路由技术教学讲座课件PPT.ppt

上传人：laozhun

文档编号：2750579

上传时间：2023-02-24

格式：PPT

页数：55

大小：394.52KB

《路由技术教学讲座课件PPT.ppt》由会员分享，可在线阅读，更多相关《路由技术教学讲座课件PPT.ppt（55页珍藏版）》请在三一办公上搜索。

1、1,网络实用技术,路由技术（三）,2,本堂课任务,1、不允许外部网络访问行政网络2、不允许PC0所在子网内PC访问行政网络FTP服务器,3,本堂课任务,如何配置路由器，只允许部分IP地址的数据包能通过本路由器？如何配置路由器，使内部网络的用户只能访问外部web服务器？解决方法配置访问控制列表（ACL）学习并掌握标准ACL、扩展ACL以及命名ACL的配置方法,4,访问控制列表ACL概要,访问控制列表（ACL）是一种包过滤技术，是应用在路由器接口的指令列表。ACL告诉路由器哪些数据报可以允许、哪些需要拒绝。至于是允许还是拒绝，可以由类似源地址、目的地址、端口号等条件来作过滤决定。ACL可以用来：限

2、制网络流量、提高网络性能，同时ACL也是网络访问控制的基本安全手段。,5,访问控制列表的应用,允许或拒绝数据包通过路由器允许或拒绝vty访问进入或离开路由器如果没有访问控制列表，所有数据包都可以传输到你的网络,Virtual terminal line access(IP),Transmission of packets on an interface,6,访问控制列表,标准访问控制列表检查源地址通常允许或拒绝整个协议簇,OutgoingPacket,E0,S0,IncomingPacket,Access List Processes,Permit?,7,访问控制列表,标准访问控制列表检查源地

3、址通常允许或拒绝整个协议簇扩展访问控制列表检查源和目的地址允许或拒绝特定的协议,OutgoingPacket,E0,S0,IncomingPacket,Access List Processes,Permit?,Protocol,8,访问控制列表,标准访问控制列表检查源地址通常允许或拒绝整个协议簇扩展访问控制列表检查源和目的地址允许或拒绝特定的协议入站或出站均可进行控制,OutgoingPacket,E0,S0,IncomingPacket,Access List Processes,Permit?,Protocol,出站访问控制列表,InboundInterfacePackets,N,Y,P

4、acket Discard Bucket,ChooseInterface,N,AccessList?,RoutingTable Entry?,Y,Outbound Interfaces,Packet,S0,出站访问控制列表,Outbound Interfaces,Packet,N,Y,Packet Discard Bucket,ChooseInterface,RoutingTable Entry?,N,Packet,TestAccess ListStatements,Permit?,Y,AccessList?,Y,S0,E0,InboundInterfacePackets,出站访问控制列表,N

5、otify Sender,如果没有访问控制列表相匹配则丢弃报文,N,Y,Packet Discard Bucket,ChooseInterface,RoutingTable Entry?,N,Y,TestAccess ListStatements,Permit?,Y,AccessList?,Discard Packet,N,Outbound Interfaces,Packet,Packet,S0,E0,InboundInterfacePackets,12,列表测试:拒绝或允许,Packets to interfacesin the access group,Packet Discard Buc

6、ket,Y,Interface(s),Destination,Deny,Deny,Y,MatchFirstTest?,Permit,13,列表测试:拒绝或允许,Packets to Interface(s)in the Access Group,Packet Discard Bucket,Y,Interface(s),Destination,Deny,Deny,Y,MatchFirstTest?,Permit,N,Deny,Permit,MatchNextTest(s)?,Y,Y,14,列表测试:拒绝或允许,Packets to Interface(s)in the Access Group,

7、Packet Discard Bucket,Y,Interface(s),Destination,Deny,Deny,Y,MatchFirstTest?,Permit,N,Deny,Permit,MatchNextTest(s)?,Deny,MatchLastTest?,Y,Y,N,Y,Y,Permit,15,列表测试:拒绝或允许,Packets to Interface(s)in the Access Group,Packet Discard Bucket,Y,Interface(s),Destination,Deny,Y,MatchFirstTest?,Permit,N,Deny,Perm

8、it,MatchNextTest(s)?,Deny,MatchLastTest?,Y,Y,N,Y,Y,Permit,Implicit Deny,If no matchdeny all,Deny,N,16,访问控制列表命令概要,步骤1:使用下列命令定义访问控制列表ACL:,access-list access-list-number permit|deny test conditions,Router(config)#,17,访问控制列表命令概要,步骤1:使用下列命令定义访问控制列表ACL:,Router(config)#,步骤2:使用access-group命令把该访问控制列表应用到某一接口上

9、。,protocol access-group access-list-number in|out,Router(config-if)#,IP 访问控制列表的标号范围为 1-99 或 100-199,access-list access-list-number permit|deny test conditions,18,为ACL分配表号,Number Range/Identifier,Access List Type,IP,1-99 或 1300-1999,Standard,标准IP列表(1 to 99)测试IP报文中的源地址,19,为ACL分配表号,Number Range/Identif

10、ier,Access List Type,IP,1-99 或 1300-1999100-199 或 2000-2699,StandardExtended,标准IP列表(1 to 99)测试IP报文中的源地址扩展IP列表(100 to 199)能测试源和目的地址、特定的TCP/IP协议、以及目的端口,20,为ACL分配表号,Number Range/Identifier,IP,1-99 或 1300-1999100-199 或 2000-2699Name(Cisco IOS 11.2 and later),800-899900-999,StandardExtended,StandardExten

11、dedNamed,Access List Type,IPX,标准IP列表(1 to 99)测试IP报文中的源地址扩展IP列表(100 to 199)能测试源和目的地址、特定的TCP/IP协议、以及目的端口其它访问控制列表表号范围测试其它网络协议,21,标准访问控制列表报文测试,SourceAddress,Segment(for example,TCP header),Data,Packet(IP header),Frame Header(for example,HDLC),Deny,Permit,Useaccess list statements1-99,22,扩展访问控制列表报文测试,Des

12、tinationAddress,SourceAddress,Protocol,PortNumber,Segment(for example,TCP header),Data,Packet(IP header),Frame Header(for example,HDLC),Useaccess list statements100-199 to test thepacket,Deny,Permit,TCP/IP报文举例,23,如何使用通配符掩码位,0 表示检查相应地址位的值1 表示忽略相应地址位的值,不检查地址(忽略所有),=,0,0,0,0,0,0,0,0,忽略后6位地址位,检查所有地址位(匹配

13、所有),忽略后4位地址位,检查后2位地址位,24,通配符掩码位匹配特定的IP主机地址,172.30.16.29 0.0.0.0 检查所有地址位可以使用在地址前加缩写词host来表达上面的测试条件(host 172.30.16.29),测试条件：检查所有的地址位(全部匹配),172.30.16.29,0.0.0.0,(检查所有位),例如：一个IP主机地址:,通配符掩码:,25,通配符掩码位匹配任意IP地址,接受任意地址:0.0.0.0 255.255.255.255可以使用缩写字 any 表达上面的测试条件,测试条件:忽略所有的地址位,0.0.0.0,255.255.255.255,(全部忽略

14、),Any IP address,通配符掩码:,26,通配符掩码位匹配IP子网,检查IP子网 172.30.16.0/24 to 172.30.31.0/24,Network.host 172.30.16.0,通配符掩码:0 0 0 0 1 1 1 1|0 0 0 1 0 0 0 0=16 0 0 0 1 0 0 0 1=17 0 0 0 1 0 0 1 0=18:0 0 0 1 1 1 1 1=31,地址和通配符掩码:172.30.16.0 0.0.15.255,27,标准ACL配置,access-list access-list-number permit|deny source mask

15、,Router(config)#,为此列表条目设置参数Sets parameters for this list entryIP标准访问列表使用 1 到 99缺省通配符掩码=0.0.0.0“no access-list access-list-number”删除整个访问列表,28,标准ACL配置,access-list access-list-number permit|deny source mask,Router(config)#,在一个接口上激活此列表设置入站或出站测试缺省=出站“no ip access-group access-list-number”删除此接口的访问列表,Route

16、r(config-if)#,ip access-group access-list-number in|out,为此列表条目设置参数Sets parameters for this list entryIP标准访问列表使用 1 到 99缺省通配符掩码=0.0.0.0“no access-list access-list-number”删除整个访问列表,29,标准ACL例一,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non-172.16.0.0,access-list 1 permit 172.16.0.0 0.0.255.255(implicit d

17、eny all-not visible in the list)(access-list 1 deny 0.0.0.0 255.255.255.255),30,标准ACL例一,只允许我的网络,access-list 1 permit 172.16.0.0 0.0.255.255(implicit deny all-not visible in the list)(access-list 1 deny 0.0.0.0 255.255.255.255)interface ethernet 0ip access-group 1 outinterface ethernet 1ip access-gro

18、up 1 out,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non-172.16.0.0,31,标准ACL例二,拒绝一台特定主机,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non-172.16.0.0,access-list 1 deny 172.16.4.13 0.0.0.0,32,标准ACL例二,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non-172.16.0.0,拒绝一台特定主机,access-list 1 deny 172.16.4.13 0.0.0.0

19、 access-list 1 permit 0.0.0.0 255.255.255.255(implicit deny all)(access-list 1 deny 0.0.0.0 255.255.255.255),33,标准ACL例二,access-list 1 deny 172.16.4.13 0.0.0.0 access-list 1 permit 0.0.0.0 255.255.255.255(implicit deny all)(access-list 1 deny 0.0.0.0 255.255.255.255)interface ethernet 0ip access-grou

20、p 1 out,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non-172.16.0.0,拒绝一台特定主机,34,标准ACL例三,拒绝一个特定子网,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non-172.16.0.0,access-list 1 deny 172.16.4.0 0.0.0.255access-list 1 permit any(implicit deny all)(access-list 1 deny 0.0.0.0 255.255.255.255),35,标准ACL例三,access-li

21、st 1 deny 172.16.4.0 0.0.0.255access-list 1 permit any(implicit deny all)(access-list 1 deny 0.0.0.0 255.255.255.255)interface ethernet 0ip access-group 1 out,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non-172.16.0.0,拒绝一个特定子网,36,过滤虚拟终端(vty)访问路由器,五条虚拟终端线(0 到 4)过滤能访问到路由器vty端口的地址过滤离开路由器的vty访问,0,1,2,3,4

22、,虚拟端口(vty 0 到 4),物理端口 e0(Telnet),控制台端口(直连),console,e0,37,如何控制 vty 访问,0,1,2,3,4,虚拟端口(vty 0 到 4),物理端口(e0)(Telnet),用标准访问控制列表设置IP地址过滤使用line配置模式过滤访问，命令为 access-class对所有vty设置相同的限制,Router#,e0,38,虚拟终端 Line 命令,进入虚拟终端配置模式,限制在访问控制列表地址中的vty连接流入或流出,access-class access-list-number in|out,line vty#vty#|vty-range,R

23、outer(config)#,Router(config-line)#,39,虚拟终端访问举例,仅允许网络192.89.55.0中的主机连接到路由器的 vty,access-list 12 permit 192.89.55.0 0.0.0.255!line vty 0 4 access-class 12 in,控制入站访问,40,标准与扩展访问控制列表比较,标准,扩展,基于源地址过滤,基于源和目的地址过滤,允许或拒绝整个TCP/IP协议族,指定特定的协议和端口号,范围从100到199 或 2000到2699,范围从1到99 或 1300到1999,41,扩展ACL配置,Router(confi

24、g)#,为此列表列表条目设置参数,access-list access-list-number permit|deny protocol source source-wildcard operator port destination destination-wildcard operator port established log,42,扩展ACL配置,Router(config-if)#ip access-group access-list-number in|out,在一个接口上激活扩展列表,为此列表列表条目设置参数,Router(config)#access-list access-

25、list-number permit|deny protocol source source-wildcard operator port destination destination-wildcard operator port established log,43,扩展ACL例一,拒绝FTP从子网172.16.4.0到子网172.16.3.0，从E0输出允许所有其它流量,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non-172.16.0.0,access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.1

26、6.3.0 0.0.0.255 eq 21access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20,44,扩展ACL例一,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non-172.16.0.0,access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.25

27、5 eq 20access-list 101 permit ip any any(implicit deny all)(access-list 101 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255),拒绝FTP从子网172.16.4.0到子网172.16.3.0，从E0输出允许所有其它流量,45,扩展ACL例一,access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21access-list 101 deny tcp 172.16.4.0 0

28、.0.0.255 172.16.3.0 0.0.0.255 eq 20access-list 101 permit ip any any(implicit deny all)(access-list 101 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255)interface ethernet 0ip access-group 101 out,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non-172.16.0.0,拒绝FTP从子网172.16.4.0到子网172.16.3.0，从E0输出

29、允许所有其它流量,46,扩展ACL例二,只拒绝来自子网172.16.4.0的Telnet，从E0输出允许所有其它流量,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non-172.16.0.0,access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23,47,扩展ACL例二,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non-172.16.0.0,access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23acc

30、ess-list 101 permit ip any any(implicit deny all),只拒绝来自子网172.16.4.0的Telnet，从E0输出允许所有其它流量,48,扩展ACL例二,access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23access-list 101 permit ip any any(implicit deny all)interface ethernet 0ip access-group 101 out,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non-17

31、2.16.0.0,只拒绝来自子网172.16.4.0的Telnet，从E0输出允许所有其它流量,49,使用命名访问控制列表,Router(config)#,ip access-list standard|extended name,Cisco IOS 11.2 或更新版本,字母数字名字字符串必须是唯一的,50,使用命名访问控制列表,Router(config)#,ip access-list standard|extended name,permit|deny ip access list test conditions permit|deny ip access list test cond

32、itions no permit|deny ip access list test conditions,Router(config std-|ext-nacl)#,Cisco IOS 11.2 或更新版本,字母数字名字字符串必须是唯一的,允许或拒绝语句没有前缀号“no”从命名访问列表去掉特定的测试语句,51,使用命名访问控制列表,Cisco IOS 11.2 或更新版本,字母数字名字字符串必须是唯一的,允许或拒绝语句没有前缀号“no”从命名访问列表去掉特定的测试语句,在接口上激活IP命名访问列表,52,访问控制列表配置原则,访问控制列表语句的顺序至关重要推荐:使用文本编辑器进行剪切和粘贴至顶

33、向下处理优先放置更重要的测试语句不能重排或取消语句使用 no access-list number 命令取消整个访问控制列表例外:命名访问控制列表允许取消单条语句隐含拒绝所有除非访问控制列表末尾明确地允许所有,53,正确放置ACL,在接近源的位置放置扩展访问控制列表在接近目的的位置放置标准访问控制列表,E0,E0,E1,S0,To0,S1,S0,S1,E0,E0,B,A,C,推荐:,D,54,确认ACL,wg_ro_a#show ip int e0Ethernet0 is up,line protocol is up Internet address is 10.1.1.11/24 Broad

34、cast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1 Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects ar

35、e always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is disabled IP Feature Fast switching turbo vector IP multicast fast switching is enabled IP multicast distributed fast switching is disabled,55,监视ACL

36、状态,wg_ro_a#show access-lists Standard IP access list 1 permit 10.2.2.1 permit 10.3.3.1 permit 10.4.4.1 permit 10.5.5.1Extended IP access list 101 permit tcp host 10.22.22.1 any eq telnet permit tcp host 10.33.33.1 any eq ftp permit tcp host 10.44.44.1 any eq ftp-data,wg_ro_a#show access-lists access-list number,