ImageVerifierCode 换一换
格式:PPT , 页数:30 ,大小:273.50KB ,
文档编号:2280237      下载积分:22 文币
快捷下载
登录下载
邮箱/手机:
温馨提示:
系统将以此处填写的邮箱或者手机号生成账号和密码,方便再次下载。 如填写123,账号和密码都是123。
支付方式: 支付宝    微信支付   
验证码:   换一换

优惠套餐
 

温馨提示:若手机下载失败,请复制以下地址【https://www.163wenku.com/d-2280237.html】到电脑浏览器->登陆(账号密码均为手机号或邮箱;不要扫码登陆)->重新下载(不再收费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录  
下载须知

1: 试题类文档的标题没说有答案,则无答案;主观题也可能无答案。PPT的音视频可能无法播放。 请谨慎下单,一旦售出,概不退换。
2: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
3: 本文为用户(三亚风情)主动上传,所有收益归该用户。163文库仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

1,本文(交换机端口安全及认证课件.ppt)为本站会员(三亚风情)主动上传,163文库仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。
2,用户下载本文档,所消耗的文币(积分)将全额增加到上传者的账号。
3, 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(发送邮件至3464097650@qq.com或直接QQ联系客服),我们立即给予删除!

交换机端口安全及认证课件.ppt

1、1第第5章章 交换机端口安全及认证交换机端口安全及认证 5.1 交换机端口安全及配置 5.2 在三层交换机上配置访问控制列表ACL 5.3 交换机端口安全认证简介25.2 在三层交换机上配置访问控制列表ACL 5.2.1 ACL概述 5.2.2 ACL的类型 5.2.3 ACL配置什么是访问列表 Access Control List:访问列表或访问控制列表,简称 ACL ACL就是对经过网络设备的数据包根据一定的规则进行数据包的过滤ISP4访问列表 访问控制列表的作用: 内网布署安全策略,保证内网安全权限的资源访问 内网访问外网时,进行安全的数据过滤 防止常见病毒、木马、攻击对用户的破坏5访

2、问列表的组成 定义访问列表的步骤 第一步,定义规则(哪些数据允许通过,哪些数据不允许通过) 第二步,将规则应用在路由器(或交换机)的接口上6 访问列表规则的应用路由器(或交换机)应用访问列表对流经接口的数据包进行控制 1.入栈应用(in) 经某接口进入设备内部的数据包进行安全规则过滤 2.出栈应用(out) 设备从某接口向外发送数据时进行安全规则过滤一个接口在一个方向只能应用一组访问控制列表7访问列表的入栈应用NY是否允许是否允许?Y是否应用是否应用访问列表访问列表?N查找路由表查找路由表进行选路转发进行选路转发NY选择出口选择出口S0路由表中是路由表中是否存在记录否存在记录?NY查看访问列表

3、查看访问列表的陈述的陈述是否允许是否允许?Y是否应用是否应用访问列表访问列表?NS0S0 访问列表的出栈应用9 IP ACL执行如下基本准则,执行顺序如下图所示: 从头到尾,至顶向下的匹配方式 匹配成功马上停止 立刻使用该规则的“允许、拒绝” 一切未被允许的就是禁止的。 路由器或三层交换机缺省允许所有的信息流通过; 而防火墙缺省封锁所有的信息流,然后对希望提供的服务逐项开放。 按规则链来进行匹配 使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配 按规则链来进行匹配 使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配ACL的工作原理10YY是否匹配是否匹配测试条件测试条件1

4、?是否匹配是否匹配测试条件测试条件2?拒绝拒绝是否匹配是否匹配最后一个最后一个测试条件测试条件?YYNY允许允许被系统隐被系统隐含拒绝含拒绝N允许允许允许允许拒绝拒绝拒绝拒绝N允许允许通过通过一个访问列表多条过滤规则115.2.2 ACL的类型 分类: 1、IP标准访问控制列表(Standard IP ACL) 2、IP扩展访问控制列表(Extended IP ACL) 动作: 允许(Permit) 拒绝(Deny) 应用方法: 入栈(Out) 出栈(In)12访问列表规则的定义 标准访问列表 根据数据包源IP地址进行规则定义 扩展访问列表 根据数据包中源IP、目的IP、源端口、目的端口、协议

5、进行规则定义源地址源地址TCP/UDP数据数据IPeg.HDLC1-99 号列表号列表 IP标准访问列表目的地址目的地址源地址源地址协议协议端口号端口号 IP扩展访问列表TCP/UDP数据数据IPeg.HDLC100-199 号列表号列表 0表示检查相应的地址比特 1表示不检查相应的地址比特001111111286432168421000000000000111111111111 反掩码(通配符) IP标准访问列表的配置1.定义标准ACL 命名的标准访问列表 switch(config)# ip access-list standard switch(config-std-nacl)#perm

6、it|deny 源地址 反掩码2.应用ACL到接口 Router(config-if)#ip access-group in | out IP扩展访问列表的配置1.定义扩展的ACL 编号的扩展ACL Router(config)#access-list permit /deny 协议 源地址 反掩码 源端口 目的地址 反掩码 目的端口 命名的扩展ACL ip access-list extended name permit /deny 协议 源地址 反掩码源端口 目的地址 反掩码 目的端口 2.应用ACL到接口 Router(config-if)#ip access-group in | ou

7、t 18基于名称的访问控制列表 ip access-list standard|extended ACL名称 其中standard为标准命名ACL,extended为扩展命名ACL deny | permit source-net source-wildcard | host source-address | any 标准命名ACL规则 deny | permit protocolsource-net source-wildcard | host source-address| anyoperator port destination-net destination-wildcard |hos

8、t destination-address |anyoperator port 扩展命名ACL规则195.2.3 ACL配置命名ACL配置命名的标准访问列表 命令格式为: 定义命名的标准访问列表: ip access-list standard name denysource source-wildcard|hostsource|any orpermit source source-wildcard|hostsource|any 应用ACL到接口 Router(config-if)#ip access-group name in | out 20 显示ACL信息 在特权模式下使用如下命令可以显

9、示ACL配置信息 Show access-lists name /显示所有或指定名称的ACL配置信息 Show ip access-lists name /显示所有或指定名称的IP ACL配置信息 Show ip access-group interface interface-id /显示指定接口上的IP ACL配置信息 Show running-config /显示正在运行的所有配置信息21 (2)扩展的ACL 命名的扩展ACL格式:ip access-list extended name permit /deny 协议 源地址 反掩码源端口 目的地址 反掩码 目的端口 应用ACL到接口:

10、Router(config-if)#ip access-group name in | out IP标准访问列表的配置1.定义标准ACL 命名的标准访问列表 switch(config)# ip access-list standard switch(config-std-nacl)#permit|deny 源地址 反掩码2.应用ACL到接口 Router(config-if)#ip access-group in | out 23172.16.3.0172.16.4.0F1/0S1/2F1/1172.17.0.0 IP标准访问列表配置实例(一) 配置: access-list 1 permi

11、t 172.16.3.0 0.0.0.255 (access-list 1 deny any) interface serial 1/2 ip access-group 1 out24标准访问列表配置实例(二) 需求: 你是某校园网管,领导要你对网络的数据流量进行控制,要求校长可以访问财务的主机,但教师机不可以访问。 配置: ip access-list standard abc permit host 192.168.2.8 deny 192.168.2.0 0.0.0.255财务财务192.168.1.0教师教师192.168.2.0192.168.2.8F0/1F0/2F0/5F0/6F

12、0/8F0/9F0/10校长校长 IP扩展访问列表的配置1.定义扩展的ACL 编号的扩展ACL Router(config)#access-list permit /deny 协议 源地址 反掩码 源端口 目的地址 反掩码 目的端口 命名的扩展ACL ip access-list extended name permit /deny 协议 源地址 反掩码源端口 目的地址 反掩码 目的端口 2.应用ACL到接口 Router(config-if)#ip access-group in | out IP扩展访问列表配置实例(一) 如何创建一条扩展ACL 该ACL有一条ACE,用于允许指定网络(19

13、2.168.x.x)的所有主机以HTTP访问服务器172.168.12.3,但拒绝其它所有主机使用网络 Router (config)# access-list 103 permit tcp 192.168.0.0 0.0.255.255 host 172.168.12.3 eq www Router # show access-lists 10327access-list 115 deny udp any any eq 69 access-list 115 deny tcp any any eq 135access-list 115 deny udp any any eq 135access

14、-list 115 deny udp any any eq 137access-list 115 deny udp any any eq 138access-list 115 deny tcp any any eq 139access-list 115 deny udp any any eq 139access-list 115 deny tcp any any eq 445access-list 115 deny tcp any any eq 593access-list 115 deny tcp any any eq 4444access-list 115 permit ip any an

15、y interface ip access-group 115 in ip access-group 115 out IP扩展访问列表配置实例(二)28 访问列表的验证 显示全部的访问列表 Router#show access-lists 显示指定的访问列表 Router#show access-lists 显示接口的访问列表应用 Router#show ip interface 接口名称 接口编号29IP访问列表配置注意事项1、一个端口在一个方向上只能应用一组ACL2、锐捷全系列交换机可针对物理接口和SVI接口应用ACL 针对物理接口,只能配置入栈应用(In) 针对SVI(虚拟VLAN)接口,可以配置入栈(In)和出栈(Out)应用3、访问列表的缺省规则是:拒绝所有30IP ACL 注意事项: 1、交换机支持命名的ACL,路由器支持编号的ACL 2、删除端口上应用的ACL时需要在端口下删除 3、交换机和交换机相连配Trunk

侵权处理QQ:3464097650--上传资料QQ:3464097650

【声明】本站为“文档C2C交易模式”,即用户上传的文档直接卖给(下载)用户,本站只是网络空间服务平台,本站所有原创文档下载所得归上传人所有,如您发现上传作品侵犯了您的版权,请立刻联系我们并提供证据,我们将在3个工作日内予以改正。


163文库-Www.163Wenku.Com |网站地图|