路由器及路由協(xié)議基礎(chǔ)配置-訪問控制列表

上傳人:jkl****17 文檔編號(hào):253076596 上傳時(shí)間:2024-11-28 格式:PPT 頁(yè)數(shù):44 大?。?.63MB
收藏 版權(quán)申訴 舉報(bào) 下載
路由器及路由協(xié)議基礎(chǔ)配置-訪問控制列表_第1頁(yè)
第1頁(yè) / 共44頁(yè)
路由器及路由協(xié)議基礎(chǔ)配置-訪問控制列表_第2頁(yè)
第2頁(yè) / 共44頁(yè)
路由器及路由協(xié)議基礎(chǔ)配置-訪問控制列表_第3頁(yè)
第3頁(yè) / 共44頁(yè)

下載文檔到電腦,查找使用更方便

15 積分

下載資源

還剩頁(yè)未讀,繼續(xù)閱讀

資源描述:

《路由器及路由協(xié)議基礎(chǔ)配置-訪問控制列表》由會(huì)員分享,可在線閱讀,更多相關(guān)《路由器及路由協(xié)議基礎(chǔ)配置-訪問控制列表(44頁(yè)珍藏版)》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、單擊此處編輯母版標(biāo)題樣式,單擊此處編輯母版文本樣式,第二級(jí),第三級(jí),第四級(jí),第五級(jí),*,路由器及路由協(xié)議基礎(chǔ)配置訪問控制列表,計(jì)算機(jī)科學(xué)與工程學(xué)院,實(shí)驗(yàn)中心 張翔,索引,訪問控制列表基礎(chǔ),訪問控制列表,2,2024/11/28,什么是訪問控制列表,對(duì)于數(shù)據(jù)流控制的需求,作為網(wǎng)絡(luò)管理者,我們通常需要了解如何去控制非法的網(wǎng)絡(luò)訪問,而允許正常的網(wǎng)絡(luò)訪問。盡管已經(jīng)存在有多種措施,比如如密碼,復(fù)查設(shè)備(,callback equipment,)等等。,但是,還需要更靈活的基本數(shù)據(jù)流過濾能力和特定的控制能力。例如,網(wǎng)絡(luò)管理者可能需要允許用戶訪問,Internet,,但是卻不允許外部的用戶登錄到局域網(wǎng)中。,

2、路由器提供的數(shù)據(jù)流過濾功能,路由器提供了基本的數(shù)據(jù)流過濾能力,比如說(shuō) 使用“訪問控制列表(,ACL,)”,通過,ACL,,我們可以有條件地阻止或發(fā)行,Internet,數(shù)據(jù)流。,3,2024/11/28,什么是訪問控制列表,簡(jiǎn)單講,訪問控制列表,ACL,是運(yùn)用到路由器端口的指令列表。這些指令告訴路由器接受哪些數(shù)據(jù)報(bào)文而拒絕哪些數(shù)據(jù)報(bào)文。,接受或者拒絕根據(jù)一定的規(guī)則進(jìn)行,如源地址,目標(biāo)地址,端口號(hào)等。,ACL,使得用戶能夠檢測(cè)特定的數(shù)據(jù)報(bào)文,從而實(shí)現(xiàn)數(shù)據(jù)流的管理。,4,2024/11/28,ACL,的功能,ACL,可以用于執(zhí)行以下一些功能:,限制網(wǎng)絡(luò)數(shù)據(jù)流,增加網(wǎng)絡(luò)性能。,例如:通過使用,ACL

3、,限制在線視頻數(shù)據(jù)流,可以極大地減輕網(wǎng)絡(luò)負(fù)載,提高網(wǎng)絡(luò)性能。,提供數(shù)據(jù)流控制。,例如:,ACL,可以限定或者減少路由更新的內(nèi)容。如果這些更新在該網(wǎng)絡(luò)條件下并不是必須的,那么通過對(duì)其進(jìn)行流控可以很好的節(jié)約帶寬,提高網(wǎng)絡(luò)性能。,為網(wǎng)絡(luò)訪問提供基本的安全保護(hù)。,ACL,可以允許某個(gè)主機(jī)訪問網(wǎng)絡(luò)的某一部分,而阻止另一臺(tái)主機(jī)訪問網(wǎng)絡(luò)的這個(gè)部分。,決定是否在路由器端口轉(zhuǎn)發(fā)或者阻止指定類型的數(shù)據(jù)報(bào)文,例如:,ACL,可以允許某一個(gè)特定網(wǎng)段的,email,數(shù)據(jù)流通過路由器進(jìn)行轉(zhuǎn)發(fā),但是卻出于安全的需要阻止所有的,telnet,數(shù)據(jù)流。,5,2024/11/28,路由器對(duì),ACL,的執(zhí)行,路由器將根據(jù),ACL,

4、中指定的條件,對(duì)經(jīng)過路由器端口的數(shù)據(jù)報(bào)文逐一進(jìn)行檢查。通常,ACL,執(zhí)行判斷的標(biāo)準(zhǔn)基于源或者目的,IP,地址,協(xié)議以及上層協(xié)議端口號(hào)。,6,2024/11/28,ACL,在路由器上的應(yīng)用,One list,per port,per direction,per protocol,ACL,應(yīng)該根據(jù)路由器的端口所允許的每一個(gè)協(xié)議來(lái)制定。如果需要控制流經(jīng)某個(gè)端口的所有數(shù)據(jù)流,就需要為該端口允許的每一個(gè)協(xié)議分別創(chuàng)建,ACL,。,例如,如果一個(gè)端口配置成僅允許,IP,,,AppleTalk,和,IPX,協(xié)議的數(shù)據(jù)流進(jìn)入,那么就需要?jiǎng)?chuàng)建至少三條,ACL,;如果該路由器需要在兩個(gè)端口的進(jìn)出兩個(gè)方向上僅允許以上

5、三個(gè)協(xié)議通過,那么則需要應(yīng)用至少,12,條,ACL,。,7,2024/11/28,ACL,如何工作?,ACL,語(yǔ)句按照邏輯次序順序執(zhí)行,如果與某個(gè)條件語(yǔ)句相匹配,分組就會(huì)根據(jù)規(guī)則被允許通過或被拒絕通過;,一旦某一條語(yǔ)句匹配,則不會(huì)再檢查后面的其他規(guī)則語(yǔ)句;,如果所有的規(guī)則語(yǔ)句都不匹配,最后將強(qiáng)加一條拒絕全局流量的隱式語(yǔ)句。,8,2024/11/28,路由器如何執(zhí)行選路與,ACL,功能?,無(wú)論是否使用,ACL,,路由器處理數(shù)據(jù)報(bào)文最初的過程是相同的。,當(dāng)一個(gè)數(shù)據(jù)報(bào)進(jìn)入一個(gè)端口,路由器檢查這個(gè)數(shù)據(jù)報(bào)是否可路由。,如果是可以路由的,路由器檢查這個(gè)端口是否有,ACL,應(yīng)用。,如果有,根據(jù),ACL,中的

6、條件指令,檢查這個(gè)數(shù)據(jù)報(bào)文。,如果數(shù)據(jù)報(bào)是被允許的,就查詢路由表,決定數(shù)據(jù)報(bào)的目標(biāo)端口。,路由器檢查目標(biāo)端口是否存在,ACL,控制流出的數(shù)據(jù)報(bào),不存在,這個(gè)數(shù)據(jù)報(bào)就直接發(fā)送到目標(biāo)端口。,如果存在,就再根據(jù),ACL,進(jìn)行取舍。,9,2024/11/28,路由器執(zhí)行數(shù)據(jù)報(bào)文處理的流程圖,10,2024/11/28,創(chuàng)建與應(yīng)用,ACL,配置模式,ACL,需要在全局配置模式中創(chuàng)建;,ACL,類型,Cisco,路由器支持多種,ACL,類型,包括標(biāo)準(zhǔn)、擴(kuò)展、,IPX,、,AppleTalk,等;,配置,ACL,的時(shí)候需要為每一個(gè)協(xié)議的,ACL,指定一個(gè)唯一的數(shù)字,用以標(biāo)識(shí)這個(gè),ACL,。這個(gè)數(shù)字必須在有效

7、范圍之內(nèi)(參看下圖),11,2024/11/28,創(chuàng)建與應(yīng)用,ACL,創(chuàng)建,ACL,的步驟,Step1,:在全局配置模式中使用,access-list,命令撰寫,ACL,應(yīng)用規(guī)則(僅針對(duì)使用數(shù)字定義,ACL,的情況);,請(qǐng)?zhí)貏e注意創(chuàng)建,ACL,的順序!因?yàn)槁酚善髟趹?yīng)用,ACL,時(shí)是按照順序依次檢查執(zhí)行的。,ACL,順序所表現(xiàn)出的邏輯正確性關(guān)系到該,ACL,是否能正確實(shí)現(xiàn)照管理員的控制意圖!,Step2,:在路由器端口配置子模式中使用,access-group,命令將寫好的,ACL,應(yīng)用到該指定端口;,一組,ACL,可以同時(shí)應(yīng)用到多個(gè)路由器端口,所有通過這些端口的數(shù)據(jù)報(bào)文都必須接受該組,ACL,

8、的檢查。,12,2024/11/28,創(chuàng)建與應(yīng)用,ACL,創(chuàng)建于應(yīng)用,ACL,示例,13,2024/11/28,刪除、修改,ACL,修改,ACL,對(duì)于傳統(tǒng)的使用數(shù)字編號(hào)定義的,ACL,,如果需要增加另外的語(yǔ)句或是語(yǔ)句需要改變,你就必須刪掉該,ACL,,然后再重新建立一個(gè)帶有新語(yǔ)句的,ACL,。,一個(gè)好的辦法是,使用,PC,上的文本編輯器創(chuàng)建或修改,ACL,,然后再通過簡(jiǎn)易文件傳輸協(xié)議,(TFTP),或超級(jí)終端的發(fā)送文本文件將,ACL,傳到路由器。,刪除,ACL,14,2024/11/28,使用通配符掩碼位,什么是通配符掩碼?,通配符掩碼是一個(gè),32,比特的數(shù)字字符串,它被用點(diǎn)號(hào)分成,4,個(gè),8

9、,位組,每個(gè),8,位組包含,8,個(gè)比特;,通配符掩碼跟,IP,地址是成對(duì)出現(xiàn)的,在通配符掩碼的地址位使用,1,或,0,表明如何處理相應(yīng)的,IP,地址位,其中,0,表示“檢查相應(yīng)的位”,而,1,表示“不檢查相應(yīng)的位”;,ACL,使用通配符掩碼來(lái)標(biāo)志一個(gè)或多個(gè)地址是被允許,還是被拒絕。術(shù)語(yǔ)“,Wildcard”,是“,ACL,掩碼位匹配過程”的綽號(hào),它是從紙牌游戲中引伸過來(lái)的一個(gè)比喻。,15,2024/11/28,使用通配符掩碼位,通配符掩碼與子網(wǎng)掩碼,盡管都是,32,比特的數(shù)字字符串,,ACL,通配符掩碼跟,IP,子網(wǎng)掩碼的在功能上毫不相干,它們用于不同的目的,并且遵循不同的應(yīng)用規(guī)則;,在,IP

10、,子網(wǎng)掩碼中數(shù)字,1,和,0,用來(lái)決定是網(wǎng)絡(luò)、子網(wǎng)還是相應(yīng)的主機(jī),IP,地址;,而在,ACL,通配符掩碼中,掩碼位是,1,還是,0,,用來(lái)決定相應(yīng)的,IP,地址被忽略,還是被檢查。,16,2024/11/28,使用通配符掩碼位,如何匹配所有的,IP,地址?,使用通配符掩碼,255.255.255.255,,代表忽略所有,IP,地址位;,可以使用,ANY,代替該特殊通配符掩碼。,17,2024/11/28,使用通配符掩碼位,如何匹配單個(gè),IP,地址?,使用通配符掩碼,0.0.0.0,,代表,IP,地址位都需要檢查;,可以使用,HOST,代替該特殊通配符掩碼。,18,2024/11/28,使用通配

11、符掩碼位,如何匹配特定,IP,子網(wǎng)?,19,2024/11/28,Address and wildcard mask:,172.30.16.0 0.0.15.255,檢查,ACL,配置,使用,show,命令檢查,ACL,配置,show ip interface,顯示該接口的,IP,信息以及在該接口上是否有,ACL,應(yīng)用,如果有,可以看見,ACL,名稱和應(yīng)用在接口上的的方向;,show access-lists,查看當(dāng)前設(shè)備上配置的所有,ACL,;,show running-config,查看所有配置的,ACL,的詳細(xì)信息;,20,2024/11/28,檢查,ACL,配置,show ip int

12、erface,21,2024/11/28,檢查,ACL,配置,show access-list,22,2024/11/28,檢查,ACL,配置,show running-config,23,2024/11/28,索引,訪問控制列表基礎(chǔ),訪問控制列表,24,2024/11/28,標(biāo)準(zhǔn)訪問控制列表,什么是標(biāo)準(zhǔn)訪問控制列表?,標(biāo)準(zhǔn)訪問控制列表僅檢查可以路由的,IP,分組的,源地址,并且把它與,ACL,中的條件判斷語(yǔ)句相比較;,標(biāo)準(zhǔn)訪問控制列表可以允許或禁止整套,IP,協(xié)議;,標(biāo)準(zhǔn),ACL,的數(shù)字定義為,1,到,99,,可以提供數(shù)據(jù)流過濾控制,基于源地址和通配掩碼;,標(biāo)準(zhǔn),ACL,通常應(yīng)用于靠近目的端

13、的路由器端口。,25,2024/11/28,標(biāo)準(zhǔn)訪問控制列表,標(biāo)準(zhǔn)訪問控制列表命令的詳細(xì)語(yǔ)法,Router(config)#access-list,access-list-number,deny|permit,source source-wildcard,log,Router(config)#no access-list,access-list-number,作業(yè):,26,2024/11/28,標(biāo)準(zhǔn)訪問控制列表應(yīng)用示例,1,E0和E1端口只允許來(lái)自于網(wǎng)絡(luò)172.16.0.0的數(shù)據(jù)報(bào)被轉(zhuǎn)發(fā),其余的將被阻止。,27,2024/11/28,標(biāo)準(zhǔn)訪問控制列表應(yīng)用示例,2,E0端口不允許來(lái)自于特定地址1

14、72.16.4.13的數(shù)據(jù)流,其它的數(shù)據(jù)流將被轉(zhuǎn)發(fā)。,28,2024/11/28,標(biāo)準(zhǔn)訪問控制列表應(yīng)用示例,3,E0,端口不允許來(lái)自于特定子網(wǎng),172.16.4.0,的數(shù)據(jù),而允許其他數(shù)據(jù)通過。,29,2024/11/28,擴(kuò)展訪問控制列表,什么是擴(kuò)展訪問控制列表?,擴(kuò)展訪問控制列表,即,Extended ACL,,提供了比,S,tandard,ACL,更大范圍的控制,因而運(yùn)用更廣。例如,可以使用擴(kuò)展,ACL,來(lái)實(shí)現(xiàn)允許,Web,數(shù)據(jù)流通過,而禁止,FTP,或,Telnet,通過;,擴(kuò)展,ACL,既可檢查分組的源地址和目的地址,也檢查協(xié)議類型和,TCP,或,UDP,的端口號(hào);,擴(kuò)展,ACL,的

15、數(shù)字定義為,100,到,199,;,擴(kuò)展,ACL,通常應(yīng)用部署在靠近源端的路由器端口上。,30,2024/11/28,擴(kuò)展訪問控制列表,擴(kuò)展訪問控制列表命令的詳細(xì)語(yǔ)法,31,2024/11/28,擴(kuò)展訪問控制列表應(yīng)用示例,1,在,E0,端口,禁止轉(zhuǎn)出來(lái)自,172.16.4.0,子網(wǎng)的,FTP,數(shù)據(jù)流到,172.16.3.0,子網(wǎng),其它的數(shù)據(jù)流將被轉(zhuǎn)發(fā)。,32,2024/11/28,擴(kuò)展訪問控制列表應(yīng)用示例,2,在,E0,端口,禁止轉(zhuǎn)出來(lái)自,172.16.4.0,子網(wǎng)的,Telnet,數(shù)據(jù)流,其它的數(shù)據(jù)流將被轉(zhuǎn)發(fā)。,33,2024/11/28,命名訪問控制列表,命名訪問控制列表,Cisco IO

16、S,軟件,11.2,版本中引入了,IP,命名訪問控制列表;命名,ACL,允許在標(biāo)準(zhǔn),ACL,和擴(kuò)展,ACL,中,使用字符代替數(shù)字來(lái)標(biāo)識(shí),ACL,;,使用命名,ACL,有以下好處:,通過一個(gè)字符串組成的名字可以更加直觀的表示特定的訪問控制列表;,命名,ACL,不受,99,條標(biāo)準(zhǔn),ACL,和,100,條擴(kuò)展,ACL,的限制;,命令,ACL,可以使得網(wǎng)絡(luò)管理員方便的對(duì),ACL,進(jìn)行修改而無(wú)需刪除,ACL,之后再對(duì)其進(jìn)行重新配置。,34,2024/11/28,命名訪問控制列表,創(chuàng)建命名,ACL,我們使用,ip access-list,命令建命名,ACL,,語(yǔ)法格式如下:,ip access-list extended|standard name,Permit/Deny,語(yǔ)句的語(yǔ)法格式:,35,2024/11/28,命名訪問控制列表,命名訪問控制列表創(chuàng)建及應(yīng)用示例,36,2024/11/28,命名訪問控制列表,命名訪問控制列表修改示例,37,2024/11/28,命名訪問控制列表,命名訪問控制列表修改示例,續(xù),1,38,2024/11/28,命名訪問控制列表,命名訪問控制列表修改示例,續(xù),2,3

展開閱讀全文
溫馨提示:
1: 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
2: 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
3.本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
5. 裝配圖網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

相關(guān)資源

更多
正為您匹配相似的精品文檔
關(guān)于我們 - 網(wǎng)站聲明 - 網(wǎng)站地圖 - 資源地圖 - 友情鏈接 - 網(wǎng)站客服 - 聯(lián)系我們

copyright@ 2023-2025  zhuangpeitu.com 裝配圖網(wǎng)版權(quán)所有   聯(lián)系電話:18123376007

備案號(hào):ICP2024067431號(hào)-1 川公網(wǎng)安備51140202000466號(hào)


本站為文檔C2C交易模式,即用戶上傳的文檔直接被用戶下載,本站只是中間服務(wù)平臺(tái),本站所有文檔下載所得的收益歸上傳人(含作者)所有。裝配圖網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)上載內(nèi)容本身不做任何修改或編輯。若文檔所含內(nèi)容侵犯了您的版權(quán)或隱私,請(qǐng)立即通知裝配圖網(wǎng),我們立即給予刪除!