实验七指导路由器过滤过能配置幻灯片.ppt

《实验七指导路由器过滤过能配置幻灯片.ppt》由会员分享，可在线阅读，更多相关《实验七指导路由器过滤过能配置幻灯片.ppt（19页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、实验七指导路由器过滤过能配置第1页，共19页，编辑于2022年，星期五实验要求：了解过滤访问列表掌握配置过滤功能的方法第2页，共19页，编辑于2022年，星期五IP访问列表访问列表访问列表是一些语句的有序的集合，它根据网络中每个数据包所包含信息的内容，决定是否允许该信息包通过接口。第3页，共19页，编辑于2022年，星期五IP访问列表访问列表创建访问列表是针对某个路由器接口针对某个路由器接口的，访问列表中的语句将对通过接口的数据包产生作用。对于一个数据包来说，在访问列表对其进行处理时，访问列表中的语句按照由上而由上而下下的顺序依次对数据包进行处理，直到出现匹配的情况，决定是否让访问列表通过。第

2、4页，共19页，编辑于2022年，星期五IP访问列表访问列表路由器中的access-list（访问列表）最基本的有两种l标准访问列表l扩展访问列表区别：前者是基于目标地址的数据包过滤，而后者是基于目标地址、源地址和网络协议极其端口的数据包过滤。第5页，共19页，编辑于2022年，星期五IP访问列表访问列表access-listlistnumberpermit|denysourceaddresswildcardmask第6页，共19页，编辑于2022年，星期五标准型访问列表listnumber的范围在099之间，表明该access-list语句是一个普通的标准型访问列表语句。在标准访问列表中，使

3、用permit语句可以使得和访问列表项目匹配的数据包通过接口；而deny语句可以在接口过滤掉和访问列表项目匹配的数据包。sourceaddress代表主机的IP地址，利用不同掩码的组合可以指定主机。第7页，共19页，编辑于2022年，星期五标准型访问列表Wildcardmask通配符掩码是子网掩码的反码第8页，共19页，编辑于2022年，星期五IP标准访问列表的一般配置禁止192.168.10.0网络lAccess-list14deny192.168.10.00.0.0.255lInterfacefastethernet1/1lIpaccess-group14in第9页，共19页，编辑于202

4、2年，星期五IP标准访问列表的一般配置禁止192.168.10.9访问laccess-list14denyhost192.168.10.90.0.0.0lInterf1/1lIpaccess-group14in第10页，共19页，编辑于2022年，星期五IP标准访问列表的一般配置禁止192.168.10.0上除主机192.168.10.9访问lAccess-list14permithost192.168.10.90.0.0.0lAccess-list14deny192.168.10.00.0.0.255lInterf1/1lIpaccess-group14in第11页，共19页，编辑于2022

5、年，星期五IP标准访问列表的一般配置禁止来自网络172.16.3.0的流量!Router#configureterminalRouter(config)#Router(config)#access-list2deny172.16.3.00.0.0.255Router(config)#access-list2permitanyRouter(config)#ints0/0Router(config-if)#ipaccess-group2outRouter(config-if)#第12页，共19页，编辑于2022年，星期五IP标准访问列表的一般配置1lRouter#lRouter#configure

6、terminallRouter(config)#lRouter(config)#access-list1denyhost192.168.2.1lRouter(config)#access-list1permitanyl上面配置的访问列表是拒绝特定主机192.168.2.1，允许其它主机访问第13页，共19页，编辑于2022年，星期五IP标准访问列表的一般配置2lRouter#lRouter#configureterminallRouter(config)#lRouter(config)#interfaceEthernet0/0lRouter(config-if)#lRouter(config-

7、if)#ipaccess-group1in(输入)lRouter(config-if)#ipaccess-group1out(输出)第14页，共19页，编辑于2022年，星期五访问列表的查看：Router#showipaccess-lists1StandardIPaccesslist1permitany(2matches)deny202.1.1.0,wildcardbits0.0.0.255Router#shipaccess-listsStandardIPaccesslist1permitanyExtendedIPaccesslist101denyicmp200.1.1.00.0.0.2551

8、92.168.10.00.0.0.255echopermitipanyany第15页，共19页，编辑于2022年，星期五删除访问列表noaccess-listlistnumber删除同一访问列表的其中一条规则，将删除此列表所有内容。第16页，共19页，编辑于2022年，星期五扩展访问列表扩展的IP访问表用于扩展报文过滤能力。一个扩展的IP访问表允许用户根据如下内容过滤报文:源和目的地址、协议、源和目的端口以及在特定报文字段中允许进行特殊位比较等等。一个扩展的IP访问表的一般语法格或如下所示:access-listlistnumberpermit/denyprotocolsourceaddres

9、ssource-wildcardsourceportdestinationaddressdestination-widcarddestinationportoption第17页，共19页，编辑于2022年，星期五扩展访问列表下面简要介绍各个关键字的功能:1.listnumber-表号范围扩展IP访问表的表号标识从l00到199。2.protocol-协议协议项定义了需要被过滤的协议，例如IP、TCP、UDP、ICMP等等。协议选项是很重要的，因为在TCP/IP协议栈中的各种协议之间有很密切的关系，如果管理员希望根据特殊协议进行报文过滤，就要指定该协议。第18页，共19页，编辑于2022年，星期

10、五扩展访问列表3.源端口号和目的端口号源端口号可以用几种不同的方法来指定。它可以显式地指定，使用一个数字或者使用一个可识别的助记符。例如，我们可以使用80或者http来指定Web的超文本传输协议。目的端口号的指定方法与源端口号的指定方法相同。下面的实例说明了扩展IP访问表中部分关键字使用方法:access-list101permittcpanyhost198.78.46.8eqsmtpaccess-list101permittcpanyhost198.78.46.3eqwww第一个语句允许来自任何主机的TCP报文到达特定主机198.78.46.8的smtp服务端口(25);第二个语句允许任何来自任何主机的TCP报文到达指定的主机198.78.46.3的www或http服务端口(80)。第19页，共19页，编辑于2022年，星期五