收藏
下载资源

交换机路由器配置技术(九)

上传人:ji****en 文档编号:107678382 上传时间:2019-10-20 格式:PDF 页数:23 大小:1MB
返回 下载 相关 举报
交换机路由器配置技术(九)_第1页
第1页 / 共23页
交换机路由器配置技术(九)_第2页
第2页 / 共23页
交换机路由器配置技术(九)_第3页
第3页 / 共23页
交换机路由器配置技术(九)_第4页
第4页 / 共23页
交换机路由器配置技术(九)_第5页
第5页 / 共23页
点击查看更多>>
资源描述

《交换机路由器配置技术(九)》由会员分享,可在线阅读,更多相关《交换机路由器配置技术(九)(23页珍藏版)》请在金锄头文库上搜索。

1、 网络工程师 之交换机路由器的配置技术(九) 高级项目经理 任铄 第17章 交换机路由器的配置技术 17.1 交换机的概念与配置基础 17.2 VLAN的配置与管理 17.3 路由器的概念与配置基础 17.4 路由选择协议与配置技术 17.5 广域网接入配置 17.6 VPN配置技术 17.7 NAT与访问控制列表配置 17.8 防火墙配置技术 一、访问控制列表 访问控制列表根据源地址、目标地址、源端口或目标端口等协议 信息对数据包进行过滤,从而达到控制访问的目的,提高安全性。 在IP网络中,可以使用的访问列表有: 标准访问列表(标号为199和13001999) 扩展访问列表(标号为10019

2、9和20002699) 路由器自顶向下逐个处理ACL语句: 首先把第一个语句与分组信息进行比较,如果匹配,则路由器 将允许(Permit)或拒绝(Deny)分组通过 access-list 10 deny host 172.16.1.1 如果第一个语句不匹配,则处理第二个语句,直到找出一个 匹配的 如果在整个列表中没有发现匹配的语句,则路由器丢弃该分组 对ACL语句的处理规则总结出以下要点: (1) 一旦发现匹配的语句,就不再处理列表中的后续语句。 (2) 语句的排列顺序很重要。 (3) 如果整个列表中没有匹配的语句,则分组被丢弃。 1. ACL语句排列的基本原则 需要特别强调ACL语句的排列

3、顺序。 如果有两条语句,一个拒绝来自某个主机的通信,另一个允许 来自该主机的通信,则排在前面的语句将被执行,而排在后面 的语句将被忽略。 所以在安排ACL语句的顺序时要把最特殊的 语句排在列表的最前面,而最一般的语句排在列表的最后。 高级项目经理 任铄 例如,下面的两条语句组成一个标准ACL。 access-list 10 permit 172.16.1.0 0.0.0.255 access-list 10 deny host 172.16.1.1 第一条语句表示允许来自子网172.16.1.0/24的所有分组通过,而 第二条语句表示拒绝来自主机172.16.1.1的通信。 如果路由器收 到一

4、个源地址为172.16.1.1的分组,则首先与第一条语句进行匹配, 该分组被允许通过,第二条语句就被忽略了。 高级项目经理 任铄 要达到预想的结果“允许来自除主机172.16.1.1之外的、属于子网 172.16.1.0/24的所有通信”,则两条语句的顺序应该为: access-list 10 deny host 172.16.1.1 access-list 10 permit host 172.16.1.0 0.0.0.255 可见列表顶部是特殊语句,列表底部是一般性语句。 高级项目经理 任铄 出于安全性考虑,ACL的默认动作是拒绝(Implicit Deny), 即在ACL 中没有找到匹配

5、的语句时分组将被拒绝通过,这相当于在列表最 后有一个隐含语句拒绝了所有的通信。 由此引申出一条规则: 每一个ACL至少要有一条“允许”语句,否则只有“拒绝”语 句的ACL将丢弃所有的分组。 在靠近“目的端”的网络接口上设置标准ACL,在靠近“源端” 的网络接口上设置扩展ACL。 二、标准访问列表 功能说明:基于源IP地址进行判定是否允许或拒绝数据包通过。 命令格式: access-list access-list-number permit|deny sourcesource- wildcard|any 命令解释: access-list 访问列表命令 access-list-number 访

6、问列表号码,值为199 permit 允许、deny 拒绝 source 源IP地址 source-wildcard 源IP地址的通配符 any 任何地址,代表0.0.0.0 255.255.255.255 高级项目经理 任铄 通配符:ACL规定使用通配符掩码来说明子网地址,通配符掩码 就是子网掩码按位取反的结果。source-wildcard省略时,则使用 默认值0.0.0.0 。它的作用是当其取值为1时,代表该位不关心; 当其取值为0时,代表必须匹配。因此,如果Source是203.66.47.0, source-wildcard是 0.0.0.255,则说明只要前三组符合,最后一组 可以

7、不符合,即有一个C类的IP地址符合。 命令实例: R1#config terminal R1(config)#access-list 1 permit 192.168.1.1 (允许192.168.1.1的数据包通过) R1(config)#access-list 1 deny 192.168.1.2 (禁止192.168.1.2的数据包通过) R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255 R1(config)#access-list 1 deny any R1(config)#interface serial0 R1(config

8、)#ip access-group 1 in i p 访问 组 1 进入方向激活 在激活ACL命令之前,要进入端口配置模式,下面是激活ACL的命 令序列: Router(config)# interface type module_#port_# Router(config-if)# ip access-group ACL_# in/out 1、在ip access-group命令中说明要激活的ACL编号(ACL_#)以及 过滤的方向(in/out),in表示进入端口的分组(入站),out表 示从端口输出的分组(出站)。 2、可以在路由器的多个端口上多次激活同一个ACL, 而且还可 以在同一个

9、端口上从入站和出站两个方向对同一个ACL分别激活 两次。 三、扩展访问列表 功能说明:在标准访问列表的基础上增加更高层次的控制,能够 基于目的地址、端口号、对话层协议来控制数据包。 命令格式: access-list access-list-number permit|deny protocolprotocol-keyword source source-wildcard |any destination destination-wildcard |any protocol-specific optionslog 命令解释: protocolprotocol-keyword 可使用的协议,包括

10、IP,ICMP, IGRP,EIGRP,OSPF等; destinatian destination-wild 目的IP地址,格式与源IP地址相同; protocol-specffic option 协议指定的选项; log: 记录有关数据包进入访问列表的信息。 命令实例: access-list 100 deny ip any 11.0.0.0 0.255.255.255 access-list 100 permit ip any any (禁止任何IP地址访问11.0.0.0/8的网络的IP数据包,允许其他的访问) access-list 150 permit tcp any host 1

11、0.64.0.2 eq smtp (允许以SMTP协议访问主机10.64.0.2) access-list 150 permit UDP any any eq domain (允许以任何DNS访问) R1#config terminal R1(config)#access-list 101 permit tcp host 10.2.3.1 host 2.2.2.1 eq dns R1(config)#access-list 101 permit udp any host 200.200.200.1 eq dns R1(config)#access-list 101 permit tcp any

12、 host 200.200.200.2 eq www R1(config)#access-list 101 permit icmp any 200.200.200.0 0.0.0.255 R1(config)#access-list 101 permit tcp any host 200.200.200.3 eq smtp R1(config)#access-list 101 permit udp host 2.2.2.2 host 2.2.2.1 eq rip R1(config)#interface ethernet0 R1(config)#ip address 2.2.2.1 255.2

13、55.255.0 R1(config)#ip access-group 101 in 源地址 目标地址 四、命名的访问控制列表 语法格式: ip access-list standard|extended ACL_name 标准配置命令 Router(config)# ip access-list standard ACL_name Router(config-std-acl)#permit|deny source_ip_addresswildcard_mask 扩展配置命令 Router(config)# ip access-list extended ACL_name Router(con

14、fig-std-acl)#permit|deny ip_protocol source_ip_address wildcard_maskprotocol_information destination_ip_address wildcard_maskprotocol_informationlog 标准 扩充 R1#config terminal R1(config)#ip access-list standard acl_std R1(config-std-acl)#deny 192.168.1.0 0.0.0.255 R1(config-std-acl)#permit any R1(conf

15、ig)#interface Ethernet0 R1(config-if)#ip access-group acl_std in 五、基于时间的ACL absolute:为绝对时间,只使用一次。 Periodic:为周期性重复使用的时间范围的定义。 格式为periodic 日期关键字 开始时间 结束时间。其中日期关键字如下: daily 每天 weekdays 周一至五 weekend 周末 Monday 星期一 . Sunday 星期日 R1(config)#time-range w (定义一个时间范围,取名为w) R1(config-time-range)#absolute start 0

16、0:00 1 June 2017 end 00:00 3 June 2017 R1(config-time-range)#periodic weekdays 9:00 to 12:00 (重复时间周期) R1(config-time-range)#exit R1(config)#access-list 106 deny ip 192.168.1.0 0.0.0.255 any time-range w (在ACL中调用该时间范围) R1(config)#access-list 106 permit ip any any (其余时间允许访问) R1(config)#interface ethernet 0/

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 电子/通信 > 综合/其它

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号