返回
CCIE学习指南实验室操作 12.pdf

CCIE学习指南实验室操作 12.pdf

ID:52776565

大小:2.01 MB

页数:21页

时间:2020-03-30

CCIE学习指南实验室操作 12.pdf_第1页
CCIE学习指南实验室操作 12.pdf_第2页
CCIE学习指南实验室操作 12.pdf_第3页
CCIE学习指南实验室操作 12.pdf_第4页
CCIE学习指南实验室操作 12.pdf_第5页
资源描述:

《CCIE学习指南实验室操作 12.pdf》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、下载第12章IP访问表本章主题¥细节概述¥访问表的术语¥标准IP访问表¥扩展IP访问表¥带有Established选项的扩展IP访问表¥动态IP访问表¥加密解密(lock-and-key)如何工作¥可控VTY访问¥详细的故障查找示例12.1引言路由器用访问表管理进入和离开一个特定接口的数据流。下面列出了访问表可以用的一些方法:1)拒绝或允许流入(或流出)的数据流通过特定的接口。2)为DDR应用定义有趣的数据流。3)过滤路由更新的内容。4)控制虚拟终端线的访问。5)提供流量控制。本章说明了如何用静态和动态访问表控制报文流过路由器。12.2IP访问表技术概述访问表,

2、或访问控制表,提供了基本的数据流过滤能力。它可以用来控制进入或离开一网络的访问,也可以在路由器的输入或输出端口过滤报文。基于前面定义的标准,访问表通过用路由器决定转发还是丢弃报文来过滤网络的数据流。这个标准由访问表定义,返回来又应用于接口。依据访问表的定义,匹配标准可能很简单(标准访问表),也可能很复杂(扩展访问表)。访问表提供了检测流入或流出路由器端口的报文的一种方法,也使路由器通过一定的标准控制那些报文。访问表中的术语在Cisco路由器上处理访问表,必须理解所用到的一些术语。1)通配符屏蔽字:通配符屏蔽字规定了当一个IP地址与其他的IP地址进行比较时,该IP

3、地址中哪些位应该被忽略。402使用CCIE学习指南:实验室操作下载通配符屏蔽字中的“1”表示忽略IP地址中对应的位,而“0”则表示该位必须保留。注意对一标准访问表来说,如果忽略了某入口的通配符屏蔽字,0.0.0.0将被认为是缺省的屏蔽字。例如:下面的访问表(访问表1)指明了数据流被允许通过的顺序,前3个八位字节组必须匹配(150.1.1)。这个访问表允许主机号为1~255的主机连在网络150.1.1.0上。2)Inbound和outbound:当在一接口应用访问表时,用户指明访问表是应用于流入数据还是流出数据(或两方向都有)。缺省的设置是应用于流出数据。数据流的

4、流向同路由器的接口有关。例如,在图12-1中。回送151.1.1.1输入访问表路由器A路由器B输出访问表网络150.1.1.0网络A图12-1访问表术语路由器A想拒绝所有从主机150.1.1.2到主机PCA(152.1.1.2)的数据流。那么在路由器A上有两个位置可应用访问表。一个接入(inbound)访问表可以设置在串行接口,或者一个接出(outbound)访问表设置在以太网接口。最优选择是将访问表应用于离那些被拒绝的数据流最近的地方。注意接出访问表应用于满足下面条件的报文(packet):已做出了路由决定,并且该报文向适当的接口路由。此时,报文与访问表相对应

5、,报文可能被转发或被丢弃。经过路由器路由一个报文是没用的,该报文只会在输出端口被丢弃。一个好的设计是在那些离将被拒绝的数据流最近的接口上应用访问表。12.3本章所讨论的命令第12章IP访问表使用403下载命令的定义¥access-class:access-class命令用来限制在Cisco路由器上特殊的一个VTY线与访问表指定的一个地址之间的进入和离开的VTY连接。这个线配置命令把指定的访问表[1-99]应用到一个VTY线。用关键词“in”限制进入的连接,用关键词“out”限制接出的连接。¥access-enable:基于前面定义的标准,这条可执行命令用来在动态

6、访问表中创建一临时的访问表入口项。主机关键词告知IOS只允许访问那些产生telnet会话的特定主机。计时满关键词指定一空闲的计时期限。如果在这段时间内访问表入口项没被使用,则该访问表入口项被删除。如果访问表入口项被删除,用户再想访问网络就必须重新获得认证。¥access-list[1-99]:序号从1~99的访问表定义为标准访问表。标准访问表只是基于源IP地址来允许或拒绝报文。源IP地址是指发送报文的主机或网络的地址。源IP地址后附有一个通配符屏蔽码,用来指定哪些位应被忽略,哪些应该匹配。通配符屏蔽码在本章的后面有更详细的定义。本命令是一条全局配置命令。¥acc

7、ess-list[100-199]:带有号码100~199的访问表定义为扩展访问表。扩展访问表可以设置为静态的或动态的。静态的为缺省设置,也可以用关键词“dynamic”设置为动态的。本章后面将会有对两者更详细的描述。扩展访问表用来允许或拒绝报文(基于多种因素,如:协议、源IP地址、目的IP地址、优先权、TOS和端口号),比标准访问表提供了更多的内容。扩展访问表允许登录,该登录创建了一提供关于匹配访问表的任何报文的登录信息。这个操作在访问表疑难解答时最有用。¥access-list[100-199][dynmaic]:带有号码100~199并且用关键词“dyna

8、mic”的访问表定义为动

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。