书签分享收藏举报版权申诉 / 52

立即下载

当前位置：首页 > 教育专区 > 大学资料 > 第八章使用访问控制列表PPT讲稿.ppt

第八章使用访问控制列表PPT讲稿.ppt

上传人：石***

文档编号：45119948

上传时间：2022-09-23

格式：PPT

页数：52

大小：4.62MB

( 4.5 )

《第八章使用访问控制列表PPT讲稿.ppt》由会员分享，可在线阅读，更多相关《第八章使用访问控制列表PPT讲稿.ppt（52页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第八章使用访问控第八章使用访问控制列表制列表第1页，共52页，编辑于2022年，星期三本章目标:通过本章的学习,学员能够掌握访问控制列表的功能,IP访问控制列表的类型和IP访问列表的配置.最后可以根据网络环境区分哪些是合法用户,怎么拒绝非法用户;以及非法流量的入侵.访问列表可被配置成过滤器来测试数据包,以决定是向前传递到它们的目的地还是将他们丢弃.第2页，共52页，编辑于2022年，星期三本章的重,难点分析:掌握标准访问列表的实例配置:掌握扩展访问列表的实例配置:难点如何根据网络需求进行具体的配置.第3页，共52页，编辑于2022年，星期三本章内容:第一节访问控制列表的基本知识第二节如何操

2、作访问控制列表第三节配置IP标准访问控制列表第四节配置IP扩展访问控制列表第五节控制VTY访问控制第六节用NAT和PAT扩展网络第4页，共52页，编辑于2022年，星期三 8.1 访问控制列表第5页，共52页，编辑于2022年，星期三8.1.1 什么是访问列表 OutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit?Sourceand DestinationProtocol标准的标准的检验源地址一般允许或者禁止整个协议栈扩展的扩展的检查源和目的地址通常允许或者禁止某个具体的协议访问控制列表要绑定到路由器的接口的输入或输出方

3、向上访问控制列表要绑定到路由器的接口的输入或输出方向上第6页，共52页，编辑于2022年，星期三8.1.2 为什么使用访问列表172.16.0.0172.17.0.0Internet管理IP网络资源过滤通过路由器的数据包第7页，共52页，编辑于2022年，星期三8.1.3 访问控制列表的类型标准型访问控制列表扩展型访问控制列表第8页，共52页，编辑于2022年，星期三8.2 如何操作访问控制列表第9页，共52页，编辑于2022年，星期三8.2.1 访问列表作用方向入站访问列表出站访问列表第10页，共52页，编辑于2022年，星期三8.2.2 访问控制列表的作用允许或者阻止某些通过路由器的包

4、允许或禁止远程登录到路由器没有访问控制列表所有的包将通过路由器Virtual terminal line access(IP)Transmission of packets on an interface第11页，共52页，编辑于2022年，星期三8.2.2 访问控制列表的作用（续）路由过滤路由过滤RoutingTableQueueList优先极和定制队列的应用优先极和定制队列的应用按需拨号路由按需拨号路由访问控制列表的应用很广第12页，共52页，编辑于2022年，星期三8.2.3 出站访问列表Notify Sender如果没有匹配的访问控制列表，将丢弃这个包如果没有匹配的访问控制列表，将丢弃

5、这个包 NY包丢弃桶包丢弃桶ChooseInterfaceRoutingTable Entry?NYTestAccess ListStatementsPermit?YAccessList?Discard PacketNOutbound InterfacesPacketPacketS0E0InboundInterfacePackets第13页，共52页，编辑于2022年，星期三8.2.4 测试清单：拒绝或允许进入端口的包进入端口的包包丢弃桶包丢弃桶Y接口接口目的地目的地DenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchL

6、astTest?YYNYYPermitImplicit Deny如果不匹配所有的规则，则如果不匹配所有的规则，则丢弃丢弃DenyN第14页，共52页，编辑于2022年，星期三8.3 访问列表配置指南访问控制列表的编号标明哪个协议是被过滤的每个接口，每个协议，每个方向上可以有一个访问控制列表访问控制列表的顺序决定被检验的顺序最特殊的规则应该被放到访问控制列表的前面在访问控制列表的最后有隐含的规则“禁止所有的”访问控制列表应绑定到端口上访问控制列表过滤通过路由器的包；但是不能过滤由路由器自身产生的包第15页，共52页，编辑于2022年，星期三8.3.1 如何标识访问列表号码范围号码范围/标志标

7、志IP 1-99100-199Name(Cisco IOS 11.2 and later)800-899900-9991000-1099Name(Cisco IOS 11.2.F and later)标准的标准的扩展的扩展的SAP 过滤的过滤的名字的名字的标准的标准的扩展的扩展的名字的名字的访问控制列表类型访问控制列表类型IPX标准的访问控制列表(1 to 99)检验所有从源地址产生的IP包扩展访问控制列表(100 to 199)检验源和目的地址，具体的TCP/IP协议和目的端口其他的访问控制列表检验其他的网络协议第16页，共52页，编辑于2022年，星期三8.3.2 配置IP访问控制列表第

8、17页，共52页，编辑于2022年，星期三8.3.2.1 访问列表命令概述第一步：设置访问控制列表测试语句（一个列表可以第一步：设置访问控制列表测试语句（一个列表可以由一条或多条语句组成）由一条或多条语句组成）Router(config)#第二步：在接口上启用特定的访问控制列表第二步：在接口上启用特定的访问控制列表 protocol access-group access-list-number in|out Router(config-if)#access-list access-list-number permit|deny test conditions第18页，共52页，编辑于2022

9、年，星期三8.3.2.2 配置标准IP访问列表access-list access-list-number permit|deny source maskRouter(config)#把列表应用到端口上设置进入方向还是出去方向的检验默认的是出去方向的检验“no ip access-group access-list-number”将从端口上删除这个访问控制列表Router(config-if)#ip access-group access-list-number in|out 标准的访问控制列表用 1 to 99默认的通配符=0.0.0.0“no access-list access-list

10、-number”删除整个访问控制列表第19页，共52页，编辑于2022年，星期三8.3.2.2 标准IP访问列表示例 1只允许访问一个网段只允许访问一个网段access-list 1 permit 172.16.0.0 0.0.255.255(implicit deny all-not visible in the list)(access-list 1 deny 0.0.0.0 255.255.255.255)interface ethernet 0ip access-group 1 outinterface ethernet 1ip access-group 1 out172.16.3.0

11、172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0第20页，共52页，编辑于2022年，星期三8.3.2.2 标准IP访问列表示例 2access-list 1 deny 172.16.4.13 0.0.0.0 access-list 1 permit 0.0.0.0 255.255.255.255(implicit deny all)(access-list 1 deny 0.0.0.0 255.255.255.255)interface ethernet 0ip access-group 1 out172.16.3.0172.16.4.0172.16.4.1

12、3E0S0E1Non-172.16.0.0只拒绝一个具体的主机只拒绝一个具体的主机第21页，共52页，编辑于2022年，星期三8.3.2.2 标准IP访问列表示例 3access-list 1 deny 172.16.4.0 0.0.0.255access-list 1 permit any(implicit deny all)(access-list 1 deny 0.0.0.0 255.255.255.255)interface ethernet 0ip access-group 1 out172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.

13、0只拒绝一个具体的子网第22页，共52页，编辑于2022年，星期三8.3.2.3 扩展IP访问列表配置Router(config-if)#ip access-group access-list-number in|out 将访问控制列表应用到端口上将访问控制列表应用到端口上设置访问控制列表设置访问控制列表Router(config)#access-list access-list-number permit|deny protocol source source-wildcard operator port destination destination-wildcard operator p

14、ort established log第23页，共52页，编辑于2022年，星期三8.3.2.3 扩展访问列表示例 1access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20access-list 101 permit ip any any(implicit deny all)(access-list 101 deny ip 0.0.0.0 255.255.255.

15、255 0.0.0.0 255.255.255.255)interface ethernet 0ip access-group 101 out禁止从子网禁止从子网 172.16.4.0 到子网到子网 172.16.3.0从从 E0出去的出去的FTP服务服务允许所有其他的包允许所有其他的包172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0第24页，共52页，编辑于2022年，星期三8.3.2.3 扩展访问列表示例 2access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23access-li

16、st 101 permit ip any any(implicit deny all)interface ethernet 0ip access-group 101 out禁止网络禁止网络 172.16.4.0172.16.4.0从从 E0E0出去的出去的telnettelnet允许其他所有的允许其他所有的IPIP包包172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0第25页，共52页，编辑于2022年，星期三8.3.2.3 标准和扩展访问列表对比标准的标准的扩展的扩展的只过滤源只过滤源过滤源或者目的地址过滤源或者目的地址允许或者禁止允许或者

17、禁止整个整个 TCP/IP 协议协议允许或者禁止允许或者禁止一个具体协议和端口号一个具体协议和端口号.范围是从范围是从 100 到到 199.范围是从范围是从 1到到99第26页，共52页，编辑于2022年，星期三8.3.3.4 实际应用步骤第1步:创建一个访问控制列表第2步:指定接口第3步:定义方向第27页，共52页，编辑于2022年，星期三8.4 如何控制vty访问01234虚拟端口虚拟端口(vty 0到到4)物理端口物理端口(Telnet)设置 IP地址过滤，需用标准的访问控制列表用线模式并且使用access-class 命令在所有vty上设置统一的过滤Router#e0第28页，共

18、52页，编辑于2022年，星期三8.4.1 过滤到路由器的虚拟终端(vty)访问五个虚拟通道(0 到 4)过滤哪些地址能登录到路由器上过滤路由器能登录到哪些设备上01234虚拟端口虚拟端口(vty 0到到 4)物理端口物理端口 e0(远程登录远程登录)完全控制端口（直连的）完全控制端口（直连的）)完全控制完全控制e0第29页，共52页，编辑于2022年，星期三8.4.1 虚拟终端的line命令进入远程访问的线模式进入远程访问的线模式应用访问控制列表限制进入或者出去方向应用访问控制列表限制进入或者出去方向 access-class access-list-number in|out line v

19、ty#vty#|vty-rangeRouter(config)#Router(config-line)#第30页，共52页，编辑于2022年，星期三8.4.2 虚拟终端访问示例只允许网段192.89.55.0的主机远程登录到路由器上access-list 12 permit 192.89.55.00.0.0.255!line vty 0 4access-class 12 in第31页，共52页，编辑于2022年，星期三8.5 使用名称IP访问列表Router(config)#ip access-list standard|extended nameRouter(config std-|ext

20、-nacl)#permit|deny ip access list test conditions permit|deny ip access list test conditions no permit|deny ip access list test conditions Router(config-if)#ip access-group name in|out 适用于适用于 Cisco IOS 11.2版本或者以后的版本或者以后的允许或者禁止的声明没有预先约定说明的数字允许或者禁止的声明没有预先约定说明的数字“no”是从访问控制列表删除具体的某一项检验是从访问控制列表删除具体的某一项检验

21、将名字的访问控制列表应用到端口上将名字的访问控制列表应用到端口上第32页，共52页，编辑于2022年，星期三8.6 验证访问控制列表wg_ro_a#show ip int e0Ethernet0 is up,line protocol is up Internet address is 10.1.1.11/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forward

22、ing is disabled Outgoing access list is not set Inbound access list is 1 Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent第33页，共52页，编辑于2022年，星期三8.6 验证访问控制列表（续）wg_ro_a#show access-l

23、ists Standard IP access list 1 permit 10.2.2.1 permit 10.3.3.1 permit 10.4.4.1 permit 10.5.5.1Extended IP access list 101 permit tcp host 10.22.22.1 any eq telnet permit tcp host 10.33.33.1 any eq ftp permit tcp host 10.44.44.1 any eq ftp-datawg_ro_a#show access-lists access-list number wg_ro_a#show

24、 protocol access-list access-list number 第34页，共52页，编辑于2022年，星期三8.7 用NAT来缩放网络第35页，共52页，编辑于2022年，星期三8.7.1 NAT技术的定义NAT英文全称是Network Address Translation，称是网络地址转换，它是一个IETF标准，允许一个机构以一个地址出现在Internet上。NAT将每个局域网节点的地址转换成一个IP地址，反之亦然。第36页，共52页，编辑于2022年，星期三8.7.2 NAT技术的基本原理和类型在内部网络中使用内部地址，通过NAT把内部地址翻译成合法的IP地址在Inte

25、rnet上使用，其具体的做法是把IP包内的地址用合法的IP地址来替换。NAT有三种类型：静态NAT(Static NAT)动态地址NAT(Pooled NAT)网络地址端口转换PAT 第37页，共52页，编辑于2022年，星期三8.7.4 NAT的配置 1 1、静态转换设置：、静态转换设置：ip nat inside source static ip nat inside source static inside-local-address inside-inside-local-address inside-global-addressglobal-address第38页，共52页，编辑于2

26、022年，星期三8.7.4 NAT的配置（续）2 2、动态转换的设置动态转换的设置ip nat pool ip nat pool pool-namepool-name first-address last-addressfirst-address last-address netmask netmask netmasknetmask|prefix-length|prefix-length prefix-lengthprefix-length access-list access-list access-list-numberaccess-list-number permit permit so

27、urce-ip source-wildcardsource-ip source-wildcardip nat inside source list ip nat inside source list access-list-numberaccess-list-number pool pool poolnamepoolname第39页，共52页，编辑于2022年，星期三8.7.4 NAT的配置（续）3 3、过载（过载（PATPAT）过载的配置与动态转换的配置相似，只是在过载的配置与动态转换的配置相似，只是在ip nat insideip nat inside命令中加上命令中加上overloado

28、verload选项。选项。ip nat inside source list ip nat inside source list access-list-numberaccess-list-number pool pool pool-namepool-name overload overload第40页，共52页，编辑于2022年，星期三公网公网内网内网防火墙典型应用防火墙典型应用第41页，共52页，编辑于2022年，星期三2.1 隐藏隐藏NAT源IP-100.0.0.5目端口-1058目标端口-80源IP-192.168.1.2目标IP-200.0.0.3源端口-1037目标端口-80源IP

29、-192.168.1.3目标IP-200.0.0.3源端口-1037目标端口-80源IP-100.0.0.5目标IP-200.0.0.3源端口-1158目标端口-80源IP-192.168.1.4目标IP-200.0.0.3源端口-1037目标端口-80源IP-100.0.0.5目标IP-200.0.0.3源端口-1258目标端口-8025.0.0.225.0.0.1200.0.0.2200.0.0.1100.0.0.1100.0.0.2外网IP-100.0.0.3内网IP-192.168.1.1服务器IP-200.0.0.3端口-8025.0.0.3192.168.1.2192.168.1.

30、3192.168.1.4防火墙端口内网IP内网端口1058192.168.1.21037防火墙端口内网IP内网端口1058192.168.1.210371158192.168.1.31037防火墙端口内网IP内网端口1058192.168.1.210371158192.168.1.310371258192.168.1.41037第42页，共52页，编辑于2022年，星期三注意：注意：所有的内部所有的内部IP主机都主机都“隐藏隐藏”在单一的在单一的IP地址后面。地址后面。这个单一的这个单一的IP地址可以是防火墙的，也可以是其他合法的地址可以是防火墙的，也可以是其他合法的IP地址。地址。不允许生成

31、任何入站会话不允许生成任何入站会话。通过防火墙时，源端口随机改变。通过防火墙时，源端口随机改变。第43页，共52页，编辑于2022年，星期三2.2 静态静态NAT源IP-100.0.0.3目标IP-200.0.0.3源端口-1037目标端口-80源IP-192.168.1.2目标IP-200.0.0.3源端口-1037目标端口-80192.168.1.2192.168.1.3IP-200.0.0.3端口-80外网IP1-100.0.0.3外网IP2-100.0.0.4内网IP-192.168.1.1IP-192.168.1.4端口-8025.0.0.325.0.0.225.0.0.1200.0

32、.0.2200.0.0.1100.0.0.1100.0.0.2内网主机IP公网IP192.168.1.2100.0.0.3192.168.1.4100.0.0.4第44页，共52页，编辑于2022年，星期三注意：注意：对于使用的每个公共对于使用的每个公共IP地址，只映射一个专用地址，只映射一个专用IP地址。地址。通过防火墙时，源端口都不改变。通过防火墙时，源端口都不改变。第45页，共52页，编辑于2022年，星期三2.3 PAT25.0.0.225.0.0.1200.0.0.2200.0.0.1100.0.0.1100.0.0.2源IP-100.0.0.3目标IP-200.0.0.3源端口-1

33、058目标端口-80源IP-192.168.1.2目标IP-200.0.0.3源端口-1037目标端口-80源IP-192.168.1.3目标IP-200.0.0.3源端口-1037目标端口-80源IP-100.0.0.3目标IP-200.0.0.3源端口-1158目标端口-80防火墙端口内网IP内网端口1058192.168.1.210371158192.168.1.31037外网IP-100.0.0.3内网IP-192.168.1.1服务器IP-200.0.0.3端口-8025.0.0.3192.168.1.2192.168.1.3192.168.1.4端口-25192.168.1.5端口

34、-80访问的目标端口访问的目标IP转到对应的内网IP25100.0.0.3192.168.1.480100.0.0.3192.168.1.5第46页，共52页，编辑于2022年，星期三注意：注意：对于使用的公共对于使用的公共IP地址，都必须是防火墙自己的地址，都必须是防火墙自己的IP地址。地址。通过防火墙时，源端口随机改变通过防火墙时，源端口随机改变。第47页，共52页，编辑于2022年，星期三v三种地址翻译的区别三种地址翻译的区别隐藏隐藏NATNAT静态静态NATNATPATPAT入站会话入站会话丢弃允许允许穿过防火墙前后源穿过防火墙前后源IPIP改变改变改变穿过防火墙前后源端穿过防火墙前后

35、源端口口改变不改变改变转换方式转换方式M-11-1M-1第48页，共52页，编辑于2022年，星期三思考：思考：服务器IP-200.0.0.3端口-80外网IP-100.0.0.3内网IP-192.168.1.1服务器IP-192.168.1.9端口-53服务器IP-192.168.1.8端口-80服务器IP-200.0.0.4端口-53IP-192.168.1.2200.0.0.2200.0.0.1100.0.0.1100.0.0.2第49页，共52页，编辑于2022年，星期三本章总结本章总结:IP访问列表的关键作用和特殊过程配置标准的IP访问列表用访问类控制虚拟终端访问扩展的IP访问列表配置网络地址翻译NAT第50页，共52页，编辑于2022年，星期三参考网站：参考网站：资料查询网站：http:/ http:/ http:/ http:/ http:/www.huawei-网络中IP地址查询网站：http:/ http:/ 第51页，共52页，编辑于2022年，星期三网网址址：地址：安徽省合肥市长江西路地址：安徽省合肥市长江西路816号号第52页，共52页，编辑于2022年，星期三

文档加载中……请稍候！
如果长时间未打开，您也可以点击刷新试试。

下载文档到电脑，查找使用更方便

18 金币

版权申诉 word格式文档无特别注明外均可编辑修改；预览文档经过压缩，下载后原文更清晰！ 立即下载

配套讲稿：: 如PPT文件的首页显示word图标，表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
特殊限制：: 部分文档作品中含有的国旗、国徽等图片，仅作为作品整体效果示例展示，禁止商用。设计者仅对作品中独创性部分享有著作权。
关键词：: 第八使用访问控制列表 PPT 讲稿

淘文阁 - 分享文档赚钱的网站所有资源均是用户自行上传分享，仅供网友学习交流，未经上传用户书面授权，请勿作他用。

限制150内

关于本文

本文标题：第八章使用访问控制列表PPT讲稿.ppt
链接地址：https://www.taowenge.com/p-45119948.html