20 元
下载资源

10-点到点连接讲解课件

上传人:b410****zcfj 文档编号:252519885 上传时间:2024-11-16 格式:PPT 页数:41 大小:2.20MB
返回 下载 相关 举报
10-点到点连接讲解课件_第1页
第1页 / 共41页
10-点到点连接讲解课件_第2页
第2页 / 共41页
10-点到点连接讲解课件_第3页
第3页 / 共41页
点击查看更多>>
资源描述
单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,2002,Cisco Systems,Inc.All rights reserved.,1,网络管理技术,主讲:张丽虹,网络工程系,标准访问列表(,standard access lists),只检查分组的源地址信息,允许或拒绝的是整个协议栈,扩展访问列表(,extended access lists),可以同时检查源和目的地址信息,可针对于三层或四层协议信息进行控制,是目前使用非常广泛的安全控制方法。,访问控制列表的类型,访问列表配置指南,先在,路由器的,全局配置模式下创建,ACL,然后在接口模式应用,ACL,。,指定一个访问列表的表号,,1-99,表示标准,ACL,;,100-199,表示扩展访问列表,不到必要的时候,不要使用扩展的列表号码,.,每接口、每协议、每方向只能有一个访问列表。,在,ACL,中,你输入列表条目的顺序就是,IOS,测试的顺序。,记住:,把最严格的条目写在最上面,,并且注意好判断语句之间的逻辑顺序,防止出错。,ACL,的最后一行语句默认是拒绝所有,此条目并不显示,所以要非常注意。你要根据实际情况,添加相应的允许,(permit),语句。,在把,ACL,映射到接口之前先做好这个,ACL,,否则就全部拒绝。,ACL,对穿越路由器和到达路由器的流量起作用,对来自路由器本身的流量不起作用。,在接口上启动访问列表,可以设定入站和出站的方向,缺省,=outbound,no ip,access-group,access-list-number,从接口上移除访问列表,Router(config-if)#,ip access-group,access-list-number,in|out,逐一设定,IP,标准访问列表中的表项,IP,标准访问列表的表号使用,1 to 99,缺省的通配符掩码,=0.0.0.0,(也就是说,当你不写通配符掩码的时候),no access-list,access-list-number,移除整个,ACL,,编号方式的,ACL,不能删除具体的表项只能全部删除,这点要格外注意。,remark,给访问列表添加功能注释,推荐使用它。,Router(config)#access-list,access-list-number,permit|deny|remark,source,mask,标准,IP,访问列表的配置,Router(config-if)#ip access-group,access-list-number,in|out,扩展,IP,访问列表配置,在接口上启动这个扩展访问列表,为扩展访问列表设置表项参数,有点复杂,.,Router(config)#access-list,access-list-number,permit|deny,protocol,source,source-wildcard,operator port,destination,destination-wildcard,operator port,established log,现代访问控制列表的配置,命名访问列表配置,1.,标准命名,ACL,命名,ACL,允许使用一个字母、数字组合的字符串来表示,ACL,表号。,(,1,)配置标准命名,ACL,的命令:,Firewall(config)#,ip access-list standard,name,Firewall(config-std-nacl)#Deny|permit source address wildcard,Firewall(config-if)#ip access-group name in|out,(,2,)设计一个标准命名,ACL,,以用于阻塞来自一个特定子网,192.168.0.0,的通信流量,而允许所有其他通信流量,并把它们转发出去,配置命令如下:,Firewall(config)#ip access-list standard task1,Firewall(config-std-nacl)#deny 192.168.0.0 0.0.0.255,Firewall(config-std-nacl)#permit any,Firewall(config)#interface fa0/0,Firewall(config-if)#ip access-group task1 in,2.,扩展命名,ACL,(1),配置扩展命名,ACL,的命令:,Firewall(config)#ip access-list extended name,Firewall(config-ext-nacl)#Deny|permit source address wildcard,Firewall(config-if)#ip access-group name in|out,(,2,)设计一个命名,ALC,,只拒绝来自特定子网,192.168.0.0,的,FTP,和,Telnet,通信流量通过,fa0/0,,配置命令如下:,Firewall(config)#ip access-list extended task2,Firewall(config-ext-nacl)#deny tcp 192.168.0.0 0.0.0.255 any eq 21,Firewall(config-ext-nacl)#deny tcp 192.168.0.0 0.0.0.255 any eq 23,Firewall(config-ext-nacl)#permit ip any any,Firewall(config-ext-nacl)#exit,Firewall(config)#interface fa0/0,Firewall(config-if)#ip access-group task2 in,6,、访问列表的配置原则,访问列表中表项的顺序是至关重要的,.,推荐,:,在,PC,中使用文本编辑器创建访问列表的表项,然后剪切并粘贴到路由器的配置文件中,.,访问列表是从上至下的顺序处理的,要牢记,要把最严谨的表项放在最前面,防止产生错误,.,不能对列表中的条目重新排序和移除,.,使用,no access-list number,移除整个访问列表,.,例外,:,命名访问列表可以移除单个表项条目,但无法重新排序,如果使用,PIX,防火墙就没有问题;估计在以后的新版本中可能会做到,.,对于任何表项条目都不匹配的,,IOS,默认为拒绝所有,.,除非在访问列表的结束位置用明确的,permit,语句允许,.,尽可能把扩展,ACL,放置在离要被拒绝的通信流量的来源最近的地方,.,对于标准,ACL,,因为它不能够指定目的地址,所以最好能够放置在离目的地最近的地方,.,正确放置,IP,访问列表,wg_ro_a#show ip interfaces e0,Ethernet0 is up,line protocol is up,Internet address is 10.1.1.11/24,Broadcast address is 255.255.255.255,Address determined by setup command,MTU is 1500 bytes,Helper address is not set,Directed broadcast forwarding is disabled,Outgoing access list is not set,Inbound access list is 1,Proxy ARP is enabled,Security level is default,Split horizon is enabled,ICMP redirects are always sent,ICMP unreachables are always sent,ICMP mask replies are never sent,IP fast switching is enabled,IP fast switching on the same interface is disabled,IP Feature Fast switching turbo vector,IP multicast fast switching is enabled,IP multicast distributed fast switching is disabled,7,、检查,ACL,检查,ACL,的表项条目,wg_ro_a#show access-lists,Standard IP access list 1,permit 10.2.2.1,permit 10.3.3.1,permit 10.4.4.1,permit 10.5.5.1,Extended IP access list 101,permit tcp host 10.22.22.1 any eq telnet,permit tcp host 10.33.33.1 any eq ftp,permit tcp host 10.44.44.1 any eq ftp-data,wg_ro_a#show protocol access-list,access-list number,wg_ro_a#show access-lists,access-list number,总结,良好的设计和实施的,ACL,对你的网络安全性是至关重要的。,为实现标准和扩展,ACL,的功能,你需要在,IOS,的配置模式下完成它,并把它作用到相应接口上。,命名,ACL,与编号,ACL,类似,但由于没有号码范围的限制,又可以单独删除某个条目,并且不需要重复输入列表前缀,因此得到普遍的使用;以后的,IOS,版本也是针对命名,ACL,的修订,编号,ACL,将逐步被取缔。,出于安全的目的,你可以对,TELNET,会话做过滤,从而允许和拒绝相应的,IP,地址对你重要设备的管理性访问。,注意按照课程中的推荐的方法放置访问列表;否则会带来未知的结果。,当你完成,ACL,的配置,要经常使用,SHOW,命令进行检查和测试。,2002,Cisco Systems,Inc.All rights reserved.,13,建立串行的点对点连接,WAN(,广域网,),概述,WAN,是一种地域上超过局域网的数据通信网络,.,WAN,与,LAN,区别之一在于需要向外界的,WAN,服务提供商申请广域网服务,.,例如,:RBOC(,地区贝尔运行公司,),的广域网提供,WAN,承载网络业务,.,用户所需要的,WAN,服务依据用户需求,所需成本和实用性三个角度来考虑,.,点到点专线,同步串口,Telephone,Company,电路交换,异步串口,Service,Provider,分组交换连接,同步串口,广域网连接类型:物理层,专线:,点到点的链接方式;提供专用的永久连接;当经常与多个地点连接时,使用专线是主要的方法。,点到点专线,同步串口,电路交换:,被广泛使用于电话公司的网络中,,ISDN,、,PSTN,就是广域网电路交换的一个例子。,主要用于把
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 办公文档 > 教学培训


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!