下载文档原格式
Cisco IOS Cookbook 中文精简版9-23 BGP9.1. Configuring BGP提问在网络中启用BGP回答Route1在AS 65500中Router1#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Router1(config)#interface Serial0Router1(config-if)#ip address 192.168.55.6 255.255.255.252Router1(config-if)#exitRouter1(config)#router bgp 65500Router1(config-router)#network 192.168.1.0Router1(config-router)#neighbor 192.168.55.5 remote-as 65501Router1(config-router)#no synchronizationRouter1(config-router)#exitRouter1(config)#endRouter1#Router2在AS 65501中Router2#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Router2(config)#interface Serial0Router2(config-if)#ip address 192.168.55.5 255.255.255.252Router2(config-if)#exitRouter2(config)#router bgp 65501Router2(config-router)#network 172.25.17.0 mask 255.255.255.0 Router2(config-router)#neighbor 192.168.55.6 remote-as 65500Router2(config-router)#no synchronizationRouter2(config-router)#exitRouter2(config)#endRouter2#注释在对BGP验证的时候比较有用的命令是Router1#show ip bgp summaryBGP router identifier 192.168.99.5, local AS number 65500BGP table version is 7, main routing table version 74 network entries and 4 paths using 484 bytes of memory2 BGP path attribute entries using 196 bytes of memoryBGP activity 11/7 prefixes, 11/7 pathsNeighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd192.168.55.5 4 65501 17 18 7 0 0 00:12:38 2 172.25.2.2 4 65531 527 526 0 0 0 21:05:23 Active Router1#需要注意的是理想状态是State里面是数字,尽管是Active也不代表是配置正常,反而是配置出现错误。
访问控制列表AccessList路由器使用访问控制列表(ACL)来识别数据流,然后对其进行过滤、加密、分类或转换,以更好地管理和控制网络的功能。
标准访问列表:编号1-99或1300-1999,只检查分组的源地址,允许或禁止整个协议簇的分组通过。
扩展访问列表:编号100-199或2000-2699,检查分组的源地址、目标地址、协议、端口号和其他参数。
重点:1、入站访问列表的效率比出站访问列表高;2、路由器按顺序自上而下地处理访问列表中的语句;3、将具体条件放在一般性条件前,将常发生的条件放在不常发生的条件前;4、访问列表的最后有一条隐式的deny语句(access-list 1 deny any),分组将被禁止通过;5、新添的语句总被放在访问列表末尾,隐式的前面;6、使用编号访问列表时不能有选择性的删除其中一条语句,但使用名称访问列表可以(IOS11.2以上);7、在每个接口的每个方向上针对每种协议的访问列表只能有一个,同一个接口上可以有多个访问列表,但必须是针对不同协议的。
等价写法:access-list 1 deny 172.16.4.3 0.0.0.0 = access-list 1 deny host 172.16.4.3 access-list 1 permit 0.0.0.0 255.255.255.255 = access-list permit any拒绝172.16.1.1访问192.168.1.1上的telnet服务,其余主机可以:rt(config)#access-list 101 deny tcp host 172.16.1.1 host 192.168.1.1 eq telnet rt(config)#access-list 101 permit ip any any172.16.x.y,当x为偶数,y为奇数时允许,其他拒绝:rt(config)#access-list 1 permit 172.16.0.1 0.0.254.254rt(config)#access-list 1 deny 172.16.0.0 0.0.255.255命名列表:rt(config)#ip access-list standard list_namert(config-std-nacl)#permit 1.1.0.1 0.0.254.254rt(config-std-nacl)#deny 1.1.0.0 0.0.255.255access-list 有关收藏Chapter9 Managing Traffic with Access ListsIntroduction to Access Lists访问列表(access list,ACL)的主要作用是过滤你不想要的数据包.设置ACL的一些规则:1.按顺序的比较,先比较第一行,再比较第二行..直到最后1行2.从第一行起,直到找到1个符合条件的行;符合以后,其余的行就不再继续比较下去3.默认在每个ACL中最后1行为隐含的拒绝(deny),如果之前没找到1条许可(permit)语句,意味着包将被丢弃.所以每个ACL必须至少要有1行permit语句,除非你想想所有数据包丢弃2种主要的访问列表:1.标准访问列表(standard access lists):只使用源IP地址来做过滤决定2.扩展访问列表(extended access lists):它比较源IP地址和目标IP地址,层3的协议字段,层4端口号来做过滤决定利用ACL来过滤,必须把ACL应用到需要过滤的那个router的接口上,否则ACL是不会起到过滤作用的.而且你还要定义过滤的方向,比如是是想过滤从Internet到你企业网的数据包呢还是想过滤从企业网传出到Internet的数据包呢?方向分为下面2种:1.inbound ACL:先处理,再路由2.outbound ACL:先路由,再处理一些设置ACL的要点:1.每个接口,每个方向,每种协议,你只能设置1个ACL2.组织好你的ACL的顺序,比如测试性的最好放在ACL的最顶部3.你不可能从ACL从除去1行,除去1行意味你将除去整个ACL,命名访问列表(named access lists)例外(稍后介绍命名访问列表)4.默认ACL结尾语句是deny any,所以你要记住的是在ACL里至少要有1条permit语句5.记得创建了ACL后要把它应用在需要过滤的接口上6.ACL是用于过滤经过router的数据包,它并不会过滤router本身所产生的数据包7.尽可能的把IP标准ACL放置在离目标地址近的地方;尽可能的把IP扩展ACL放置在离源地址近的地方Standard Access Lists介绍ACL设置之前先介绍下通配符掩码(wildcard masking).它是由0和255的4个8位位组组成的.0代表必须精确匹配,255代表随意,比如:172.16.30.0 0.0.0.255,这个告诉router前3位的8位位组必须精确匹配,后1位8位位组的值可以为任意值.如果你想指定172.16.8.0到172.16.15.0,则通配符掩码为0.0.7.255(15-8=7)配置IP标准ACL,在特权模式下使用access-lists [范围数字] [permit/deny] [any/host]命令.范围数字为1到99和1300到1999;permit/deny分别为允许和拒绝;any为任何主机,host为具体某个主机(需要跟上IP地址)或某1段我们来看1个设置IP标准ACL的实例:router有3个LAN的连接1个Internet的连接.现在,销售部的用户不允许访问金融部的用户,但是允许他们访问市场部和Internet连接.配置如下:Router(config)#access-list 10 deny 172.16.40.0 0.0.0.255Router(config)#access-list 10 permit any注意隐含的deny any,所以末尾这里我们要加上permit any,any等同于0.0.0.0 255.255.255.255.接下来把ACL应用在接口上,之前说过了尽可能的把IP标准ACL放置在离目标地址近的地方,所以使用ip access-group命令把ACL 10放在E1接口,方向为出,即out.如下:Router(config)#int e1Router(config-if)#ip access-group 10 outControlling VTY(Telnet) Access使用IP标准ACL来控制VTY线路的访问.配置步骤如下:1.创建个IP标准ACL来允许某些主机可以telnet2.使用access-class命令来应用ACL到VTY线路上实例如下:Router(config)#access-list 50 permit 172.16.10.3Router(config)#line vty 0 4Router(config-line)#access-class 50 in如上,进入VTY线路模式,应用ACL,方向为进来,即in.因为默认隐含的deny any,所以上面的例子,只允许IP地址为172.16.10.3的主机telnet到router上Extended Access Lists扩展ACL:命令是access-list [ACL号] [permit/deny] [协议] [源地址] [目标地址] [操作符] [端口] [log].ACL号的范围是100到199和2000到2699;协议为TCP,UDP等,操作符号有eq(表等于),gt(大于),lt(小于)和neq(非等于)等等;log为可选,表示符合这个ACL,就记录下这些日志来看1个配置扩展ACL的实例:假如要拒telnet和FTP到绝位于金融部的主机172.16.30.5,配置如下:Router(config)#access-list 110 deny tcp any host 172.16.30.5 eq 21Router(config)#access-list 110 deny tcp any host 172.16.30.5 eq 23Router(config)#access-list 110 permit ip any any记住默认隐含的deny all.应用到E1接口,注意方向为out,如下:Router(config)#int e1Router(config-if)#ip access-group 110 outNamed Access Lists命名访问列表是创建标准和扩展访问列表的另外1种方法.它允许你使用命名的方法来创建和应用标准或者扩展访问列表.使用ip access-list命令来创建,如下:Router(config)#ip access-list ?extended Extended Acclogging Control access list loggingstandard Standard Access ListRouter(config)#ip access-list standard ?<1-99> Standard IP access-list numberWORD Access-list nameRouter(config)#ip access-list standard BlockSalesRouter(config-std-nacl)#?Standard Access List configuration commands:default Set a command to its defaultsdeny Specify packets to rejectexit Exit from access-list configuration modeno Negate a command or set its defaultpermit Specify packets to forwardRouter(config-std-nacl)#deny 172.16.40.0 0.0.0.255Router(config-std-nacl)#permit anyRouter(config-std-nacl)#exitRouter(config)#^ZRouter#sh run(略)!ip access-list standard BlockSalesdeny 172.16.40.0 0.0.0.255permit any!(略)接下来应用到接口上,如下:Router(config)#int 1Router(config-if)#ip access-group BlockSales outRouter(config-if)#^ZRouter#Monitoring Access Lists一些验证ACL的命令,如下:1.show access-list:显示router上配置了的所有的ACL信息,但是不显示哪个接口应用了哪个ACL的信息2.show access-list [number]:显示具体第几号ACL信息,也不显示哪个接口应用了这个ACL3.show ip interface:只显示IP访问列表信息4.show ip interface:显示所有接口的信息和配置的ACL信息5.show ip interface [接口号]:显示具体某个接口的信息和配置的ACL信息6.show running-config:显示DRAM信息和ACL信息,以及接口对ACL的应用信息.关于RIP路由选择信息协议(Routing Information Protocol)是一种距离矢量路由选择协议,使用跳数作为度量值来选择路径,最大跳数15跳,最多6条路径间负载均衡。
Cisco路由器配置ACL详解之扩展访问控制列表Cisco路由器配置ACL详解之扩展访问控制列表扩展访问控制列表:上⾯我们提到的标准访问控制列表是基于IP地址进⾏过滤的,是最简单的ACL。
那么如果我们希望将过滤细到端⼝怎么办呢?或者希望对数据包的⽬的地址进⾏过滤。
这时候就需要使⽤扩展访问控制列表了。
使⽤扩展IP访问列表可以有效的容许⽤户访问物理LAN⽽并不容许他使⽤某个特定服务(例如WWW,FTP等)。
扩展访问控制列表使⽤的ACL号为100到199。
扩展访问控制列表的格式:扩展访问控制列表是⼀种⾼级的ACL,配置命令的具体格式如下:access-list ACL号 [permit|deny] [协议] [定义过滤源主机范围] [定义过滤源端⼝] [定义过滤⽬的主机访问] [定义过滤⽬的端⼝]例如:access-list 101 deny tcp any host 192.168.1.1 eq www这句命令是将所有主机访问192.168.1.1这个地址⽹页服务(WWW)TCP连接的数据包丢弃。
⼩提⽰:⼩提⽰:同样在扩展访问控制列表中也可以定义过滤某个⽹段,当然和标准访问控制列表⼀样需要我们使⽤反向掩码定义IP地址后的⼦⽹掩码。
⽹络环境介绍:我们采⽤如图所⽰的⽹络结构。
路由器连接了⼆个⽹段,分别为172.16.4.0/24,172.16.3.0/24。
在172.16.4.0/24⽹段中有⼀台服务器提供WWW服务,IP地址为172.16.4.13。
配置任务:禁⽌172.16.3.0的计算机访问172.16.4.0的计算机,包括那台服务器,不过惟独可配置任务:以访问172.16.4.13上的WWW服务,⽽其他服务不能访问。
路由器配置命令:access-list 101 permit tcp any 172.16.4.13 0.0.0.0 eq www 设置ACL101,容许源地址为任意IP,⽬的地址为172.16.4.13主机的80端⼝即WWW服务。
cisco路由器配置ACL详解如果有人说路由交换设备主要就是路由和交换的功能,仅仅在路由交换数据包时应用的话他一定是个门外汉。
如果仅仅为了交换数据包我们使用普通的HUB就能胜任,如果只是使用路由功能我们完全可以选择一台WINDOWS服务器来做远程路由访问配置。
实际上路由器和交换机还有一个用途,那就是网络管理,学会通过硬件设备来方便有效的管理网络是每个网络管理员必须掌握的技能。
今天我们就为大家简单介绍访问控制列表在CISCO路由交换上的配置方法与命令。
什么是ACL访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。
访问控制列表使用原则由于ACL涉及的配置命令很灵活,功能也很强大,所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。
在介绍例子前为大家将ACL设置原则罗列出来,方便各位读者更好的消化ACL知识。
1、最小特权原则只给受控对象完成任务所必须的最小的权限。
也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。
2、最靠近受控对象原则所有的网络层访问权限控制。
也就是说在检查规则时是采用自上而下在ACL 中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。
3、默认丢弃原则在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。
这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。
由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。
⼀:访问控制列表概述 ·访问控制列表(ACL)是应⽤在路由器接⼝的指令列表。
这些指令列表⽤来告诉路由器哪些数据包可以通过,哪些数据包需要拒绝。
·⼯作原理:它读取第三及第四层包头中的信息,如源地址、⽬的地址、源端⼝、⽬的端⼝等。
根据预先设定好的规则对包进⾏过滤,从⽽达到访问控制的⽬的。
·实际应⽤: 阻⽌某个段访问服务器。
阻⽌A段访问B段,但B段可以访问A段。
禁⽌某些端⼝进⼊络,可达到安全性。
⼆:标准ACL · 标准访问控制列表只检查被路由器路由的数据包的源地址。
若使⽤标准访问控制列表禁⽤某段,则该段下所有主机以及所有协议都被禁⽌。
如禁⽌了A段,则A段下所有的主机都不能访问服务器,⽽B段下的主机却可以。
⽤1----99之间数字作为表号 ⼀般⽤于局域,所以把标准ACL应⽤在离⽬的地址最近的地⽅。
·标准ACL的配置: router(config)#access-list 表号 deny(禁⽌) 段/IP地址 反掩码 ********禁⽌某各段或某个IP router(config)#access-list 表号 permit(允许) any 注:默认情况下所有的络被设置为禁⽌,所以应该放⾏其他的段。
router(config)#interface 接⼝ ******进⼊想要应⽤此ACL的接⼝(因为访问控制列表只能应⽤在接⼝模式下) router(config-if)#ip access-group 表号 out/in ***** 设置在此接⼝下为OUT或为IN 其中router(config)#access-list 10 deny 192.168.0.1 0.0.0.0 router(config)#access-list 10 deny host 192.168.0.1 router(config)#access-list 10 deny 0.0.0.0 255.255.255.255 router(config)#access-list 10 deny any router#show access-lists ******查看访问控制列表。
访问列表配置访问列表配置访问控制列表( ACL ,Access Control List )是Cisco IOS 提供的一种访问控制技术,被广泛应用于路由器和三层交换机。
借助ACL ,可以有效地控制用户对网络和Internet 的访问,从而最大限度地保障网络安全,并使得企业网络不被滥用。
6.7.1 访问列表概述ACL 使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
不过,由于ACL 是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人或无法识别到应用内部的权限类别等。
因此,要达到“ 端到端” 的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。
1.交换机支持的访问列表交换机支持IP 访问列表和Ethernet (MAC )访问列表。
IP 访问列表。
过滤IP 通信,包括TCP 、User Datagram Protocol(UDP) 、Internet Group Management Protocol (IGMP) 和Internet Control Message Protocol (ICMP) 。
Ethernet 访问列表。
过滤非IP 通信。
交换机支持三种访问列表的应用过滤传输:端口访问列表。
也称MAC 访问列表。
对进入二层接口的通信实施访问控制。
交换机不支持外出访问的访问列表。
在二层接口可以应用IP 访问列表和端口访问列表。
路由访问列表。
对VLAN 之间以及三层接口之间的通信实施访问控制,并且可以控制进、出双向通信。
VLAN 访问列表。
也称VLAN 映射,对所有包实现访问控制。
在同一VLAN 的设备之间,可以采用VLAN ACL 实施访问控制。
VLAN 访问列表的配置与访问控制均基于IP 地址,不支持基于MAC 地址的访问控制。
ACL(Access Control List,访问控制列表)技术从来都是一把双刃剑,网络应用与互联网的普及在大幅提高企业的生产经营效率的同时,也带来了诸如数据的安全性,员工利用互联网做与工作不相干事等负面影响。
如何将一个网络有效的管理起来,尽可能的降低网络所带来的负面影响就成了摆在网络管理员面前的一个重要课题。
A公司的某位可怜的网管目前就面临了一堆这样的问题。
A公司建设了一个企业网,并通过一台路由器接入到互联网。
在网络核心使用一台基于IOS的多层交换机,所有的二层交换机也为可管理的基于IOS的交换机,在公司内部使用了VLAN技术,按照功能的不同分为了6个VLAN。
分别是网络设备与网管 (VLAN1,10.1.1.0/24)、内部服务器(VLAN2)、Internet连接(VLAN3)、财务部(VLAN4)、市场部 (VLAN5)、研发部门(VLAN6),出口路由器上Fa0/0接公司内部网,通过s0/0连接到Internet。
每个网段的三层设备(也就是客户机上的缺省网关)地址都从高位向下分配,所有的其它节点地址均从低位向上分配。
自从网络建成后麻烦就一直没断过,一会儿有人试图登录网络设备要捣乱;一会儿领导又在抱怨说互联网开通后,员工成天就知道泡网;一会儿财务的人又说研发部门的员工看了不该看的数据。
这些抱怨都找这位可怜的网管,搞得他头都大了。
那有什么办法能够解决这些问题呢?答案就是使用网络层的访问限制控制技术――访问控制列表(下文简称ACL)。
那么,什么是ACL呢?ACL是种什么样的技术,它能做什么,又存在一些什么样的局限性呢?ACL的基本原理、功能与局限性网络中常说的ACL是Cisco IOS所提供的一种访问控制技术,初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机如2950之类也开始提供ACL的支持。
只不过支持的特性不是那么完善而已。
在其它厂商的路由器或多层交换机上也提供类似的技术,不过名称和配置方式都可能有细微的差别。
