交换机路由器的配置与管理第七章课件.ppt

《交换机路由器的配置与管理第七章课件.ppt》由会员分享，可在线阅读，更多相关《交换机路由器的配置与管理第七章课件.ppt（69页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、交换机路由器配置与管理交换机路由器配置与管理第第7 7章章 访问列表访问列表 访问列表概述 访问列表由一系列语句组成，这些语句主要包括匹配条件和采取的动作（允许或禁止）两个部分访问列表应用在路由器的接口上，通过匹配数据包信息与访问列表参数来决定允许还是拒绝数据包通过某个接口。数据包是通过还是拒绝，主要通过数据包中的源地址、目的地址、源端口、目的端口、协议等信息来决定。访问列表的功能 控制网络流量，提高网络性能 控制用户网络行为 控制网络病毒的传播 访问列表类型 访问列表可分为标准IP访问列表和扩展IP访问列表。标准访问列表：其只检查数据包的源地址，从而允许或拒绝基于网络、子网或主机的IP地址的

2、所有通信流量通过路由器的出口。扩展IP访问列表：它不仅检查数据包的源地址，还要检查数据包的目的地址、特定协议类型、源端口号、目的端口号等ACL的相关特性 每一个接口可以在进入（inbound）和离开（outbound）两个方向上分别应用一个ACL，且每个方向上只能应用一个ACL。ACL语句包括两个动作：拒绝（deny）和允许(permit)数据包进入路由器时，进入方向（In方向）的ACL起作用。数据包离开路由器时，出方向（Out方向）的ACL起作用每个ACL列表结尾有一个隐含的“拒绝的所有数据包(deny any)”的语句 ACL转发的过程IP地址与通配符掩码的作用规 32位的IP地址与32位

3、的通配符掩码逐位进行比较，通配符掩码为0的位要求IP地址的对应位必须匹配，通配符掩码为1的位所对应的IP地址位不必匹配 例：IP地址为 192.168.1.0，通配符掩码为0.0.0.255对应的二进制为：11000000 10101000 00000001 00000000 00000000 00000000 00000000 11111111检查的地址范围为：192.168.1.0192.168.1.255通配符掩码示例 通配符掩码掩码的两种特殊形式host表示一台主机，是通配符掩码0.0.0.0的简写形式 192.168.1.10 0.0.0.0等价于host 192.168.1.10

4、any表示所有主机，是通配符掩码掩码255.255.255.255的简写形式 192.168.1.10 255.255.255.255等价于any 访问列表配置步骤第一步是配置访问列表语句第二步是把配置好的访问列表应用到某个端口上标准IP访问列表的配置命令 配置标准访问列表access-list access-list-number deny|permit source-address source-wildcard logvaccess-list-number：只能是199之间的一个数字vdeny|permit：deny表示匹配的数据包将被过滤掉；permit表示允许匹配的数据包通过v so

5、urce-address：表示单台或一个网段内的主机的IP地址vsource-wildcard：通配符掩码vLog：访问列表日志，如果该关键字用于访问列表中，则对匹配访问列表中条件的报文作日志标准IP访问列表的配置命令续应用访问列表到接口ip access-group access-list-number in|outIn：检查进入路由器的报文Out：检查离开路由器的报文显示所有协议的访问列表配置细节show access-list access-list-number显示IP访问列表show ip access-list access-list-number标准IP访问列表的配置举例主机19

6、2.168.1.1不能访问主机192.168.2.1，但可访问其他主机，对其他主机间的访问不做任何限制 标准IP访问列表的配置举例配置router#configure terminalrouter(config)#access-list 1 deny host 192.168.1.1router(config)#access-list 1 permit anyrouter(config)#interface Ethernet 1router(config)#ip access-group 1 out 扩展IP访问列表的配置命令 配置扩展访问列表access-list access-list-n

7、umber permit|deny protocol source-address source-wildcard source-port destinaiton address destination-wildcard destination-port log optionsaccess-list-numberL：编号范围为100199。Permit：通过；deny：禁止通过Protocol：需要被过滤的协议的类型，如IP、TCP、UDP、ICMP、EIGRP,GRE等。source-address：源IP地址source-wildcard：源通配符掩码扩展IP访问列表的配置命令续sourc

8、e-port：可以是单一的某个端口，也可以是一个端口范围扩展IP访问列表的配置命令续destination-address：目的IP地址destination-wildcard：目的地址通配符掩码destination-port：目的端口号，指定方法与源端口号的指定方法相同扩展IP访问列表配置举例要求允许LAN3的所有主机能登录Internet，但只能浏览WWW、FTP、SMTP、POP3协议的通信。LAN2中的主机192.168.2.1向Internet提供WWW服务，主机192.168.2.2向Internet提供FTP服务，主机192.168.2.3向Internet提供SMTP服务，其

9、余主机不能被Internet访问。LAN1中的主机不能访问Internet，但可以访问LAN2和LAN3扩展IP访问列表配置举例配置router#configure terminal!允许网段LAN3的主机访问Internet的WWW，FTP，SMTP和POP3服务router(config)#access-list 101 permit tcp 192.168.3.0 0.0.0.255 any eq wwwrouter(config)#access-list 101 permit tcp 192.168.3.0 0.0.0.255 any eq ftprouter(config)#acce

10、ss-list 101 permit tcp 192.168.3.0 0.0.0.255 any eq smtprouter(config)#access-list 101 permit tcp 192.168.3.0 0.0.0.255 any eq pop3!禁止LAN1的主机访问internetrouter(config)#access-list 101 deny ip 192.168.1.0 0.0.0.255 any 扩展IP访问列表配置举例配置续!应用访问列表101router(config)#interface serial 1router(config-if)#ip acces

11、s-group 101 out!允许其他网段的主机访问LAN2的WWW，FTP，SMTP服务，拒绝其他请求router(config)#access-list 102 permit tcp any host 192.168.2.1 eq wwwrouter(config)#access-list 102 permit tcp any host 192.168.2.2 eq ftprouter(config)#access-list 102 permit tcp any host 192.168.2.3 eq smtprouter(config)#access-list 102 deny ip

12、any any!应用访问列表102router(config-if)#interface ethernet 0router(config-if)#ip access-group 102 out访问列表配置注意事项注意访问列表中语句的次序，尽量把作用范围小的语句放在前面 新的表项只能被添加到访问表的末尾，即不允许将新的语句插入到原有的访问列表中 标准的IP访问列表只匹配源地址，如果要检查更多的条件，则使用扩展的IP访问列表 标准的访问列表尽量靠近目的 在应用访问列表时，要特别注意应用的方向 命名IP访问列表命名IP访问列表通过一个名称而不是一个编号来引用的。命名的访问列表可用于标准的和扩展的访问

13、表中。名称的使用是区分大小写的，并且必须以字母开头。在名称的中间可以包含任何字母数字混合使用的字符，也可以在其中包含，、，、_、-、+、/、.、&、$、#、!以及?等特殊字符名称的最大长度为1 0 0个字符编号IP访问列表和命名IP访问列表的区别 名字能更直观地反映出访问列表完成的功能命名访问列表突破了99个标准访问列表和100个扩展访问列表的数量限制，能够定义更多的访问列表。命名IP访问列表允许删除个别语句，而编号访问列表只能删除整个访问列表单个路由器上命名访问列表的名称必须是唯一的，而不同路由器上的命名访问列表名称可以相同 编号与命名访问列表命令比较 命名访问列表配置举例一通过配置命名访问

14、列表来实现以下要求：主机192.168.1.1不能访问主机192.168.2.1，但可访问其他主机，对其他主机间的访问不做任何限制 命名访问列表配置举例一配置router#configure terminalrouter(config)#ip access-list standard denyhost1router(config-std-nacl)#deny host 192.168.1.1router(config-std-nacl)#permit anyrouter(config-std-nacl)#exit!应用访问列表denyhost1router(config)#interface

15、Ethernet 0 router(config)#ip access-group denyhost1 out命名访问列表配置举例二LAN3的所有主机只能访问Internet中的WWW、FTP、SMTP、POP3服务。LAN2中的主机192.168.2.1只提供WWW服务，主机192.168.2.2 只提供FTP服务，主机192.168.2.3只提供SMTP服务。LAN1中的主机不能访问Internet，但可以访问LAN2和LAN3 命名访问列表配置举例二配置router#configure terminal!允许网段LAN3的主机访问Internet的WWW，FTP，SMTP和POP3服务r

16、outer(config)ip access-list extended acl_lan1_lan3Router(config-ext-nacl)#permit tcp 192.168.3.0 0.0.0.255 any eq wwwRouter(config-ext-nacl)#permit tcp 192.168.3.0 0.0.0.255 any eq ftpRouter(config-ext-nacl)#permit tcp 192.168.3.0 0.0.0.255 any eq smtpRouter(config-ext-nacl)#permit tcp 192.168.3.0 0

17、.0.0.255 any eq pop3!禁止LAN1的主机访问internetRouter(config-ext-nacl)#deny ip 192.168.1.0 0.0.0.255 anyRouter(config-ext-nacl)#exit!应用访问列表 acl_lan1_lan3router(config)#interface serial 1router(config-if)#ip access-group acl_lan1_lan3 out命名访问列表配置举例二配置续!允许其他网段的主机访问LAN2的WWW，FTP，SMTP服务，拒绝其他请求Router(config)#ip

18、access-list extended acl_lan2Router(config-ext-nacl)#permit tcp any host 192.168.2.1 eq wwwRouter(config-ext-nacl)#permit tcp any host 192.168.2.2 eq ftpRouter(config-ext-nacl)#permit tcp any host 192.168.2.3 eq smtpRouter(config-ext-nacl)#deny ip any anyRouter(config-ext-nacl)#exit!应用访问列表acl_lan2ro

19、uter(config)#interface ethernet 0router(config-if)#ip access-group acl_lan2 out命名访问列表删除语句 显示example的内容cqdd#show ip access-lists exampleExtended IP access list example permit tcp host 192.168.1.1 any deny tcp host 192.168.1.2 any删除语句permit tcp host 192.168.1.1 anycqdd#configure terminalcqdd(config)#i

20、p access-list extended examplecqdd(config-ext-nacl)#no permit tcp host 192.168.1.1 anycqdd(config-ext-nacl)#Z显示删除语句后example的内容cqdd#show ip access-lists exampleExtended IP access list hzhdeny tcp host 192.168.1.2 any命名访问列表加入语句显示example的内容cqdd#show ip access-lists exampleExtended IP access list exampl

21、e deny tcp host 192.168.1.2 any增加语句permit udp host 192.168.1.3cqdd#configure terminalcqdd(config)#ip access-list extended examplecqdd(config-ext-nacl)#permit udp host 192.168.1.3cqdd(config-ext-nacl)#Z显示增加语句后example的内容cqdd#show ip access-lists exampleExtended IP access list example deny tcp host 192

22、.168.1.2 any permit udp host 192.168.1.3 any基于时间访问列表概述 基于时间的访问列表可以为一天中的不同时间段，或者一个星期中的不同日期，或者二者的结合制定不同的访问控制策略，从而满足用户对网络的灵活需求基于时间的访问列表能够应用于编号访问列表和命名访问列表。实现基于时间的访问表只需要两个步骤：第一步是定义一个时间范围；第二步是在访问列表中用t i m e-range引用时间范围。基于时间访问列表的配置命令时间范围命名time-range time-range-name time-range-name：时间范围的名称定义绝对时间范围absolute s

23、tart start-time start-date end end-time end-date start-time和end-time分别用于指定开始和结束时间，使用24小时间表示，其格式为“小时:分钟”start-date和end-date分别用于指定开始的日期和结束的日期，使用日/月/年的日间格式，而不是通常采用的月/日/年格式绝对时间定义举例基于时间访问列表的配置命令续定义周期、重复使用的时间范围periodic days-of-the-week hh:mm to days-of-the-week hh:mmperiodic是以星期为参数来定义时间范围的一个命令。它可以使用大量的参数，

24、其范围可以是一个星期中的某一天、几天的结合，或者使用关键字daily、weekdays、weekend等periodic中的参数 常用的周期时间范围定义形式 周期时间举例指定的时间范围为从星期六的早上8:00到星期日的下午5:00，日期为2000年6月1日到2000年的12月31日：router(config)#time-range examplerouter(config-time-range)#absolute start 8:00 1 June 2000 end 17:00 31 December 2000router(config-time-range)#periodic weeken

25、d 8:00 to 17:00基于时间访问列表的配置举例一网络中包括两个以太网段并通过路由器连接到initernet网络，要求限制192.168.1.0网段的主机只能在2000年6月1日至2000年12月31日内的星期六的早上7:00到星期日的下午5:00进行WWW访问基于时间访问列表的配置举例一配置router#configure terminalrouter(config)#time-range allow-wwwcqdd(config-time-range)#asbolute start 7:00 1 June 2000 end 17:00 31 December 2000cqdd(co

26、nfig-time-range)#periodic weekend 7:00 to 17:00cqdd(config-time-range)#exitrouter(config)#access-list 101 permit tcp 192.168.1.0 0.0.0.255 any eq www time-range allow-wwwrouter(config)#interface serial 0router(config-if)#ip access-group 101 out基于时间访问列表的配置举例二Web服务器的IP地址为61.186.170.100，对Web服务器的访问作如下限制

27、：从Internet网访问Web只能在星期六早上7:00到星期一早上7:00时间范围内进行；而192.168.1.0网段上的用户只能在星期一到星期五早上8:00到下午5:00访问Web服务器；日期范围为2004年5月1到2004年12月31日基于时间访问列表的配置举例二配置router#configure terminalrouter(config)#time-range internet-wwwcqdd(config-time-range)#asbolute start 8:00 1 31 December 2004cqdd(config-time-range)#periodic Satur

28、day 7:00 to Monday 7:00cqdd(config-time-range)#exitrouter(config)#time-range intranet-wwwcqdd(config-time-range)#asbolute start 7:00 1 May 2004 end 17:00 31 December 2004cqdd(config-time-range)#periodic weekday 8:00 to Monday 17:00cqdd(config-time-range)#exit基于时间访问列表的配置举例二配置续router(config)#access-li

29、st 101 permit tcp any host 61.186.170.100 eq www time-range internet-wwwrouter(config)#access-list 102 permit tcp 192.168.1.0 0.0.0.255 host 61.186.170.100 eq www time-range intranet-wwwrouter(config)#interface serial 0router(config-if)#ip access-group 101 inrouter(config)#interface ethernet 0router

30、(config-if)#ip access-group 102 in通过IP访问列表控制vty访问举例Web服务器的IP地址为61.186.170.100，网络管理员只能从Web服务器上登录路由器，而且登录只能是星期一到星期五的工作时间（上午8:00到下午5:00）登录，访问列表从2004年5月1日起一直有效 通过IP访问列表控制vty访问举例配置router#configure terminalrouter(config)#time-range telnet-routercqdd(config-time-range)#asbolute start 7:00 1 May 2004cqdd(co

31、nfig-time-range)#periodic weekday 8:00 to 17:00cqdd(config-time-range)#exitrouter(config)#access-list 101 permit tcp host 61.186.170.100 any eq telnet time-range telnet-routerrouter(config)#line vty 0 4cqdd(config-line)#access-class 101 in华为访问控制列表配置命令(1)定义编号访问控制列表acl number acl-number match-order co

32、nfig|auto vacl-number：访问列表序号，取值范围20002999表示标准访问控制列表；30003999表示扩展访问控制列表。vmatch-order为可选参数，其作用是设置语句的执行顺序，当选用config参数时，表示路由器按照用户的配置顺序来执行访问列表中的规则；当选用auto参数时，表示路由器按照深度优先的顺序来执行访问列表中的规则。华为访问控制列表配置命令(2)定义命名访问控制列表命令：acl name acl-name advanced|basic match-order config|auto vacl-name：访问控制列表的名称vadvanced：表示扩展访问控

33、制列表。vbasic：表示标准访问控制列表。华为访问控制列表配置命令(3)定义标准访问控制列表的子规则rule rule-id permit|deny source source-addr wildcard|any time-range name vrule-id：指定访问控制列表的子项，取值范围为0127；vpermit：表明允许满足条件的报文通过；vdeny：表明禁止满足条件的报文通过；vsource-addr wildcard|any：source-addr wildcard表示源IP地址和源地址通配符掩码；any表示所有主机；vname：时间段的名称，可选参数，表示该规则在此时间段规则

34、有效。华为访问控制列表配置命令(4)定义扩展访问控制列表的子规则rule rule-id permit|deny protocol source source-addr wildcard|any destination dest-addr wildcard|any source-port operator port1 port2 destination-port operator port1 port2 established time-range name vrule-id：指定访问控制列表的子项，取值范围为0127；vpermit：表明允许满足条件的报文通过；vdeny：表明禁止满足条件的

35、报文通过；vprotocol：本参数用来指定协议类型，可设置为icmp、igmp、tcp、udp、ip等。vsource-addr wildcard|any：source-addr wildcard表示源IP地址和源地址通配符掩码；any表示所有主机；vdestination dest-addr wildcard|any：dest-addr wildcard表示目的IP地址和目的地址通配符掩码；any表示所有目的地址；vsource-port operator port1 port2：表示报文使用的源TCP或者UDP端口号。vdestination-port operator port1 po

36、rt2：表示报文使用的目的TCP或者UDP端口号。vestablished：表示此条规则仅对TCP建立连接的第一个SYN报文有效；vname：时间段的名称，可选参数，表示该规则在此时间段规则有效。华为访问控制列表配置命令(5)删除访问控制列表的子规则undo rule rule-idvrule-id：指定访问控制列表的子项，取值范围为0127；显示访问控制列表的配置display acl config all|acl-number|acl-name vall：表示要显示所有的访问列表vacl-number：要显示的访问列表序号；vacl-name：要显示的访问列表名字。华为访问控制列表配置命令

37、(6)时间的定义time-range time-name start-time to end-time days-of-the-week from start-date to end-date vtime-name：定义时间范围的名字。vstart-time：开始时间，表示形式为hh:mm。vend-time：结束时间，表示形式为hh:mm。vdays-of-the-week：参数表示在每周的哪几天有效vfrom start-date：开始日期，表示形式为hh:mm MM-DD-YYYY即小时:分 月-日-年；vto end-date：结束日期，表示形式为hh:mm MM-DD-YYYY。华为

38、访问控制列表配置命令(7)应用访问控制列表packet-filter inbound ip-group acl-number|acl-name vinbound：表示对端口接收的报文进行过滤vacl-number：访问控制列表编号；vacl-name：访问控制列表名字；vrule_id：可选参数，指定应用访问列表中的哪个子项，如果不指定则表示要应用访问列表中的所有子项。华为访问控制列表举例 公司企业网通过三层交换机Switch的百兆端口实现各部门之间的互连。财务部门的工资查询服务器（IP地址：129.110.1.2）由Ethernet2/1端口接入。要求正确配置ACL，限制其它部门在上班时间8

39、:00至12:00访问工资服务器，而总裁的计算机（IP地址：129.111.1.2）不受限制，可以随时访问 华为访问控制列表举例配置 Quidway time-range huawei 8:00 to 18:00 working-dayQuidway acl name traffic-of-payserver advancedQuidway-acl-adv-traffic-of-payserver rule 1 deny ip source any destination 129.110.1.2 0.0.0.0 time-range huaweiQuidway-acl-adv-traffic-

40、of-payserver rule 2 permit ip source 129.111.1.2 0.0.0.0 destination 129.110.1.2 0.0.0.0Quidway packet-filter ip-group traffic-of-payserver综合楼汇聚层ACL配置 综合楼ACL的主要功能是过滤常见的病毒传播端口，控制病毒在网络上的传播 配置步骤分为三步收集常见病毒的传播端口；配置访问控制列表；将访问控制列表应用到端口 如果办公用户间很少直接相互访问，可以对二层交换机进行端口隔离，从而进一步控制病毒利用网络进行传播 教学楼汇聚层ACL配置 为了控制用户使用网络

41、的流量和病毒的传播，使用较高的安全措施即只允许用户进行常用网络操作，其余操作全部禁止 常见网络端口使用三层交换机作防火墙 优点：包过滤速度快缺点：三层交换机的ACL只有包过滤功能，缺少防火墙的其他策略，如防上DDOS攻击，碎片攻击等 InternetLANDMZ区服务器3750E1/1E1/2E1/3防火墙数据包流动示意图 DMZ区服务器3750E1/1E1/2E1/361.186.192.68192.168.1.10InternetLAN61.186.170.10三层交换机配置防火墙的步骤 配置主机请求数据的访问控制列表，对目的端口进行检；配置服务器回应数据的访问控制列表，对源端口进行检查；

42、将第1步配置的访问列表应用在主机连接端口的in方向；将第2步配置的访问列表应用在服务器连接端口的in方向；由于防火墙采用“除了允许的数据包，其余全部禁止”的策略，因此每个访问列表的最后应该有一条语句禁止所有数据包通过(deny ip any any)。DMZ区防火墙访问列表遵守策略 遵守“除了允许的数据包，其余全部禁止”的策略 遵守“最小服务”策略 三层交换机防火墙的维护 增加ACL列表 将原有ACL列表复制保存，再删除原有的ACL列表按增加新ACL规则后的顺序重新配置ACL列表。修改ACL列表。由于cisco和华为都没有提供修改ACL语句的命令，因此，ACL语句的修改操作的步骤与增加ACL语

43、句的操作步骤是一样的 删除ACL规则。直接用no或undo命令删除相应的规则即可 TCP三次握手（Three-way Handshake）客户端发送一个包含SYN标志的TCP报文给服务器端；服务器在收到客户端的SYN报文后，将返回一个SYN+ACK的报文，表示客户端的请求被接受；客户端返回一个ACK确认报文给服务器，这样一个TCP连接完成。TCP拦截原理TCP拦截有拦截和监视两种工作模式拦截模式：路由器拦截到达的TCP SYN请求，并代表服务器建立与客户机的连接，如果连接成功，则代表客户机建立与服务器的连接，并将两个连接进行透明合并。在整个连接期间，路由器会一直拦截和发送数据包。对于非法的连接

44、请求，路由器提供更为严格的半连接（half-open）超时限制，以防止自身的资源被SYN攻击耗尽在监视模式下，路由器被动地观察流经路由器的连接请求，如果连接超过了所配置的建立时间，路由器就会关闭此连接TCP拦截的配置 开启TCP拦截ip tcp intercept list access-list-numberaccess-list-number是已经设置好的IP访问列表的编号或名称。设置TCP拦截模式ip tcp intercept mode intercept|watchintercept：拦截模式；watch：监视模式配置路由器等待时间ip tcp intercept watch-tim

45、eout secondsSeconds：设置等待时间，单位为秒TCP拦截的配置续配置删除TCP半连接的阀值(1)ip tcp intercept max-incomplete high numberNumber：路由器开始删除连接之前，能够存在的最大半连接数(2)ip tcp inercept max-incomplete low number Number：路由器停止删除连接之前，能够存在的最大半连接数(3)ip tcp intercept one-minute high number Number：路由器开始删除连接之前，每分钟内能存在的最大半连接数目 ip tcp intercept o

46、ne-minute low numberNumber：路由器停止删除连接之前，每分钟内能存在的最大半连接数目TCP拦截的配置续设置路由器删除半连接的方式ip tcp intercept drop-mode oldest|randomOldest：删除建立时间最早的连接；random：随机删除已经建立的连接查看TCP拦截信息show tcp intercept connections show tcp intercept statisticsTCP拦截配置举例 Web服务器的IP地址为61.186.170.100，配置路由器进行TCP拦截，以保护Web服务器不受SYN洪水攻击。要求采用两拦截和监

47、视两种模式分别配置。在拦截模式下，设置最大半连接数的高、低值分别为500和300；每分钟保持连接数的高、低值分别为：500和300，删除连接的方式采用缺省值。在监视模式下，设置路由器等待时间为20秒。TCP拦截配置举例配置拦截模式的配置router#configure terminalrouter(config)#access-list 101 permit tcp any host 61.186.170.100router(config)#ip tcp intercept mode interceptrouter(config)#ip tcp intercept max-incomplete

48、 high 500router(config)#ip tcp intercept max-incomplete low 300router(config)#ip tcp intercept one-minute high 500router(config)#ip tcp intercept one-minute low 300router(config)#ip tcp intercept list 101TCP拦截配置举例配置续监视模式下地配置：router#configure terminalrouter(config)#access-list 101 permit tcp any host 61.186.170.100router(config)#ip tcp intercept mode watchrouter(config)#ip tcp intercept watch-timeout 20router(config)#ip tcp intercept list 101