版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
单元3路由、ACL与QoS通信技术教研室
3.1路由选择与路由器的原理
3.2路由协议与自治系统
3.3路由信息协议RIP
3.4OSPF内部路由协议与BGP外部路由协议在广域网中,最基本的通信设备是组成通信子网的路由器,路由器通过点到点的长距离链路互连,有多个输入和输出端口,主机通过点到点的链路与路由器相连.从一个源端到达目标端由许多条路径,那么如何选择一条最佳路径进行数据的传输呢?路由器的主要功能是对主机要传输的数据进行存储和转发,为此,就必须为其在众多的网络路径中选择一条最优路径,这就是路由选择.路由选择是路由器最主要的功能之一.路由选择(1)路由器的构成路由器是一种具有多个输入端口和多个输出端口的专用计算机,其任务是转发分组。也就是说,将路由器某个输入端口收到的分组,按照分组要去的目的网络,把该分组从路由器的某个合适的输出端口转发给下一跳路由器。下一跳路由器也按照这种方法处理分组,直到该分组到达终点为止。它负责数据报的分段功能,通过执行路由协议和路由算法实现路由表信息的交换和计算更新与维护1.路由选择的基本概念Cisco7202路由器Cisco7606路由器Cisco7600路由器(1)路由器的构成
1.路由选择的基本概念课件制作人:谢希仁谢钧路由选择路由选择处理机路由选择协议路由表3输入端口3交换结构输入端口输出端口分组转发转发表分组处理输出端口……11133122223——网络层2——数据链路层1——物理层1“转发”(forwarding)就是路由器根据转发表将用户的IP数据报从合适的端口转发出去。2“路由选择”(routing)则是按照分布式算法,根据从各相邻路由器得到的关于网络拓扑的变化情况,动态地改变所选择的路由。3路由表是根据路由选择算法得出的。而转发表是从路由表得出的。4在讨论路由选择的原理时,往往不去区分转发表和路由表的区别5若路由器处理分组的速率小于分组进入队列的速率,则队列的存储空间最终必定会填满,这就使后面进入队列分组由于没有存储空间而只能被丢弃。6路由器中的输入或输出队列产生溢出是造成分组丢失的重要原因。(1)路由器的构成
1.路由选择的基本概念1.路由选择的基本概念(2)路由表:路由表:每个路由器都有一个路由表,路由表是路由器进行路由选择的主要依据,路由表必须包含所有可能的目标网络地址和到达该目标网络地址的最优路径的下一站IP地址.路由表告诉路由器向哪个逻辑网段发送数据信息和用哪个路由器转发这些数据信息。(3)静态路由:是指路由表在由人工配置和计算之后不再改变的路由信息组织方式.当网络发生变化时,必须由人工进行更新和配置.采用静态路由,从原主机到目标主机的所有数据都按同一条路径传输,静态路由它要求网络管理人员预先定义要通信的所有逻辑网络,它通过指定默认路由器,转发所有未定义目标网络的通信.这种路由表的组织形式最大的优点就是简单,但是也有缺点:不够灵活,无法处理因网路拓扑变化和拥塞故障作出反应.一、路由选择一、路由选择路由选择的基本概念动态路由:当网络变化时路由表要随时更新,称为动态路由.动态路由的实现取决于如下两个基本功能:交换路由信息:由路由协议来解决,它规定路由信息的交换,包括如何传递路由信息的更新,传递什么等计算、更新和维护路由表:由路由算法来解决,路由算法计算更新路由表的目标是使表中包含最优路径.路由选择的基本原理:由谁来选择:路由器一、路由选择路由选择的基本原理:什么时侯选择:取决于采用的数据交换方式,数据报需要在每个包到达路由器时单独选择路由;虚电路仅在建立虚电路时选择路经,以后数据传输不须再进行路由选择.什么是最优路径:路经最优有不同的度量方式,可基于某一链路特征,也可由多个特征组成,链路特征有:带宽时延可靠性负载跳数费用上述特性都可用数字表示,即用“距离”表示二、路由协议及自治系统路由协议:路由器交换路由信息的约定。路由器的主要职责是接收IP数据报,按照数据报的目标网络地址进行进行路由选择和数据转发。为了进行动态路由选择,路由器之间必须进行交换路由信息,有了路由信息才能进行计算和构造路由表。路由器之间进行路由信息交换的约定,就是路由协议。Internet路由协议根据所适用的范围可分为两类:内部路由协议IRP(InteriorRouterProtocol)外部路由协议ERP(ExteriorRouterProtocol)内部路由协议IRP:也称为内部网关协议IGP,是一个自治系统内路由器之间交换路由信息使用的协议。主要有:路由信息协议RIP(RouterInformationProtocol)、路由信息协议RIP-2、开放最短路径优先协议OSPF(OpenShortestPathProtocol)和ISO网际互连协议(中间系统到中间系统协议IS-IS和端接系统到中间系统协议ES-IS)。前三个协议是TCP/IP协议族的一部分,只能路由IP分组,ISO网际互连协议可以路由IP分组和OSI无连接网络层协议ISOCNLP分组。外部路由协议ERP:也称为外部网关协议EGP(ExteriorGatewayProtocol)是不同自治系统的路由器之间交换信息使用的协议。外部路由协议主要是边界网关路由协议:BGP(BorderGatewayprotocol)。01021、路由协议:路由器交换路由信息的约定。二、路由协议及自治系统Internet互连网络是由许多单独管理和运行的互连网组成。从路由计算的角度看,Internet是由许多的自治系统AS(AutonomousSystem)互连而成。所谓自治系统就是指由一些路由器连接而成的互联网,这些路由器是在单一机构的管理和操作之下,独立地运行。每个自治系统独立地采用自己的路由算法和路由协议,实行独立的管理。01自制系统的划分就是可以实现分层次的路由选择,以便解决大规模网络环境下巨大路由表信息交换问题和各部门内部网络拓扑隐藏保护问题。自治系统路由器使用一种内部路由选择协议和共同的度量来确定内部路由,同时强调一个AS对于其他AS表现出的是一个独立和统一的路由选择策略。022、自治系统的基本概念二、路由协议及自治系统二、路由协议及自治系统外部网关自治系统的基本概念INTERNET06主机连接点04自治系统01物理网络03核心网络05内部网关02Internet中许多的自治系统AS都十分的庞大,为了实现更好的区域管理,自治系统可进一步划分为若干个区(Area)。每个区是由相连的一组网络和与这组网络之一连接的路由器组成。区与区的网络不重叠。每个区有它自己的拓扑数据库和有向图。网络细节在区外不可见,区内的路由器也不知道区外的详细拓扑。这种信息的隔离可以减少路由信息的流量。01每个自治系统都有一个核心主干区,编号为0。所有其他区都与主干区相连,从自治系统的任何一个区可通过主干区到达另一区。主干区由不包含任一区的物理网络、与其相连的路由器以及属于多个区的路由器组成。主干区的拓扑在主干区外不可见。其示意图如图所示。022、自治系统的基本概念二、路由协议及自治系统二、路由协议及自治系统
2、自治系统的基本概念
R1N1N2N3N4R2R3R4R6N11N10N9R9R10R11N6N8N7R8R10R7R5N12N13N14N12N15区1区2区3自治系统内部路由器:完全在自治系统的区内,这类路由器对于本区的内部路由以及本区的区界路由运行相同路由算法。区界路由器:连接两个或多个区,它们除了运行本区的基本路由算法外,还要运行相连区的多个复制路由信息,同时也要运行主干区的路由信息。主干路由器:由所有的区界路由器和主干区内部路由器组成。在全部主干路由器上运行基本路由算法时,两个区界路由器可能有通过不同区的几条不同路径,这些路径应分别计算并进行比较,找出最短路径。自治系统的边界路由器:与其他自治系统的边界路由器交换外部信息。自治系统的边界路由器可以是内部路由器、区界路由器也可以是主干路由器。2、自治系统的基本概念二、路由协议及自治系统三、路由信息协议RIP路由信息协议RIPRIP是由Xerox网络系统的路由协议发展而来的。RIP在1982年绑定为TCP/IP协议族的一部分而成为IP路由的事实标准。RIP实现在自治系统内部执行路由功能。每个路由器向其邻居传送整个路由表。当自治系统变大后,其实用性就大大减弱。在小型的同构网络中,RIP是一个非常有效的路由协议。RIP每30秒钟广播一次路由表更新消息来更新路由信息。一个RIP设备收到更新后,将它当前的信息与接收到的更新信息进行比较。当更新路由信息包含下列条目之一时一条包含以前从未到达的目标路由和相应的距离信息(发现新的目的地)一条具有更小代价的到达一个已知目的地的新的路由(发现新的路径)一条到已知目的地的已知路由具有新的代价。(已有路径上更新最佳距离)三、路由信息协议RIP路由信息协议RIPRIP是基于距离向量路由算法,RIP每一个路由器维护一个到达其他每一个目标网络的距离记录,即距离向量。RIP的“距离”概念是指:路由器直接连接的网络距离为1,到非直接连接的网络距离定义为所经过的路由器数,即我们所说的“跳数”。距离越短,表明到达目标网络的跳数越少,路径越短。RIP允许一条路径最大只能包含16个路由器跳数,如果一个目标网络需要经过16跳才能到达,那么RIP认为该路由器不可达。RIP是一种分布式路由选择协议,其特点如下:仅和相邻路由器交换路由信息【和谁交换】交换当前路由器所有的路由信息,即自己的路由表[交换什么]按照固定时间进行路由信息交换。[什么时间交换]RIP使用定时器来解决链路失效和相邻路由失效问题。若180秒内当前路由器没有收到相邻路由器的任何信息,RIP认为该相邻路由器或链路失效。当前路由器作出判定后,该路由器就向它的其他相邻路由器发送关于这个失效的消息。随后对路由表中包含经过失效路由或链路的路由信息进行更改。RIP采用的是一种迭代学习的路由表建立算法,路由表主要包括:目标网络地址、到达该目标网络的最短距离、应该经过的下一跳IP地址。RIP所采用的距离向量路由算法具有收敛速度慢、计数无限、路由循环等问题,RIP采用了一些策略:水平分割、带毒性逆转水平分割、抑制方法。0103021、路由信息协议RIP三、路由信息协议RIP路由信息协议RIP收到相邻路由器(其地址为X)的一个RIP报文:解释:假如相邻路由器X=交换RIP报文中包含“,3,”,即我经过路由器端口,到达目标网络的距离是3.收到信息的路由器就把RIP报文改为:“,4,”,然后执行下一步。RIP的路由信息更新原理:先修改此RIP报文中的所有项目:把“下一跳”字段中的地址都改为X,并把所有的“距离”字段的值加1。对修改后的RIP报文中的每一个项目,重复以下步骤:三、路由信息协议RIP三、路由信息协议RIP路由信息协议RIPRIP的路由信息更新原理:IF当前路由表中没有包含目标网络N,THEN把该项目加到路由表中。ELSEIF原路由表中到达目标网络N的下一跳地址是X,THEN把收到的RIP信息替换原路由表中的信息。ELSEIF收到RIP中的距离小于路由表中的距离,THEN进行更新,ELSE,什么也不做。ENDIF;ENDIF;ENDIF.若3分钟还没有收到相邻路由器的更新路由表,则把此相邻路由器记为不可达路由器,即将距离置为16。(4)返回。三、路由信息协议RIP
2、路由信息协议RIP-2RIP在最初设计的时候并没有考虑支持自治系统、子网和认证,也不能解析边界网关路由协议BGP。为了解决上述问题,1998年对原来的RIP进行了扩充,形成了RIP-2。在RIP分组协议格式中,保留了几个未使用字段,在RIP-2中对其进行扩充。如红色部分所示:命令1字节版本号1字节未使用2字节AFI2字节路由标记2字节IP地址4字节子网掩码4字节下一跳4字节量度4字节RIP-2增加的信息包括路由标记认证信息,使得本路由器可以确认获得的信息来自合法的邻居信息。同时增加了子网掩码字段,以支持可变长的子网划分。RIP-2协议格式字段的含义:实现认证AFI:如果RIP分组的第一个信息的AFI字段是FFFF,那么表示该信息是一个认证分组。目前RIP-2只支持简单的密码认证。路由标记字段:路由标记字段使得RIP可以区分内部RIP路由和外部RIP路由。它们通常从外部网关协议BGP或另一个内部网关协议如OSPF导入。IP地址:指示目标网络的IP地址子网掩码:RIP-2不象RIP那样仅支持相同的子网路由,它可以支持变长的子网地址。在Internet网络中,网络地址中包含子网标识。路由器在进行路由选择时也要依靠子网地址来确定路由。子网地址字段包含子网掩码,应用子网掩码来生成网络地址。2、路由信息协议RIP-2三、路由信息协议RIP路由信息协议RIP路由信息协议RIP-2下一跳字段:该字段表示包含目标地址的分组将被转发的下一站的IP地址。该字段可以避免IP分组被额外的跳转路由。量度:RIP-2实现组播功能。而不是象RIP采用广播功能。这样可以减少不监听RIP-2分组的主机负担。RIP-2改进了RIP的性能,但是由于有16跳的限制,它不能为大型网络提供路由服务。所以,目前网络采用开发最短路径优先OSPF协议。开放最短路径优先路由协议OSPF是一种基于链路状态路由算法的内部网关协议。1989年IETF委员会的一个工作组,对链路状态路由协议进行了扩充和修改,研制成功了OSPF协议。其主要为TCP/IP互连网络环境设计。其目标是使TCP/IP协议快速响应网络拓扑变化,而又减少路由信息量。OSPF在20世纪80年代成为内部网关协议的标准。目前许多的路由器都支持OSPF协议。1开放最短路径优先路由协议OSPF的“开放”指的是公开发表,不受任何厂家限制,“最短路径优先”指的是采用链路状态路由算法的SPF。OSPF是专门为大型异构网络设计,支持16比特的路由选择量度,允许网管人员基于流量负载、传输延迟、链路速率以及带宽来设计最小代价的路由选择方案。2OSPF协议3开放最短路径优先路由协议OSPF4在自治系统内部采用洪泛法实现所有路由信息的交换。一个路由器只与其相邻的路由器进行路由信息的交换,最终实现整个自治区域的信息交换。交换的路由信息只包含当前路由器的相邻路由和到达相邻路由的距离,即链路状态包LSP。OSPF作为链路状态路由协议,每个路由器维持一个链路状态数据库,该数据库描述自治系统的拓扑。只有当链路状态发生变化时,才采用洪泛法交换路由信息。RIP采用的却是定期交换路由信息的方法。自治系统中每个路由器的链路状态合在一起就是自治系统的拓扑数据库。从而形成全网的拓扑数据图。根据该拓扑数据库,每个路由器构造一个以它为根的最短路径树。这棵树给出了到达自治系统每个目标网络的路径。OSPF协议开放最短路径优先路由协议OSPF123456四、OSPF协议1、开放最短路径优先路由协议OSPF
一个自治系统的拓扑数据库可以用有限图表示,在有限图中:顶点有两类,即路由器和物理网络。网络也可分为与多路由器连接的传输网和只与一个路由器连接的根段网。图的边有两类:一类连接两个路由器,表示它们之间的点到点的链路;另一类连接一个路由器和一个网络,代表路由器直接连接在该网上。R1N1N3R4R2R3N45735649在自治系统中,每个路由器维持该自治系统的有限图数据库。根据有限图利用Dijkstra算法,就可以计算出从它到所有的目标网络的最短距离。1OSPF的路由选择在两个层面进行,低层是在自治系统的区内进行路由选择。高层是在自治系统的区间进行路由选择,由穿越主干网的流量组成。为了减少主干网的路由选择更新,每个区域有一个指定的区界路由器。在区域内,每个路由器与指定的区界路由器交换链路状态信息。指定区界路由器负责代表本网络产生链路状态包LSP与主干网交换路由信息。2OSPF协议3开放最短路径优先路由协议OSPF4
开放最短路径优先路由算法的主要特点有:(1)OSPF可根据IP分组的不同服务类型计算出不同的最佳路由。(2)OSPF可以实现多路径间的负载平衡,到达同一目标网络有多条相同距离的路径时,可将通信量分配到不同的路径传输。(3)在OSPF路由器之间交换的分组,具有鉴别功能。(4)OSPF支持可变长度的子网掩码和CIDR.(5)OSPF设置一个32位的链路状态序号,序号越大状态越新。四、OSPF协议1、开放最短路径优先路由协议OSPF开放最短路径优先路由算法的分组类型:(1)问候分组:用来发现和维持邻居的可达性关系。OSPF每隔10S进行一次问候分组的交换,若40S内没应答,则视为邻居路由不可达。(2)数据库描述分组:向邻居发送自己链路状态数据库中所有链路状态项的摘要信息。(3)链路状态请求:向邻居请求发送其链路状态项的详细信息。(4)链路状态更新:采用洪泛法进行整个网络链路状态的更新.(5)链路状态确认:对收到的邻站发来的链路状态信息进行确认。后边四个分组主要是实现两路状态数据库的同步!四、OSPF协议1、开放最短路径优先路由协议OSPFOSPF协议开放最短路径优先路由协议OSPFOSPF当前采用的路由信息表的建立与更新方法:采用数据描述分组与相邻路由器交换当前路由器已有链路状态摘要信息。摘要信息描述了当前哪些相邻路由器的链路状态信息已经写入数据库。使用链路状态请求分组,向对方请求发送自己缺少的链路状态项目的详细信息。通过反复交换,最终形成全网的同步链路数据库。只要有一个路由的链路状态发生变化,就要使用链路状态更新分组,通过可靠洪泛算法进行全网两路状态更新。如下图四、OSPF协议1、开放最短路径优先路由协议OSPFOSPF当前采用的路由信息表的建立与更新方法:更新报文tACK报文RRRRt1t2t3t4基于可靠洪泛法进行更新分组ACL过滤的依据主要包括源地址、目的地址、上层协议等。03ACL有两种:标准访问控制列表、扩展访问控制列表。04利用ACL可以对经过路由器的数据包按照设定的规则进行过滤,使数据包有选择的通过路由器,起到防火墙的作用。01访问控制列表(ACL)由一组规则组成,在规则中定义允许或拒绝通过路由器的条件。021ACL概述ACL的基本用途是限制访问网络的用户,保护网络的安全。ACL一般只在以下路由器上配置:内部网和外部网的边界路由器。两个功能网络交界的路由器。限制的内容通常包括:允许那些用户访问网络。(根据用户的IP地址进行限制)允许用户访问的类型,如允许http和ftp的访问,但拒绝Telnet的访问。(根据用户使用的上层协议进行限制)1访问控制列表(ACL)由多条判断语句组成。每条语句给出一个条件和处理方式(通过或拒绝)。2路由器对收到的数据包按照判断语句的书写次序进行检查,当遇到相匹配的条件时,就按照指定的处理方式进行处理。3ACL中各语句的书写次序非常重要,如果一个数据包和某判断语句的条件相匹配时,该数据包的匹配过程就结束了,剩下的条件语句被忽略。ACL的工作过程Router(config)#access-list表号处理方式条件ACL表号:用于区分各访问控制列表。一个访问控制列表(ACL)可由多条语句组成,每条ACL语句的形式为:01其中针对IP数据报的ACL可使用的表号为:标准访问控制列表:1~99。扩展访问控制列表:100~199。同一个ACL中各语句的表号相同。一台路由器中可定义多个ACL,每个ACL使用一个表号。022ACL语句例:access-list1permit55access-list1deny55第1句表示允许地址为10.*.*.*的数据包通过。第2句表示拒绝地址为20.*.*.*的数据包通过。这里的地址指数据包的源地址。处理方式:取值有permit(允许)和deny(拒绝)两种。当数据包与该语句的条件相匹配时,用给定的处理方式进行处理。条件:每条ACL语句只能定义一个条件。应用ACL如果只是定义了ACL,它还不会起到任何作用,必须把ACL应用到一个接口上才能起作用。应用ACL:Router(config)#interface接口号Router(config-if)#ipaccess-group表号[in|out]in:表示在数据包进入此接口时使用ACL进行过滤。out:表示在数据包离开此接口时使用ACL进行过滤。通常,使用出站接口检查的数据包数量较少,效率要高一些。例:Router(config)#interfacee0Router(config-if)#ipaccess-group1out表示在e0口上使用表号为1的ACL对出站数据包进行过滤。0102通配符掩码决定了地址中的哪些位需要精确匹配,哪些为不需要匹配。通配符掩码是一个32位数,采用点分十进制方式书写。匹配时,“0”表示检查的位,“1”表示不检查的位。如:55表示检查前16位,忽略后16位,所以这个条件表示的地址是192.168.*.*。在ACL语句中,当使用地址作为条件时,它的一般格式为:地址通配符掩码。通配符掩码any条件:当条件为所有地址时,如果使用通配符掩码应写为:55这时可以用“any”表示这个条件。如:Router(config)#access-list1permit55Router(config)#access-list1permitany上面两个语句是等价的。host关键字:当条件为单一IP地址时,如果使用通配符掩码应写为:IP地址这时可以用“host”关键字定义这个条件。如:Router(config)#access-list1permitRouter(config)#access-list1permithost上面两个语句是等价的。标准ACL只能使用地址作为条件。标准ACL使用数据包的源地址匹配ACL语句中的条件。定义标准ACL时,可使用的表号为1~99。(针对IP数据报)3标准访问控制列表标准ACL配置举例1R1E0一个局域网连接在路由器R1的E0口,这个局域网要求只有来自/8、/24、/24的用户能够访问。1R1#showaccess-lists2R1(config)#access-list1permit553R1(config)#access-list1permit554R1(config)#access-list1permit555R1(config)#interfacee06R1(config-if)#ipaccess-group1out配置完成后,可以用命令查看ACL:说明:在每个ACL中都隐含着一个语句:access-listlist-numdenyany它位于ACL的最后,表示拒绝所有。所以任何一个与前面各语句都不匹配的数据包都会被拒绝。在ipaccess-group语句中,用in或out表示入站时匹配或出站时匹配,如果没有指定这个值,默认为out。在每个接口、每个方向上只能应用一个ACL。一个ACL可以应用到多个接口上。标准ACL配置举例2R1E0一个局域网连接在路由器R1的E0口,这个局域网要求拒绝来自/24的用户访问,其它用户都可以访问。R1(config)#access-list1deny55R1(config)#access-list1permitanyR1(config)#interfacee0R1(config-if)#ipaccess-group1out注意:access-list1permitany语句不能省略,如果省略该语句,则所有和语句1不匹配的数据包都会被隐含的access-list1denyany语句拒绝。标准ACL配置举例3R1E0一个局域网连接在路由器R1的E0口,这个局域网只允许来自/24的用户访问,但其中和两台主机除外。R1(config)#access-list1denyhostR1(config)#access-list1denyhostR1(config)#access-list1permit55R1(config)#interfacee0R1(config-if)#ipaccess-group1out注意:access-list1permit192.168.2055语句不能写在另两条语句的前面,如果把它写在第1句,则和因已经满足了条件,不会再进行后面的匹配。说明:定义ACL时,每条语句都按输入的次序加入到ACL的末尾,如果想要更改某条语句,或者更改语句的顺序,只能先删除整个ACL,再重新输入。比如删除表号为1的ACL:Router(config)#noaccess-list1在实际应用中,我们往往把路由器的配置文件导出到TFTP服务器中,用文本编辑工具修改ACL,然后再把配置文件装回到路由器中。010302扩展ACL可以使用地址作为条件,也可以用上层协议作为条件。1扩展ACL既可以测试数据包的源地址,也可以测试数据包的目的地址。2定义扩展ACL时,可使用的表号为100~199。(针对IP数据报)34扩展访问控制列表扩展ACL的语句:access-list表号处理方式条件表号:取值100~199。处理方式:permit(允许)或deny(拒绝)。条件:协议源地址目的地址[运算符端口号][established]协议:用于匹配数据包使用的网络层或传输层协议,如IP、TCP、UDP、ICMP等。源地址、目的地址:使用“地址通配符掩码”的形式,也可以使用any、host关键字。运算符端口号:用于匹配TCP、UDP数据包中的端口号。access-list100permittcp5555eq80表示允许来自192.168.*.*的用户访问位于10.*.*.*的Web站点。运算符包括lt(小于)、gt(大于)、eq(等于)、neq(不等于)。端口号用于对应一种应用,如21—FTP、23—Telnet、25—SMTP、53—DNS、80—HTTP等。“运算符端口号”可匹配数据包的用途。如:“eq80”可匹配那些访问Web网站的数据包。在扩展ACL语句中,“运算符端口号”可以没有。例:在每个扩展ACL末尾也有一条默认语句:access-listlist-numdenyipanyany它会拒绝所有与前面语句不匹配的数据包。扩展ACL定义后,也需要使用ipaccess-group命令应用在指定接口上才能起作用。如:Router(config)#interfacee0Router(config-if)#ipaccess-group100out扩展ACL配置举例1R1E0一个局域网连接在路由器R1的E0口,这个局域网只允许Web通信流量和Ftp通信流量,其它都拒绝。R1(config)#access-list100permittcpanyanyeq80R1(config)#access-list100permittcpanyanyeq20R1(config)#access-list100permittcpanyanyeq21R1(config)#interfacee0R1(config-if)#ipaccess-group100out说明:标准FTP协议使用了两个端口,21用于建立FTP连接,20用于数据传输。No.3说明:例1的配置将会极大限制局域网和外网间的应用,它会拒绝除Web和Ftp外的所有应用(包括ICMP、DNS、电子邮件等),也会拒绝那些没有使用标准端口的Web和Ftp应用。在实际应用中,我们通常只对那些可能有害的访问作出拒绝限制,或者限制用户访问某些有害的站点或服务。No.2No.1扩展ACL配置举例2R1E0R1是局域网和外网的边界路由器,禁止外网用户用Telnet远程登录本路由器。S0192.168.*.*/24/24R1(config)#access-list100denytcpanyhosteq23R1(config)#access-list100denytcpanyhosteq23R1(config)#access-list100permitipanyanyR1(config)#interfaces0R1(config-if)#ipaccess-group100in说明:这里使用了禁止对两个接口进行Telnet的数据包进入S0口的方法阻断来自外网的Telnet请求。由于对E0口没有限制,所以它不影响来自内网的Telnet请求。扩展ACL配置举例3R1E0R1是局域网和外网的边界路由器,1是一个有害的Web网站,禁止内网用户访问该网站。S0192.168.*.*/24/24R1(config)#access-list100denytcp55host1eq8001R1(config)#access-list100permitipanyany02R1(config)#interfacee003R1(config-if)#ipaccess-group100in04扩展ACL配置举例4R1E0R1是局域网和外网的边界路由器,禁止对S0口的ping操作。S0192.168.*.*/24/24PTN光传输设备开局与维护重电通信工程学院说明:ping命令使用的是ICMP协议,但ICMP除了具有网络探查功能外,还需要用它传输各种错误信息,所以在路由器上不应该禁止该协议。如果想要禁止ping,最好使用专用的防火墙。R1(config)#access-list100denyicmpanyhostR1(config)#access-list100permitipanyanyR1(config)#interfaces0R1(config-if)#ipaccess-group100inPTN光传输设备开局与维护重电通信工程学院01命名ACL是新版路由器操作系统(11.2以后的版本)增加的一种定义ACL的方法。命名ACL使用一个符号串作为ACL的名字,不再使用表号。命名ACL也有标准ACL和扩展ACL两种,一个命名ACL只能是其中的一种。02035命名访问控制列表命名ACL配置方法Router(config)#ipaccess-list{standard|extended}namestandard:定义标准命名ACL。extended:定义扩展命名ACL。name:ACL的名字,可自定义。该命令执行后,提示符变为Router(config-std-nacl)#或Router(config-ext-nacl)#。在此提示符下可输入ACL语句。命名ACL语句格式:处理方式条件。它只比以前的ACL少了前面的“access-list表号”部分,其它都相同。例1配置标准命名ACLR1E0要求拒绝来自/24的数据包通过S0口进入路由器,其它都允许。S0R1(config)#ipaccess-liststandardlist1R1(config-std-nacl)#permitanyR1(config)#interfaces0R1(config-std-nacl)#deny55R1(config-std-nacl)#exitR1(config-if)#ipaccess-grouplist1inlist1是访问控制列表的名字。123456命名ACL在修改上略好于一般的ACL,进入一个ACL的模式后,我们可以使用“no”命令删除某一个表项。但如果想要调整各表项的次序,还是需要删除整个ACL,再重新输入。0102例2配置扩展命名ACLR1E0S0192.168.*.*/24/24禁止内网用户访问地址为1的Web网站。R1(config)#ipaccess-listextendedlist2R1(config-ext-nacl)#denytcp55host1eq80R1(config-ext-nacl)#permitanyR1(config-ext-nacl)#exitR1(config)#interfacee0R1(config-if)#ipaccess-grouplist2inACL应用在不同接口、不同方向上会有不同效果。标准ACL不能指定目的地址,一般应放置在离目的地最近的接口上。扩展ACL一般应放置在离被拒绝的流量来源最近的地方。由于一般的通信都需要双向传输信号,所以使用入站检测和出站检测在效果上往往一样,通常使用出站检测时被检查的数据包数量要少一些。0103026正确放置访问控制列表QOS技术1.QOS的基本概念IPQoS是指IP网络的一种能力,即在跨越多种底层网络技术(FR、ATM、Ethernet、SDH等)的IP网络上,为特定的业务提供其所需要的服务。QoS包括多个方面的内容,如带宽、时延、时延抖动等.QoS需要完成以下的工作: 避免并管理IP网络拥塞 减少IP报文的丢包率 调控I
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 污水处理厂污泥湿式焚烧合同
- 企业员工关怀措施
- 智能导航网线铺设协议
- 写字楼玻璃隔断安装协议
- 分时度假租赁合同样本
- 电商促销季临时工合同范本
- 修鞋师傅解除聘用合同模板
- 互联网广告合作协议办法
- 通风工程小青瓦施工合同
- 国际健康中心检查井施工合同
- 二手车简易买卖合同范本(2024版)
- 矿浆管道施工组织设计
- 第六单元 写作《表达要得体》公开课一等奖创新教案
- 犯罪学智慧树知到期末考试答案章节答案2024年云南司法警官职业学院
- xxx军分区安保服务项目技术方案文件
- 电感耦合等离子体发射光谱仪的维护和保养
- 2023年高二组重庆市高中学生化学竞赛试题
- 2024-2030年中国新鲜果蔬行业市场发展分析及竞争策略与投资前景研究报告
- 物流配送合作协议书范本
- 机械制图(山东联盟)智慧树知到期末考试答案章节答案2024年山东华宇工学院
- 2024年海南省海口四中高三3月份第一次模拟考试化学试卷含解析
评论
0/150
提交评论