《网络设备配置与管理》16任务十六 访问控制列表的配置与管理.ppt

* * * * * * 思科网络技术学院理事会. * * 思科网络技术学院理事会. 网 络 设 备 配 与 管 理 置 《 》 任务驱动式教程 任务十六 访问控制列表的配置与管理 ACL概述 访问控制列表的工作过程 访问控制列表的作用 访问控制列表的分类 ACL的配置过程 ACL的配置注意事项 技能要点 16.1 任务背景 越来越多的公司连接到互联网，从而网络安全也越来越被人们所重视。企事业单位开始建设企业网并与互联网相连，网络为企业内部各部门之间、企业之间的合作，以及资源的共享提供了方便，但网络互联也导致了部门之间数据保密性降低，影响了企业安全。因此企业网建设需考虑部门之间的访问控制，如管理人员可访问其他部门并可自由访问互联网；其他部门不能访问管理部门；限制某些部门访问互联网的时间；企业内部及互联网用户能访问企业网的服务器等。 16.2 任务拓扑 16.3 任务需求 任务需求A 允许 /24 网络访问除 /24 网络外的所有位置。 允许 /24 网络访问所有目的地址，连接到 ISP 的所有网络除外。 16.3 任务需求 任务需求B 允许 /10 网络访问所有目的地址。 拒绝主机 28 访问 LAN 以外的地址。 16.4 疑难故障排除与分析 现象一： 问题：某一企业路由器，需要网段为的网络，只允许尾数为奇数的客户端进行访问，不许尾数为偶数的客户端进行访问，如何配置访问控制列表ACL？ 16.4 疑难故障排除与分析 解决办法： 把的最后一位写成2进制如果要为奇数，只需要最后一位置1即可，也就是0的部分可以随便变动，1的部分不能变，这样形成的数肯定是奇数，所以可以这样匹配 ，那么访问控制列表就很容易写出了。 Router(config)#access-list 1 permit 由于最后默认跟一句deny any，所以就用一条语配置就可以，然后在接口下应用。 16.4 疑难故障排除与分析 现象二： 有2台机器A、B在不同路由器上，现在要求A可以ping通B，但是B不能ping通A，配置的是： access-list 1 deny Aaccess-list 1 permit anyinterface e0 (B接在e0口上) ip access-group 1 in 配置完之后，A也ping不了B。 16.4 疑难故障排除与分析 现象二： 分析：禁止PING命令使用扩展的访问控制列表。 ICMP是回环的请求。使用标准的访问控制列表肯定是PING不通的。双方都PING不通是确实的。限制PING 就要使用扩展访问控制列表，应改为如下语句 #access-list 101 deny tcp 主机A eq icmp 16.4 疑难故障排除与分析 现象三：问题：有如下所示的某访问控制列表： access-list 101 deny tcp host any eq telnet access-list 101 permit ip any any 其作用是拒绝IP地址为的主机发出的，到任意地址Telnet请求。同时允许该主机的其他IP流量通过。 现由于网络管理策略的变化，要求将该访问控制列表的控制策略改为拒绝IP地址为和两台主机发出的，到任意地址的Telnet请求，同时允许两台主机的其他IP流量通过。则为实现此目的，最合适的修改办法。 2.4 疑难故障排除与分析 现象三： 删除此访问控制列表，并重新编写为： access-list 101 deny tcp any eq telnet access-list 101 permit ip any any 16.5 课后练习 训练拓扑 16.5 课后练习 训练要求 1.如教材图16-8所示，某学校建设了一个校园网，通过一台路由器接入到互联网。在网络核心使用一台基于IOS 的多层交换机，所有的二层交换机也为可管理的基于IOS 的交换机，在学校内部使用了VLAN 技术，按照功能的不同划分为了6个VLAN，其中VLAN1用于网络设备与网管，VLAN3用于与Internet 互连。 * * * * * * * * * * ? 2001, Cisco Systems, Inc. All rights reserved. Title of Course (ACRO) vX.X Copyright ? 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr * * 思科网络技术学院理事会. * * 思科网络技术学院理事会. * * * * * * * * * * * * * *