CCNA课件访问控制.docVIP

访问控制列表 分析路由表建立.(通过路由表转发数据,1.0 和2.0 是路由器直连，自动建立路由表)----1.1要访问2.1时.1.1发现2.1不是在同一网段，就把数据交给F0/0 (1.200网关).这时路由器知道2.1在哪里，从F0/1口发出，就可以到2.1. 现在出于安全考虑 要求1.1和1.2可以访问财务部(1.1和1.2 是公司经理),其他不允许访问财务.要怎么做? 访问控制列表: 用途很广,网络地址转换(NAT),QOS等都用到 ACL 对访问网络的流量进行过滤，实现网络的安全访问。 ● 标准访问控制列表: Router(config)#access-list 编号 策略 源地址 编号: 标准访问控制列表范围.用1--- 99表示 策略: permit允许 | deny 拒绝 源地址:要严格检查的地址(源地址很关键) IP+通配符掩码 通配符掩码-----是用来限定特定的地址范围 用0 表示严格匹配 用1 表示不检查 （为了确定一个具体的主机地址是否匹配条件。路由器必须检查IP地址的每一位 32 比特。 路由器是怎么知道要检查比特位是多少------通配符掩码）定义了我们要检查IP地址的位数。 例如:对于主机 通配符掩码 32位都要检查 对于主网 /16 通配符掩码 55 检查16位 对于子网 /24 通配符掩码 55 24位要检查 任意的 通配符掩码 55 不检查 主机----host 任意----any 表示 练习：4/28 子网掩码： 40 网络号： 4/28 (借了4位.网络号是16的倍数) 广播地址： 9 (下一个网络号-1) 通配符掩码 5 (比较前28位) 通配符掩码 = 55 - 子网掩码 也称为反掩码 与接口关联访问控制列表 Router(config-if)#ip access- group 编号 {in|out} 编号: 与该接口关联的访问控制列表号码 {in|out} 表明在哪个方向上的数据进行控制 下面来写出上面的策略 1.写表:Router(config)#access-list 1 permit host Router(config)#access-list 1 permit host (表示两台主机允许) (Router(config)#access-list 1 deny any) 系统默认拒绝所有 2.执行:Router(config)#interface f0/0 Router(config-if)#ip access-group 1 in 测试—是否可以控制访问 ping 网段上的主机 不通 和可以ping通（表明访问控制列表可以对流量进行控制） 访问控制列表的执行过程 从上到下,逐条执行 严格语句写在上面 如果: 允许少-----先允许,后拒绝所有 拒绝少-----先拒绝,后允许所有 下图所描述的是路由器对照访问控制列表检查数据包的过程: 从上到下，逐条执行。 ● 扩展的访问控制列表 标准访问控制列表只能根据源地址来检查,数据包,它允许/拒绝的是整个TCP/IP协议集的数据.功能有限. 扩展的访问控制列表可以根据 源和目的地址,协议, 源和目的端口等来检查数据包.更加灵活,条件细化. 扩展的访问控制列表格式 Router(config)# access-list 编号 策略 协议 源地址 目的地址 端口 编号：扩展的访问控制列表范围 用（100--199）表示 策略：permit允许 | deny 拒绝 协议：检查特定协议的数据包 如TCP UDP ICMP 端口：协议的端口号 ICMP协议 3层 网络控制消息协议（测试网络连通性） ECHO ICMP请求 ECHO Repley ICMP应答 TCP协议：HTTP 80 超文本传输协议（www服务） FTP 21 文件传输协议 SMTP 25 简单邮件传输协议(发送邮件) POP3 110 第三版邮局协议(接收邮件) TELNET 23 远程登录协议 UDP协议: TFTP 69 简化的文件传输协议 DNS 53 域名解析协议 DHCP