路由器的配置和管理

11三月2024路由器的配置和管理本章内容访问控制列表ACL网络地址转换NATInternet管理网络中逐步增长的IP数据当数据通过路由器时进行过滤为什么要使用访问列表

访问列表的应用允许、拒绝数据包通过路由器允许、拒绝Telnet会话的建立没有设置访问列表时，所有的数据包都会在网络上传输虚拟会话(IP)端口上的数据传输

标准检查源地址通常允许、拒绝的是完整的协议

OutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?Source什么是访问列表--标准

标准检查源地址通常允许、拒绝的是完整的协议扩展检查源地址和目的地址通常允许、拒绝的是某个特定的协议OutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?Sourceand

DestinationProtocol什么是访问列表--扩展

标准检查源地址通常允许、拒绝的是完整的协议扩展检查源地址和目的地址通常允许、拒绝的是某个特定的协议进方向和出方向

OutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?Sourceand

DestinationProtocol什么是访问列表

Inbound

InterfacePacketsNYPacketDiscardBucketChooseInterface

NAccessList

?RoutingTable

Entry

?YOutbound

InterfacesPacketS0出端口方向上的访问列表Outbound

InterfacesPacketNYPacketDiscardBucketChooseInterface

RoutingTable

Entry

?NPacketTestAccessListStatementsPermit

?Y出端口方向上的访问列表AccessList

?YS0E0Inbound

InterfacePacketsNotifySender出端口方向上的访问列表IfnoaccessliststatementmatchesthendiscardthepacketNYPacketDiscardBucketChooseInterface

RoutingTable

Entry

?NYTestAccessListStatementsPermit

?YAccessList

?DiscardPacketNOutbound

InterfacesPacketPacketS0E0Inbound

InterfacePackets访问列表的测试：允许和拒绝

PacketstointerfacesintheaccessgroupPacket

DiscardBucketYInterface(s)DestinationDenyDenyYMatchFirstTest?Permit访问列表的测试：允许和拒绝

PacketstoInterface(s)intheAccessGroupPacket

DiscardBucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?YY访问列表的测试：允许和拒绝

PacketstoInterface(s)intheAccessGroupPacket

DiscardBucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTest

?YYNYYPermit访问列表的测试：允许和拒绝

PacketstoInterface(s)intheAccessGroupPacket

DiscardBucketYInterface(s)DestinationDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTest

?YYNYYPermitImplicitDenyIfnomatchdenyallDenyN访问列表配置指南

访问列表的编号指明了使用何种协议的访问列表每个端口、每个方向、每条协议只能对应于一条访问列表访问列表的内容决定了数据的控制顺序具有严格限制条件的语句应放在访问列表所有语句的最上面在访问列表的最后有一条隐含声明：denyany－每一条正确的访问列表都至少应该有一条允许语句先创建访问列表，然后应用到端口上访问列表不能过滤由路由器自己产生的数据访问列表设置命令

Step1:设置访问列表测试语句的参数access-listaccess-list-number{permit|deny}{test

conditions}Router(config)#Step1:设置访问列表测试语句的参数Router(config)#Step2:在端口上应用访问列表ipaccess-groupaccess-list-number{in|out}Router(config-if)#访问列表设置命令

IP访问列表的标号为1-99和100-199access-listaccess-list-number{permit|deny}{test

conditions}如何识别访问列表号

编号范围访问列表类型IP

1-99Standard标准访问列表(1to99)检查IP数据包的源地址编号范围访问列表类型如何识别访问列表号

IP

1-99100-199StandardExtended标准访问列表(1to99)检查IP数据包的源地址扩展访问列表(100to199)检查源地址和目的地址、具体的TCP/IP协议和目的端口编号范围1-991300-1999Name(CiscoIOS11.2andlater)100-1992000-2699Name(CiscoIOS11.2andlater)StandardNamed访问列表类型如何识别访问列表号

标准访问列表检查IP数据包的源地址扩展访问列表检查源地址和目的地址、具体的TCP/IP协议和目的端口其它访问列表编号范围表示不同协议的访问列表ExtendNamed例如9检查所有的地址位可以简写为host(host9)Testconditions:Checkalltheaddressbits(matchall)9

(checksallbits)AnIPhostaddress,forexample:Wildcardmask:通配符掩码指明特定的主机

所有主机:55可以用any简写Testconditions:Ignorealltheaddressbits(matchany)

55(ignoreall)AnyIPaddressWildcardmask:通配符掩码指明所有主机标准IP访问列表的配置

access-listaccess-list-number{permit|deny}source[inverse-mask]Router(config)#为访问列表设置参数IP标准访问列表编号1到99“noaccess-listaccess-list-number”命令删除访问列表access-listaccess-list-number{permit|deny}source[mask]Router(config)#在端口上应用访问列表指明是进方向还是出方向“noipaccess-groupaccess-list-number”命令在端口上删除访问列表Router(config-if)#ipaccess-groupaccess-list-number{in|out}为访问列表设置参数IP标准访问列表编号1到99缺省的通配符掩码=“noaccess-listaccess-list-number”命令删除访问列表标准IP访问列表的配置3E0S0E1Non-标准访问列表举例1access-list1permit

55(implicitdenyall-notvisibleinthelist)(access-list1deny55)Permitmynetworkonlyaccess-list1permit

55(implicitdenyall-notvisibleinthelist)(access-list1deny55)interfaceethernet0ipaccess-group1outinterfaceethernet1ipaccess-group1out3E0S0E1Non-标准访问列表举例1Denyaspecifichost标准访问列表举例23E0S0E1Non-access-list1deny3标准访问列表举例23E0S0E1Non-Denyaspecifichostaccess-list1deny3access-list1permit55(implicitdenyall)(access-list1deny55)access-list1deny3access-list1permit55(implicitdenyall)(access-list1deny55)interfaceethernet0ipaccess-group1out标准访问列表举例23E0S0E1Non-DenyaspecifichostDenyaspecificsubnet标准访问列表举例33E0S0E1Non-access-list1deny55access-list1permitany(implicitdenyall)

(access-list1deny55)access-list1deny55access-list1permitany(implicitdenyall)

(access-list1deny55)interfaceethernet0ipaccess-group1out标准访问列表举例33E0S0E1Non-Denyaspecificsubnet在路由器上过滤vty五个虚拟通道(0到4)路由器的vty端口可以过滤数据在路由器上执行vty访问的控制01234Virtualports(vty0through4)Physicalporte0(Telnet)Consoleport(directconnect)consolee0如何控制vty访问01234Virtualports(vty0through4)Physicalport(e0)(Telnet)使用标准访问列表语句用access-class命令应用访问列表在所有vty通道上设置相同的限制条件Router#e0虚拟通道的配置指明vty通道的范围在访问列表里指明方向access-classaccess-list-number{in|out}linevty#{vty#|vty-range}Router(config)#Router(config-line)#虚拟通道访问举例只允许网络内的主机连接路由器的vty通道access-list12permit55!linevty04access-class12inControllingInboundAccess标准访问列表和扩展访问列表

比较标准扩展基于源地址基于源地址和目标地址允许和拒绝完整的TCP/IP协议指定TCP/IP的特定协议和端口号编号范围100-199和2000-2699编号范围1-99和1300-1999扩展IP访问列表的配置Router(config)#设置访问列表的参数access-listaccess-list-number{permit|deny}protocolsource

source-wildcard[operatorport]

destinationdestination-wildcard

[operatorport]Router(config-if)#ipaccess-groupaccess-list-number{in|out}扩展IP访问列表的配置在端口上应用访问列表Router(config)#设置访问列表的参数access-listaccess-list-number{permit|deny}protocolsource

source-wildcard[operatorport]

destinationdestination-wildcard

[operatorport]拒绝子网的数据使用路由器e0口ftp到子网允许其它数据3E0S0E1Non-扩展访问列表应用举例1access-list101denytcp5555eq21access-list101denytcp5555eq20拒绝子网的数据使用路由器e0口ftp到子网允许其它数据扩展访问列表应用举例13E0S0E1Non-access-list101denytcp5555eq21access-list101denytcp5555eq20access-list101permitipanyany(implicitdenyall)(access-list101denyip5555)access-list101denytcp5555eq21access-list101denytcp5555eq20access-list101permitipanyany(implicitdenyall)(access-list101denyip5555)interfaceethernet0ipaccess-group101out拒绝子网的数据使用路由器e0口ftp到子网允许其它数据扩展访问列表应用举例13E0S0E1Non-拒绝子网内的主机使用路由器的E0端口建立Telnet会话允许其它数据扩展访问列表应用举例23E0S0E1Non-access-list101denytcp55anyeq23拒绝子网内的主机使用路由器的E0端口建立Telnet会话允许其它数据扩展访问列表应用举例23E0S0E1Non-access-list101denytcp55anyeq23access-list101permitipanyany(implicitdenyall)access-list101denytcp55anyeq23access-list101permitipanyany(implicitdenyall)interfaceethernet0ipaccess-group101out拒绝子网内的主机使用路由器的E0端口建立Telnet会话允许其它数据扩展访问列表应用举例23E0S0E1Non-查看访问列表的语句

wg_ro_a#showaccess-listsStandardIPaccesslist1permitpermitpermitpermitExtendedIPaccesslist101permittcphostanyeqtelnetpermittcphostanyeqftppermittcphostanyeqftp-datawg_ro_a#show{protocol}access-list{access-listnumber}wg_ro_a#showaccess-lists{access-listnumber}NAT———网络地址翻译随着Internet的飞速发展，网上丰富的资源产生着巨大的吸引力。接入Internet成为当今信息业最为迫切的需求。但这受到IP地址的许多限制。首先，许多局域网在未联入Internet之前，就已经运行许多年了，局域网上有了许多现成的资源和应用程序，但它的IP地址分配不符合Internet的国际标准，因而需要重新分配局域网的IP地址，这无疑是劳神费时的工作其二，随着Internet的膨胀式发展，其可用的IP地址越来越少，要想在ISP处申请一个新的IP地址已不是很容易的事了。NATNAT（网络地址翻译）能解决不少令人头疼的问题。它解决问题的办法是：在内部网络中使用内部地址，通过NAT把内部地址翻译成合法的IP地址，在Internet上使用。其具体的做法是把IP包内的地址池（内部本地）用合法的IP地址段（内部全局）来替换。ChapterActivitiesWindows95PCModemBranchofficeISDN/analogSmallofficeCentralsiteFrameRelayFrameRelayservicePRIBRIBRIFrameRelayAsyncAAAserverAsyncSASAInsideLocalIPAddressInsideGlobalIPAddressNATtablePATNAT术语NAT功能NAT三种类型NAT术语InternetInsideInsideLocalIPAddressSimpleNATtableInsideGlobalIPAddress8HostBACBABDSADASADA内部本地地址:私有IP，不能直接用于互连网。内部全局地址：用来代替内部本地IP地址的，对外，或在互联网上是合法的的IP地址。复用内部的全局地址将一个内部全局地址用于同时代表多个内部局部地址。主要用IP地址和端口号的组合来唯一区分各个内部主机。目前在公司内普遍应用。（如下图）复用内部的全局地址:1723:1024NATtable:1723:1024:23:23TCPTCP:1723:1492:23TCPInternetInsideHostB13SADASADA452HostCDA4InsideGlobalIPAddress:PortOutsideGlobalIPAddress:PortProtocolInsideLocalIPAddress:PortNAT三种类型NAT有三种类型：静态NAT，动态NAT和端口NAT（PAT）。其中静态NAT设置起来最为简单，内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。而动态NAT是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络。PAT则是把内部地址映射到外部网络的一个IP地址的不同端口上。StaticNATConfigurationExampleipnatinsidesourcestatic!interfaceEthernet0ipaddress0ipnatinside!interfaceSerial0ipaddressipnatoutside!Mapstheinsidelocaladdresstotheinsideglobaladdress.Thisinterfaceconnectedtotheoutsideworld.Thisinterfaceconnectedtotheinsidenetwork.ipnatpooldyn-nat54

netmaskipnatinsidesourcelist1pooldyn-nat!interfaceEthernet0ipaddress0ipnatinside!interfaceSerial0ipaddressipnatoutside!access-list1per