網(wǎng)絡互聯(lián) 7第七章 訪問控制列表課件.ppt

《網(wǎng)絡互聯(lián) 7第七章 訪問控制列表課件.ppt》由會員上傳分享，免費在線閱讀，更多相關內容在教育資源-天天文庫。

1、第七章訪問控制列表內容為什么建立訪問控制列表訪問控制列表配置任務通配符掩碼標準訪問控制列表和配置擴展訪問控制列表和配置為什么要建立訪問控制列表限制網(wǎng)絡流量，提高網(wǎng)絡性能提供對通信流量的控制手段提供網(wǎng)絡訪問的基本安全手段訪問控制列表配置任務在路由器的全局配置模式創(chuàng)建訪問控制列表Router(config)#access-listaccess-list-number{permit

2、deny}{test-conditions}把訪問控制列表加到接口上Router(config-if)#{protocol}access-groupaccess-list-numberin

3、out訪問控制

4、列表執(zhí)行順序可以建立多條，按順序進行判斷，如果條件不成立，判斷下一條；隱含的是其它條件都不成立訪問控制列表的編號范圍通配符掩碼在測試條件中使用通配符掩碼，它是一個32比特位的數(shù)字字符串，用點號分成4個8位組0表示檢查相應的位1表示不檢查相應的位例如，測試條件為：172.16.0.00.0.255.255解釋：通過路由器的IP地址必須滿足上述測試條件，前兩個字節(jié)必須檢查，后兩個字節(jié)不用檢查。通配符掩碼兩種特殊寫法：1.Router(config)#access-list1permit0.0.0.0255.255.255.255Router(config)#access-list1p

5、ermitany2.Router(config)#access-list1permit192.168.1.10.0.0.0Router(config)#access-list1permithost192.168.1.1提問檢查IP子網(wǎng)：172.20.16.0/20寫出通配符掩碼？00010000檢查不檢查000011110.0..15.255第3位通配符掩碼網(wǎng)絡分類標準訪問控制列表擴展訪問控制列表標準訪問控制列表標準訪問控制列表只檢查源地址，1-99配置在離目的地近的路由器上為什么命令格式如下router(config)#access-listaccess-list-number

6、{deny

7、permit}source[source-wildcard]router(config-if)#ipaccess-groupaccess-list-number{in

8、out}舉例舉例①PC1不能訪問PC2；②從192.168.1.0的PC不能訪問PC2提問（PC1不能訪問PC2）192.168.1.2ping192.168.3.2通嗎？如果把訪問控制列表1加在router2的s0上192.168.1.2ping192.168.3.1通嗎?192.168.1.2ping192.168.3.2通嗎?如果把訪問控制列表1加在router1的e0上192.168.1.2pi

9、ng192.168.2.1通嗎？192.168.1.2ping192.168.2.2通嗎？192.168.1.2ping192.168.3.1通嗎?192.168.1.2ping192.168.3.2通嗎?從這個提問可以理解為什么標準訪問控制列表要配置在離目的地近的路由器上標準訪問控制列表例題1標準訪問控制列表例題2標準訪問控制列表例題3擴展訪問控制列表擴展訪問控制列表檢查源地址，目的地址，協(xié)議類型和端口號，101-199配置在離源地近的路由器上為什么命令格式如下router(config)#access-listaccess-list-number{permit

10、deny}pr

11、otocolsource[source-maskdestinationdestination-maskoperatoroperand]protocol:IP,TCP,UDP,ICMP,IGRPoperator:it,gt,eq,neqoperand:portnumberrouter(config-if)#ipaccess-groupaccess-list-number{in

12、out}端口號TCP:FTP_DATA20FTP21TELNET23SMTP25HTTP80UDP:DOMAIN53TFTP69擴展訪問控制列表例題1擴展訪問控制列表例題2實驗練習標準訪問控制列表的配置練習擴

13、展訪問控制列表的配置習題采用標準訪問控制列表，主機2不能訪問主機1從196.6.6.0的Telnet信息不能到達主機1