第十章用访问列表初步管理-IP流量PPT课件.ppt
《第十章用访问列表初步管理-IP流量PPT课件.ppt》由会员分享,可在线阅读,更多相关《第十章用访问列表初步管理-IP流量PPT课件.ppt(66页珍藏版)》请在咨信网上搜索。
1、 1999,Cisco Systems,Inc.10-1第十章第十章用访问列表初步管理用访问列表初步管理 IP流量流量 1999,Cisco Systems,IICND10-2本章目标本章目标本章目标本章目标通过本章的学习,您应该掌握以下内容通过本章的学习,您应该掌握以下内容:识别识别 IP 访问列表的主要作用和工作流程访问列表的主要作用和工作流程配置标准的配置标准的 IP 访问列表访问列表利用访问列表控制虚拟会话的建立利用访问列表控制虚拟会话的建立配置扩展的配置扩展的 IP 访问列表访问列表查看查看 IP 访问列表访问列表 1999,Cisco Systems,IICND10-3管理网络中逐
2、步增长的管理网络中逐步增长的 IP 数据数据为什么要使用访问列表为什么要使用访问列表为什么要使用访问列表为什么要使用访问列表 1999,Cisco Systems,IICND10-4172.16.0.0172.17.0.0Internet管理网络中逐步增长的管理网络中逐步增长的 IP 数据数据当数据通过路由器时进行过滤当数据通过路由器时进行过滤为什么要使用访问列表为什么要使用访问列表为什么要使用访问列表为什么要使用访问列表 1999,Cisco Systems,IICND10-5访问列表的应用访问列表的应用允许、拒绝数据包通过路由器允许、拒绝数据包通过路由器允许、拒绝允许、拒绝Telnet会话
3、的建立会话的建立没有设置访问列表时,所有的数据包都会在网络上传输没有设置访问列表时,所有的数据包都会在网络上传输虚拟会话虚拟会话(IP)端口上的数据传输端口上的数据传输 1999,Cisco Systems,IICND10-6QueueList优先级判断优先级判断访问列表的其它应用访问列表的其它应用访问列表的其它应用访问列表的其它应用基于数据包检测的特殊数据通讯应用基于数据包检测的特殊数据通讯应用 1999,Cisco Systems,IICND10-7QueueList优先级判断优先级判断访问列表的其它应用访问列表的其它应用访问列表的其它应用访问列表的其它应用按需拨号按需拨号基于数据包检测的
4、特殊数据通讯应用基于数据包检测的特殊数据通讯应用 1999,Cisco Systems,IICND10-8访问列表的其它应用访问列表的其它应用路由表过滤路由表过滤RoutingTableQueueList优先级判断优先级判断按需拨号按需拨号基于数据包检测的特殊数据通讯应用基于数据包检测的特殊数据通讯应用 1999,Cisco Systems,IICND10-9 标准标准检查源地址检查源地址通常允许、拒绝的是完整的协议通常允许、拒绝的是完整的协议OutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit?Source什么是访问列表什么是
5、访问列表什么是访问列表什么是访问列表 1999,Cisco Systems,IICND10-10 标准标准检查源地址检查源地址通常允许、拒绝的是完整的协议通常允许、拒绝的是完整的协议扩展扩展检查源地址和目的地址检查源地址和目的地址通常允许、拒绝的是某个特定的协议通常允许、拒绝的是某个特定的协议OutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit?Sourceand DestinationProtocol什么是访问列表什么是访问列表什么是访问列表什么是访问列表 1999,Cisco Systems,IICND10-11 标准标准检
6、查源地址检查源地址通常允许、拒绝的是完整的协议通常允许、拒绝的是完整的协议扩展扩展检查源地址和目的地址检查源地址和目的地址通常允许、拒绝的是某个特定的协议通常允许、拒绝的是某个特定的协议进方向和出方向进方向和出方向 OutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit?Sourceand DestinationProtocol什么是访问列表什么是访问列表什么是访问列表什么是访问列表 1999,Cisco Systems,IICND10-12InboundInterfacePacketsNYPacket Discard Bucke
7、tChooseInterfaceNAccessList?RoutingTable Entry?YOutbound InterfacesPacketS0出端口方向上的访问列表出端口方向上的访问列表出端口方向上的访问列表出端口方向上的访问列表 1999,Cisco Systems,IICND10-13Outbound InterfacesPacketNYPacket Discard BucketChooseInterfaceRoutingTable Entry?NPacketTestAccess ListStatementsPermit?Y出端口方向上的访问列表出端口方向上的访问列表出端口方向上的
8、访问列表出端口方向上的访问列表AccessList?YS0E0InboundInterfacePackets 1999,Cisco Systems,IICND10-14Notify Sender出端口方向上的访问列表出端口方向上的访问列表出端口方向上的访问列表出端口方向上的访问列表If no access list statement matches then discard the packet NYPacket Discard BucketChooseInterfaceRoutingTable Entry?NYTestAccess ListStatementsPermit?YAccessL
9、ist?Discard PacketNOutbound InterfacesPacketPacketS0E0InboundInterfacePackets 1999,Cisco Systems,IICND10-15访问列表的测试:允许和拒绝访问列表的测试:允许和拒绝访问列表的测试:允许和拒绝访问列表的测试:允许和拒绝Packets to interfacesin the access groupPacket Discard BucketYInterface(s)DestinationDenyDenyYMatchFirstTest?Permit 1999,Cisco Systems,IICND1
10、0-16访问列表的测试:允许和拒绝访问列表的测试:允许和拒绝访问列表的测试:允许和拒绝访问列表的测试:允许和拒绝Packets to Interface(s)in the Access GroupPacket Discard BucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?YY 1999,Cisco Systems,IICND10-17访问列表的测试:允许和拒绝访问列表的测试:允许和拒绝访问列表的测试:允许和拒绝访问列表的测试:允许和拒绝Packets to Inte
11、rface(s)in the Access GroupPacket Discard BucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTest?YYNYYPermit 1999,Cisco Systems,IICND10-18访问列表的测试:允许和拒绝访问列表的测试:允许和拒绝访问列表的测试:允许和拒绝访问列表的测试:允许和拒绝Packets to Interface(s)in the Access GroupPacket Discard Bu
12、cketYInterface(s)DestinationDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTest?YYNYYPermitImplicit DenyIf no matchdeny allDenyN 1999,Cisco Systems,IICND10-19访问列表配置指南访问列表配置指南访问列表配置指南访问列表配置指南访问列表的编号指明了使用何种协议的访问列表访问列表的编号指明了使用何种协议的访问列表每个端口、每个方向、每条协议只能对应于一条访问每个端口、每个方向、每条协议只能对应于一条访问列表
13、列表访问列表的内容决定了数据的控制顺序访问列表的内容决定了数据的控制顺序 具有严格限制条件的语句应放在访问列表所有语句的具有严格限制条件的语句应放在访问列表所有语句的最上面最上面在访问列表的最后有一条隐含声明:在访问列表的最后有一条隐含声明:deny any每一每一条正确的访问列表都至少应该有一条允许语句条正确的访问列表都至少应该有一条允许语句先创建访问列表,然后应用到端口上先创建访问列表,然后应用到端口上访问列表不能过滤由路由器自己产生的数据访问列表不能过滤由路由器自己产生的数据 1999,Cisco Systems,IICND10-20访问列表设置命令访问列表设置命令Step 1:设置访问
14、列表测试语句的参数设置访问列表测试语句的参数access-list access-list-number permit|deny test conditions Router(config)#1999,Cisco Systems,IICND10-21Step 1:设置访问列表测试语句的参数设置访问列表测试语句的参数Router(config)#Step 2:在端口上应用访问列表在端口上应用访问列表 protocol access-group access-list-number in|out Router(config-if)#访问列表设置命令访问列表设置命令IP 访问列表的标号为访问列表的标
15、号为 1-99 和和 100-199access-list access-list-number permit|deny test conditions 1999,Cisco Systems,IICND10-22如何识别访问列表如何识别访问列表如何识别访问列表如何识别访问列表编号范围编号范围访问列表类型访问列表类型IP 1-99Standard标准访问列表标准访问列表(1 to 99)检查检查 IP 数据包的源地址数据包的源地址 1999,Cisco Systems,IICND10-23编号范围编号范围访问列表类型访问列表类型如何识别访问列表如何识别访问列表如何识别访问列表如何识别访问列表IP
16、 1-99100-199StandardExtended标准访问列表标准访问列表(1 to 99)检查检查 IP 数据包的源地址数据包的源地址扩展访问列表扩展访问列表(100 to 199)检查源地址和目的地址、具体的检查源地址和目的地址、具体的 TCP/IP 协议和目的协议和目的端口端口 1999,Cisco Systems,IICND10-24编号范围编号范围IP 1-99100-199Name(Cisco IOS 11.2 and later)800-899900-9991000-1099Name(Cisco IOS 11.2.F and later)StandardExtendedSA
17、P filtersNamedStandardExtendedNamed访问列表类型访问列表类型IPX如何识别访问列表如何识别访问列表如何识别访问列表如何识别访问列表标准访问列表标准访问列表(1 to 99)检查检查 IP 数据包的源地址数据包的源地址扩展访问列表扩展访问列表(100 to 199)检查源地址和目的地址、具体的检查源地址和目的地址、具体的 TCP/IP 协议和目的协议和目的端口端口其它访问列表编号范围表示不同协议的访问列表其它访问列表编号范围表示不同协议的访问列表 1999,Cisco Systems,IICND10-25SourceAddressSegment(for exam
18、ple,TCP header)DataPacket(IP header)Frame Header(for example,HDLC)DenyPermit Useaccess list statements1-99 用标准访问列表测试数据用标准访问列表测试数据用标准访问列表测试数据用标准访问列表测试数据 1999,Cisco Systems,IICND10-26DestinationAddressSourceAddressProtocolPortNumberSegment(for example,TCP header)DataPacket(IP header)Frame Header(for e
19、xample,HDLC)Useaccess list statements1-99 or 100-199 to test thepacket DenyPermitAn Example from a TCP/IP Packet用扩展访问列表测试数据用扩展访问列表测试数据用扩展访问列表测试数据用扩展访问列表测试数据 1999,Cisco Systems,IICND10-270 表示检查与之对应的地址位的值表示检查与之对应的地址位的值1表示忽略与之对应的地址位的值表示忽略与之对应的地址位的值do not check address(ignore bits in octet)=001111111286
20、432168421=00000000=00001111=11111100=11111111Octet bit position and address value for bitignore last 6 address bitscheck all address bits(match all)ignore last 4 address bitscheck last 2 address bitsExamples通配符:如何检查相应的地址位通配符:如何检查相应的地址位通配符:如何检查相应的地址位通配符:如何检查相应的地址位 1999,Cisco Systems,IICND10-28例如例如 17
21、2.30.16.29 0.0.0.0 检查所有的地址位检查所有的地址位 可以简写为可以简写为 host(host 172.30.16.29)Test conditions:Check all the address bits(match all)172.30.16.290.0.0.0(checks all bits)An IP host address,for example:Wildcard mask:通配符掩码指明特定的主机通配符掩码指明特定的主机通配符掩码指明特定的主机通配符掩码指明特定的主机 1999,Cisco Systems,IICND10-29所有主机所有主机:0.0.0.0 2
22、55.255.255.255可以用可以用 any 简写简写Test conditions:Ignore all the address bits(match any)0.0.0.0 255.255.255.255(ignore all)Any IP addressWildcard mask:通配符掩码指明所有主机通配符掩码指明所有主机通配符掩码指明所有主机通配符掩码指明所有主机 1999,Cisco Systems,IICND10-30Check for IP subnets 172.30.16.0/24 to 172.30.31.0/24Network Network .host 172.3
23、0.16172.30.16.00 00 00 01 10000Wildcard mask:0 0 0 0 1 1 1 1|0 0 0 1 0 0 0 0 =16 0 0 0 1 0 0 0 1 =17 0 0 0 1 0 0 1 0 =18:0 0 0 1 1 1 1 1 =31Address and wildcard mask:172.30.16.0 0.0.15.255通配符掩码和通配符掩码和通配符掩码和通配符掩码和IPIP子网的子网的子网的子网的对应对应对应对应 1999,Cisco Systems,I10-31配置标准的配置标准的配置标准的配置标准的 IP IP 访问列表访问列表访问列
24、表访问列表 1999,Cisco Systems,IICND10-32标准标准标准标准IPIP访问列表的配置访问列表的配置访问列表的配置访问列表的配置access-list access-list-number permit|deny source maskRouter(config)#为访问列表设置参数为访问列表设置参数IP 标准访问列表编号标准访问列表编号 1 到到 99缺省的通配符掩码缺省的通配符掩码=0.0.0.0“no access-list access-list-number”命令删除访问列表命令删除访问列表 1999,Cisco Systems,IICND10-33access
25、-list access-list-number permit|deny source maskRouter(config)#在端口上应用访问列表在端口上应用访问列表指明是进方向还是出方向指明是进方向还是出方向缺省缺省=出方向出方向“no ip access-group access-list-number”命令在端口上删除访问列表命令在端口上删除访问列表Router(config-if)#ip access-group access-list-number in|out 为访问列表设置参数为访问列表设置参数IP 标准访问列表编号标准访问列表编号 1 到到 99缺省的通配符掩码缺省的通配符掩码
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 第十 访问 列表 初步 管理 IP 流量 PPT 课件
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【胜****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【胜****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。