网络管理课件_第7章 访问列表

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

交换机路由器配置与管理第7章访问列表交换机/路由器配置与管理访问列表概述访问列表由一系列语句组成,这些语句主要包括匹配条件和采取的动作(允许或禁止)两个部分访问列表应用在路由器的接口上,通过匹配数据包信息与访问列表参数来决定允许还是拒绝数据包通过某个接口。数据包是通过还是拒绝,主要通过数据包中的源地址、目的地址、源端口、目的端口、协议等信息来决定。交换机/路由器配置与管理访问列表的功能控制网络流量,提高网络性能控制用户网络行为控制网络病毒的传播交换机/路由器配置与管理访问列表类型访问列表可分为标准IP访问列表和扩展IP访问列表。标准访问列表:其只检查数据包的源地址,从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。扩展IP访问列表:它不仅检查数据包的源地址,还要检查数据包的目的地址、特定协议类型、源端口号、目的端口号等交换机/路由器配置与管理ACL的相关特性每一个接口可以在进入(inbound)和离开(outbound)两个方向上分别应用一个ACL,且每个方向上只能应用一个ACL。ACL语句包括两个动作:拒绝(deny)和允许(permit)数据包进入路由器时,进入方向(In方向)的ACL起作用。数据包离开路由器时,出方向(Out方向)的ACL起作用每个ACL列表结尾有一个隐含的“拒绝的所有数据包(denyany)”的语句交换机/路由器配置与管理ACL转发的过程交换机/路由器配置与管理IP地址与通配符掩码的作用规32位的IP地址与32位的通配符掩码逐位进行比较,通配符掩码为0的位要求IP地址的对应位必须匹配,通配符掩码为1的位所对应的IP地址位不必匹配例:IP地址为192.168.1.0,通配符掩码为0.0.0.255对应的二进制为:1100000010101000000000010000000000000000000000000000000011111111检查的地址范围为:192.168.1.0~192.168.1.255交换机/路由器配置与管理通配符掩码示例交换机/路由器配置与管理通配符掩码掩码的两种特殊形式host表示一台主机,是通配符掩码0.0.0.0的简写形式192.168.1.100.0.0.0等价于host192.168.1.10any表示所有主机,是通配符掩码掩码255.255.255.255的简写形式192.168.1.10255.255.255.255等价于any交换机/路由器配置与管理访问列表配置步骤第一步是配置访问列表语句第二步是把配置好的访问列表应用到某个端口上交换机/路由器配置与管理标准IP访问列表的配置命令配置标准访问列表access-listaccess-list-numberdeny|permitsource-addresssource-wildcard[log]access-list-number:只能是1~99之间的一个数字deny|permit:deny表示匹配的数据包将被过滤掉;permit表示允许匹配的数据包通过source-address:表示单台或一个网段内的主机的IP地址source-wildcard:通配符掩码Log:访问列表日志,如果该关键字用于访问列表中,则对匹配访问列表中条件的报文作日志交换机/路由器配置与管理标准IP访问列表的配置命令续应用访问列表到接口ipaccess-groupaccess-list-numberin|outIn:检查进入路由器的报文Out:检查离开路由器的报文显示所有协议的访问列表配置细节showaccess-list[access-list-number]显示IP访问列表showipaccess-list[access-list-number]交换机/路由器配置与管理标准IP访问列表的配置举例主机192.168.1.1不能访问主机192.168.2.1,但可访问其他主机,对其他主机间的访问不做任何限制交换机/路由器配置与管理标准IP访问列表的配置举例配置router#configureterminalrouter(config)#access-list1denyhost192.168.1.1router(config)#access-list1permitanyrouter(config)#interfaceEthernet1router(config)#ipaccess-group1out交换机/路由器配置与管理扩展IP访问列表的配置命令配置扩展访问列表access-listaccess-list-numberpermit|denyprotocolsource-addresssource-wildcardsource-portdestinaitonaddressdestination-wildcarddestination-portlogoptionsaccess-list-numberL:编号范围为100~199。Permit:通过;deny:禁止通过Protocol:需要被过滤的协议的类型,如IP、TCP、UDP、ICMP、EIGRP,GRE等。source-address:源IP地址source-wildcard:源通配符掩码交换机/路由器配置与管理扩展IP访问列表的配置命令续source-port:可以是单一的某个端口,也可以是一个端口范围交换机/路由器配置与管理扩展IP访问列表的配置命令续destination-address:目的IP地址destination-wildcard:目的地址通配符掩码destination-port:目的端口号,指定方法与源端口号的指定方法相同交换机/路由器配置与管理扩展IP访问列表配置举例要求允许LAN3的所有主机能登录Internet,但只能浏览、FTP、SMTP、POP3协议的通信。LAN2中的主机192.168.2.1向Internet提供服务,主机192.168.2.2向Internet提供FTP服务,主机192.168.2.3向Internet提供SMTP服务,其余主机不能被Internet访问。LAN1中的主机不能访问Internet,但可以访问LAN2和LAN3交换机/路由器配置与管理扩展IP访问列表配置举例配置router#configureterminal!允许网段LAN3的主机访问Internet的,FTP,SMTP和POP3服务router(config)#access-list101permittcp192.168.3.00.0.0.255anyeq(config)#access-list101permittcp192.168.3.00.0.0.255anyeqftprouter(config)#access-list101permittcp192.168.3.00.0.0.255anyeqsmtprouter(config)#access-list101permittcp192.168.3.00.0.0.255anyeqpop3!禁止LAN1的主机访问internetrouter(config)#access-list101denyip192.168.1.00.0.0.255any交换机/路由器配置与管理扩展IP访问列表配置举例配置续!应用访问列表101router(config)#interfaceserial1router(config-if)#ipaccess-group101out!允许其他网段的主机访问LAN2的,FTP,SMTP服务,拒绝其他请求router(config)#access-list102permittcpanyhost192.168.2.1eq(config)#access-list102permittcpanyhost192.168.2.2eqftprouter(config)#access-list102permittcpanyhost192.168.2.3eqsmtprouter(config)#access-list102denyipanyany!应用访问列表102router(config-if)#interfaceethernet0router(config-if)#ipaccess-group102out交换机/路由器配置与管理访问列表配置注意事项注意访问列表中语句的次序,尽量把作用范围小的语句放在前面新的表项只能被添加到访问表的末尾,即不允许将新的语句插入到原有的访问列表中标准的IP访问列表只匹配源地址,如果要检查更多的条件,则使用扩展的IP访问列表标准的访问列表尽量靠近目的在应用访问列表时,要特别注意应用的方向交换机/路由器配置与管理命名IP访问列表命名IP访问列表通过一个名称而不是一个编号来引用的。命名的访问列表可用于标准的和扩展的访问表中。名称的使用是区分大小写的,并且必须以字母开头。在名称的中间可以包含任何字母数字混合使用的字符,也可以在其中包含[,]、{,}、_、-、+、/、\、.、&、$、#、@、!以及?等特殊字符名称的最大长度为100个字符交换机/路由器配置与管理编号IP访问列表和命名IP访问列表的区别名字能更直观地反映出访问列表完成的功能命名访问列表突破了99个标准访问列表和100个扩展访问列表的数量限制,能够定义更多的访问列表。命名IP访问列表允许删除个别语句,而编号访问列表只能删除整个访问列表单个路由器上命名访问列表的名称必须是唯一的,而不同路由器上的命名访问列表名称可以相同交换机/路由器配置与管理编号与命名访问列表命令比较交换机/路由器配置与管理命名访问列表配置举例一通过配置命名访问列表来实现以下要求:主机192.168.1.1不能访问主机192.168.2.1,但可访问其他主机,对其他主机间的访问不做任何限制交换机/路由器配置与管理命名访问列表配置举例一配置router#configureterminalrouter(config)#ipaccess-liststandarddenyhost1router(config-std-nacl)#denyhost192.168.1.1router(config-std-nacl)#permitanyrouter(config-std-nacl)#exit!应用访问列表denyhost1router(config)#interfaceEthernet0router(config)#ipaccess-groupdenyhost1out交换机/路由器配置与管理命名访问列表配置举例二LAN3的所有主机只能访问Internet中的、FTP、SMTP、POP3服务。LAN2中的主机192.168.2.1只提供服务,主机192.168.2.2只提供FTP服务,主机192.168.2.3只提供SMTP服务。LAN1中的主机不能访问Internet,但可以访问LAN2和LAN3交换机/路由器配置与管理命名访问列表配置举例二配置router#configureterminal!允许网段LAN3的主机访问Internet的,FTP,SMTP和POP3服务router(config)#ipaccess-listextendedacl_lan1_lan3Router(config-ext-nacl)#permittcp192.168.3.00.0.0.255anyeq(config-ext-nacl)#permittcp192.168.3.00.0.0.255anyeqftpRouter(config-ext-nacl)#permittcp192.168.3.00.0.0.255anyeqsmtpRouter(config-ext-nacl)#permittcp192.168.3.00.0.0.255anyeqpop3!禁

1 / 69
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功