網(wǎng)絡(luò)互聯(lián)技術(shù)與實(shí)踐第15章使用訪問控制列表管理數(shù)據(jù)流

15.1任務(wù)描述第15章:使用訪問控制列表管理數(shù)據(jù)流某公司組建自己的企業(yè)網(wǎng)，在企業(yè)網(wǎng)內(nèi)有公司的財(cái)務(wù)處、公司領(lǐng)導(dǎo)、企業(yè)員工等部門，并且其合作伙伴的局域網(wǎng)也接入了其企業(yè)網(wǎng)。為保證公司信息安全，公司決定不允許合作伙伴的局域網(wǎng)訪問公司的財(cái)務(wù)處，但允許與其它部門的主機(jī)之間通信。15.2相關(guān)知識(shí)第15章:使用訪問控制列表管理數(shù)據(jù)流15.2.1訪問控制列表概述15.2.2通配符掩碼位15.2.3標(biāo)準(zhǔn)訪問控制列表15.2.1訪問控制列表概述分類過濾ACL功能在路由器使用訪問控制列表（AccessControlList，縮寫ACL，）使其成為一個(gè)包過濾防火墻就是其中方法之一，可以對(duì)經(jīng)過的數(shù)據(jù)包進(jìn)行過濾，以阻止黑客攻擊網(wǎng)絡(luò)、限定網(wǎng)絡(luò)使用者的訪問權(quán)限和時(shí)間，防止網(wǎng)絡(luò)病毒的泛濫等。

ACL是一個(gè)控制網(wǎng)絡(luò)的有力工具，使用ACL來(lái)完成兩項(xiàng)主要功能:1.ACL功能15.2.1訪問控制列表概述（1）分類分類可以讓網(wǎng)絡(luò)管理員對(duì)ACL定義的數(shù)據(jù)流進(jìn)行特殊的處理，例如：識(shí)別通過虛擬專用網(wǎng)（VPN）連接進(jìn)行傳輸時(shí)需要加密的數(shù)據(jù)流；識(shí)別要將其從一種路由選擇協(xié)議重分發(fā)到另一種路由選擇協(xié)議中的路由；結(jié)合使用路由過濾來(lái)確定要將哪些路由包含在路由器之間傳輸?shù)穆酚蛇x擇更新中；結(jié)合使用基于策略的路由選擇來(lái)確定通過專用鏈路傳輸哪些數(shù)據(jù)流；結(jié)合使用網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）來(lái)確定要轉(zhuǎn)發(fā)哪些地址；結(jié)合使用服務(wù)質(zhì)量（QoS）來(lái)確定發(fā)生擁塞時(shí)應(yīng)調(diào)度隊(duì)列中的哪些數(shù)據(jù)包。1.ACL功能15.2.1訪問控制列表概述（2）過濾。ACL通過在路由器接口處控制路由數(shù)據(jù)包是被轉(zhuǎn)發(fā)還是被阻塞來(lái)過濾網(wǎng)絡(luò)通信流量。路由器根據(jù)ACL中指定的條件來(lái)檢測(cè)通過路由器的每個(gè)數(shù)據(jù)包，從而決定是轉(zhuǎn)發(fā)還是丟棄該數(shù)據(jù)包。ACL中的條件，既可以是數(shù)據(jù)包的源地址，也可以是目的地址，還可以是上層協(xié)議或其它因素。Cisco提供了拒絕或允許如下數(shù)據(jù)流通過的ACL：前往或來(lái)自特定路由器接口的數(shù)據(jù)流；前往或離開路由器VTY端口、用于管理路由器的Telnet數(shù)據(jù)流。默認(rèn)情況下，所有數(shù)據(jù)流都被允許進(jìn)入和離開所有的路由器接口。ACL可以當(dāng)作一種網(wǎng)絡(luò)控制的有力工具，用來(lái)過濾流入、流出路由器接口的數(shù)據(jù)包。1.ACL功能15.2.1訪問控制列表概述2.建立ACL的作用（1）控制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能。（2）控制用戶網(wǎng)絡(luò)行為。（3）控制網(wǎng)絡(luò)病毒的傳播。（4）提供網(wǎng)絡(luò)訪問的基本安全手段。15.2.1訪問控制列表概述ACL定義了一組規(guī)則，它們進(jìn)一步控制了進(jìn)入入站接口的數(shù)據(jù)包、通過路由器進(jìn)行轉(zhuǎn)發(fā)的數(shù)據(jù)包以及離開路由器出站接口的數(shù)據(jù)包；ACL不影響源自當(dāng)前路由器的數(shù)據(jù)包，而是一些指定路由器如何對(duì)流經(jīng)指定接口的數(shù)據(jù)流進(jìn)行處理的語(yǔ)句。3.ACL的工作原理入站ACL出站ACL。ACL工作方式15.2.1訪問控制列表概述（1）入站ACL。負(fù)責(zé)過濾進(jìn)入路由器接口的數(shù)據(jù)流量。在到來(lái)的數(shù)據(jù)包被轉(zhuǎn)發(fā)到出站接口前對(duì)其進(jìn)行處理。入站ACL的效率很高，因此數(shù)據(jù)包因未能通過過濾測(cè)試而被丟棄時(shí)，將節(jié)省查找路由選擇表的時(shí)間。僅當(dāng)數(shù)據(jù)包通過測(cè)試后，才對(duì)其做路由選擇方面的處理。（2）出站ACL。負(fù)責(zé)過濾從路由器接口發(fā)出的數(shù)據(jù)流量。入站數(shù)據(jù)包首先被轉(zhuǎn)發(fā)到出站接口，然后根據(jù)出站ACL對(duì)其進(jìn)行處理。3.ACL的工作原理15.2.1訪問控制列表概述3.ACL的工作原理丟棄數(shù)據(jù)包選擇出站接口可路由/可橋接嗎？入站接口數(shù)據(jù)包垃圾桶數(shù)據(jù)包Y有匹配的路由選擇表?xiàng)l目嗎？Y有ACL嗎？N根據(jù)ACL語(yǔ)句進(jìn)行檢測(cè)YNN允許嗎？Y數(shù)據(jù)包N數(shù)據(jù)包出站接口圖15.1出站ACL的工作原理S015.2.1訪問控制列表概述3.ACL的工作原理數(shù)據(jù)包進(jìn)入接口YYY與當(dāng)前語(yǔ)句匹配嗎？YY目的接口N允許隱式拒絕N拒絕拒絕拒絕允許允許Y拒絕圖15.2ACL的操作過程數(shù)據(jù)包垃圾桶與當(dāng)前語(yǔ)句匹配嗎？與當(dāng)前語(yǔ)句匹配嗎？15.2.1訪問控制列表概述4.ACL的類型標(biāo)準(zhǔn)ACL擴(kuò)展ACLACL類型源地址檢查數(shù)據(jù)包源網(wǎng)絡(luò)目的地址協(xié)議及數(shù)據(jù)所要訪問的端口檢查數(shù)據(jù)包15.2.1訪問控制列表概述（1）創(chuàng)建編號(hào)的ACL時(shí)，將ACL編號(hào)作為全局ACL語(yǔ)句的第1個(gè)參數(shù)。根據(jù)ACL編號(hào)可以判斷是標(biāo)準(zhǔn)ACL還是擴(kuò)展ACL。5.標(biāo)識(shí)ACL協(xié)議ACL表號(hào)的范圍是有名字的訪問列表嗎？IP標(biāo)準(zhǔn)199是13001999（IOS從12.0開始支持）ExtendedIP（擴(kuò)展）110199是20002699（IOS從12.0開始支持）ApleTalk600699以太網(wǎng)地址700799IPX標(biāo)準(zhǔn)800899是ExtendedIPX（擴(kuò)展）900999是IPXserviceadvertisingprotocol1000109915.2.1訪問控制列表概述（2）命名ACL使用字母數(shù)字字符串（名稱）來(lái)標(biāo)識(shí)標(biāo)準(zhǔn)ACL或擴(kuò)展ACL，可以讓管理員更靈活地處理ACL語(yǔ)句。（3）ACL語(yǔ)句序列號(hào)從IOS12.3版開始支持ACL語(yǔ)句序列號(hào)。ACL語(yǔ)句將加入到什么位置取決于是否使用了序列號(hào)。ACL語(yǔ)句序列號(hào)能夠輕松在IPACL中添加或刪除語(yǔ)句以及調(diào)整語(yǔ)句的順序。通過使用ACL語(yǔ)句序列號(hào)將語(yǔ)句可以添加到ACL的任何位置。在12.3版之前或不使用，所有語(yǔ)句都將加入到ACL末尾。6.標(biāo)識(shí)ACL15.2.1訪問控制列表概述（1）根據(jù)所需的測(cè)試條件，選擇標(biāo)準(zhǔn)還是擴(kuò)展ACL以及編號(hào)的還是命名ACL。（2）在每個(gè)接口的每個(gè)方向上，對(duì)于每種協(xié)議只能應(yīng)用一個(gè)ACL。在同一個(gè)接口上可應(yīng)用多個(gè)ACL，但它們的方向和協(xié)議不能相同。（3）ACL的語(yǔ)句順序決定了對(duì)數(shù)據(jù)包的控制順序。在ACL中各描述語(yǔ)句的放置順序是很重要的。當(dāng)路由器決定某一數(shù)據(jù)包是被轉(zhuǎn)發(fā)還是被阻塞時(shí)，CiscoIOS軟件按照各描述語(yǔ)句在ACL中的順序，根據(jù)各描述語(yǔ)句的判斷條件，對(duì)數(shù)據(jù)包進(jìn)行檢查，一旦找到了某一匹配條件，就結(jié)束比較過程，不再檢查以后的其他條件判斷語(yǔ)句。6.定義ACL時(shí)所應(yīng)遵循的規(guī)范15.2.1訪問控制列表概述（4）最有限制性的語(yǔ)句應(yīng)該放在ACL語(yǔ)句的首行。把最有限制性的語(yǔ)句放在ACL語(yǔ)句的首行或者語(yǔ)句中靠近前面的位置上，把“全部允許”或者“全部拒絕”這樣的語(yǔ)句放在末行或接近末行，可以防止出現(xiàn)諸如本該拒絕的數(shù)據(jù)包被放過的情況。（5）將具體條件放在一般性條件的前面；將常發(fā)生的條件放在不常發(fā)生的條件前面。（6）在將ACL應(yīng)用到接口之前，一定要先建立ACL。首先在全局模式下建立ACL，然后把它應(yīng)用在接口的出方向或進(jìn)方向上。在接口上應(yīng)用一個(gè)空ACL，接口將允許所有數(shù)據(jù)流。6.定義ACL時(shí)所應(yīng)遵循的規(guī)范15.2.1訪問控制列表概述（7）在ACL末尾有一條隱含的“denyany”語(yǔ)句，所以每個(gè)ACL都應(yīng)至少包含一條permit語(yǔ)句，否則所有數(shù)據(jù)流都將被拒絕。（8）根據(jù)應(yīng)用ACL的方式，ACL可能過濾經(jīng)過路由器的數(shù)據(jù)流量，也可能過濾前往或離開路由器的數(shù)據(jù)流，如前往或離開VTY線路的數(shù)據(jù)流，但不能過濾由路由器本身發(fā)出的數(shù)據(jù)包。（9）通常應(yīng)將擴(kuò)展ACL放在離要拒絕的數(shù)據(jù)流的信源盡可能近的地方。由于標(biāo)準(zhǔn)ACL沒有指定目標(biāo)地址，必須將標(biāo)準(zhǔn)ACL放在離要拒絕的數(shù)據(jù)流的目的地盡可能近的地方，以便信源無(wú)法將數(shù)據(jù)流傳輸?shù)街修D(zhuǎn)網(wǎng)絡(luò)。7.定義ACL時(shí)所應(yīng)遵循的規(guī)范15.2.2通配符掩碼位地址過濾是根據(jù)ACL地址通配符進(jìn)行的，通配符掩碼是一個(gè)32比特位的數(shù)字字符串，它被用點(diǎn)號(hào)分成4個(gè)8位組，每組包含8比特位。在通配符掩碼位中，0表示“檢查相應(yīng)的位”，而1表示“不檢查（忽略）相應(yīng)的位”。ACL使用通配符掩碼位來(lái)標(biāo)志一個(gè)或幾個(gè)地址是被允許，還是被拒絕。通配符掩碼位是“訪問控制列表掩碼位配置過程”的簡(jiǎn)稱，和IP子網(wǎng)掩碼不同。是一個(gè)顛倒的子網(wǎng)掩碼（例如：55和）。15.2.2通配符掩碼位128

64

32

16

8

4

2

0字節(jié)位位置和位的地址值0

0

0

0

0

0

0

0＝檢查所有的地址位0

0

1

1

1

1

1

1＝忽略最后6個(gè)地址位0

0

0

0

1

1

1

1＝忽略最后4個(gè)地址位1

1

1

1

1

1

0

0＝檢查最后2個(gè)地址位1

1

1

1

1

1

1

1＝不檢查地址位（忽略字節(jié)位中的所有位）圖15.4統(tǒng)配符驗(yàn)碼位的匹配15.2.2通配符掩碼位通配符掩碼掩碼的二進(jìn)制形式描述00000000.00000000.00000000.00000000全部匹配，與host關(guān)鍵字等價(jià)5500000000.00000000.00000000.11111111只有前24位匹配5500000000.00000000.11111111.11111111只有前16位匹配5500000000.11111111.11111111.11111111只有前8位匹配5511111111.11111111.11111111.11111111全部不匹配，與any關(guān)鍵字等價(jià)5500000000.00000000.00000111.11111111只有前20位匹配5500000000.00000000.00000011.11111111只有前22位匹配15.2.2通配符掩碼位（1）通配符any。表示所有主機(jī)，是通配符掩碼55的簡(jiǎn)寫形式。例如，允許所有IP地址的數(shù)據(jù)都通過，可使用以下兩種ACL語(yǔ)句。Router(config)#access-list1permit55等于Router(config)#access-list1permitany（2）通配符host。表示一臺(tái)主機(jī)，是通配符掩碼的簡(jiǎn)寫形式。例如，只檢查IP地址為9的數(shù)據(jù)包，可以使用以下兩種ACL語(yǔ)句。Router(config)#access-list1permit9等于Router(config)#access-list1permithost9

15.2.3訪問控制列表的配置1.標(biāo)準(zhǔn)IPACL的配置過程步驟1：定義使用全局配置命令access-list來(lái)定義一個(gè)標(biāo)準(zhǔn)的訪問控制列表，并給它分配一個(gè)數(shù)字表號(hào)。access-list在全局配置命令模式下運(yùn)行。Router(config)#access-listaccess-list-number{perrmit|deny}source-address[source-wildcard]

其中:Access-list-number：訪問控制列表表號(hào)；Deny：匹配的數(shù)據(jù)包將被過濾掉。Permit：允許匹配的數(shù)據(jù)包通過。Source-address：數(shù)據(jù)包的源地址，可以是主機(jī)IP地址，也可以是網(wǎng)絡(luò)地址。Source-wildcard：用來(lái)跟源地址一起決定哪些位需要進(jìn)行匹配操作。步驟2：應(yīng)用到接口access-group命令可以把某個(gè)現(xiàn)存的訪問控制列表域某個(gè)接口聯(lián)系起來(lái)。在每個(gè)端口、每個(gè)協(xié)議、每個(gè)方向上只能有一個(gè)訪問控制列表。access-group命令的語(yǔ)法格式如下：Router(config-if)#ipaccess-groupaccess-list-number{in|out}其中：access-list-number：訪問控制列表表號(hào)，用來(lái)指出鏈接到這一接口的ACL表號(hào)。in|out：用來(lái)指示該ACL是被應(yīng)用到流入接口（in），還是流出接口（out）。如果In和Out都沒有指定，那么缺省地被認(rèn)為為Out。刪除：首先輸入“noaccess-group”命令，并帶有他的全部設(shè)定參數(shù)，然后再輸入“noaccess-list”命令，并帶有access-list-number。15.2.3訪問控制列表的配置1.標(biāo)準(zhǔn)IPACL的配置過程15.2.3訪問控制列表的配置2.擴(kuò)展IPACL的配置過程步驟1：定義Router(config)#access-list

access-list-number{permit|deny}{protocol}source-addresssource-wildcard[operator

source-port-number]destination-addressdestination-wildcard

[operator

destination-port-number][established][options]

步驟2.應(yīng)用到接口Router(config-if)#ipaccess-group

access-list-number{in|out}

15.2.3訪問控制列表的配置3.查看ACL正確性的命令（1）Router#Show{protocol}access-list{access-list–number}：用來(lái)查看所建立的ACL。（2）Router#Show{protocol}interface{type/number}：用來(lái)查看在接口上應(yīng)用的ACL及其方向。（3）Router#Showrunning-config：用來(lái)顯示所配置過的所有命令，包括ACL。15.2.3訪問控制列表的配置4.ACL的位置在適當(dāng)?shù)奈恢梅胖肁CL可以過濾掉不必要的流量，使網(wǎng)絡(luò)更加高效。ACL可以充當(dāng)防火墻來(lái)過濾數(shù)據(jù)包并去除不必要的流量。ACL的放置位置決定了是否能有效減少不必要的流量。例如，會(huì)被遠(yuǎn)程目的地拒絕的流量不應(yīng)該消耗通往該目的地的路徑上的網(wǎng)絡(luò)資源。每個(gè)ACL都應(yīng)該放置在最能發(fā)揮作用的位置?；镜囊?guī)則是：將擴(kuò)展ACL盡可能靠近要拒絕流量的源。這樣，才能在不需要的流量流經(jīng)網(wǎng)絡(luò)之前將其過濾掉。因?yàn)闃?biāo)準(zhǔn)ACL不會(huì)指定目的地址，所以其位置應(yīng)該盡可能靠近目的地。對(duì)于過濾從同一個(gè)源到同一個(gè)目的的數(shù)據(jù)流量，在網(wǎng)絡(luò)中應(yīng)用標(biāo)準(zhǔn)ACL和應(yīng)用擴(kuò)展ACL的位置是不同的。如圖15.3所示。15.2.3訪問控制列表的配置4.ACL的位置15.2.3訪問控制列表的配置4.ACL的位置如果要禁止主機(jī)C訪問主機(jī)A，可以在網(wǎng)絡(luò)中使用標(biāo)準(zhǔn)ACL，命令如下：Router(config)#access-list

10deny

host1Router(config)#access-list

10

permit

any或者擴(kuò)展ACL，命令如下：Router(config)#access-list

101

deny

iphost1host

Router(config)#access-list

101permit

ipanyany使用的位置如圖15.3所示。如果把使用兩種ACL的位置顛倒，比如在路由器的S0/0接口上應(yīng)用標(biāo)準(zhǔn)ACL，那么主機(jī)C將會(huì)無(wú)法訪問其他的網(wǎng)段的主機(jī)，如主機(jī)B，這顯然是錯(cuò)誤的。15.3方案設(shè)計(jì)首先，在公司內(nèi)部的局域網(wǎng)，為了管理方便，劃分4個(gè)子網(wǎng)，VLAN10為財(cái)務(wù)處，VLAN20為公司員工，VLAN30為公司領(lǐng)導(dǎo)，VLAN99為服務(wù)器使用。而公司的路由器上只有兩個(gè)以太網(wǎng)口，將服務(wù)器連接到以太網(wǎng)端口f0/0，另4個(gè)子網(wǎng)連接到F0/1，通過在二層交換機(jī)上劃分VLAN，在路由器上通過單臂露由來(lái)實(shí)現(xiàn)VLAN之間通信。為了不允許公司臨時(shí)員工訪問公司的FTP服務(wù)器和使用telnet，可以在通過在路由器上使用擴(kuò)展ACL來(lái)實(shí)現(xiàn)。不允許合作伙伴的局域網(wǎng)訪問公司的財(cái)務(wù)部門而可以訪問公司的其它部門，可以在通過在路由器上使用標(biāo)準(zhǔn)ACL來(lái)實(shí)現(xiàn)。15.4任務(wù)實(shí)施為了實(shí)現(xiàn)本項(xiàng)目，構(gòu)建如圖15.4所示的網(wǎng)絡(luò)實(shí)訓(xùn)環(huán)境，并完成如下的配置任務(wù)：（1）配置路由器的名稱、控制臺(tái)口令、超級(jí)密碼；

（2）配置路由器各接口地址；（3）配置交換機(jī)VLAN；（4）配置單臂路由；（5）配置路由器的靜態(tài)或動(dòng)態(tài)路由協(xié)議；（6）配置訪問控制列表。15.4.1

實(shí)訓(xùn)任務(wù)15.4任務(wù)實(shí)施15.4任務(wù)實(shí)施為了完成本項(xiàng)目，搭建如圖15.4所示的網(wǎng)絡(luò)實(shí)訓(xùn)環(huán)境，需要如下的設(shè)備及材料。（1）Cisco2811路由器（2臺(tái)）；（2）CiscoCatalyst2960交換機(jī)（3臺(tái)）；（3）PC機(jī)4臺(tái)；（4）雙絞線（若干根）；（5）反轉(zhuǎn)電纜兩根。（6）V.35電纜。15.4.2設(shè)備清單15.4任務(wù)實(shí)施步驟1：規(guī)劃設(shè)計(jì)（1）規(guī)劃各路由器名稱，各接口IP地址、子網(wǎng)掩碼如表15-2所示。15.4.3

實(shí)施過程15.4任務(wù)實(shí)施部門路由器名稱接口IP地址子網(wǎng)掩碼描述公司MrouterS0/0/0Linktohrouter-s0/0/0F0/0F0/0.1LinktoSw1

F0/0.2F0/0.3F0/0.4合作伙伴hrouterS0/0/0Linktomrouter-s0/0/0f0/0LinktoSw3表15-2路由器名稱、接口IP地址15.4任務(wù)實(shí)施（2）規(guī)劃各計(jì)算機(jī)的IP地址、子網(wǎng)掩碼和網(wǎng)關(guān)如表15-3所示。15.4.3實(shí)施過程計(jì)算機(jī)VLANIDVLAN名稱IP地址子網(wǎng)掩碼網(wǎng)關(guān)PC1110finance0PC2120lead0PC3130employee0PC41

0Ftp99Server0表15-3計(jì)算機(jī)IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)15.4任務(wù)實(shí)施（3）規(guī)劃交換機(jī)的名稱、管理地址等在本項(xiàng)目中，交換機(jī)S2作為傻瓜交換機(jī)使用即可，不用進(jìn)行配置。在交換機(jī)S2上需要?jiǎng)澐諺LAN，進(jìn)行配置，端口所屬VLAN見表15-4所示。交換機(jī)管理地址接口所屬VLANS200/24f0/2Vlan99f0/3Vlan10F0/4Vlan20f0/15Vlan30表15-4交換機(jī)S1端口所屬VLAN、管理地址15.4任務(wù)實(shí)施步驟2：實(shí)訓(xùn)環(huán)境準(zhǔn)備硬件連接然后給設(shè)備加電。（1）在路由器、交換機(jī)和計(jì)算機(jī)斷電的狀態(tài)下，按照?qǐng)D15.4連接硬件。（2）分別打開設(shè)備，給各設(shè)備供電。步驟3：按照表15-3所列設(shè)置各計(jì)算機(jī)的IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)。步驟4：清除各網(wǎng)絡(luò)設(shè)備配置。步驟5：測(cè)試網(wǎng)絡(luò)連通性。使用ping命令分別測(cè)試PC11、PC21、PC31、PC41、FTP這5臺(tái)計(jì)算機(jī)之間的連通性。15.4.3實(shí)施過程15.4任務(wù)實(shí)施步驟6：配置交換機(jī)在交換機(jī)S2上需要?jiǎng)澐諺LAN，配置端口。步驟7：配置公司路由器在PC11計(jì)算機(jī)上通過超級(jí)終端登錄到路由器A上，進(jìn)行配置。（1）配置路由器主機(jī)名（2）為路由器A各接口分配IP地址（單臂路由器）mrouter(config)#interfaceserial0/0/0mrouter(config)#descriptionlinktohrouter-s0/0/0mrouter(config-if)#ipaddress

mrouter(config-if)#clockrate

64000mrouter(config-if)#noshutdown

mrouter(config-if)#exit15.4.3實(shí)施過程15.4任務(wù)實(shí)施mrouter(config-if)#interface

fastethernet0/1.1mrouter(config-subif)#encapsulationdot1Q

200mrouter(config-subif)#ipaddress

mrouter(config-subif)#noshutdownmrouter(config-subif)#interface

fastethernet0/0.2mrouter(config-subif)#encapsulationdot1Q

10mrouter(config-subif)#ipaddress

mrouter(config-subif)#interface

fastethernet0/0.3mrouter(config-subif)#encapsulationdot1Q

20mrouter(config-subif)#ipaddress

mrouter(config-subif)#interface

fastethernet0/0.4mrouter(config-subif)#encapsulationdot1Q

30mrouter(config-subif)#ipaddress

15.4.3實(shí)施過程15.4任務(wù)實(shí)施（3）配置靜態(tài)路由。mrouter#configure

terminalmrouter(config)#iproute

或mrouter(config)#iprouteserial0/0/0mrouter(config)#endmrouter#write15.4.3實(shí)施過程15.4任務(wù)實(shí)施步驟8：配置合作伙伴路由器在PC41計(jì)算機(jī)上通過超級(jí)終端登錄到合作伙伴路由器上，進(jìn)行配置。（1）配置路由器主機(jī)名（略）（2）為路由器B各接口分配IP地址（略）（3）配置靜態(tài)路由。HRouter#configterminalhrouter(config)#iproute

hrouter(config)#iproute

hrouter(config)#iproute

hrouter(config)#iproute

15.4.3實(shí)施過程15.4任務(wù)實(shí)施步驟9：測(cè)試網(wǎng)絡(luò)的連通性。（1）使用ping命令分別測(cè)試PC11、PC21、PC31、PC41、Ftp、PC0這6臺(tái)計(jì)算機(jī)之間的連通性。此時(shí)應(yīng)該是全通的。如果有部分不通，請(qǐng)檢查原因。（2）在PC41計(jì)算機(jī)上，在MS-DOS方式下：PC>telnet（3）在PC41計(jì)算機(jī)上，在MS-DOS方式下：PC>ftp00Username:cisco331-Usernameok,needpasswordPassword:cisco15.4.3實(shí)施過程15.4任務(wù)實(shí)施步驟10：在路由器M上配置IP標(biāo)準(zhǔn)ACL//允許來(lái)自/24、/24和/24網(wǎng)段的主機(jī)發(fā)出的數(shù)據(jù)包通過mrouter(config)#access-list

10

permit

55mrouter(config)#access-list

10

permit

55mrouter(config)#access-list

10

permit

55//不允許來(lái)自和／24網(wǎng)段（合作伙伴）主機(jī)發(fā)出的數(shù)據(jù)包通過mrouter(config)#access-list

10

deny

5515.4.3實(shí)施過程15.4任務(wù)實(shí)施mrouter#showaccess-list

10StandardIPaccesslist10permit55(4match(es))permit55(4match(es))permit55(4match(es))deny55(6match(es))mrouter#//把ACL應(yīng)用在公司路由器的fa0/0接口輸出方向上mrouter(config)#interfacefastethernet0/0mrouter(config-if)#ipaccess-group10out15.4.3實(shí)施過程15.4任務(wù)實(shí)施步驟11：在路由器M上配置IP擴(kuò)展ACLFTP使用端口20和21，因此為拒絕FTP需要指定eq20和eq21。//不允許使用ftpmrouter(config)#access-list110

deny

tcp5555eq20mrouter(config)#access-list

110

denytcp5555eq21//不允許telnetmrouter(config)#access-list110denytcp.0.0.255anyeq23//允許其它數(shù)據(jù)流mrouter(config)#access-list110

permit

ipanyany15.4.3實(shí)施過程15.4任務(wù)實(shí)施//查看ACLmrouter#showaccess-listsExtendedIPaccesslist110denytcp5555eq20denytcp5555eq21denytcp55anyeqtelnetpermitipanyanymrouter#mrouter#//把ACL應(yīng)用在公司路由器的fa0/1.4接口輸出方向上mrouter(config)#interfacefastethernet0/1mrouter(config-if)#ipaccess-group110in15.4.3實(shí)施過程15.4任務(wù)實(shí)施步驟11：測(cè)試網(wǎng)絡(luò)的連通性。使用ping命令分別測(cè)試PC11、PC21、PC31、PC41這4臺(tái)計(jì)算機(jī)之間的連通性。步驟12：配置各路由器的各種口令，然后遠(yuǎn)程登錄。步驟13：保存路由器的配置文件。步驟14：清除給網(wǎng)絡(luò)設(shè)備配置。15.4.3實(shí)施過程15.5擴(kuò)展知識(shí)：命名訪問控制列表不管是標(biāo)準(zhǔn)IP訪問控制列表，還是擴(kuò)展的IP訪問控制列表，僅用編號(hào)區(qū)分的訪問控制列表不便于網(wǎng)絡(luò)管理員對(duì)訪問控制列表作用的識(shí)別。所以，Cisco公司在IOS11.2中引入了命名的訪問控制列表。命名的訪問控制列表可用于標(biāo)準(zhǔn)和擴(kuò)展的訪問控制列表中，名稱區(qū)分大小寫，并且必須以字母開頭。在名稱的中間可以包含任何字母數(shù)字混合使用的字符，也可以在其中包含［］、｛｝、_、－、＋、／、\、.&、$、#、@、!以及？等特殊字符。名稱的最大長(zhǎng)度100個(gè)字符。15.5擴(kuò)展知識(shí)：命名訪問控制列表（1）名字能更直觀地反映出訪問控制列表完成的功能。（2）命名訪問控制列表沒有數(shù)目的限制。（3）命名訪問控制列表允許刪除個(gè)別語(yǔ)句，而編號(hào)訪問控制列表只能刪除整個(gè)訪問控制列表。把一個(gè)新語(yǔ)句加入命名的訪問控制列表需要?jiǎng)h除和重新加入該新語(yǔ)句之后的各語(yǔ)句。（4）單個(gè)路由器上命名訪問控制列表的名稱在所有協(xié)議和類型的命名訪問控制列表中必須是唯一的，而不同路由器上的命名訪問控制列表名稱可以相同。（5）命名訪問控制列表是一個(gè)全局命令，它將使用者進(jìn)入到命名IP列表的子模式，在該模式下建立匹配和允許／拒絕動(dòng)作的相關(guān)語(yǔ)句。15.5.1命名IP訪問控制列表的特性15.5擴(kuò)展知識(shí)：命名訪問控制列表1.標(biāo)準(zhǔn)命名ACL配置（1）給標(biāo)準(zhǔn)ACL命名的命令，語(yǔ)法格式如下：Router(config)#ipaccess-liststandardname（2）指定檢測(cè)參數(shù)在ACL子模式下，通過指定一個(gè)或多個(gè)允許及拒絕條件，來(lái)決定一個(gè)數(shù)據(jù)包是允許通過還是被丟棄。語(yǔ)法格式如下：Router(config-std-nacl)#［sequence-number］deny{source-address[source-wildcard]|any}Router(config-std-nacl)#sequence-number］permit{source-address[source-wildcard]|any}（3）刪除ACL（4）應(yīng)用于接口15.5.2命名訪問控制列表配置15.6擴(kuò)展訓(xùn)練在Cisco的路由器設(shè)備上限制對(duì)遠(yuǎn)程登錄的訪問，只能通過應(yīng)用訪問控制列表來(lái)實(shí)現(xiàn)。通過在路由器的VTY線路上使用已經(jīng)定義好的訪問控制列表，就可以過濾訪問路由器的VTY線路的數(shù)據(jù)流，將訪問控制列表中允許的數(shù)據(jù)流放過，而攔截那些未經(jīng)訪問控制列表允許的數(shù)據(jù)流。假設(shè)網(wǎng)絡(luò)技術(shù)公司的對(duì)該企業(yè)路由器進(jìn)行管理的技術(shù)人員的IP地址是，則應(yīng)該在該企業(yè)路由器的VTY線路上應(yīng)用一個(gè)標(biāo)準(zhǔn)的訪問控制列表，只允許以為源地址的數(shù)據(jù)包通過，如圖15.5所示。15.6.1應(yīng)用ACL控制遠(yuǎn)程登錄路由設(shè)備S0/00圖15.5用ACL限制vty的訪問實(shí)例拓?fù)銼0/0F0/0路由器B路由器A網(wǎng)絡(luò)A網(wǎng)絡(luò)BF0/015.6擴(kuò)展訓(xùn)練15.6.1應(yīng)用ACL控制遠(yuǎn)程登錄路由設(shè)備在配置vty連接的訪問控制列表時(shí)要注意：在配置接口的訪問時(shí)可以使用帶名字的或數(shù)字的ACL。只有數(shù)字的訪問列表才可以應(yīng)用到虛擬連接中。因?yàn)橛脩艨梢赃B接所有的虛擬終端，因此所有的虛擬終端連接都應(yīng)用相同的ACL。應(yīng)用vtyACL到虛擬連接時(shí)，使用命令access-class代替命令access-group。15.6擴(kuò)展訓(xùn)練15.6.1應(yīng)用ACL控制遠(yuǎn)程登錄路由設(shè)備某企業(yè)有兩個(gè)辦公場(chǎng)所，一個(gè)辦公場(chǎng)所在市中心，集中了一些管理、財(cái)務(wù)、人力資源等部門，另一個(gè)辦公場(chǎng)所在開發(fā)區(qū)，集中了技術(shù)、工程、項(xiàng)目等部門。在市中心的企業(yè)總部安裝了一臺(tái)服務(wù)器，要求開發(fā)區(qū)的技術(shù)、工程、項(xiàng)目等部門的人員每天將工程進(jìn)度、計(jì)劃等信息傳遞到該服務(wù)器，同時(shí)出于企業(yè)信息安全考慮，公司領(lǐng)導(dǎo)要求開發(fā)區(qū)辦公的各個(gè)部門只能訪問總部的這臺(tái)服務(wù)器，而不能訪問其他的部門（如財(cái)務(wù)等）的主機(jī)。網(wǎng)絡(luò)拓?fù)淙鐖D15.6所示，在本案例中，企業(yè)領(lǐng)導(dǎo)要求企業(yè)總部的網(wǎng)絡(luò)能夠訪問開發(fā)區(qū)部門的網(wǎng)絡(luò)，而不允許開發(fā)區(qū)部門的訪問訪問企業(yè)總部的網(wǎng)絡(luò)，這就是一個(gè)典型的單方向訪問的案例。15.6擴(kuò)展訓(xùn)練15.6.2應(yīng)用ACL實(shí)現(xiàn)單方向訪問15.6擴(kuò)展訓(xùn)練15.6.2應(yīng)用ACL實(shí)現(xiàn)單方向訪問所謂單方向訪問，即一部分網(wǎng)絡(luò)主機(jī)可以訪問另一部分網(wǎng)絡(luò)主機(jī)，而反之則不允許訪問。對(duì)于單方向訪問不能簡(jiǎn)單地通過ACL的deny語(yǔ)句來(lái)實(shí)現(xiàn)，因?yàn)樵赿eny掉A主機(jī)向B主機(jī)的訪問的同時(shí)，B主機(jī)也無(wú)法去訪問A主機(jī)。雖然B主機(jī)的數(shù)據(jù)流可以到達(dá)A主機(jī)，但是A主機(jī)向B主機(jī)回復(fù)的數(shù)據(jù)流被ACLdeny掉了。要實(shí)現(xiàn)單方向訪問，應(yīng)該使用permit語(yǔ)句，讓B主機(jī)訪問A主機(jī)時(shí)，A主機(jī)回送的響應(yīng)數(shù)據(jù)流通過，而不允許A主機(jī)發(fā)起的向B主機(jī)的訪問通過，這樣就實(shí)現(xiàn)了主機(jī)B向主機(jī)A的單方向訪問。這時(shí)需要在permit語(yǔ)句中應(yīng)用established參數(shù)。15.6擴(kuò)展訓(xùn)練15.6.2應(yīng)