欢迎来到天天文库
浏览记录
ID:44439724
大小:169.00 KB
页数:28页
时间:2019-10-22
《局域网管理——路由器与交换机配置第6章 访问列表和网络地址转换》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、第6章访问列表和网络地址转换6.1Cisco访问列表基础6.2配置访问列表6.3NAT技术6.1Cisco访问列表基础6.1.1访问列表的应用随着网络的不断发展,路由器在校园网中担当了重要的角色。然而不少单位仅仅利用了它的一个基本功能——路由,实际上路由器还可以用来设置访问控制策略。现以Cisco路由器为例,介绍路由器访问列表的应用。用time-range命令来指定时间范围的名称,然后用absolute命令一个或者多个periodic命令来具体定义时间范围,IOS命令格式为:time-rangetime-range-
2、nameabsolute[starttimedate][endtimedate]periodicdays-of-theweekhh:mmto[days-of-theweek]hh:mm例如:要表示每天的早6点到晚10点就可以用下列语句:absolutestart6:00end22:00下一页返回6.1Cisco访问列表基础例6.1为了让子网机器在工作时间不能进行Web浏览,设置从2002年12月1日0点到2002年12月31日晚23点59分。这一个月中,只有在周六早7点到周日晚10点才可以通过学校的网络访问Inter
3、net。上一页下一页返回6.1Cisco访问列表基础router#configtrouter(config)#interfaceethernet0router(config-if)#ipaccess-group101inrouter(config-if)#time-rangehttprouter(config-if)#absolutestart0:001December2002end23:5931december2000periodicSaturday7:00toSunday22:00router(config-if
4、)#ipaccess-list101permittcpanyanyeq80http上一页下一页返回6.1Cisco访问列表基础6.1.2访问列表的类型目前的路由器一般都支持两种类型的访问表:基本访问表和扩展访问表。基本访问表控制基于网络地址的信息流,且只允许过滤源地址。扩展访问表通过网络地址和传输中的数据类型进行信息流控制,允许过滤源地址、目的地址和上层应用数据,表6-1列出了路由器所支持的不同访问表的号码范围。上一页下一页返回6.1Cisco访问列表基础6.1.3通配符掩码通配符掩码是一个32位的数字字符串,它被用
5、点号分成4个8位组,每组包含8位。在通配符掩码位中,“0”表示检查相应的位,“1”表示不检查相应的位。通配符掩码与IP地址是成对出现的,通配符掩码与子网掩码工作原理是不同的。在IP子网掩码中,数字“1”和“0”用来决定是网络、子网,还是相应的主机的IP地址。如表示172.16.0.0这个网段,使用通配符掩码应为0.0.255.255。在通配符掩码中,可以用255.255.255.255表示所有IP地址,因为全为“1”说明所有32位都不检查相应的位,这时可以用any来取代,而0.0.0.0的通配符掩码则表示所有32位都
6、要进行匹配,这样只表示一个IP地址,可以用host表示。所以在访问控制列表中,可以选择其中一种表示方法来说明网络、子网或主机。上一页返回6.2配置访问列表6.2.1创建和使用访问列表在一个接口上配置访问表需要下列3个步骤:(1)定义访问表。(2)指定访问表所应用的接口。(3)定义访问表作用于接口上的方向。一般的,采用interface命令指定一个接口。例如,为了将访问表应用于串口“0”,应使用如下命令指定此端口:interfaceserial0类似地,为将访问表应用于路由器的以太网端口上时,假定端口为Ethernet
7、0,则应使用如下命令来指定此端口:interfaceethernet0下一页返回6.2配置访问列表6.2.2访问列表配置准则由于ACL涉及的配置命令很灵活,功能也很强大,现在将ACL设置原则罗列出来,方便各位读者更好地理解ACL知识。1.最小特权原则只给受控对象完成任务所必需的最小的权限,也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。2.最靠近受控对象原则所有的网络层访问权限控制,也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的A
8、CL语句。上一页下一页返回6.2配置访问列表3.默认丢弃原则在Cisco路由交换设备中,默认最后一句为ACL中加入了denyanyany,也就是丢弃所有不符合条件的数据包。这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第3层和第4层包头中的部分信息,这种技术具有一些固
此文档下载收益归作者所有