- 1、本文档共14页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
网络故障诊断与排除数字化资源-魏建英访问控制列表在网络中的应用课件.doc
项目十二 访问控制列表acl的故障排除
任务1 网络中访问控制列表的配置环境
李工所在公司由于工作需要需要在现有网络上增加访问控制列表,要求在实现子公司A可以和公司总部电脑通信,但不能访问总部网页服务器,子公司B只可以访问总部网页服务器,主要目标如下:
查看现有网络配置配置,落实已有的IP地址信息;
对总部路由器进行配置,通过acl访问控制实现既定要求;
进行配置结果测试;
任务2 ACL的故障现象
李工所在公司网络拓扑图如下:
连通网络,做好配置,进行测设,发现如表12-1所示错误
12-1 主机互通测试表
路由器R1 路由器r2 路由器R3 测试方法 预期测试结果 实际测试结果 是否发生故障 网页服务器 pc2 web 失败 失败 否 网页服务器 pc2 ping 成功 失败 是 网页服务器 pc3 ping 失败 成功 是 网页服务器 pc3 web 成功 成功 否 pc1 pc2 ping 成功 失败 是 pc1 pc3 ping 失败 成功 是
完成如表6项测试,共4项测试失败,因测试失败可确定本次操作没有成功完成项目目标。是什么原因造成故障现象呢?是规划设计的问题,是操作的问题,还是acl概念没有理解清楚的问题?据此,我们要深入的进行故障分析来确定问题所在。
任务3 ACL的技术详解
1,什么是acl访问控制列表
访问控制列表是应用在路由器接口的指令列表,这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。
2,访问控制列表的分类
2.1.标准IP访问控制列表
一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分,可对匹配的包采取拒绝或允许两个操作。编号范围是从1到99的访问控制列表是标准IP访问控制列表。
举例来说明:
配置任务:禁止3这个计算机对/24网段的访问,而/24中的其他计算机可以正常访问。
路由器配置命令:
access-list 1 deny host 3 设置ACL,禁止3的数据包通过
access-list 1 permit any 设置ACL,容许其他地址的计算机进行通讯
int e 1 进入E1端口
ip access-group 1 in 将ACL1宣告,同理可以进入E0端口后使用ip access-group 1 out来完成宣告。
配置完毕后除了3其他IP地址都可以通过路由器正常通讯,传输数据包。
总结:标准ACL占用路由器资源很少,是一种最基本最简单的访问控制列表格式。应用比较广泛,经常在要求控制级别较低的情况下使用。如果要更加复杂的控制数据包的传输就需要使用扩展访问控制列表了,他可以满足我们到端口级的要求。
2.2扩展IP访问控制列表
扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项,包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。编号范围是从100到199的访问控制列表是扩展IP访问控制列表。
扩展访问控制列表是一种高级的ACL,配置命令的具体格式如下:
access-list ACL号 [permit|deny] [协议] [定义过滤源主机范围] [定义过滤源端口] [定义过滤目的主机访问] [定义过滤目的端口]
例如:access-list 101 deny tcp any host eq www这句命令是将所有主机访问这个地址网页服务(WWW)TCP连接的数据包丢弃。
小提示:同样在扩展访问控制列表中也可以定义过滤某个网段,当然和标准访问控制列表一样需要我们使用反向掩码定义IP地址后的子网掩码。
扩展访问控制列表实例
我们采用如图所示的网络结构。路由器连接了二个网段,分别为/24,/24。在/24网段中有一台服务器提供WWW服务,IP地址为3。
配置任务:禁止的计算机访问的计算机,包括那台服务器,不过惟独可以访问3上的WWW服务,而其他服务不能访问。
路由器配置命令:
access-list 101 permit tcp any 3 eq www 设置ACL101,容许源地址为任意IP,目的地址为3主机的80端口即WWW服务。由于CISCO默认添加DENY ANY的命令,所以ACL只写此一句即可。
int e 1 进入E1端口
ip access-group 101 out 将ACL101宣告出去
设置完毕后的计算机就无法访问的计算机了,就算是服务器3开启了FTP服务也无法访问,惟独可以访问的就是3的WWW服务了。而的计算机访问的计算机没有任何问题。
扩展
您可能关注的文档
- 网络故障诊断与排除数字化资源-魏建英HSRP课件.docx
- 网络故障诊断与排除数字化资源-魏建英NAT故障排除课件.doc
- 网络故障诊断与排除数字化资源-魏建英telnet课件.docx
- 网络故障诊断与排除数字化资源-魏建英生成树课件.doc
- 网络故障诊断与排除数字化资源-魏建英项目10课件.doc
- 网络故障诊断与排除数字化资源-魏建英项目9课件.docx
- 网络故障诊断与排除数字化资源-魏建英项目七课件.docx
- 网络故障诊断与排除数字化资源-魏建英项目八课件.docx
- 网络故障诊断与排除数字化资源-魏建英项目六课件.docx
- 网络综合布线实践教程过梦旦EIA568B2.1课件.pdf
- 四川省德阳市罗江中学2025届高三考前热身化学试卷含解析.doc
- 山东省枣庄现代实验学校2025届高三下学期第五次调研考试化学试题含解析.doc
- 吉林省长春市十一高中等九校教育联盟2025届高三一诊考试生物试卷含解析.doc
- 2025届江苏省盐城市伍佑中学高考仿真模拟化学试卷含解析.doc
- 2025届广西贺州中学高考冲刺押题(最后一卷)生物试卷含解析.doc
- 安徽省池州市贵池区2025届高三第一次模拟考试生物试卷含解析.doc
- 宁夏银川一中2025届高三(最后冲刺)化学试卷含解析.doc
- 广东省广州市增城区四校联考2025届高考压轴卷化学试卷含解析.doc
- 2025届邯郸市第一中学高考生物必刷试卷含解析.doc
- 2025届安徽省安庆市石化第一中学高考仿真卷化学试卷含解析.doc
最近下载
- 樊登老师推荐:《你就是孩子最好的玩具》(完整版).pdf
- 凯迪克金奖原版绘本Sylvester and the Magic Pebble.pdf
- 外廓尺寸检测系统作业指导书.docx
- 初中教科研课题:《初中语文主题阅读教学的实践探究》子课题结题报告 .pdf
- 初中物理《声现象》.ppt VIP
- 最新2023版知识产权贯标GBT29490表单 知识产权目标策划管理方案[知识产权合规管理体系文件].docx
- (2024版)AOPA无人机驾驶证认证考试题库-上部分(500题)(含答案).pdf VIP
- 《中国共产党简史》第四章 夺取新民主主义革命的全国性胜利.pptx VIP
- 医院创建优质服务基层行创建资料(3.4.3护理安全管理).docx VIP
- 初三家长会班主任的发言稿.doc VIP
文档评论(0)