郑万波《网络安全精品教学》第7章网络访问控制.pptVIP

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 总结： ACL配置要点 放置ACL的原则 放置扩展ACL尽量靠近源 放置标准ACL尽量靠近目的 PC1 * 总结： ACL配置要点 放置ACL的原则 例：阻止Token Ring访问PC1 如果设置扩展ACL，应该把它放置在路由器A。因为扩展ACL可以指定源和目的，这样Token发送给PC1的数据包不会经过其他路由器和广域网线路 如果设置标准ACL，应该把它放置在路由器D。因为标准ACL不能指定目的地址。 * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 访问控制列表配置 ACL概述 ACL分类 ACL配置 翻转掩码 标准ACL的配置 扩展ACL的配置 标识ACL的配置 使用ACL控制VTY访问 总结： ACL配置要点 * ACL配置 配置ACL要点 访问列表要指明过滤什么协议； 按顺序匹配访问列表； 一般限制性的访问列表应该放在前面； 在访问列表的最后隐性定义了deny any，所以每个访问列表应该至少包含一条permit声明，否则将过滤掉所有包； 先创建访问列表，后使用。 * ACL配置 ACL的编号 * ACL配置 配置ACL的步骤 创建ACL access-list access-list-number { permit | deny } { test conditions } 将ACL绑定到接口 {protocol} access-group access-list number { in | out } * 访问控制列表配置 ACL概述 ACL分类 ACL配置 翻转掩码 标准ACL的配置 扩展ACL的配置 标识ACL的配置 使用ACL控制VTY访问 总结： ACL配置要点 * 翻转掩码 翻转换码的作用 使用IP地址与翻转掩码地址来定义测试条件 简化测试过程，避免额外的输入 翻转掩码的格式 与子网掩码类似，翻转掩码是由0、1二进制组成的32位数字，分成4段。 翻转掩码的配置规则 0意味着检查 1意味着忽略 * 翻转掩码 翻转掩码练习 检查某个地址是不是，翻转码是多少？ 检查某个地址是不是来自网络，翻转码是多少？ 检查某个地址是不是，翻转码是多少？ 忽略所有的地址，翻转码是多少？ * 翻转掩码 Any和Host Host 9 = host 9 * 翻转掩码 Any和Host Any 55 = any * 翻转掩码 复杂一点的例子 * 翻转掩码 练习 检查某个地址是不是在/24 — /24范围内，翻转码是多少？ 检查某个地址是不是在/16 — /16范围内，翻转码是多少？ 检查某个地址是不是在/24 — /24范围内，翻转码是多少？ * 访问控制列表配置 ACL概述 ACL分类 ACL配置 翻转掩码 标准ACL的配置 扩展ACL的配置 标识ACL的配置 使用ACL控制VTY访问 总结： ACL配置要点 * 标准ACL的配置 创建标准ACL access-list access-list-number { permit | deny } source [ mask ] 为访问列表条目设置参数： IP标准访问列表使用：1 — 99 缺省wildcard mask = no access-list access-list-number命令删除访问列表条目 * 标准ACL的配置 绑定ACL到指定的接口 ip access-group access-list-number { in | out } 在接口配置模式激活访问列表 设置inbound或outbound匹配 缺省是Outbound no ip access-group access-list-number命令从接口取消激活访问列表 * 标准ACL的配置 标准ACL举例 如何使Ethernet0和Ethernet1端口只允许源地址为网络的数据包Outbound? access-list 1 permit 55 interface ethernet 0 ip access-group 1 out interface etherent 1 ip access-group 1 out * 标准ACL的配置 标准ACL举例 如何在端口Ethernet0阻塞主机，阻塞源地址为3的数据包？ access-list 1 deny 3 access-list 1 permit 55 interface ethernet 0 ip access-group 1 out * 标准ACL的配置 标准ACL举例 如何在接口E