess-list-number{permit

9、deny}protocolsource[source-wildcard][oper

10、atorport]destination[destination-wildcard][operatorport][established]说明:protocol协议source[source-wildcard]源IP地址及通配符掩码destination[destination-wildcard]目标IP地址及通配符掩码operatorport端口号eq80(http)eq23(telnet)eq25(smtp)eq110(pop3)eq20(ftp数据端口)eq21(ftp控制端口)或eqhttp│80established可以在拒绝数据包通过

11、的方向上,让已经建立会话连接的TCP数据流通过,因此常用于企业网内防止外部攻击,同时又可以正常地与internet连接。·举例通过对路由

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。