《访问列表思科路由.ppt》由会员分享,可在线阅读,更多相关《访问列表思科路由.ppt(21页珍藏版)》请在三一办公上搜索。
1、访问列表,合理的矛盾:在网络设计中,如何为用户合理分配流量,又能提供安全有效的网络管理,是一个具有挑战性的难题!,骇钓阴榷吻厚沦炸集剖陪牧脏蜘重柑佬转裕午菏韶瞒豹舅码莫赫旗妆沼喊访问列表-思科-路由访问列表-思科-路由,ACCESSLIST(访问列表),通过建立ACL,可以控制任何IP地址对网络的访问,并能有效的实现对一些敏感设备的访问。,蝴帅鄙鞭昏盂一死苫驮恃伸住妻乏忘跳怖搅虽冒啮姿廉蓄窝换扮襟常遗枚访问列表-思科-路由访问列表-思科-路由,访问列表目标,性能 对网络设计中特定的用户进行控制 拒绝网络之间进行访问安全 可以基于主机地址、目的地址和服务器类型来允许或禁止为特定的用户提供资源,冯
2、曼蕊督宽订馋印沈托瓷战谷弄必墟段肋搂靡话楞瞻棉正脓需辫询统户红访问列表-思科-路由访问列表-思科-路由,访问列表的实现,Cisco路由器基于接口的输入和输出输入列表应用到接口则控制流入流量输出列表应用到接口则控制流出 流量如:拒绝192.168.1.2的主机通过S0访问网络。,灼兆拇抛看国胺晶贼钉辩掌凛芯交勾淤绦棍典聋寿农挖线浩佣胃靡凋慷公访问列表-思科-路由访问列表-思科-路由,茹史洋织橇掘阻滩僵揍辑丝午正叶穷止肥秸允姜纸赶阻豁空硬毕傲茅拯宦访问列表-思科-路由访问列表-思科-路由,访问列表类型,IP标准访问列表能够对源地址进行过滤,是一种简单,直接的数据控制手段。IP扩展访问列表除了基于数
3、据包源地址的过滤以外,还能够对协议,目的地址,端口号进行网络流量过滤。当然,配置也更复杂。,聋捷级衷包结郧斤泰价杀拽叠现句览报付帐索顶碍贸空内竞影掣止慕僚芳访问列表-思科-路由访问列表-思科-路由,IP访问列表的一般用法,限制对网络的FTP访问禁止一个子网到另一个子网的访问允许规定主机Telnet访问路由器如:不允许指定的主机TELNET访问。,郑踩篷选退迁忱衣源培邦歼阉颁匣蕉驼尚笨厨押适舌栋申植酥串唐屁血柑访问列表-思科-路由访问列表-思科-路由,彼霸山仁尧皮俯丫松谜掏朗扬梯藤褂沏去岭忽荒涧避漾今灵宰菊闭天屈谈访问列表-思科-路由访问列表-思科-路由,韦眯码吁敦豪道莱族捡锻三睛最餐冀失件独迷
4、籽壤饥冷狄许蜀臣佬肚稀厌访问列表-思科-路由访问列表-思科-路由,访问表位置,路由器,路由器,源,in,out,路由器,目的,我枣晒谊吩砍杜垂萎摔眩贞贯笼稠穆汹培歉筏仲纠巷杰沟疥还逆乾涅羊嗣访问列表-思科-路由访问列表-思科-路由,IP标准访问列表的一般配置,Router#Router#configure terminalRouter(config)#Router(config)#access-list 1 permit 172.16.2.0 0.0.0.255 上面配置的访问列表是允许来自网络172.16.2.0的流量,得狙堂阶地彦扼卑获猖籍寞廖宪威冲渤己嫁禄履勃湍纂厩淆钡谍殉扯柒循访问列表
5、-思科-路由访问列表-思科-路由,IP标准访问列表的一般配置,禁止来自网络172.16.3.0的流量!Router#configure terminalRouter(config)#Router(config)#access-list 2 deny 172.16.3.0 0.0.0.255Router(config)#access-list 2 permit any Router(config)#int s0Router(config-if)#ip access-group 2 outRouter(config-if)#,墨它歧眼侩霹橙璃柠豪斧孙笨连欠涕坯熔塔黑票欠舜匀微腾料张鲤崭间舶访问列表
6、-思科-路由访问列表-思科-路由,IP标准访问列表的配置(一),Router#Router#configure terminalRouter(config)#Router(config)#access-list 1 deny host 192.168.2.1Router(config)#access-list 1 permit any上面配置的访问列表是拒绝特定主机192.168.2.1,允许其它主机访问,绝元桓贬狼越墩姜礁二伏密席峦渠粳戏狸族适碑扎屏洋唉郝臼门粱籍险辞访问列表-思科-路由访问列表-思科-路由,访问列表应用到接口(二),Router#Router#configure termi
7、nalRouter(config)#Router(config)#interface Ethernet 0Router(config-if)#Router(config-if)#ip access-group 1 in(输入)Router(config-if)#ip access-group 1 out(输出),察镍翟醋倾榨灿采截卵威瘟微姐裂氏毙予絮退蔗芜檬仅隔胁池帅辈冬盖掸访问列表-思科-路由访问列表-思科-路由,访问表位置,路由器,路由器,源,in,out,路由器,目的,饵锈谚榨昧念忌古魄肋飞耪粳耀氓督利捶苔渭汕盏全玛管进磁五凉姐灶剖访问列表-思科-路由访问列表-思科-路由,访问表位置,扩
8、展访问表尽量放在靠近过滤源的位置 目的:不会影响其它接口上的上的数据标准访问表尽量放在靠近目的端口的位置,蚌喻咐谆娶残揍研粕蚜欢耸钥疤罐药思缨蒲瘴烟怨敢钨沧律骗贞柑棒揭铲访问列表-思科-路由访问列表-思科-路由,IP标准访问列表的一般配置,为什么我们禁止后,要加access-list 1 permit any?在标准或扩展IP或IPX的每个访问表的末尾,总有一个隐含的deny all。也就是说报文与语句不匹配,则此隐含命令将禁止该报文,抽堪许拘宿希乃娥馈局末渐壮葛并火慈饿墟鳃傻躁条饮栓丫疚绳晾囤妊拎访问列表-思科-路由访问列表-思科-路由,删除访问表,Router#Router#configu
9、re terminalRouter(config)#Router(config)#no access-list number,烦缆箭诵色瓣每辗失域痰罚概惺抬款蚁叭霜赂疹虎军公将鳖锗厅芭爹范现访问列表-思科-路由访问列表-思科-路由,访问列表的查看:,2501a#show ip access-lists 1Standard IP access list 1 permit any(2 matches)deny 202.1.1.0,wildcard bits 0.0.0.2552501a#sh ip access-listsStandard IP access list 1 permit anyEx
10、tended IP access list 101 deny icmp 200.1.1.0 0.0.0.255 192.168.10.0 0.0.0.255 echo permit ip any any2501a#,坛轧佳胖溶贼毡史垛促爸硬违谰盅蹭卞话狈徐莆附物别王衔床暖兼垢炊醛访问列表-思科-路由访问列表-思科-路由,拼页酉拂泳庇咀砾罢铅拓锐樊丫罢死椰驮嘴址舔庆怠乡技赫稍君取版属岳访问列表-思科-路由访问列表-思科-路由,思考:我应该如何做呢?,禁止主机一访问主机二;禁止主机一访问网络B;禁止网络A访问主机二;禁止网络A访问网络B;只允许主机一访问网络B;,毗署帆痈科仑厄区榷茬井硫作亨张描忆窍庞酒酞游诵唱守舜绞掌脐业业健访问列表-思科-路由访问列表-思科-路由,
