欢迎来到三一办公! | 帮助中心 三一办公31ppt.com(应用文档模板下载平台)
三一办公

热门搜索:

上传我的资源
三一办公
上传我的资源
全部分类
  • 办公文档>
  • PPT模板>
  • 建筑/施工/环境>
  • 毕业设计>
  • 工程图纸>
  • 教育教学>
  • 素材源码>
  • 生活休闲>
  • 临时分类>
  • 首页
  • 专题
  • 专家
  • 资讯
    • ImageVerifierCode 换一换
    首页 三一办公 > 资源分类 > PPT文档下载  

    交换机端口安全及认证课件.ppt

    • 资源ID:3719774       资源大小:269.50KB        全文页数:30页
    • 资源格式: PPT        下载积分:16金币
    快捷下载 游客一键下载
    会员登录下载
    三方登录下载: 微信开放平台登录 QQ登录  
    下载资源需要16金币
    邮箱/手机:
    温馨提示:
    用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)
    支付方式: 支付宝    微信支付   
    验证码:   换一换

    加入VIP免费专享
     
    账号:
    密码:
    验证码:   换一换
      忘记密码?
        
    友情提示
    1、下载资料失败解决办法   
    2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。
    3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
    4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
    5、试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
    客服网站客服投诉侵权投诉

    交换机端口安全及认证课件.ppt

    1,第5章 交换机端口安全及认证,5.1 交换机端口安全及配置 5.2 在三层交换机上配置访问控制列表ACL5.3 交换机端口安全认证简介,2,5.2 在三层交换机上配置访问控制列表ACL,5.2.1 ACL概述5.2.2 ACL的类型5.2.3 ACL配置,什么是访问列表,Access Control List:访问列表或访问控制列表,简称 ACLACL就是对经过网络设备的数据包根据一定的规则进行数据包的过滤,ISP,4,访问列表,访问控制列表的作用:内网布署安全策略,保证内网安全权限的资源访问内网访问外网时,进行安全的数据过滤防止常见病毒、木马、攻击对用户的破坏,5,访问列表的组成,定义访问列表的步骤第一步,定义规则(哪些数据允许通过,哪些数据不允许通过)第二步,将规则应用在路由器(或交换机)的接口上,6,访问列表规则的应用,路由器(或交换机)应用访问列表对流经接口的数据包进行控制1.入栈应用(in)经某接口进入设备内部的数据包进行安全规则过滤2.出栈应用(out)设备从某接口向外发送数据时进行安全规则过滤一个接口在一个方向只能应用一组访问控制列表,F1/0,F1/1,IN,OUT,7,访问列表的入栈应用,N,Y,是否允许?,Y,是否应用访问列表?,N,查找路由表进行选路转发,以ICMP信息通知源发送方,以ICMP信息通知源发送方,N,Y,选择出口S0,路由表中是否存在记录?,N,Y,查看访问列表的陈述,是否允许?,Y,是否应用访问列表?,N,S0,S0,访问列表的出栈应用,9,IP ACL执行如下基本准则,执行顺序如下图所示:从头到尾,至顶向下的匹配方式匹配成功马上停止立刻使用该规则的“允许、拒绝”一切未被允许的就是禁止的。路由器或三层交换机缺省允许所有的信息流通过;而防火墙缺省封锁所有的信息流,然后对希望提供的服务逐项开放。按规则链来进行匹配使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配按规则链来进行匹配使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配,ACL的工作原理,10,一个访问列表多条过滤规则,11,5.2.2 ACL的类型,分类:1、IP标准访问控制列表(Standard IP ACL)2、IP扩展访问控制列表(Extended IP ACL)动作:允许(Permit)拒绝(Deny)应用方法:入栈(Out)出栈(In),12,访问列表规则的定义,标准访问列表根据数据包源IP地址进行规则定义扩展访问列表根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义,源地址,TCP/UDP,数据,IP,eg.HDLC,1-99 号列表,IP标准访问列表,目的地址,源地址,协议,端口号,IP扩展访问列表,TCP/UDP,数据,IP,eg.HDLC,100-199 号列表,0表示检查相应的地址比特 1表示不检查相应的地址比特,128,64,32,16,8,4,2,1,0,0,0,0,0,0,0,0,反掩码(通配符),IP标准访问列表的配置,1.定义标准ACL命名的标准访问列表 switch(config)#ip access-list standard switch(config-std-nacl)#permit|deny 源地址 反掩码2.应用ACL到接口Router(config-if)#ip access-group in|out,IP扩展访问列表的配置,1.定义扩展的ACL编号的扩展ACLRouter(config)#access-list permit/deny 协议 源地址 反掩码 源端口 目的地址 反掩码 目的端口 命名的扩展ACLip access-list extended name permit/deny 协议 源地址 反掩码源端口 目的地址 反掩码 目的端口 2.应用ACL到接口Router(config-if)#ip access-group in|out,18,基于名称的访问控制列表,ip access-list standard|extended ACL名称 其中standard为标准命名ACL,extended为扩展命名ACLdeny|permit source-net source-wildcard|host source-address|any 标准命名ACL规则deny|permit protocolsource-net source-wildcard|host source-address|anyoperator port destination-net destination-wildcard|host destination-address|anyoperator port 扩展命名ACL规则,19,5.2.3 ACL配置,命名ACL配置命名的标准访问列表 命令格式为:定义命名的标准访问列表:ip access-list standard name denysource source-wildcard|hostsource|any orpermit source source-wildcard|hostsource|any 应用ACL到接口 Router(config-if)#ip access-group name in|out,20,显示ACL信息在特权模式下使用如下命令可以显示ACL配置信息Show access-lists name/显示所有或指定名称的ACL配置信息Show ip access-lists name/显示所有或指定名称的IP ACL配置信息Show ip access-group interface interface-id/显示指定接口上的IP ACL配置信息Show running-config/显示正在运行的所有配置信息,21,(2)扩展的ACL命名的扩展ACL格式:ip access-list extended name permit/deny 协议 源地址 反掩码源端口 目的地址 反掩码 目的端口 应用ACL到接口:Router(config-if)#ip access-group name in|out,IP标准访问列表的配置,1.定义标准ACL命名的标准访问列表 switch(config)#ip access-list standard switch(config-std-nacl)#permit|deny 源地址 反掩码2.应用ACL到接口Router(config-if)#ip access-group in|out,23,172.16.3.0,172.16.4.0,F1/0,S1/2,F1/1,172.17.0.0,IP标准访问列表配置实例(一),配置:access-list 1 permit 172.16.3.0 0.0.0.255(access-list 1 deny any)interface serial 1/2ip access-group 1 out,24,标准访问列表配置实例(二),需求:你是某校园网管,领导要你对网络的数据流量进行控制,要求校长可以访问财务的主机,但教师机不可以访问。配置:ip access-list standard abcpermit host 192.168.2.8 deny 192.168.2.0 0.0.0.255,IP扩展访问列表的配置,1.定义扩展的ACL编号的扩展ACLRouter(config)#access-list permit/deny 协议 源地址 反掩码 源端口 目的地址 反掩码 目的端口 命名的扩展ACLip access-list extended name permit/deny 协议 源地址 反掩码源端口 目的地址 反掩码 目的端口 2.应用ACL到接口Router(config-if)#ip access-group in|out,IP扩展访问列表配置实例(一),如何创建一条扩展ACL该ACL有一条ACE,用于允许指定网络(192.168.x.x)的所有主机以HTTP访问服务器172.168.12.3,但拒绝其它所有主机使用网络Router(config)#access-list 103 permit tcp 192.168.0.0 0.0.255.255 host 172.168.12.3 eq www Router#show access-lists 103,27,access-list 115 deny udp any any eq 69 access-list 115 deny tcp any any eq 135access-list 115 deny udp any any eq 135access-list 115 deny udp any any eq 137access-list 115 deny udp any any eq 138access-list 115 deny tcp any any eq 139access-list 115 deny udp any any eq 139access-list 115 deny tcp any any eq 445access-list 115 deny tcp any any eq 593access-list 115 deny tcp any any eq 4444access-list 115 permit ip any any interface ip access-group 115 in ip access-group 115 out,IP扩展访问列表配置实例(二),利用ACL隔离冲击波病毒,28,访问列表的验证,显示全部的访问列表Router#show access-lists显示指定的访问列表Router#show access-lists 显示接口的访问列表应用Router#show ip interface 接口名称 接口编号,29,IP访问列表配置注意事项,1、一个端口在一个方向上只能应用一组ACL2、锐捷全系列交换机可针对物理接口和SVI接口应用ACL针对物理接口,只能配置入栈应用(In)针对SVI(虚拟VLAN)接口,可以配置入栈(In)和出栈(Out)应用3、访问列表的缺省规则是:拒绝所有,30,IP ACL,注意事项:1、交换机支持命名的ACL,路由器支持编号的ACL2、删除端口上应用的ACL时需要在端口下删除3、交换机和交换机相连配Trunk,

    注意事项

    本文(交换机端口安全及认证课件.ppt)为本站会员(牧羊曲112)主动上传,三一办公仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知三一办公(点击联系客服),我们立即给予删除!

    温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载不扣分。




    备案号:宁ICP备20000045号-2

    经营许可证:宁B2-20210002

    宁公网安备 64010402000987号

    三一办公
    收起
    在线客服
    意见反馈
    返回顶部
    展开
    QQ交谈
    返回顶部