收藏
下载资源 加入VIP免费专享

思科课件访问控制列表ACL的配置.ppt

上传人:牧羊曲112 文档编号:6285989 上传时间:2023-10-13 格式:PPT 页数:27 大小:212KB
返回 下载 相关 举报
思科课件访问控制列表ACL的配置.ppt_第1页
第1页 / 共27页
思科课件访问控制列表ACL的配置.ppt_第2页
第2页 / 共27页
思科课件访问控制列表ACL的配置.ppt_第3页
第3页 / 共27页
思科课件访问控制列表ACL的配置.ppt_第4页
第4页 / 共27页
思科课件访问控制列表ACL的配置.ppt_第5页
第5页 / 共27页
点击查看更多>>
资源描述

《思科课件访问控制列表ACL的配置.ppt》由会员分享,可在线阅读,更多相关《思科课件访问控制列表ACL的配置.ppt(27页珍藏版)》请在三一办公上搜索。

1、课题四访问控制列表(ACL)的配置,本课题主要内容,使用标准访问控制列表和扩展访问控制列表控制网络流量的方法标准访问控制列表和扩展访问控制列表以及在路由接口应用ACL的实例。,4.1访问控制列表访问控制列表概述,一、概念 访问控制列表简称 ACL(Access Control Lists),它使用包过滤技术,在路由器上读取第3层或第4层包头中的信息,如源地址、目的地址、源端口、目的端口以及上层协议等,根据预先定义的规则决定哪些数据包可以接收、哪些数据包需要拒绝,从而达到访问控制的目的。配置路由器的访问控制列表是网络管理员一件经常性的工作。,图4-1-1 网络中使用ACL,访问控制列表概述,二、

2、组成,访问控制列表概述,三、ACL的作用ACL的作用主要表现在两个方面:一方面保护资源节点,阻止非法用户对资源节点的访问;另一方面限制特定的用户节点所能具备的访问权限。(1)检查和过滤数据包。(2)限制网络流量,提高网络性能。(3)限制或减少路由更新的内容。(4)提供网络访问的基本安全级别。,4.1.2 ACL的工作原理,一、工作原理 当一个数据包进入路由器的某一个接口时,路由器首先检查该数据包是否可路由或可桥接。然后路由器检查是否在入站接口上应用了ACL。如果有ACL,就将该数据包与ACL中的条件语句相比较。如果数据包被允许通过,就继续检查路由器选择表条目以决定转发到的目的接口。ACL不过滤

3、由路由器本身发出的数据包,只过滤经过路由器的数据包。下一步,路由器检查目的接口是否应用了ACL。如果没有应用,数据包就被直接送到目的接口输出。,图4-1-2 ACL匹配性检查,4.1.2 ACL的工作原理,二、ACL匹配性检查,4.2 配置标准访问控制列表,最广泛使用的访问控制列表是IP访问控制列表,IP访问控制列表工作于TCP/IP协议组。按照访问控制列表检查IP数据包参数的不同,可以将其分成标准ACL和扩展ACL两种类型。此外Cisco IOS 11.2版本中还引入了IP命名ACL类型。从本节开始分别介绍各种ACL的配置方法。,4.2.1 标准ACL的工作过程,图4-2-1 标准ACL的工

4、作过程,4.2.2 配置标准ACL,一、在路由器上RTB上配置如下:RTB(configRTB(configRTB(config)#access-list 1 permit anyRTB(config)#interface s0/0RTB(config-if)#ip access-group 1 in,二、呼入Telnet会话管理,三、在通配符掩码中有两种比较特殊,分别是any和host。any可以表示任何IP地址,例如:,Router(config等同于:Router(config)#access-list 10 permit anyhost表示一台主机,例如:Router(config等同

5、于:Router(config)#access-list 10 permit host 172.16.30.22另外,可以通过在access-list命令前加no的形式,来删除一个已经建立的标准ACL,使用语法格式如下:Router(config)#no access-list access-list-number 例如:Router(config)#no access-list 10,4.3 配置扩展访问控制列表4.3.1 扩展ACL的工作过程,图4-3-1 扩展ACL的工作过程,4.3.2 配置扩展ACL,Router(config)#access-list access-list-num

6、ber deny|permit protocol source source-wildcard destination destination-wildcard operator operand establishedRouter(config)#no access-list access-list-number,如图8-4所示,某企业销售部、市场部的网络和财务部的网络通过路由器RTA和RTB相连,整个网络配置RIPv2路由协议,保证网络正常通信。要求在RTB上配置标准ACL,允许销售部的主机PC1访问路由器RTB,但拒绝销售部的其他主机访问RTB,允许销售部、市场部网络上所有其他流量访问RT

7、B。,4.4 标准访问控制列表在路由接口应用 ACL的实例,4.4 标准访问控制列表在路由接口应用 ACL的实例,1、配置标准ACL在路由器上RTB上配置如下:RTB(config)#RTB(config)#RTB(config)#access-list 1 permit anyRTB(config)#interface s0/0/0RTB(config-if)#ip access-group 1 in,2、验证标准ACL配置完IP访问控制列表后,如果想知道是否正确,可以使用show access-lists、show ip interface等命令进行验证。,4.4 标准访问控制列表在路由接

8、口应用 ACL的实例,2、验证标准ACL,show access-lists命令该命令用来查看所有访问控制列表的内容。RTB#show access-listsStandard ip access list 1 10 20 deny 172.16.10.0,wildcard bits 0.0.0.255(16 matches)30 permit any(18 matches),2、验证标准ACL,show ip interface命令该命令用于查看ACL作用在IP接口上的信息,并指出ACL是否正确设置。RTB#show ip interface Serial 0/0/0 is up,line

9、protocol is up Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1,4.5 扩展访问控制列表在路由接口应 用ACL的实例,下面以一个实例来说明扩展ACL的配置和验证过程。如图4-5-1所示,某企业销售部的网络和财务部的网络通过路由器RTA和RTB相连,整个网络配置RIPv2路由协

10、议,保证网络正常通信。要求在RTA上配置扩展ACL,实现以下4个功能:(1)允许销售部网络的主机访问;(2)拒绝销售部网络的主机访问;(3)拒绝销售部网络的主机Telnet路由器RTB;(4)拒绝销售部主机Ping路由器RTB。,4.5 扩展访问控制列表在路由接口应 用ACL的实例,图4-5-1 扩展ACL的配置,4.5 扩展访问控制列表在路由接口应 用ACL的实例,在路由器RTA上配置如下:RTA(config)#access-list 100 permit tcp 172.16.10.0 0.0.0.255 host 192.168.1.10 eq 80 RTA(config)#acces

11、s-list 100 deny tcp 172.16.10.0 0.0.0.255 host 192.168.1.10 eq 20 RTA(config)#access-list 100 deny tcp 172.16.10.0 0.0.0.255 host 192.168.1.10 eq 21 RTA(config)#access-list 100 deny tcp 172.16.10.0 0.0.0.255 host 12.12.12.2 eq 23 RTA(config)#access-list 100 deny tcp 172.16.10.0 0.0.0.255 host 192.16

12、8.1.2 eq 23 RTA(config)#access-list 100 deny icmp host 172.16.10.10 host 12.12.12.2 RTA(config)#access-list 100 deny icmp RTA(config)#access-list 100 permit ip any any RTA(config)#interface f0/0 RTA(config-if)#ip access-group 100 in 验证扩展ACL同样使用show access-list和show ip interface命令进行,其使用方法与标准ACL相同,在此不

13、再赘述。,4.6 实训1 配置标准ACL,一、实训目的掌握ACL设计原则和工作过程;掌握配置标准ACL;掌握配置命名ACL;掌握ACL的调试二、实训任务配置标准ACL。要求拒绝PC2所在网段访问路由器RTB,同时只允许主机PC3访问路由器RTB的Telnet服务。整个网络配置EIGRP保证IP的连通性。删除内容1所定义的标准ACL,配置扩展ACL。要求只允许PC2所在网段的主机访问路由器RTB的WWW和Telnet服务,并拒绝PC3所在的网段ping路由器RTB。用命名ACL来实现(1)和(2)的要求。三、实训设备路由器Cisco 2611三台,带有网卡的工作站PC三台,线缆若干,四、实训环境

14、,五、实训步骤,在完成本实训之前,先按以下步骤保证网络的连通性。以下步骤在三组路由器中同时进行。(1)配置路由器各端口的IP地址,启用相应端口,并确认上述操作成功;(2)配置PC的IP地址,并确认操作正确;(3)在PC中分别ping本组路由器的端口,并能ping通;(4)在路由器中设置EIGRP,保证到其他网络的连通性;,五、实训步骤,以路由器RTA为例,进行如下操作:RTA(config)#router eigrp1RTA(configRTA(configRTA(config-router)#network 192.168.1.0 RTA(config-router)#no auto-summary路由器RTB和RTC的配置与RTA相仿。(5)在PC中ping对应组路由器的端口,确认能ping通。,4.7 思考与练习,1如何理解ACL的工作过程?2标准ACL和扩展ACL的有何区别和联系?3配置标准ACL和扩展ACL的一般过程是什么?4如何配置标准ACL以控制Telnet会话?,

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号