思科CCNA10第十章用访问列表初步管理 IP流量CICND10S10A

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

©1999,CiscoSystems,Inc.10-1第十章用访问列表初步管理IP流量©1999,CiscoSystems,Inc.—10-2本章目标通过本章的学习,您应该掌握以下内容:•识别IP访问列表的主要作用和工作流程•配置标准的IP访问列表•利用访问列表控制虚拟会话的建立•配置扩展的IP访问列表•查看IP访问列表©1999,CiscoSystems,Inc.—10-3FDDI•管理网络中逐步增长的IP数据TokenRing为什么要使用访问列表©1999,CiscoSystems,Inc.—10-4FDDI172.16.0.0172.17.0.0TokenRingInternet•管理网络中逐步增长的IP数据•当数据通过路由器时进行过滤为什么要使用访问列表©1999,CiscoSystems,Inc.—10-5访问列表的应用•允许、拒绝数据包通过路由器•允许、拒绝Telnet会话的建立•没有设置访问列表时,所有的数据包都会在网络上传输虚拟会话(IP)端口上的数据传输©1999,CiscoSystems,Inc.—10-6QueueList优先级判断访问列表的其它应用基于数据包检测的特殊数据通讯应用©1999,CiscoSystems,Inc.—10-7QueueList优先级判断访问列表的其它应用按需拨号基于数据包检测的特殊数据通讯应用©1999,CiscoSystems,Inc.—10-8访问列表的其它应用路由表过滤RoutingTableQueueList优先级判断按需拨号基于数据包检测的特殊数据通讯应用©1999,CiscoSystems,Inc.—10-9•标准–检查源地址–通常允许、拒绝的是完整的协议OutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?Source什么是访问列表--标准©1999,CiscoSystems,Inc.—10-10•标准–检查源地址–通常允许、拒绝的是完整的协议•扩展–检查源地址和目的地址–通常允许、拒绝的是某个特定的协议OutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?SourceandDestinationProtocol什么是访问列表--扩展©1999,CiscoSystems,Inc.—10-11•标准–检查源地址–通常允许、拒绝的是完整的协议•扩展–检查源地址和目的地址–通常允许、拒绝的是某个特定的协议•进方向和出方向OutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?SourceandDestinationProtocol什么是访问列表©1999,CiscoSystems,Inc.—10-12InboundInterfacePacketsNYPacketDiscardBucketChooseInterfaceNAccessList?RoutingTableEntry?YOutboundInterfacesPacketS0出端口方向上的访问列表©1999,CiscoSystems,Inc.—10-13OutboundInterfacesPacketNYPacketDiscardBucketChooseInterfaceRoutingTableEntry?NPacketTestAccessListStatementsPermit?Y出端口方向上的访问列表AccessList?YS0E0InboundInterfacePackets©1999,CiscoSystems,Inc.—10-14NotifySender出端口方向上的访问列表IfnoaccessliststatementmatchesthendiscardthepacketNYPacketDiscardBucketChooseInterfaceRoutingTableEntry?NYTestAccessListStatementsPermit?YAccessList?DiscardPacketNOutboundInterfacesPacketPacketS0E0InboundInterfacePackets©1999,CiscoSystems,Inc.—10-15访问列表的测试:允许和拒绝PacketstointerfacesintheaccessgroupPacketDiscardBucketYInterface(s)DestinationDenyDenyYMatchFirstTest?Permit©1999,CiscoSystems,Inc.—10-16访问列表的测试:允许和拒绝PacketstoInterface(s)intheAccessGroupPacketDiscardBucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?YY©1999,CiscoSystems,Inc.—10-17访问列表的测试:允许和拒绝PacketstoInterface(s)intheAccessGroupPacketDiscardBucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTest?YYNYYPermit©1999,CiscoSystems,Inc.—10-18访问列表的测试:允许和拒绝PacketstoInterface(s)intheAccessGroupPacketDiscardBucketYInterface(s)DestinationDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTest?YYNYYPermitImplicitDenyIfnomatchdenyallDenyN©1999,CiscoSystems,Inc.—10-19访问列表配置指南•访问列表的编号指明了使用何种协议的访问列表•每个端口、每个方向、每条协议只能对应于一条访问列表•访问列表的内容决定了数据的控制顺序•具有严格限制条件的语句应放在访问列表所有语句的最上面•在访问列表的最后有一条隐含声明:denyany-每一条正确的访问列表都至少应该有一条允许语句•先创建访问列表,然后应用到端口上•访问列表不能过滤由路由器自己产生的数据©1999,CiscoSystems,Inc.—10-20访问列表设置命令Step1:设置访问列表测试语句的参数access-listaccess-list-number{permit|deny}{testconditions}Router(config)#©1999,CiscoSystems,Inc.—10-21Step1:设置访问列表测试语句的参数Router(config)#Step2:在端口上应用访问列表{protocol}access-groupaccess-list-number{in|out}Router(config-if)#访问列表设置命令IP访问列表的标号为1-99和100-199access-listaccess-list-number{permit|deny}{testconditions}©1999,CiscoSystems,Inc.—10-22如何识别访问列表号编号范围访问列表类型IP1-99Standard•标准访问列表(1to99)检查IP数据包的源地址©1999,CiscoSystems,Inc.—10-23编号范围访问列表类型如何识别访问列表号IP1-99100-199StandardExtended•标准访问列表(1to99)检查IP数据包的源地址•扩展访问列表(100to199)检查源地址和目的地址、具体的TCP/IP协议和目的端口©1999,CiscoSystems,Inc.—10-24编号范围IP1-99100-199Name(CiscoIOS11.2andlater)800-899900-9991000-1099Name(CiscoIOS11.2.Fandlater)StandardExtendedSAPfiltersNamedStandardExtendedNamed访问列表类型IPX如何识别访问列表号•标准访问列表(1to99)检查IP数据包的源地址•扩展访问列表(100to199)检查源地址和目的地址、具体的TCP/IP协议和目的端口•其它访问列表编号范围表示不同协议的访问列表©1999,CiscoSystems,Inc.—10-25SourceAddressSegment(forexample,TCPheader)DataPacket(IPheader)FrameHeader(forexample,HDLC)DenyPermitUseaccessliststatements1-99用标准访问列表测试数据©1999,CiscoSystems,Inc.—10-26DestinationAddressSourceAddressProtocolPortNumberSegment(forexample,TCPheader)DataPacket(IPheader)FrameHeader(forexample,HDLC)Useaccessliststatements1-99or100-199totestthepacketDenyPermitAnExamplefromaTCP/IPPacket用扩展访问列表测试数据©1999,CiscoSystems,Inc.—10-27•0表示检查与之对应的地址位的值•1表示忽略与之对应的地址位的值donotcheckaddress(ignorebitsinoctet)=001111111286432168421=00000000=00001111=11111100=11111111Octetbitpositionandaddressvalueforbitignorelast6addressbitscheckalladdressbits(matchall)ignorelast4addressbitschecklast2addressbitsExamples通配符:如何检查相应的地址位©1999,CiscoSystems,Inc.—10-28•例如172.30.16.290.0.0.0检查所有的地址位•可以简写为host(host172.30.16.29)Testconditions:Checkalltheaddressbits(matchall)172.30.16.290.0.0.0(ch

1 / 66
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功