CISCO路由访问控制
标准访问控制列表的配置
一、实验目的
1.掌握访问列表实验安全性的配置
2.理解标准访问控制列表的作用
二、应用环境
1.某些安全性要求比较高的主机或网络需要进行访问控制
2.其他的很多应用都可以使用访问控制列表提供操作条件
三、实验设备
1.DCR-1751 两台
2.PC机两台
3.CR-V35MT 一条
4.CR-V35FC 一条
5.网线两条
四、实验拓扑
五、实验要求
ROUTER-A ROUTER-B
S1/1 (DCE) 192.168.1.1/24 S1/0 (DTE) 192.168.1.2/24
F0/0 192.168.0.1/24 F0/0 192.168.2.1/24 PC-A PC-B
IP 192.168.0.2/24 192.168.2.2/24
网关 192.168.0.1 192.168.2.1
实验目标:禁止192.168.0.0/24对PC-B的访问
六、实验步骤
第一步:参照实验三和上表,配置所有接口的地址,并测试连通性
Router-A#ping 192.168.1.2
PING 192.168.1.2 (192.168.1.2): 56 data bytes
!!!!!
--- 192.168.1.2 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max = 20/28/30 ms
第二步:参照实验七,配置静态路由
Router-A#sh ip route
Codes: C - connected, S - static, R - RIP, B - BGP, BC - BGP connected
D - DEIGRP, DEX - external DEIGRP, O - OSPF, OIA - OSPF inter area
ON1 - OSPF NSSA external type 1, ON2 - OSPF NSSA external type 2
OE1 - OSPF external type 1, OE2 - OSPF external type 2
DHCP - DHCP type
VRF ID: 0
C 192.168.0.0/24 is directly connected, FastEthernet0/0
C 192.168.1.0/24 is directly connected, Serial1/1
S 192.168.2.0/24 [1,0] via 192.168.1.2
Router-B#sh ip route
Codes: C - connected, S - static, R - RIP, B - BGP, BC - BGP connected
D - DEIGRP, DEX - external DEIGRP, O - OSPF, OIA - OSPF inter area
ON1 - OSPF NSSA external type 1, ON2 - OSPF NSSA external type 2
OE1 - OSPF external type 1, OE2 - OSPF external type 2
DHCP - DHCP type
VRF ID: 0
S 192.168.0.0/24 [1,0] via 192.168.1.1
C 192.168.1.0/24 is directly connected, Serial1/0
C 192.168.2.0/24 is directly connected, FastEthernet0/0
第三步:PC-A能与PC-B通讯
第四步:配置访问控制列表禁止PC-A所在的网段对PC-B的访问
Router-B#conf
Router-B_config#ip access-list standard 1 !定义标准的访问控制列表Router-B_config_std_nacl#deny 192.168.0.0 255.255.255.0 !基于源地址Router-B_config_std_nacl#permit any !因为有隐含的DENY ANY
第五步:将访问控制列表(ACL)绑定在相应的接口
Router-B_config#int f0/0 !进入到离目标最近的接口
Router-B_config_f0/0#ip access-group 1 out !绑定ACL 1 在出的方向
第六步:验证
Router-B#sh ip access-list
Standard IP access list 1
deny 192.168.0.0 255.255.255.0
permit any
第七步:测试
七、注意事项和排错
1.标准访问控制列表是基于源地址的
2.每条访问控制列表都有隐含的拒绝
3.标准访问控制列表一般绑定在离目标最近的接口
4.注意方向,以该接口为参考点,IN 是流进的方向; OUT是流出的方向
八、配置序列
Router-B#sh run
正在收集配置...
当前配置:
!
!version 1.3.2E
service timestamps log date
service timestamps debug date
no service password-encryption
!
hostname Router-B
!
!
!
interface FastEthernet0/0
ip address 192.168.2.1 255.255.255.0
no ip directed-broadcast
ip access-group 1 out
!
interface Serial1/0
ip address 192.168.1.2 255.255.255.0
no ip directed-broadcast
!
interface Async0/0
no ip address
no ip directed-broadcast
!
!
!
!
ip route 192.168.0.0 255.255.255.0 192.168.1.1
!
!
ip access-list standard 1
deny 192.168.0.0 255.255.255.0
permit any
!
!
!
九、共同思考
1.为什么访问控制列表最后要加一条允许?
2.除了绑定在F0/0以外,在现在的环境中还能绑定在哪个接口上?什么方向?
十、课后练习
请配置禁止对PC-A的访问
十一、相关命令详解
1.deny
在IP访问列表配置模式中可使用此命令配置禁止规则,要从IP访问列表中删除deny规则,在命令前加no前缀。
deny source [source-mask] [log]
no deny source [source-mask] [log]
deny protocol source source-mask destination destination-mask[precedence precedence] [tos tos] [log]
no deny protocol source source-mask destination destination-mask[precedence precedence] [tos tos] [log]
对于互联网控制报文协议(ICMP),也可以使用以下句法:
deny icmp source source-mask destination destination-mask [icmp-type] [precedence precedence] [tos tos] [log]
对于Internet 组管理协议(IGMP),可以使用以下句法:
deny igmp source source-mask destination destination-mask [igmp-type] [precedence precedence] [tos tos] [log]
对于TCP,可以使用以下句法:
deny tcp source source-mask [operator port] destination destination-mask [operator port ] [established] [precedence precedence] [tos tos] [log]
对于数据报协议(UDP),可以使用以下句法:
deny udp source source-mask [operator port] destination destination-mask [operator port] [precedence precedence] [tos tos] [log]
参数:
protocol 协议名字或IP协议号。它可以是关键字icmp、igmp、igrp、ip、ospf、
tcp或udp,也可以是表IP协议号的0到255的一个整数。为了匹配任何
Internet协议(包括ICMP、TCP和UDP)使用关键字ip。某些协议允许进一
步限定,如下描述。
source 源网络或主机号。有两种方法指定源:32位二进制数,用四个点隔开的十
进制数表示。使用关键字any作为0.0.0.0 0.0.0.0的源和源掩码缩写。
source-mask 源地址网络掩码。使用关键字any作为0.0.0.0 0.0.0.0的源和源掩码缩
写。
destination 目标网络或主机号。有两种方法指定:
使用四个点隔开的十进制数表示的32位二进制数。
使用关键字any作为0.0.0.0 0.0.0.0的目标和目标掩码的缩写。
destination-mask 目标地址网络掩码。使用关键字any作为0.0.0.0 0.0.0.0的目标地址和
目标地址掩码缩写。
precedence precedence (可选)包可以由优先级过滤,用0到7的数字指定。
tos tos (可选) 数据包可以使用服务层过滤。使用数字0-15指定。
icmp-type (可选)ICMP包可由ICMP报文类型过滤。类型是数字0到255。
igmp-type (可选)IGMP包可由IGMP报文类型或报文名过滤。类型是0到15的数字。
operator (可选)比较源或目标端口。操作包括lt(小于), gt(大于),eq(等于),
neq(不等于)。如果操作符放在source和source-mask之后,那么它必须
匹配这个源端口。如果操作符放在destination和destination-mask之
后,那么它必须匹配目标端口。
port (可选)TCP或UDP端口的十进制数字或名称。端口号是一个0到65535的数
字。TCP端口名列在“使用方针”部分。当过滤TCP时,可以只使用TCP端
口名称。UDP端口名称也列在“使用说明”部分。当过滤TCP时,只可使用
TCP端口名。当过滤UDP时,只可使用UDP端口名。
established (可选)只对TCP协议,表示一个已建立的连接。如果TCP数据报ACK或RST
位设置时,出现匹配。非匹配的情况是初始化TCP数据报,以形成一个连
接。
log (可选)可以进行日志记录。
命令模式:IP访问列表配置态
使用说明:可以使用访问表控制包在接口上的传输,控制虚拟终端线路访问以及限制路由选择更新的内容。在匹配发生以后停止检查扩展的访问表。分段IP包,而不是初始段,立即由任何扩展的IP访问表接收。扩展的访问表用于控制访问虚拟终端线路或限制路由选择更新的内容,不必匹配TCP源端口、服务值的类型或包的优先权。
注意:在初始建立一个访问表后,任何后续的添加内容(可能由终端键入)放置在列表的尾部。
以下显示用于替换端口号的TCP端口名。参看当前的分配号RFC找到这些协议的有关参考。与这些协议相应的端口号也可以通过以键入一个?替代端口号的方式来寻找。
bgp
ftp
ftp-data
login
pop2
pop3
smtp
telnet
www
以下显示用于替换端口号的UDP端口名。参看当前的分配号RFC找到这些协议的有关参考。与这些协议相应的端口号也可以通过以键入一个?替代端口号的方式来寻找。
domain
snmp
syslog
tftp
示例:
下面示例禁止192.168.5.0这个网段:
ip access-list standard filter
deny 192.168.5.0 255.255.255.0
注意:IP访问表由一个隐含的deny规则结束。
相关命令:
ip access-group
ip access-list
permit
show ip access-list
2.ip access-group
为了控制访问一个接口,使用ip access-group接口配置命令。为了删除这个指定的访问组,使用no 格式命令。
ip access-group {access-list-name}{in | out}
no ip access-group{access-list-name}{in | out}
参数:
access-list-name 访问表名。这是一个最长为20个字符的字符串。
in 在进接口时使用访问列表。
out 在出接口时使用访问列表。
命令模式:接口配置态
使用说明:访问列表既可用在出接口也可用在入接口。对于标准的入口访问列表,在接收到包之后,对照访问列表检查包的源地址。对于扩展的访问列表,该路由器也检查目标地址。如果访问表允许该地址,那么软件继续处理该包。如果访问表不允许该地址,该软件放弃包并返回一个ICMP主机不可到达报文。
对于标准的出口访问表,在接收和路由一个包到控制接口以后,软件对照访问列表检查包的源地址。对于扩展的访问表,路由器还检查接收端地址。如果访问表允许该软件就传送这个包。如果访问列表不允许该地址,软件放弃这个包并返回一个ICMP主机不可达报文。
如果指定的访问列表不存在,所有的包允许通过。
示例:
下例在以太网接口0的包出口上应用列表filter:
interface ethernet 0
ip access-group filter out
相关命令:
ip access-list
show ip access-list
3.ip access-list
使用此命令后,进入的IP访问列表配置模式。在这状态下可以增加和删除访问规则。命令exit返回配置状态。
使用no前缀,删除IP访问列表。
ip access-list {standard | extended} name
no ip access-list {standard | extended} name
参数:
standard 指定为标准访问列表
extended 指定为扩展访问列表
name 访问表名。这是一个最长20的字符串。
缺省:没有IP访问列表被定义。
命令模式:全局配置态
使用说明:使用此命令将进入IP访问列表配置模式,在IP访问列表配置模式中,可以用deny或permit命令来配置访问规则。
示例:
以下的例子配置一个标准访问列表
ip access-list standard filter
deny 192.168.1.0 255.255.255.0
permit any
相关命令:
deny
ip access-group
permit
show ip access-list
4.permit
在IP访问列表配置模式中可使用此命令配置允许规则,要从IP访问列表中删除permit规则,在命令前加no前缀。
permit source [source-mask] [log]
no permit source [source-mask] [log]
permit protocol source source-mask destination destination-mask[precedence precedence] [tos tos] [log]
no permit protocol source source-mask destination destination-mask[precedence precedence] [tos tos] [log]
对于互联网控制报文协议(ICMP),也可以使用以下句法:
permit icmp source source-mask destination destination-mask [icmp-type] [precedence precedence] [tos tos] [log]
对于Internet 组管理协议(IGMP),可以使用以下句法:
permit igmp source source-mask destination destination-mask [igmp-type] [precedence precedence] [tos tos] [log]
对于TCP,可以使用以下句法:
permit tcp source source-mask [operator port] destination destination-mask [operator port ] [established] [precedence precedence] [tos tos] [log]
对于数据报协议(UDP),可以使用以下句法:
permit udp source source-mask [operator port [port]] destination destination-mask [operator port] [precedence precedence] [tos tos] [log]
参数:
protocol 协议名字或IP协议号。它可以是关键字icmp、igmp、igrp、ip、ospf、
tcp或udp,也可以是表IP协议号的0到255的一个整数。为了匹配任何
Internet协议(包括ICMP、TCP和UDP)使用关键字ip。某些协议允许进一
步限定,如下描述。
source 源网络或主机号。有两种方法指定源:32位二进制数,用四个点隔开的十
进制数表示。使用关键字any作为0.0.0.0 0.0.0.0的源和源掩码缩写。
source-mask 源地址网络掩码。使用关键字any作为0.0.0.0 0.0.0.0的源和源掩码缩
写。
destination 目标网络或主机号。有两种方法指定:
使用四个点隔开的十进制数表示的32位二进制数。
使用关键字any作为0.0.0.0 0.0.0.0的目标和目标掩码的缩写。
destination-mask 目标地址网络掩码。使用关键字any作为0.0.0.0 0.0.0.0的目标地址和
目标地址掩码缩写。
precedence precedence (可选)包可以由优先级过滤,用0到7的数字指定。
tos tos (可选) 数据包可以使用服务层过滤。使用数字0-15指定。
icmp-type (可选)ICMP包可由ICMP报文类型过滤。类型是数字0到255。
igmp-type (可选)IGMP包可由IGMP报文类型或报文名过滤。类型是0到15的数字。
operator (可选)比较源或目标端口。操作包括lt(小于), gt(大于),eq(等于),
neq(不等于)。如果操作符放在source和source-mask之后,那么它必须
匹配这个源端口。如果操作符放在destination和destination-mask之
后,那么它必须匹配目标端口。
port (可选)TCP或UDP端口的十进制数字或名称。端口号是一个0到65535的数
字。TCP端口名列在“使用方针”部分。当过滤TCP时,可以只使用TCP端
口名称。UDP端口名称也列在“使用说明”部分。当过滤TCP时,只可使用
TCP端口名。当过滤UDP时,只可使用UDP端口名。
established (可选)只对TCP协议,表示一个已建立的连接。如果TCP数据报ACK或RST
位设置时,出现匹配。非匹配的情况是初始化TCP数据报,以形成一个连
接。
log (可选)可以进行日志记录。
命令模式:IP访问列表配置态
使用说明:可以使用访问表控制包在接口上的传输,控制虚拟终端线路访问以及限制路由选择更新的内容。在匹配发生以后停止检查扩展的访问表。
分段IP包,而不是初始段,立即由任何扩展的IP访问表接收。扩展的访问表用于控制访问虚拟终端线路或限制路由选择更新的内容,不必匹配TCP源端口、服务值的类型或包的优先权。
注意:在初始建立一个访问表后,任何后续的添加内容(可能由终端键入)放置在列表的尾部。
以下显示用于替换端口号的TCP端口名。参看当前的分配号RFC找到这些协议的有关参考。与这些协议相应的端口号也可以通过以键入一个?替代端口号的方式来寻找。
bgp
ftp
ftp-data
login
pop2
pop3
smtp
telnet
www
以下显示用于替换端口号的UDP端口名。参看当前的分配号RFC找到这些协议的有关参考。与这些协议相应的端口号也可以通过以键入一个?替代端口号的方式来寻找。
domain
snmp
syslog
tftp
示例:
下面示例允许192.168.5.0这个网段:
ip access-list standard filter
permit 192.168.5.0 255.255.255.0
注意:IP访问表由一个隐含的deny规则结束。
相关命令:
deny
ip access-group
ip access-list
show ip access-list
5.show ip access-list
要显示当前的IP访问列表内容,使用show ip access-list命令。
show ip access-list[access-list-name]
参数:
访问表名。这是一个最长20的字符串。
access-list-
name
缺省:显示所有标准的和扩展的IP访问列表。
命令模式:管理态
使用说明:show ip access-list命令允许你指定一个特定的访问列表。
示例:
以下是不指定名时show ip access-list 命令的示例输出:
Router# show ip access-list
ip access-list standard aaa
permit 192.2.2.1
permit 192.3.3.0 255.255.255.0
ip access-list extended bbb
permit tcp any any eq www
permit ip any any
以下是指定访问表名时, show ip access-list命令的示例输出:
ip access-list extended bbb
permit tcp any any eq www
permit ip any any
静态路由的配置命令
1、静态路由的配置命令: 例如: ip route 129.1.0.0 16 10.0.0.2 ip route 129.1.0.0 255.255.0.0 10.0.0.2 ip route 129.1.0.0 16 Serial0/0/0 注意:只有下一跳所属的的接口是点对点(PPP、HDLC)的接口时,才可以填写
思科Cisco路由器access-list访问控制列表命令详解
思科Cisco路由器access-list访问控制列表命令详解 Post by mrchen, 2010-07-25, Views: 原创文章如转载,请注明:转载自冠威博客 [ https://www.360docs.net/doc/5d1329779.html,/ ] 本文链接地址: https://www.360docs.net/doc/5d1329779.html,/post/Cisconetwork/07/Cisco-access-list.html CISCO路由器中的access-list(访问列表)最基本的有两种,分别是标准访问列表和扩展访问列表,二者的区别主要是前者是基于目标地址的数据包过滤,而后者是基于目标地址、源地址和网络协议及其端口的数据包过滤。 标准型IP访问列表的格式 ---- 标准型IP访问列表的格式如下: ---- access-list[list number][permit|deny][source address][address][wildcard mask][log] ---- 下面解释一下标准型IP访问列表的关键字和参数。首先,在access和list 这2个关键字之间必须有一个连字符"-"; 一、list nubmer参数 list number的范围在0~99之间,这表明该access-list语句是一个普通的标准型IP访问列表语句。因为对于Cisco IOS,在0~99之间的数字指示出该访问列表和IP协议有关,所以list number参数具有双重功能: (1)定义访问列表的操作协议; (2)通知IOS在处理access-list语句时,把相同的list number参数作为同一实体对待。正如本文在后面所讨论的,扩展型IP访问列表也是通过list number(范围是100~199之间的数字)而表现其特点的。因此,当运用访问列表时,还需要补充如下重要的规则: 在需要创建访问列表的时候,需要选择适当的list number参数。 二、permit|deny 允许/拒绝数据包通过 ---- 在标准型IP访问列表中,使用permit语句可以使得和访问列表项目匹配的数据包通过接口,而deny语句可以在接口过滤掉和访问列表项目匹配的数据包。
Cisco ACL access-list 详解
ACL(Access Control List,访问控制列表) 技术从来都是一把双刃剑,网络应用与互联网的普及在大幅提高企业的生产经营效率的同时,也带来了诸如数据的安全性,员工利用互联网做与工作不相干事等负面影响。如何将一个网络有效的管理起来,尽可能的降低网络所带来的负面影响就成了摆在网络管理员面前的一个重要课题。 A公司的某位可怜的网管目前就面临了一堆这样的问题。A公司建设了一个企业网,并通过一台路由器接入到互联网。在网络核心使用一台基于IOS的多层交换机,所有的二层交换机也为可管理的基于IOS的交换机,在公司内部使用了VLAN技术,按照功能的不同分为了6个VLAN。分别是网络设备与网管(VLAN1,10.1.1.0/24)、内部服务器(VLAN2)、Internet 连接(VLAN3)、财务部(VLAN4)、市场部(VLAN5)、研发部门(VLAN6),出口路由器上Fa0 /0接公司内部网,通过s0/0连接到Internet。每个网段的三层设备(也就是客户机上的缺省网关)地址都从高位向下分配,所有的其它节点地址均从低位向上分配。该网络的拓朴如下图所示: 自从网络建成后麻烦就一直没断过,一会儿有人试图登录网络设备要捣乱;一会儿领导又在抱怨说互联网开通后,员工成天就知道泡网;一会儿财务的人又说研发部门的员工看了不该看的数据。这些抱怨都找这位可怜的网管,搞得他头都大了。那有什么办法能够解决这些问题呢?答案就是使用网络层的访问限制控制技术――访问控制列表(下文简称ACL)。 那么,什么是ACL呢?ACL是种什么样的技术,它能做什么,又存在一些什么样的局限性呢? ACL的基本原理、功能与局限性 网络中常说的ACL是Cisco IOS所提供的一种访问控制技术,初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机如2950之类也开始提供ACL的支持。只不过支持的特性不是那么完善而已。在其它厂商的路由器或多层交换机上也提供类似的技术,不过名称和配置方式都可能有细微的差别。本文所有的配置实例均基于Cisco IOS 的ACL进行编写。 基本原理:ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。 功能:网络中的节点资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。 配置ACL的基本原则:在实施ACL的过程中,应当遵循如下两个基本原则: u 最小特权原则:只给受控对象完成任务所必须的最小的权限 u 最靠近受控对象原则:所有的网络层访问权限控制 局限性:由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到end to end的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。
cisco路由器配置及维护手册
cisco路由器配置及维护手册 作者:pixfire 一、路由器简单配置 1. 用串行电缆将PC机串口与路由器CONSOLE口连接,用WIN95的超级终端或NETTERM 软件进行配置。PC机串口设置为波特率9600 数据位8 停止位1。 2. 新出厂的路由器启动后会进入自动配置状态。可按提示对相应端口进行配置。 3 . 命令行状态。若不采用自动配置,可在自动配置完成后,题问是否采用以上配置时,回答N。此时进入命令行状态。 4 进入CONFIG模式。在router>键入enable , 进入router # ,再键入config t ,进入 router(config)# 。 5 配置广域端口。在正确连接好与E1端口的电缆线后,在router # 下键入sh controller cbus 。检验端口物理特性,及连线是否正确。之后,进入config模式。 进行以下配置。 int serial <端口号> E1端口号。 ip address
clock 管理系统时钟 configure 进入设置模式 connect 打开一个终端 copy 从tftp服务器拷贝设置文件或把设置文件拷贝到tftp服务器上 debug 调试功能 disable 退出优先命令状态 disconnect 断开一个网络连接 enable 进入优先命令状态 erase 擦除快闪内存 exit 退出exce模式 help 交互帮助系统的描述 lat 打开一个本地传输连接 lock 锁定终端 login 以一个用户名登录 logout
静态路由配理解讲解
7.1.3 静态路由的主要特点 其实就因为静态路由的配置比较简单,决定了静态路由也包含了许多特点。可以说静态路由的配置全由管理员自己说了算,想怎么配就怎么配,只要符合静态路由配置命令格式即可,因为静态路由的算法全在管理员人思想和对静态路由知识的认识中,并不是由路由器IOS系统来完成的。至于所配置的静态路由是否合适,是否能达到你预期的目的那别当别论。在配置和应用静态路由时,我们应当全面地了解静态路由的以下几个主要特点,否则你可能在遇到故障时总也想不通为什么: l 手动配置 静态路由需要管理员根据实际需要一条条自己手动配置,路由器不会自动生成所需的静态路由的。静态路由中包括目标节点或目标网络的IP地址,还可以包括下一跳IP地址(通常是下一个路由器与本地路由器连接的接口IP地址),以及在本路由器上使用该静态路由时的数据包出接口等。 l 路由路径相对固定 因为静态路由是手动配置的,静态的,所以每个配置的静态路由在本地路由器上的路径基本上是不变的,除非由管理员自己修改。另外,当网络的拓扑结构或链路的状态发生变化时,这些静态路由也不能自动修改,需要网络管理员需要手工去修改路由表中相关的静态路由信息。 l 永久存在 也因为静态路由是由管理员手工创建的,所以一旦创建完成,它会永久在路由表中存在的,除非管理员自己删除了它,或者静态路由中指定的出接口关闭,或者下一跳IP 地址不可达。 l 不可通告性
静态路由信息在默认情况下是私有的,不会通告给其它路由器,也就是当在一个路由器上配置了某条静态路由时,它不会被通告到网络中相连的其它路由器上。但网络管理员还是可以通过重发布静态路由为其它动态路由,使得网络中其它路由器也可获此静态路由。 l 单向性 静态路由是具有单向性的,也就是它仅为数据提供沿着下一跳的方向进行路由,不提供反向路由。所以如果你想要使源节点与目标节点或网络进行双向通信,就必须同时配置回程静态路由。这在与读者朋友的交流中经常发现这样的问题,就是明明配置了到达某节点的静态路由,可还是ping不通,其中一个重要原因就是没有配置回程静态路由。 如图7-2所示,如果想要使得PC1(PC1已配置了A节点的IP地址10.16.1.2/24作为网关地址)能够ping通PC2,则必须同时配置以下两条静态路由,具体配置方法在此不作介绍。 图7-2 静态路由单向性示例 ①:在R1路由器上配置了到达PC2的正向静态路由(以PC2 10.16.3.2/24作为目 标节点,以C节点IP地址10.16.2.2/24作为下一跳地址);
Cisco路由器的基本配置命令
Cisco路由器的基本配置命令 Cisco 路由器的基本配置命令 一(实训目的 1(掌握路由器的连接方式和使用基本规则。 2(掌握路由器的基本配置命令。 二(实训器材及环境 1(安装 Windows 2000 Server 系统的计算机一台。 2(安装模拟软件 Boson Netsim 5.31。 3(模拟环境如下: 图 11-1 实验拓扑环境 三(实训理论基础 1(路由器的基本配置语句 (1)配置路由器名字和特权密码: Router1> enable Router1# conf t Router1(config)# hostname R1 R1(config)# enable secret 123456
b5E2RGbCAP
(2)配置路由器的 Ethernet 端口:
R1(config)# interface e0 R1(config-if)# ip address 192.168.1.1 255.255.255.0 p1EanqFDPw R1(config-if)# no shutdown (3)配置路由器的 Serial 端口(DTE 端):DXDiTa9E3d R1(config)# interface s0 R1(config-if)# ip address 10.0.0.1 255.0.0.0 R1(config-if)# no shutdown (4)配置路由器的 Serial 端口(DCE 端):
RTCrpUDGiT
R2(config)# interface s0 R2(config-if)# ip address 10.0.0.2 255.0.0.0 R2(config-if)# clock rate 64000 R2(config-if)# no shutdown 2(路由器可以有多种类型的端口,用于连接 不同的网络,常用的有以太网端口(Ethernet)、快速以太网端口 (FastEthernet)、高速同步串口(Serial)等。有的端口是固定端口,有的端
5PCzVD7HxA
- 1 -
网络实验-3个路由器的静态路由配置实验
计算机网络实验(4B) 实验名称:路由器的基本操作及静态路由配置实验 实验目的:了解路由器的基本结构,功能,使用环境以及基本参数的配置。 实验要求: 1.配置路由器接口的IP地址。 2.设置静态路由。 3. 测试静态路由:ping IP 地址; trace IP 地址 4.写出实验报告 实验准备知识: 一、实验环境的搭建: ?准备 PC 机 2 台,操作系统为 Windows XP ; ?准备Huawei S2501E 路由器 3 台; ?路由器串口线(2对) ?交叉线(或通过交换机的直连线)网线 2条; ? Console电缆2条。 步骤:del 删除各个路由器原有的路由表 ?第一步:设置Router1 [Quidway]SYSNAME R1 ?[R1] interface Ethernet 0 #设置其IP地址 ?[R1-Ethernet0] ip address 10.0.0.2 255.255.255.0 shutdown undo shutdown #激活此以太网口!!(对此口配置了IP地址后用此命令) #进入串口Serial0视图 ?[R1-Ethernet0] interface serial 0 #设置其IP地址
?[R1-Serial0] ip address 20.1.0.1 255.255.255.0 shutdown undo shutdown #激活此串口!!(对此口配置了IP地址后用此命令) #设置链路层协议为PPP ?[R1-Serial0] link-protocol ppp #进入系统视图 ?[R1-Serial0] quit #添加静态路由 ?[R1] ip route-static 40.1.0.0 255.255.255.0 20.1.0.2 preference 60 ##添加静态路由(R2的以太网接口) [R1] ip route-static 50.1.0.0 255.255.255.0 20.1.0.2 preference 60 #保存路由器设置 ?[R1] save #重启路由器 ?[R1] reboot ?第二步:设置Router2 [Quidway]SYSNAME R2 #进入以太网接口视图: ?[R2] interface Ethernet 0 #设置其IP地址 ?[R2-Ethernet0] ip address 50.1.0.2 255.255.255.0 shutdown undo shutdown #激活此以太网口!!! #进入串口Serial0视图 ?[R2-Ethernet0] interface serial 0 #设置其IP地址 ?[R2-Serial0] ip address 20.1.0.2 255.255.255.0 shutdown undo shutdown #激活此串口!!(对此口配置了IP地址后用此命令) #设置链路层协议为PPP ?[R2-Serial0] link-protocol ppp #进入系统视图 ?[R2-Serial0] quit #进入串口Serial1视图 ?[R2] interface serial 1 #设置其IP地址 ?[R2-Serial1] ip address 30.1.0.1 255.255.255.0 shutdown
详解cisco路由器配置ACL控制列表
如果有人说路由交换设备主要就是路由和交换的功能,仅仅在路由交换数据包时应用的话他一定是个门外汉。 如果仅仅为了交换数据包我们使用普通的HUB就能胜任,如果只是使用路由功能我们完全可以选择一台W I N D O W S服务器来做远程路由访问配置。 。 ? 。 则 由于ACL涉及的配置命令很灵活,功能也很强大,所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。在介绍例子前为大家将ACL设置原则罗列出来,方便各位读者更好的消化A C L知识。
1、最小特权原则 只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。 2、最靠近受控对象原则 。 则 。 的权限级别等。因此,要达到端到端的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。 标准访问列表:
访问控制列表ACL分很多种,不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表,标准访问控制列表是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99来创建相应的A C L 标准访问控制列表的格式 99 。 。 址 。192.168.1.00.0.0.25 5 通过上面的配置将来自192.168.1.0/24的所有计算机数据包进行过滤丢弃。为什么后头的子网掩码表示的是0.0.0.255呢?这是因为CISCO规定在ACL中用反向掩玛表示子网掩码,反向掩码为0.0.0.255的代表他的子网掩码为255.255.255.0。
小提示:对于标准访问控制列表来说,默认的命令是HOST,也就是说access-list 10 deny 192.168.1.1表示的是拒绝192.168.1.1这台主机数据包通讯,可以省去我们输入host 命令。 标准访问控制列表实例一 , 。 的 。 经过设置后E1端口就只容许来自172.16.4.13这个IP地址的数据包传输出去了。来自其他IP地址的数据包都无法通过E1传输。 小提示:由于CISCO默认添加了DENY ANY的语句在每个ACL中,所以上面的access-list 1 deny any这句命令可以省略。另外在路由器连接网络不多的情况下也可以在E0端口使用ip access-group 1 out命令来宣告,宣告结果和上面最后两句命令效果一样。 标准访问控制列表实例二
思科路由器acl详解
cisco路由器配置ACL详解 如果有人说路由交换设备主要就是路由和交换的功能,仅仅在路由交换数据包时应用的话他一定是个门外汉。 如果仅仅为了交换数据包我们使用普通的HUB就能胜任,如果只是使用路由功能我们完全可以选择一台WINDOWS服务器来做远程路由访问配置。 实际上路由器和交换机还有一个用途,那就是网络管理,学会通过硬件设备来方便有效的管理网络是每个网络管理员必须掌握的技能。今天我们就为大家简单介绍访问控制列表在CISCO路由交换上的配置方法与命令。 什么是ACL? 访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。 访问控制列表使用原则 由于ACL涉及的配置命令很灵活,功能也很强大,所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。在介绍例子前为大家将ACL设置原则罗列出来,方便各位读者更好的消化ACL知识。 1、最小特权原则 只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。 2、最靠近受控对象原则 所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在ACL 中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL 语句。 3、默认丢弃原则 在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。这一点要特别注意,虽然我们可以修改这
1-cisco路由器基本配置及远程登录
实训目的: (1)学习和掌握科路由器的配置方式和要求。 (2)学习和掌握科路由器的工作模式分类、提示符、进入方式。1、路由器的配置方式 ①超级终端方式。该方式主要用于路由器的初始配置,路由器不需要IP地址。基本方法是:计算机通过COM1/COM2口和路由器的Console口连接,在计算机上启用“超级终端”程序,设置“波特率:9600 ,数据位:8,停止位:1,奇偶校验: 无,校验:无”即可。常用 ②Telnet方式。该方式配置要求路由器必须配置了IP地址。基本方法是:计算机通过网卡和路由器的以太网接口相连,计算机的网卡和路由器的以太网接口的IP地址必须在同一网段。常用 ③其他方式:AUX口接MODEM,通过电话线与远方运行终端仿真软件的微机;通过Ethernet上的TFTP服务器;通过Ethernet上的SNMP网管工作站。 2、路由器的工作模式 在命令行状态下,主要有以下几种工作模式: ①一般用户模式。主要用于查看路由器的基本信息,只能执行少数命令,不能对路由 器进行配置。提示符为:Router>;进入方式为:Telnet或Console ②使能(特权)模式。主要用于查看、测试、检查路由器或网络,不能对接口、路由 协议进行配置。提示符为:Router#;进入方式为:Router>enable。 ③全局配置模式。主要用于配置路由器的全局性参数。提示符为:Router(config)#; 进入方式为:Router#config ter。 ④全局模式下的子模式。包括:接口、路由协议、线路等。其进入方式和提示符如下: Router(config)#ineterface e0 //进入接口模式 Router(config-if)#//接口模式提示符 Router(config)#rip //进入路由协议模式 Router(config-router)# //路由协议模式 Router(config)#line con 0 //进入线路模式
CISCO ACL配置详解
CISCO ACL配置详解 什么是ACL? 访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。 访问控制列表的原理 对路由器接口来说有两个方向 出:已经经路由器的处理,正离开路由器接口的数据包 入:已经到达路由器接口的数据包,将被路由器处理。 匹配顺序为:"自上而下,依次匹配".默认为拒绝 访问控制列表的类型 标准访问控制列表:一般应用在out出站接口。建议配置在离目标端最近的路由上扩展访问控制列表:配置在离源端最近的路由上,一般应用在入站in方向 命名访问控制列表:允许在标准和扩展访问列表中使用名称代替表号 访问控制列表使用原则 1、最小特权原则 只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。 2、最靠近受控对象原则 所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。 3、默认丢弃原则 在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不
符合条件的数据包。这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。 由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到端到端的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。 一、标准访问列表 访问控制列表ACL分很多种,不同场合应用不同种类的ACL.其中最简单的就是标准访问控制列表,标准访问控制列表是通过使用IP包中的源IP地址进行过滤,使用访问控制列表号1到99来创建相应的ACL. 它的具体格式: access-list access-list-number [permit | deny ] [sourceaddress][wildcard-mask] access-list-number 为1-99 或者1300-1999之间的数字,这个是访问列表号。 例如:access-list 10 deny host 192.168.1.1这句命令是将所有来自192.168.1.1地址的数据包丢弃。 当然我们也可以用网段来表示,对某个网段进行过滤。命令如下:access-list 10 deny 192.168.1.0 0.0.0.255 通过上面的配置将来自192.168.1.0/24的所有计算机数据包进行过滤丢弃。为什么后头的子网掩码表示的是0.0.0.255呢?这是因为CISCO规定在ACL中用反向掩玛表示子网掩码,反向掩码为0.0.0.255的代表他的子网掩码为255.255.255.0. 小提示:对于标准访问控制列表来说,默认的命令是HOST,也就是说access-list 10 deny 192.168.1.1表示的是拒绝192.168.1.1这台主机数据包通讯,可以省去我们输入host命令。 标准访问列表配置实例: R1(config)#access-list 10 deny 192.168.2.0 0.0.0.255 R1(config)#access-list 10 permit any R1(config)#int fa0/0.1 R1(config-subif)#ip access-group 10 out
最新思科CISCO路由器配置步骤
前思科路由器已经成为路由行业的领军人物,可能好多人还不了解Cisco路由器配置的步骤,没有关系,看完本文你肯定有不少收获,希望本文能教会你更多东西,该单位公司总部在北京,全国有3个分支机构。 要求做到在4个地点的数据能够实时查询,便于业务员根据具体情况作出正确决策。早期方案是使用路由器,通过速率为256Kbps的DDN专网连接北京总部。但技术人员通过市场调研,发现该网络运营成本过高。通过进一步的咨询和调整,最终方案是分支机构使用DDN在本地接入Internet,总部使用以太网就近接入Internet。并对互联的Cisco路由器配置,使用VPN技术,保证内部数据通过Internet安全传输。该企业的网络分布见附图。 配置过程及测试步骤 在实施配置前,需要检查硬件和软件是否支持VPN。对于Cisco路由器配置,要求IOS 版本高于12.0.6(5)T,且带IPSec功能。本配置在Cisco路由器配置通过。以下是分支网络1的路由器实际配置过程,其他路由器的配置方法与此基本一致,只需修改具体的环境参数(IP 地址和接口名称)即可。 配置路由器的基本参数,并测试网络的连通性 (1) 进入Cisco路由器配置模式 将计算机串口与路由器console口连接,并按照路由器说明书配置“终端仿真”程序。执行下述命令进入配置模式。 Router>en Router#config terminal Router(config)# (2)配置路由器的基本安全参数 主要是设置特权口令、远程访问口令和路由器名称,方便远程调试。 Router(config)#enable secret xxxxxxx Router(config)#line vty 0 4 Router(config-line)#password xxxxxx Router(config-line)#exit Router(config)#hostname huadong
路由器的基本配置与静态路由配置
郑州大学信息工程学院实验报告 年级专业班 姓名学号 指导教师成绩 2009年月日 实验名称实验三路由器的基本配置与静态路由配置 【实验目的】 1.掌握路由器命令行各种操作模式的区别,以及模式之间的切换。 2.掌握路由器的全局的基本配置。 3.掌握路由器端口的常用配置参数。 4.查看路由器系统和配置信息,掌握当前路由器的工作状态。 5.掌握通过静态路由方式实现网络的连通性。 【背景描述】 背景描述1 你是某公司新进的网管,公司要求你熟悉网络产品,公司采用全系列锐捷网络产品,首先要求你登录路由器,了解、掌握路由器的命令行操作。 背景描述2 你是某公司新进的网管,公司有多台路由器,为了进行区分和管理,公司要求你进行路由器设备名的配置,配置路由器登录时的描述信息。 背景描述3 你在一家网络工程公司就职,负责组建一个省级广域网络。现项目经理要求你根据实际网络需求,对路由器的端口配置基本的参数。 原理说明:锐捷路由器接口Fastethernet接口默认情况下是10M/100M自适应端口,双工模式也为自适应,并且在默认情况下路由器物理端口处于关闭状态。路由器提供广域网接口(serial高速同步串口),使用V.35线缆连接广域网接口链路。在广域网连接时一端为DCE(数据通信设备),一端为DTE(数据终端设备)。要求必须在DCE端配置时钟频率(clock rate)才能保证链路的连通。在路由器的物理端口可以灵活配置带宽,但最大值为该端口的实际物理带宽。 背景描述4 你是某公司新网管,第一天上班时,你必须掌握公司路由器的当前工作情况,通过查看路由器的系统信息和配置信息,了解公司的设备和网络环境。 背景描述5 假设校园网通过1台路由器连接到校园外的另1台路由器上,现要在路由器上做适当配置,实现校园网内部主机与校园网外部主机的相互通信。静态路由在拓扑结构简单的网络中,网管员通过手工的方式配置本路由器未知网段的路由信息,从而实现不同网段之间的连接。 【实现功能】 1.熟练掌握路由器的命令行操作模式 2.配置路由器的设备名称和每次登录路由器时提示相关信息。
详解cisco访问控制列表ACL
详解cisco访问控制列表ACL 一:访问控制列表概述 〃访问控制列表(ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以通过,哪些数据包需要拒绝。 〃工作原理:它读取第三及第四层包头中的信息,如源地址、目的地址、源端口、目的端口等。根据预先设定好的规则对包进行过滤,从而达到访问控制的目的。 〃实际应用:阻止某个网段访问服务器。 阻止A网段访问B网段,但B网段可以访问A网段。 禁止某些端口进入网络,可达到安全性。 二:标准ACL 〃标准访问控制列表只检查被路由器路由的数据包的源地址。若使用标准访问控制列表禁用某网段,则该网段下所有主机以及所有协议都被禁止。如禁止了A网段,则A网段下所有的主机都不能访问服务器,而B网段下的主机却可以。 用1----99之间数字作为表号 一般用于局域网,所以最好把标准ACL应用在离目的地址最近的地方。 〃标准ACL的配置: router(config)#access-list表号 deny(禁止)网段/IP地址反掩码 ********禁止某各网段或某个IP router(config)#access-list表号 permit(允许) any 注:默认情况下所有的网络被设置为禁止,所以应该放行其他的网段。 router(config)#interface 接口 ******进入想要应用此ACL的接口(因为访问控制列表只能应用在接口模式下)
router(config-if)#ip access-group表号 out/in ***** 设置在此接口下为OUT或为IN 其中router(config)#access-list 10 deny 192.168.0.1 0.0.0.0 = router(config)#access-list 10 deny host 192.168.0.1 router(config)#access-list 10 deny 0.0.0.0 255.255.255.255 = router(config)#access-list 10 deny any router#show access-lists ******查看访问控制列表。 〃标准访问控制列表的工作原理。 (每当数据进入路由器的每口接口下,都会进行以下进程。) 注:当配置访问控制列表时,顺序很重要。要确保按照从具体到普遍的次序来排列条目。
Cisco_ACL配置
1 / 9ACL的使用 ACL的处理过程: 1、语句排序 一旦某条语句匹配,后续语句不再处理。 2、隐含拒绝 如果所有语句执行完毕没有匹配条目默认丢弃数据包 要点: ACL能执行两个操作:允许或拒绝。语句自上而下执行。一旦发现匹配,后续语句就不再进行处理---因此先后顺序很重要。如果没有找到匹配,ACL末尾不可见的隐含拒绝语句将丢弃分组。一个ACL应该至少有一条permit语句;否则所有流量都会丢弃,因为每个ACL末尾都有隐藏的隐含拒绝语句。 如果在语句结尾增加deny any的话可以看到拒绝记录 Cisco ACL有两种类型一种是标准另一种是扩展,使用方式习惯不同也有两种方式一种是编号方式,另一种是命名方式。 示例: 编号方式 标准的ACL使用 1 ~ 99 以及1300~1999之间的数字作为表号,扩展的ACL使用100 ~ 199以及2000~2699之间的数字作为表号 一、标准(标准ACL可以阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇(比如IP)的所有通信流量。) 允许172.17.31.222通过,其他主机禁止 Cisco-3750(config)#access-list 1(策略编号)(1-99、1300-1999)permit host 172.17.31.222禁止172.17.31.222通过,其他主机允许 Cisco-3750(config)#access-list 1 deny host 172.17.31.222 Cisco-3750(config)#access-list 1 permit any 允许172.17.31.0/24通过,其他主机禁止 Cisco-3750(config)#access-list 1 permit 172.17.31.0 0.0.0.254(反码255.255.255.255减去子网掩码,如172.17.31.0/24的255.255.255.255—255.255.255.0=0.0.0.255) 禁止172.17.31.0/24通过,其他主机允许 Cisco-3750(config)#access-list 1 deny 172.17.31.0 0.0.0.254 Cisco-3750(config)#access-list 1 permit any 二、扩展(扩展ACL比标准ACL提供了更广泛的控制范围。例如,网络管理员如果希望做到“允许外来的Web通信流量通过,拒绝外来的FTP和Telnet等通信流量”,那么,他可以使用扩展ACL来达到目的,标准ACL不能控制这么精确。) 允许172.17.31.222访问任何主机80端口,其他主机禁止 Cisco-3750(config)#access-list 100 permit tcp host 172.17.31.222(源)any(目标)eq www 允许所有主机访问172.17.31.222主机telnet(23)端口其他禁止 Cisco-3750(config)#access-list 100(100-199、2000-2699)permit tcp any host 172.17.31.222 eq 远程配置业务与方案承接 【价格实惠 帮您解决工作上的问题】 https://www.360docs.net/doc/5d1329779.html,/UL4GXf
(完整版)思科路由器查看配置命令.doc
思科路由器查看配置命令 show run// 看运行状况 show ip route// 看路由表 show int// 看断口 * show ip int br// 看端口 ip 地址 show cdp nei// 察看 cdp 邻居 show ip pro// 察看 ip 协议 查看配置信息用 show 命令,该命令可以在用户模式和特权模式下执行,且在特权模式下看 到的信息比用户模式多。 show 命令很多,常用的有: 1、查看运行配置文件: Router#show running-config 运行配置文件 running-config 位于路由器的 RAM 中,存放的是路由器当前使用的配置信息。 2、查看启动配置文件: Router#show startup-config 启动配置文件 startup-config 位于路由器的 NVRAM 中,可以长期保存。它在启动路由器时装入 RAM ,成为 running-config 。 3、查看路由器的版本信息: Router#show version' 4、查看路由器的接口状态: Router#show ip interface brief 如果接口状态标识为“ Down ”,表示此接口未激活,如果标识为“ Up”,表示此接口已经激活。 5、查看路由表:
Router#show ip route 通过路由表可以看出该路由器已经识别的网络。 6、查看 NAT 翻译情况: Router#show ip nat translation 应该先进行内网与外网的通讯(如:用 ping 命令 ),然后再查看,才能看到翻译情况。
Cisco访问控制列表
C i s c o访问控制列表 内部编号:(YUUT-TBBY-MMUT-URRUY-UOOY-DBUYI-0128)
cisco路由器配置ACL详解 如果有人说路由交换设备主要就是路由和交换的功能,仅仅在路由交换数据包时应用的话他一定是个门外汉。 如果仅仅为了交换数据包我们使用普通的HUB就能胜任,如果只是使用路由功能我们完全可以选择一台WINDOWS服务器来做远程路由访问配置。 实际上路由器和交换机还有一个用途,那就是网络管理,学会通过硬件设备来方便有效的管理网络是每个网络管理员必须掌握的技能。今天我们就为大家简单介绍访问控制列表在CISCO路由交换上的配置方法与命令。 什么是ACL? 访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。 访问控制列表使用原则 由于ACL涉及的配置命令很灵活,功能也很强大,所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。在介绍例子前为大家将ACL设置原则罗列出来,方便各位读者更好的消化ACL知识。 1、最小特权原则 只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。
2、最靠近受控对象原则 所有的层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。 3、默认丢弃原则 在路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。 由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到端到端的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。 分类: 标准访问控制列表 扩展访问控制列表 基于名称的访问控制列表 反向访问控制列表 基于时间的访问控制列表 标准访问列表: 访问控制列表ACL分很多种,不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表,标准访问控制列表是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99来创建相应的ACL
CISCO路由器入门配置手册
CISCO路由器配置手册 第一章路由器配置基础 一、基本设置方式 一般来说,可以用5种方式来设置路由器: 1.Console口接终端或运行终端仿真软件的微机; 2.AUX口接MODEM,通过电话线与远方的终端或运行终端仿真软件的微机相连;3.通过Ethernet上的TFTP服务器; 4.通过Ethernet上的TELNET程序; 5.通过Ethernet上的SNMP网管工作站。 但路由器的第一次设置必须通过第一种方式进行,此时终端的硬件设置如下: 波特率:9600 数据位:8 停止位:1 奇偶校验: 无
二、命令状态 1.router> 路由器处于用户命令状态,这时用户可以看路由器的连接状态,访问其它网络和主机,但不能看到和更改路由器的设置内容。 2.router# 在router>提示符下键入enable,路由器进入特权命令状态router#,这时不但可以执行所有的用户命令,还可以看到和更改路由器的设置内容。 3.router(config)# 在router#提示符下键入configure terminal,出现提示符router(config)#,此时路由器处于全局设置状态,这时可以设置路由器的全局参数。 4.router(config-if)#; router(config-line)#; router(config-router)#;… 路由器处于局部设置状态,这时可以设置路由器某个局部的参数。 5.> 路由器处于RXBOOT状态,在开机后60秒内按ctrl-break可进入此状态,这时路由器不能完成正常的功能,只能进行软件升级和手工引导。 6.设置对话状态 这是一台新路由器开机时自动进入的状态,在特权命令状态使用SETUP命令也可进入此状态,这时可通过对话方式对路由器进行设置。 三、设置对话过程 1.显示提示信息 2.全局参数的设置 3.接口参数的设置 4.显示结果 利用设置对话过程可以避免手工输入命令的烦琐,但它还不能完全代替手工设置,一些特殊的设置还必须通过手工输入的方式完成。