原创力文档- 1、本文档共31页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
05访问控制列表课件
访问控制列表; 完成本章的学习后,您可以完成下面的任务:
配置基本及扩展的访问控制列表
监视访问控制列表的操作
;访问控制列表概述;为什么使用访问控制列表;为什么使用访问控制列表(续); ;访问控制列表是怎样工作的;Match
First
Test
?;第一步: 设定访问控制列表的参数;Number Range/Identifier;TCP/IP
访问控制列表;用访问控制列表对信息包进行检测;标准访问控制列表(1-99)只检测信息包的源IP地址
扩展访问控制列表可对下面的条件进行检测
源及目的IP地址
特定的TCP/IP协议族
目的端口号
反向地址掩码用于地址匹配 (0代表检测,1代表忽略);0代表检测相应位的 bit 值
1代表忽略相应位的 bit 值;IP access list test conditions:
Check for IP subnets 172.30.16.0 to 172.30.31.0;0.0.0.0 255.255.255.255表示允许任何地址; 可简写为 any;172.30.16.29 0.0.0.0 代表检查地址的所有bit位
简化的写法是 host;access-list access-list-number { permit | deny }
source [ source-mask ];标准访问控制列表举例 1;标准访问控制列表举例 2;access-list 1 deny 172.16.4.0 0.0.0.255
access-list 1 permit any
(implicit deny all)
(access-list 1 deny 0.0.0.0 255.255.255.255)
interface ethernet 0
ip access-group 1 out;提供更多的过滤条件
检查源及目的IP地址
可指定具体的IP协议及其端口号
列表号从100到199;access-list access-list-number { permit | deny } protocol
source source-mask destination destination-mask
[ operator operand ] [ established ];access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21
access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20
access-list 101 permit ip 172.16.4.0 0.0.0.255 0.0.0.0 255.255.255.255
(implicit deny all)
(access-list 101 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255)
interface ethernet 0
ip access-group 101 out;access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23
access-list 101 permit ip any any
(implicit deny all)
interface ethernet 0
ip access-group 101 out;Router(config)#;IP访问控制列表应设置在哪里;如何检验访问控制列表;如何监视访问控制列表的状态;练习;实验参考图
文档评论(0)