网络互联 7第七章 访问控制列表课件.ppt

《网络互联 7第七章 访问控制列表课件.ppt》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、第七章访问控制列表内容为什么建立访问控制列表访问控制列表配置任务通配符掩码标准访问控制列表和配置扩展访问控制列表和配置为什么要建立访问控制列表限制网络流量，提高网络性能提供对通信流量的控制手段提供网络访问的基本安全手段访问控制列表配置任务在路由器的全局配置模式创建访问控制列表Router(config)#access-listaccess-list-number{permit

2、deny}{test-conditions}把访问控制列表加到接口上Router(config-if)#{protocol}access-groupaccess-list-numberin

3、out访问控制

4、列表执行顺序可以建立多条，按顺序进行判断，如果条件不成立，判断下一条；隐含的是其它条件都不成立访问控制列表的编号范围通配符掩码在测试条件中使用通配符掩码，它是一个32比特位的数字字符串，用点号分成4个8位组0表示检查相应的位1表示不检查相应的位例如，测试条件为：172.16.0.00.0.255.255解释：通过路由器的IP地址必须满足上述测试条件，前两个字节必须检查，后两个字节不用检查。通配符掩码两种特殊写法：1.Router(config)#access-list1permit0.0.0.0255.255.255.255Router(config)#access-list1p

5、ermitany2.Router(config)#access-list1permit192.168.1.10.0.0.0Router(config)#access-list1permithost192.168.1.1提问检查IP子网：172.20.16.0/20写出通配符掩码？00010000检查不检查000011110.0..15.255第3位通配符掩码网络分类标准访问控制列表扩展访问控制列表标准访问控制列表标准访问控制列表只检查源地址，1-99配置在离目的地近的路由器上为什么命令格式如下router(config)#access-listaccess-list-number

6、{deny

7、permit}source[source-wildcard]router(config-if)#ipaccess-groupaccess-list-number{in

8、out}举例举例①PC1不能访问PC2；②从192.168.1.0的PC不能访问PC2提问（PC1不能访问PC2）192.168.1.2ping192.168.3.2通吗？如果把访问控制列表1加在router2的s0上192.168.1.2ping192.168.3.1通吗?192.168.1.2ping192.168.3.2通吗?如果把访问控制列表1加在router1的e0上192.168.1.2pi

9、ng192.168.2.1通吗？192.168.1.2ping192.168.2.2通吗？192.168.1.2ping192.168.3.1通吗?192.168.1.2ping192.168.3.2通吗?从这个提问可以理解为什么标准访问控制列表要配置在离目的地近的路由器上标准访问控制列表例题1标准访问控制列表例题2标准访问控制列表例题3扩展访问控制列表扩展访问控制列表检查源地址，目的地址，协议类型和端口号，101-199配置在离源地近的路由器上为什么命令格式如下router(config)#access-listaccess-list-number{permit

10、deny}pr

11、otocolsource[source-maskdestinationdestination-maskoperatoroperand]protocol:IP,TCP,UDP,ICMP,IGRPoperator:it,gt,eq,neqoperand:portnumberrouter(config-if)#ipaccess-groupaccess-list-number{in

12、out}端口号TCP:FTP_DATA20FTP21TELNET23SMTP25HTTP80UDP:DOMAIN53TFTP69扩展访问控制列表例题1扩展访问控制列表例题2实验练习标准访问控制列表的配置练习扩

13、展访问控制列表的配置习题采用标准访问控制列表，主机2不能访问主机1从196.6.6.0的Telnet信息不能到达主机1