《网络设备配置与管理》16任务十六 访问控制列表的配置与管理.ppt

《网络设备配置与管理》16任务十六 访问控制列表的配置与管理.ppt

* * * * * * 思科网络技术学院理事会. * * 思科网络技术学院理事会. 网 络 设 备 配 与 管 理 置 《 》 任务驱动式教程 任务十六 访问控制列表的配置与管理 ACL概述 访问控制列表的工作过程 访问控制列表的作用 访问控制列表的分类 ACL的配置过程 ACL的配置注意事项 技能要点 16.1 任务背景 越来越多的公司连接到互联网,从而网络安全也越来越被人们所重视。企事业单位开始建设企业网并与互联网相连,网络为企业内部各部门之间、企业之间的合作,以及资源的共享提供了方便,但网络互联也导致了部门之间数据保密性降低,影响了企业安全。因此企业网建设需考虑部门之间的访问控制,如管理人员可访问其他部门并可自由访问互联网;其他部门不能访问管理部门;限制某些部门访问互联网的时间;企业内部及互联网用户能访问企业网的服务器等。 16.2 任务拓扑 16.3 任务需求 任务需求A 允许 /24 网络访问除 /24 网络外的所有位置。 允许 /24 网络访问所有目的地址,连接到 ISP 的所有网络除外。 16.3 任务需求 任务需求B 允许 /10 网络访问所有目的地址。 拒绝主机 28 访问 LAN 以外的地址。 16.4 疑难故障排除与分析 现象一: 问题:某一企业路由器,需要网段为的网络,只允许尾数为奇数的客户端进行访问,不许尾数为偶数的客户端进行访问,如何配置访问控制列表ACL? 16.4 疑难故障排除与分析 解决办法: 把的最后一位写成2进制如果要为奇数,只需要最后一位置1即可,也就是0的部分可以随便变动,1的部分不能变,这样形成的数肯定是奇数,所以可以这样匹配 ,那么访问控制列表就很容易写出了。 Router(config)#access-list 1 permit 由于最后默认跟一句deny any,所以就用一条语配置就可以,然后在接口下应用。 16.4 疑难故障排除与分析 现象二: 有2台机器A、B在不同路由器上,现在要求A可以ping通B,但是B不能ping通A,配置的是: access-list 1 deny Aaccess-list 1 permit anyinterface e0 (B接在e0口上) ip access-group 1 in 配置完之后,A也ping不了B。 16.4 疑难故障排除与分析 现象二: 分析:禁止PING命令使用扩展的访问控制列表。 ICMP是回环的请求。使用标准的访问控制列表肯定是PING不通的。双方都PING不通是确实的。限制PING 就要使用扩展访问控制列表,应改为如下语句 #access-list 101 deny tcp 主机A eq icmp 16.4 疑难故障排除与分析 现象三:问题:有如下所示的某访问控制列表: access-list 101 deny tcp host any eq telnet access-list 101 permit ip any any 其作用是拒绝IP地址为的主机发出的,到任意地址Telnet请求。同时允许该主机的其他IP流量通过。 现由于网络管理策略的变化,要求将该访问控制列表的控制策略改为拒绝IP地址为和两台主机发出的,到任意地址的Telnet请求,同时允许两台主机的其他IP流量通过。则为实现此目的,最合适的修改办法。 2.4 疑难故障排除与分析 现象三: 删除此访问控制列表,并重新编写为: access-list 101 deny tcp any eq telnet access-list 101 permit ip any any 16.5 课后练习 训练拓扑 16.5 课后练习 训练要求 1.如教材图16-8所示,某学校建设了一个校园网,通过一台路由器接入到互联网。在网络核心使用一台基于IOS 的多层交换机,所有的二层交换机也为可管理的基于IOS 的交换机,在学校内部使用了VLAN 技术,按照功能的不同划分为了6个VLAN,其中VLAN1用于网络设备与网管,VLAN3用于与Internet 互连。 * * * * * * * * * * ? 2001, Cisco Systems, Inc. All rights reserved. Title of Course (ACRO) vX.X Copyright ? 2001, Cisco Systems, Inc. All rights reserved. Printed in USA. Presentation_ID.scr * * 思科网络技术学院理事会. * * 思科网络技术学院理事会. * * * * * * * * * * * * * *

您可能关注的文档

文档评论(0)

1亿VIP精品文档

相关文档