欢迎来到天天文库
浏览记录
ID:59051977
大小:520.00 KB
页数:26页
时间:2020-10-29
《第27讲扩展访问控制列表.ppt》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、第27讲扩展访问控制列表主讲:史宝会教学目标扩展访问控制列表的作用扩展访问控制列表与标准访问列表的区别扩展访问控制列表的应用及配置应用扩展ACL控制和管理通信流量2标准访问列表的特点SourceAddressSegment(forexample,TCPheader)DataPacket(IPheader)FrameHeader(forexample,HDLC)DenyPermitUseaccessliststatements1-99只能通过源进行通信量的控制3扩展访问控制列表的特点DestinationAddressSourc
2、eAddressProtocolPortNumberSegment(forexample,TCPheader)DataPacket(IPheader)FrameHeader(forexample,HDLC)Useaccessliststatements1-99or100-199totestthepacketDenyPermit扩展访问列表可以多种方式进行通信量的控制4在路由器上过滤vty五个虚拟通道(0到4)路由器的vty端口可以过滤数据在路由器上执行vty访问的控制01234Virtualports(vty0through4
3、)Physicalporte0(Telnet)Consoleport(directconnect)consolee05如何控制vty访问01234Virtualports(vty0through4)Physicalport(e0)(Telnet)使用标准访问列表语句用access-class命令应用访问列表在所有vty通道上设置相同的限制条件Router#e06虚拟通道的配置指明vty通道的范围在访问列表里指明方向access-classaccess-list-number{in
4、out}linevty#{vty#
5、vty-rang
6、e}Router(config)#Router(config-line)#7虚拟通道访问举例只允许网络192.89.55.0内的主机连接路由器的vty通道access-list12permit192.89.55.00.0.0.255!linevty04access-class12inControllingInboundAccess8标准访问列表和扩展访问列表比较标准扩展基于源地址基于源地址和目标地址允许和拒绝完整的TCP/IP协议指定TCP/IP的特定协议和端口号编号范围100到199.编号范围1到99扩展访问列表的工作流程10扩展
7、IP访问列表的配置Router(config)#设置访问列表的参数access-list-number:取值为100~199Protocol:表示某个具体协议(ip,tcp,udp,icmp,igrp,eigrp,ospf等)Source/destination:源或目的IP地址operator:操作符(lt,gt,eq,neq)port:端口号或应用名(如23或telnet)Established:只允许已创建的TCP会话进入access-listaccess-list-number{permit
8、deny}protocolsou
9、rcesource-wildcard[operatorport]destinationdestination-wildcard[operatorport][established][log]Router(config-if)#ipaccess-groupaccess-list-number{in
10、out}扩展IP访问列表的配置在端口上应用访问列表绑定访问列表的命令访问列表编号1~199之间绑定端口的入口或出口扩展ACL实例分析实例1:在E0端口,禁止转出来自172.16.4.0子网的FTP数据流到172.16.3.0子网,其它的数
11、据流将被转发。实例2:在E0端口,禁止转出来自172.16.4.0子网的Telnet数据流,其它的数据流将被转发。172.16.3.0172.16.4.0172.16.4.13E0S0E1202.18.10.013实例1:分析第一个ACL命令用“deny”禁止来自172.16.4.0子网的FTP-DATA(port=20)数据流到172.16.3.0子网。第二个ACL命令用“deny”禁止来自172.16.4.0子网的FTP(port=21)数据流到172.16.3.0子网。第三个ACL命令表示允许任何的数据流。最后将此ACL101
12、关联到端口E0。access-list101denytcp172.16.4.00.0.0.255172.16.3.00.0.0.255eq21access-list101denytcp172.16.4.00.0.0.255172.16
此文档下载收益归作者所有