OSPF動態路由、Vlan技術-金老師
動態路由之OSPF
OSPF概述
OSPF:是開放式最短路徑優先(Open Shortest Path First)的縮寫。是一個內部網關協議(Interior Gateway Protocol,簡稱IGP),用於在單一自治系統(autonomous system,AS)內決策路由。
OSPF是對鏈路狀態路由協議的一種實現,隸屬內部網關協議(IGP),故運作於自治系統內部。著名的迪克斯加算法(Dijkstra)被用來計算最短路徑樹。OSPF分爲OSPFv2和OSPFv3兩個版本,其中OSPFv2用在IPv4網絡,OSPFv3用在IPv6網絡。OSPFv2是由RFC 2328定義的,OSPFv3是由RFC 5340定義的。與RIP相比,OSPF是鏈路狀態協議,而RIP是距離矢量協議。
OSPF由IETF在20世紀80年代末期開發,OSPF是SPF類路由協議中的開放式版本。
OSPF通過路由器之間通告網絡接口的狀態來建立鏈路狀態數據庫,生成最短路徑樹,每個OSPF路由器使用這些最短路徑構造路由表。
OSPF特點彙總:
OSPF以較低的頻率(每隔 30 分鐘)發送定期更新,爲了保證lsdb的同步,這個值應該是被人們檢驗爲比較合理的一個值。這是也可以說是一種可靠性的體現吧。
OSPF的HELL0報文計時器每隔10秒發送一次,保持時間40秒,即如果在40秒內沒收到hello,則認爲居不存在.在非廣播網絡中(幀中繼),每隔30秒發送一次,保持時間120秒。
【技術原理】
OSPF(Open Shortest Path First)爲IETF OSPF工作組開發的一種基於鏈路狀態的內部網關路由協議。當OSPF 路由域規模較大時,一般採用分層結構,即將OSPF路由域分割成幾個區域(Area),區域之間通過一個骨幹區域互聯,每個非骨幹區域都需要直接與骨幹區域連接,每個區域都有一個標識號,其中主幹區域的標識爲0 (0.0.0.0)。下圖所示是一個OSPF的單區域網絡。
練習:通過PT模擬器設計出如下所示的網絡拓撲圖,給網絡中的路由器設置IP地址,然後配置OSPF動態路由協議,實現全網通。
OSPF路由通告命令:
命令格式:network 本接口網絡地址 反子網掩碼 area 區域號
例:network 192.168.1.0 0.0.0.255 area 0
注:area區域號取值範圍爲0-4294967295。
R1配置OSPF路由協議:
Routera(config)#do show ip route //查看路由表
Routera(config)#router ospf 1 //開啓ospf
Routera(config-router)#network 192.168.1.0 0.0.0.255 area 0 //發佈路由通告
Routera(config-router)#network 192.168.5.0 0.0.0.255 area 0 //發佈路由通告
Routera(config-router)#end //退出當前配置,返回到特權模式
Routera#write //保存配置
Routera(config)# show ip route //查看路由表
traceroute路由跟蹤測試
要求:從R1路由器用traceroute追蹤到到R3,驗證經過幾跳到達目標路由器。看是否走的是OSPF的最短路徑。
OSI(開放系統互聯Open System Interconnection)網絡七層
層號 | 名稱 | 功能 | 協議 |
7 | 應用層Application | 提供與用戶交互的應用程序接口port。爲每一種應用的通信在報文上添加必要的的信息。如QQ、瀏覽器、酷狗等 | HTTP、NFS、FTP、TFTP、Telnet、SMTP、POP3、IMAP、DHCP、SNMP、DNS
單位:data數據 |
6 | 表示層Description | 定義數據的表示方法,數據壓縮和加密,使數據以可以理解的格式發送和讀取。如文本、圖片、聲音、視頻等。 | |
5 | 會話層Session | 建立、管理和終止網絡會話,提供網絡會話的順序控制。解釋用戶和機器名稱也在這層完成。 | |
4 | 傳輸層Transfer | 建立端到端的連接,提供端口地址尋址(TCP/UDP)。建立、維護、拆除連接。實現流量控制、出錯重發、數據段等功能。單位:segment段 | TCP/UDP |
3 | 網絡層Network | 提供IP地址尋址和路由轉發。支持子網間互聯的所有功能。設備有路由器、三層交換機。單位:packet包 | IP協議、路由協議、 ARP、RARP、ICMP、IGMP、IPX、SPX |
2 | 數據層DataLink | 提供鏈路層地址(如MAC地址)尋址。介質訪問控制(如以太網的總線爭用技術)。差錯檢測。控制數據的發送與接收。設備有網卡、網橋、交換機。單位:Frame幀 | CSMA/CD、PPP、PPTP、L2TP、SLIP、TokingRing |
1 | 物理層 Physical | 提供建立計算機和網絡之間通信所必須的硬件電路和傳輸介質。如網線、HUB集線器、光纖、網絡接口等。 單位:bit比特流 | IEEE 802.11 IEEE 802.11a IEEE 802.11g |
注:TCP--傳輸控制協議,是面向連接的協議。進行數據傳輸之前會通過三次握手來確認對方是否在線,並且會檢測對方是否接收到數據,如果未收到會重發。
UDP--用戶數據報協議,是面向無連接的協議。進行數據傳輸之前不會確認對方是否在線,也不會確認對方是接收到數據。類似於廣播的形式來傳輸數據。如有線電視、在線看視頻、發郵件等。
TCP/IP四層模型
應用層:提供app應用程序接口。對應OSI的應用層+表示層+會話層。
傳輸層:等同OSI的傳輸層。
網絡層:等同OSI的網絡層。
鏈路層:等同OSI的數據鏈路層+物理層。
網絡數據包的封裝、解封裝示意圖 | |
A發數據給B的數據封裝過程:
1、原始數據data
2、TCP/UDP+原始數據data
3、源IP/目標IP + data (填寫快遞單)
4、源MAC/目標MAC + data (快遞物件裝上車)
5、bit流在通信線路上傳輸 (道路:海、陸[有線網、光纖]、空[無線電波])
B接收數據的解封裝過程:
1.bit流在通信線路上傳輸 (道路:海、陸[有線網、光纖]、空[無線電波])
2.源MAC/目標MAC + data (快遞物件取下車)
3.源IP/目標IP + data (打開快遞包裹)
4.原始數據data
各層通信方式
一層通信(物理層):
物理層採用共享同一條通信信道來傳輸數據。採用CSMA/CD(Carrier Sense Multiple Access with Collision Detection)基帶衝突檢測的載波監聽多路訪問技術(載波監聽多點接入/碰撞檢測)機制來避免數據在傳輸過程中的阻塞問題。屬於半雙工通信方式。
組建一層通信網絡的設備:HUB集線器(網絡性能很低,已淘汰)。
CSMA/CD協議工作示意圖 | |
二層通信(數據鏈接層):
採用多條通信信道來傳輸數據。設備有交換機。交換機上會記錄所連接的每塊網卡的MAC地址。
MAC地址表的老化時間爲300秒,也就是從一個地址記錄加入地址表以後開始計時,如果在老化時間內各端口未收到源地址爲該MAC地址的幀,那麼,這些地址將從動態轉發地址表(由源MAC地址、目的MAC地址和它們相對應的交換機的端口號)中被刪除。
交換機的工作過程:
1、初始化,MAC地址表是空的。
2、通過廣播形式,自動學習所接入的網卡的MAC地址,採用ARP協議。
3、定期更新MAC地址。
注意:交換機學習網卡設備的MAC地址是根據二層數據包中的源MAC地址來學習的。當數據包進入到交換機的端口後,交換機會分析數據包的源MAC地址,並將源MAC地址和交換機端口的映射關係保存到MAC地址表(mac-address-table)中。
ARP協議的工作過程:
例:用PT軟件設計如下的網絡拓撲圖,給PC設置正確的IP地址,然後PC0去ping PC1來認識ARP的過程。
PC0通過ARP協議獲取PC1的MAC地址的過程:
PC0和PC通信的過程:
ping:第1次通信
三層的數據包:
源IP:192.168.1.1
目標IP:192.168.1.2
二層數據:
源MAC: 0000.0CA7.D268
目標MAC:未知
ARP概念:
ARP是地址轉換協議(Address Resolution Protocol)的縮寫。是實現通過IP地址解析出MAC的功能。
ARP通信過程分析:
由於A不知道目標的MAC,會廣播一個ARP的數據包給所有的電腦,電腦電到數據包後,在三層發現目標IP地址是自己,就單播回覆一個ARP包給A,A收到後在將B的MAC地址和IP地址的對應關係保存在緩存中。
PC0和PC通信的過程:
ping:第2次通信
三層的數據包:
源IP:192.168.1.1
目標IP:192.168.1.2
二層數據:
源MAC: 0000.0CA7.D268
目標MAC: 000D.BD8C.4B8B
交換機學習MAC地址的過程:
交換機是通過二層數據包中的源MAC地址來學習到所連接的設備的MAC地址信息,並緩存到交換機的MAC地址表中。交換機MAC地址表中的信息包括交換機的端口號和所連接設備的MAC地址映射(對應)關係。
計算機操作系統中記錄的MAC地址表:信息包括IP地址和MAC地址的映射(對應)關係。用arp -a命令查詢。
查看交換機的MAC地址表:show mac-address-table
清空MAC地址表:clear mac-address-table
查看電腦的MAC地址表:arp -a [先ping一下對方的IP,再用arp -a查]
PT模擬器上的電腦上清空MAC地址表:arp -d 或 arp -d *
HUB集線器和switch交換機的區別:
交換機上會記錄所連接的每臺設備的MAC地址和端口的映射關係,而HUB沒有。交換機組建的局域中每臺設備第1次通信時會產生一個ARP廣播來獲取對方的MAC地址,後續通信則是單播(即點到點通信)。
HUB組建的局域中每臺主機每次通信時都產生廣播,會佔用大量網絡帶寬,性能很差。現已淘汰。
交換機MAC地址表生成的示意圖:
VLAN虛擬局域網
VLAN概述
VLAN(Virtual Local Area Network)的中文名爲"虛擬局域網",是從邏輯上將交換機的端口分成不同的虛擬局域網。可以根據功能、部門及應用等因素將它們組織起來,相互之間的通信就好像在同一個局域網中一樣。
爲何用VLAN:
爲了縮小廣播的範圍。因爲交換機組建的局域網中,任意兩臺主機第1次通信時會通過ARP協議廣播來獲取對方的MAC,如果說網絡中主機過多,會佔用大量帶寬。
VLAN工作在OSI參考模型的第2層和第3層,一個VLAN就是一個廣播域,VLAN之間的通信是通過第3層的路由器來完成的。
VLAN的邏輯示意圖 | VLAN的數據包結構 |
IEEE(電氣和電子工程師協會,全稱是Institute of Electrical and Electronics Engineers)於1999年頒佈了用於標準化VLAN實現方案的802.1Q協議標準草案。VLAN技術的出現,使得管理員根據實際應用需求,把同一物理局域網內的不同用戶邏輯地劃分成不同的廣播域,每一個VLAN都包含一組有着相同需求的計算機工作站,與物理上形成的LAN有着相同的屬性。
VLAN的配置命令
命令:
查看vlan信息:show vlan
創建編號爲11的VLAN : vlan 11
設置f0/1接口:int f0/0
設置f0/1~f0/5接口:int range f0/1 - 5
設置端口模式爲access訪問: switchport mode access
將端口加入到vlan 11組中:switchport access vlan 11
設置端口模式爲trunk幹線(中繼): switchport mode trunk (trunk上允許傳輸所有的vlan數據)
允許trunk幹道上傳輸所有vlan數據:switchport trunk allowed vlan all
允許trunk幹道上傳輸vlan 11、12數據:switchport trunk allowed vlan 11,12
練習:使用PT模擬器軟件設計下圖所示的網絡拓撲圖。然後,給每臺電腦均設置正確的IP地址。測試主機A和其他主機之間的通信狀態。在交換機上創建VLAN11、VLAN12,將交換機的端口按拓撲圖的標識劃分到不同的VLAN中。再次測試主機A和其他主機之間的通信狀態。
交換機的VLAN配置:
Switch>en
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#vlan 11 //創建編號爲11的VLAN
Switch(config)#name tech //設置vlan名稱爲tech
Switch(config-vlan)#vlan 12 //創建編號爲12的VLAN
Switch(config)#name sales //設置vlan名稱爲sales
Switch(config-vlan)#do sh vlan //查看VLAN信息
Switch(config-vlan)#int range f0/1-2 //設置f0/1~f0/2的端口
Switch(config-if)#switchport access vlan 11 //將端口加入到vlan11中
Switch(config-if)#int f0/3 //設置f0/3的端口
Switch(config-if)#switchport access vlan 12 //將端口加入到vlan12中
Switch(config-if)#do sh vlan
Switch(config-if)#do write
練習:使用PT模擬器軟件設計下圖所示的網絡拓撲圖。按下圖給所有的PC設置正確的IP地址,並將交換機的端口按圖中所示分別劃分到VLAN11和VLAN12中,然後對每臺交換機的f0/24接口配置trunk模式,實現左邊的VLAN11中的主機能訪問右邊VLAN11中的主機。
f0/24端口的trunk配置:
int f0/24
switchport mode trunk //將端口模式設置爲trunk幹道
switchport trunk allowed vlan 11,12 //[根據需要來做]允許trunk幹道上傳輸vlan11和vlan12的數據
VTP協議
VTP:是虛擬局域網傳輸協議的縮寫。用來實現VLAN的集中管理。
VTP的作用:在一臺Server主交換機上創建VLAN,在其他Client客戶交換機上自動接收VLAN信息的功能。思科的VTP協議跟華爲的VTP協議是不兼容的。
VTP配置:
VTP服務器端配置:
do show vtp status //查看VTP狀態
vtp domain qf //設置vtp的域名爲qf
version 2 //啓用2號版本
vtp mode server //設置工作模式爲服務器端
vtp password jin //設置訪問密碼爲jin
VTP客戶端配置:
do show vtp status //查看VTP狀態
vtp domain qf //設置vtp的域名爲qf
version 2 //啓用2號版本
vtp mode client //設置工作模式爲客戶端
vtp password jin //設置訪問密碼爲jin
trunk配置:
int f0/1
switchport mode trunk
練習:使用PT模擬器軟件設計下圖所示的網絡拓撲圖。按下圖給交換機配置VTP、trunk、創建VLAN。查詢vlan信息。
VTP練習步驟參考:
VTP Server配置:
命令 | 功能 |
enable | 切換到特權模式 |
conf t | 進入配置模式 |
do show vtp status | 顯示VTP狀態信息 |
vtp domain qf | 設置vtp域名爲qf××× |
vtp mode server | 設置vtp模式爲Server服務器端 |
vtp password jin | 設置vtp驗證密碼爲jin |
int range f0/1-2 | 配置f0/1至f0/2端口 |
switchport mode trunk | 設置端口模式爲trunk幹道模式 |
exit | 退出當前設置 |
vlan 11 | 創建編號爲11的vlan |
name tech | 設置vlan名稱爲tech |
vlan 12 | 創建編號爲12的vlan |
name sales | 設置vlan名稱爲sales |
vlan 13 | 創建編號爲13的vlan |
name design | 設置vlan名稱爲design |
do show vlan | 顯示vlan信息 |
do write | 保存設置 |
VTP Client配置:
命令 | 功能 |
enable | 切換到特權模式 |
conf t | 進入配置模式 |
do show vlan | 顯示vlan信息 |
do show vtp status | 顯示VTP狀態信息 |
vtp domain qf | 設置vtp域名爲qf××× |
vtp mode client | 設置vtp模式爲Client客戶端 |
vtp password jin | 設置vtp驗證密碼爲jin |
int f0/1 | 配置f0/1端口 |
switchport mode trunk | 設置端口模式爲trunk幹道模式 |
exit | 退出當前設置 |
do show vlan | 顯示vlan信息 |
do write | 保存設置 |
VLAN間的路由
概述
不同VLAN之間的主機要想正常通信,必須通過路由技術來實現。可以通過路由器的單臂路由、三層交換機這兩種方式來實現。本節分別介紹單臂路由、三層交換機來實現VLAN間的通信。
單臂路由
單臂路由是採用路由器的邏輯子接口功能來實現的,需要給路由器的邏輯子接口設置多個IP,每個子接口負責轉發自己所負責的VLAN數據。路由數據包協議採用802.1Q協議進行封裝。下面通過案例來學習單臂路由功能。
練習:使用PT模擬器軟件設計下圖所示的網絡拓撲圖。依次給每臺PC機設置正確的IP地址和網關。創建VLAN 11和VLAN 12。VLAN的名稱分別爲tech、sales。並對交換機的端口按圖所示來劃分到VLAN 11和VLAN 12中,並對連接到路由器的主幹線端口設置trunk幹道模式。然後在路由器上給邏輯子接口配置IP地址和數據封裝類型爲802.1Q來實現單臂路由。最後,測試VLAN中PC機的通信狀態。並且用PT的仿真模式來查看數據包的流向動畫。
注意:本例中未寫出VLAN創建的命令,僅寫出了單臂路由和交換機trunk的配置命令。如果不熟悉VLAN創建的命令,請參考VLAN創建的練習案例。
Router單臂路由配置:
Router>en
Router#conf t
Router(config)#int f0/0 //設置F0/0端口
Router(config)#no shutdown //激活端口
Router(config-if)#int f0/0.1 //設置F0/0端口的2號邏輯子接口
Router(config-subif)#encapsulation dot1Q 11 //在此接口封裝11號VLAN的數據
Router(config-subif)#ip add 192.168.1.254 255.255.255.0 //給子接口設置IP
Router(config-if)#int f0/0.2 //設置F0/0端口的3號邏輯子接口
Router(config-subif)#encapsulation dot1Q 12 //在此接口封裝12號VLAN的數據
Router(config-subif)#ip add 192.168.2.254 255.255.255.0 //給子接口設置IP
Router(config-subif)# do ping 192.168.1.1 (不通,因爲交換機上沒有trunk幹道)
Router(config-subif)# do ping 192.168.2.3 (不通,因爲交換機上沒有trunk幹道)
Router(config-subif)# do write
交換機配trunk幹道:
Switch>en
Switch#conf t
Switch(config)#int f0/23
Switch(config-if)#sw
Switch(config-if)#switchport mode trunk
Switch(config)# do write
三層交換機
三層交換機可以實現VLAN之間的通信,既可工作在2層,也可以工作在3層,並且支持部分三層的路由協議。
在中、大型局域網中只要用到VLAN技術,那麼一定會採用三層交換機實現VLAN之間的通信。
三層交換機實現VLAN間通信的方法:
直接在三層交換機上啓用routing路由轉發(forward)功能,並給VLAN設置IP地址。
三層交換機配置:創建VLAN,並給VLAN設置IP地址
Switch>en
Switch#conf t
Switch(config)#ip routing //啓用路由轉發功能
Switch(config)#vlan 11
Switch(config-vlan)#name tech
Switch(config-vlan)#vlan 12
Switch(config-vlan)#name design
Switch(config-vlan)#int vlan 11 //設置VLAN 11
Switch(config-if)#ip add 192.168.1.254 255.255.255.0
Switch(config-if)#int vlan 12 //設置VLAN 12
Switch(config-if)#ip add 192.168.2.254 255.255.255.0
Switch(config-if)#do write
Switch(config-if)#ping 192.168.1.1
Switch(config-if)#ping 192.168.2.3
交換機的Telnet遠程登錄設置
練習:用PT設計下圖所示的網絡拓撲圖,先給PC設置正確的IP地址,然後給交換機的vlan 1設置IP地址,並激活VLAN 1,再給交換機配置telnet遠程登錄,最後用PC的cmd界面測試telnet遠程登錄到交換機。
給交換機的VLAN設置IP:
Switch>enable
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#int vlan 1
Switch(config-if)#ip add 192.168.3.254 255.255.255.0
Switch(config-if)# no shutdown
Switch(config-if)# do ping 192.168.3.1
Switch(config-if)# do show run
Switch(config-if)#do wr
給交換機設置telnet遠程登錄:
Switch(config-if)#line vty 0 4
Switch(config-line)#pass
Switch(config-line)#password jin
Switch(config-line)#login
Switch(config-line)#do write
子網劃分
子網掩碼的作用:明確標識出IP地址中的網絡號(網絡位)和主機號(主機位)。子網掩碼二進制數中連續的1用來對應IP地址中的網絡號,連續的0用來對應IP地址中的主機號。
IP地址 | 192.168.5.8 (C類) | 192.168.5.8
|
子網掩碼 | 255.255.255.0 (C類) | 1111 1111. 1111 1111. 1111 1111.0000 0000 |
網絡號 | 前3組數 | 192.168.5 |
主機號 | 第4組數(取值範圍0~255) | 8 |
網絡地址 | 即主機號爲全0的IP地址 | 192.168.5.0 |
廣播地址 | 即主機號爲全1的IP地址 | 192.168.5.255 |
可用主機號 | 可用主機號=28-2=256-2=254 | 254 |
可用IP地址 | 192.168.5.1 → 192.168.5.254 | |
子網掩碼可以實現的功能:
子網劃分:借主機位來充當網絡位,就可以將大的網絡劃分成很多小的網絡,這種子網掩碼被稱做VLSM變長子網掩碼(Variable Length Subnetwork Mask)。可理解成將一個大組分成很多個小組。
超網:借網絡位來充當主機位,就可以將小的網絡合併成一個大的網絡。
說明:網絡號的二進制位數增加,主機號的二進制位數就會減少。
如:從C類IP地址中的主機號(8位二進制)中借一位當做網絡號,主機號則剩下七位二進制。
子網掩碼:255.255.255.128 128[1 000 0000]
子網1的主機號範圍:0~127 0[0 000 0000] ~ 127[0 111 1111]
子網2的主機號範圍:128~255 128[1 000 0000] ~ 255[1 111 1111]
注意:以上主機號取值範圍中紅字的0、1是從主機號中借的一位用來作爲網絡號的。
2的冪(指數) | 7 | 6 | 5 | 4 | 3 | 2 | 1 | 0 |
十進制值 | 128 | 64 | 32 | 16 | 8 | 4 | 2 | 1 |
子網劃分的提問:
1.將C類IP地址192.168.8.0這個網絡劃分成2子網,子網掩碼應該是多少?每個子網的IP數量?每個子網的主機號取值範圍分別是多少?每個子網的網絡地址和廣播地址分別是多少?
子網劃分解題分析:
第1步,C類IP地址的默認子網掩碼是255.255.255.0(即/24)根據劃分成2個子網的要求,得出需要從主機號中借一位作爲網絡號。從而得出子網掩碼是255.255.255.128(即/25)。
第2步,每個子網的IP總數是256除以子網數量,即256/2=128。
第3步,根據每個子網的IP總數是128,得出以下子網的主機號取值範圍:
子網一:192.168.8.0~192.168.8.127
子網二:192.168.8.128~192.168.8.255
第4步,每個子網的網絡地址和廣播地址分別如下:
網絡地址:IP地址中主機號爲全0的地址。
廣播地址:IP地址中主機號爲全1的地址
注意:網絡地址和廣播地址是不能分配給主機用的,網絡地址是記錄在路由表中的,而廣播地址是在DHCP服務中發廣播時會用到。
子網一:網絡地址192.168.8.0 (0 000 0000) 廣播地址:192.168.8.127 (0 111 1111)
子網二:網絡地址192.168.8.128 (1 000 0000) 廣播地址: 192.168.8.255 (1 111 1111)
從主機號中 借的位數 | 子網數 | 每個子網的 IP總數 | 子網掩碼前綴 | 子網掩碼 | |
0 | 20=1 | 256 | 28=256 | /24 | 255.255.255.0 |
1 | 21=2 | 256/2=128 | 27=128 | /25 | 255.255.255.128 |
2 | 22=4 | 256/4=64 | 26=64 | /26 | 255.255.255.192 |
3 | 23=8 | 256/8=32 | 25=32 | /27 | 255.255.255.224 |
4 | 24=16 | 256/16=16 | 24=16 | /28 | 255.255.255.240 |
5 | 25=32 | 256/32=8 | 23=8 | /29 | 255.255.255.248 |
6 | 26=64 | 256/64=4 | 22=4 | /30 | 255.255.255.252 |
7 | 27=128 | 256/128=2 | 21=2 | /31 | 255.255.255.254 |
8 | 28=256 | 256/256=1 | 20=1 | /32 | 255.255.255.255 |
2的冪(指數) | 7 | 6 | 5 | 4 | 3 | 2 | 1 | 0 |
十進制值 | 128 | 64 | 32 | 16 | 8 | 4 | 2 | 1 |
子網劃分練習:
1.將C類IP地址192.168.15.0這個網絡劃分成4子網,子網掩碼應該是多少?每個子網的IP數量?每個子網的主機號取值範圍分別是多少?每個子網的網絡地址和廣播地址分別是多少?可用IP是範圍是多少?
解題分析:
C類IP默認子網掩碼:255.255.255.0 (/24)
劃分4個子網:從主機號中借2位 22=4
子網掩碼:255.255.255.192 (/26) 192(11 00 0000)
每個子網的IP總數:256/子網數=256/4=64 即將256個數平均分成4份,每份64個數
每個子網的主機號取值範圍分別如下:
子網一:0 ~ 63 192.168.15.0~192.168.15.63
子網二:64 ~ 64+63=127 192.168.15.64~192.168.15.127
子網三:128 ~ 128+63=191 192.168.15.128~192.168.15.191
子網四:192 ~ 192+63=255 192.168.15.192~192.168.15.255
每個子網的網絡地址和廣播地址分別如下:
網絡地址 廣播地址 可用IP地址
子網一: 192.168.15.0 192.168.15.63 192.168.15.1~192.168.15.62
子網二: 192.168.15.64 192.168.15.127 192.168.15.65~192.168.15.126
子網三: 192.168.15.128 192.168.15.191 192.168.15.129~192.168.15.190
子網四: 192.168.15.192 192.168.15.255 192.168.15.193~192.168.15.254
子網劃分練習:
1.將C類IP地址192.168.15.0這個網絡劃分成8子網,子網掩碼應該是多少?每個子網的IP數量?每個子網的主機號取值範圍分別是多少?每個子網的網絡地址和廣播地址分別是多少?可用IP是範圍是多少?
解題分析:
C類IP默認子網掩碼:255.255.255.0 (/24)
劃分8個子網:從主機號中借3位 23=8
子網掩碼:255.255.255.224 (/27) 224(111 0 0000=27+26+25=128+64+32=224)
每個子網的IP總數:256/子網數=256/8=32 即將256個數平均分成8份,每份32個數
每個子網的主機號取值範圍分別如下:
子網一:0 ~ 31 192.168.15.0~192.168.15.31
子網二:32 ~ 32+31=63 192.168.15.32~192.168.15.63
子網三:64 ~ 64+31=95 192.168.15.64~192.168.15.95
子網四:96 ~ 96+31=127 192.168.15.96~192.168.15.127
子網五:128 ~ 128+31=159 192.168.15.128~192.168.15.159
子網六:160~ 160+31=191 192.168.15.160~192.168.15.191
子網七:192 ~ 192+31=223 192.168.15.192~192.168.15.223
子網七:224 ~ 224+31=255 192.168.15.224~192.168.15.255
每個子網的網絡地址和廣播地址分別如下:
網絡地址 廣播地址 可用IP地址
子網一: 192.168.15.0 192.168.15.31
子網二: 192.168.15.32 192.168.15.63
未完,待續……
問題:請問以下兩個IP地址是否屬於同一網段?
192.168.15.8/27 192.168.15.230/27
解題分析:
根據題目中IP地址所給的子網掩碼/27可以得知,這兩個IP地址是做了子網劃分的,是從主機號中借了3位作爲網絡號。也就是劃分了23=8個子網。每個子網的IP總數是256/8=32。所以以上兩個IP地址不屬於同一網段。
超網練習:
要求:讓C類IP地址每個子網的主機數超過256臺,讓他們之間能正常通信,如何實現。如想讓192.168.11.5和192.168.12.8這兩臺主機能正常通信,且不允許使用路由,如何實現。
方法:將192.168.11.5和192.168.12.8這兩臺主機的子網掩碼設置成255.255.0.0這個B類的子網掩碼。
默認子網掩碼時,不能通信 因爲兩臺主機的網絡號分別是192.168.11和192.168.12 | 用B類子網掩碼,兩臺主機能正常通信。 因爲兩臺主機的網絡號都是192.168,即網絡地址都是192.168.0.0 |
1111 1110 . 0000 0000
29=512
超網練習:
要求讓192.168.0.1這個IP所在的子網的IP總數爲512個,請問子網掩碼應該設置成多少?這個子網的IP地址取值範圍是多少?
解題分析:
第1步,根據題意要求每個子網的IP總數爲512個,得出主機號的二進制位數是9位(29=512)。也就是要從網絡號中借1位充當主機號。即子網掩碼是255.255.254.0 [254(1111 1110)]
第2步,IP地址的取值範圍是192.168.0.0~192.168.1.255。
子網掩碼的二進制:254(1111 1110.)
IP地址:0.0 ~ 1.255(1.1111 1111)
說明:以上IP地址和子網掩碼中紅字的0和1是從網絡號中借的一位充當主機號。
超網練習:
IP地址192.168.0.5/24,要求從網絡號中借2位作爲主機號,請問此時的子網掩碼是多少?這個子網的IP地址取值範圍是多少?
第1步,根據題意要求借兩位,則主機號共10位,子網掩碼是255.255.252.0(/22)
1111 1100.=252
第2步,IP地址的取值範圍是192.168.0.0~192.168.3.255
00.0000 0000=0.0
11.1111 1111=3.255
提問:以下兩個IP地址是否在同一網段?
192.168.0.5/22 192.168.3.8/22
超網練習:
IP地址192.168.8.5/24,要求從網絡號中借2位作爲主機號,請問此時的子網掩碼是多少?這個子網的IP地址取值範圍是多少?這個子網中的IP總數是多少個?
第1步,根據題意得出192.168.8.5/24的默認網絡號是192.168.8,子網掩碼是255.255.255.0。
第2步,從網絡聽不懂中借2位作爲主機號,子網掩碼就變成了24-2=22,即255.255.252.0(/22)。
此時IP地址192.168.8.5的子網網絡號是192.168.8 ( 8=0000 1000 )。
第3步,IP地址的取值範圍是:
最小值: 192.168.8.0 ( 8 =0000 1000 . 0000 0000 )
最大值: 192.168.11.255 ( 11=0000 1011 . 1111 1111 )
子網的網絡地址:192.168.8.0
子網的廣播地址:192.168.11.255
子網中的IP總數:210=1024個
可用IP地址:192.168.8.1~192.168.11.254
ACL訪問控制表(簡單介紹)
概述
ACL是訪問控制列表(access control list)的縮寫。其功能是定義各種訪問策略,並將訪問規則應用到指定的端口、IP、協議上,實現安全控制功能。通常在路由器或交換機上可以實現ACL功能。
防火牆和殺毒軟件的區別:
本質區別是監測的內容不同。防火牆監測的網絡數據包中的IP地址、協議、MAC地址、端口聽不懂等頭部信息。而殺毒軟件監測的是文件的正文內容(data數據)。
訪問控制列表的原理
對路由器接口來說有兩個方向:
出out:已經經路由器的處理,正離開路由器接口的數據包
入in:已經到達路由器接口的數據包,將被路由器處理。
匹配順序爲:“自上而下,依次匹配”。默認爲拒絕(deny)
訪問控制列表的類型
標準訪問控制列表:一般應用在out出站接口。建議配置在離目標端最近的路由上
擴展訪問控制列表:配置在離源端最近的路由上,一般應用在入站in方向
命名訪問控制列表:允許在標準和擴展訪問列表中使用名稱代替表號
ACL配置命令
ACL配置思路:
1.創建訪問控制表規則,規則中可定義源IP、目標IP、協議、端口號等參數。
2.將規則應用在路由器的端口(如f0/0、f0/1)上。
常見的網絡協議及端口號:
協議 | 中文意思 | 功能 | 端口號(用來標識服務的) |
http | 超文本傳輸協議 | 實現web網站 | 80 |
ftp | 文件傳輸協議 | 文件共享(上傳和下載) | 21(控制端口) 20(數據端口) |
smtp | 簡單郵件傳輸協議 | 發送郵件 | 25 |
pop3 | 郵局協議 | 郵件、郵箱管理 | 110 |
dns | 域名系統 | 域名解析,域名和IP間的轉換 | 53 |
dhcp | 動態主機配置協議 | 動態分配IP地址 | 67 68 |
tftp | 簡單文件傳輸協議 | 迷你的ftp協議,在PXE中給客戶機分發boot啓動文件 | 69 |
ntp | 網絡時間協議 | 網絡時間同步 | 123 |
先查看一下ACL的基本種類:
R1(config)#access-list ? //我們看了以後會發現,訪問控制列表,其實是靠序號去區分的
<1-99> IP standard access list //IP 標準訪問控制列表(基礎,僅能限制IP)
<100-199> IP extended access list //IP擴展訪問控制列表(增強型,能限制IP、協議、端口號等細節參數)
ACL表的特點:
1.每個號的ACL表中可以有多條訪問控制規則。
2.路由器的每個端口上僅能應用一個編號的ACL表策略。
標準ACL支持的功能:
Router(config)#access-list 1 deny ? //查看標準ACL命令幫助
A.B.C.D Address to match
any Any source host
host A single host address
擴展ACL支持的功能:
Router(config)#access-list 100 deny ? //查看擴展ACL命令幫助
ahp Authentication Header Protocol
eigrp Cisco's EIGRP routing protocol
esp Encapsulation Security Payload
gre Cisco's GRE tunneling
icmp Internet Control Message Protocol
ip Any Internet Protocol
ospf OSPF routing protocol
tcp Transmission Control Protocol
udp User Datagram Protocol
ACL項目實戰
練習:用PT軟件設計出下圖所示的網絡拓撲圖,並按要求完成項目任務。
要求:
1.設計出此網絡拓撲結構圖。
2.給PC、路由器、服務器設置正確的IP地址和網關。
3.用兩臺PC分別ping測試到服務器的通信狀態。
並分別訪問服務器的http和ftp服務。(此時都能正常訪問)
3.在路由器上設置ACL訪問控制列表。
ACL要求:
1.允許192.168.1.11用ping(icmp)和ftp訪問服務器。
2.允許192.168.1.12訪問服務器的http網站服務。
注意:思科路由器上一旦使用ACL功能,默認會自動增加預設規則爲deny拒絕所有人訪問。
單詞: deny拒絕 permit允許
R1的ACL配置:
R1> enable
R1#conf t
R1(config)# do show access-list //查看訪問控制列表內容
R1(config)# access-list 100 permit icmp host 192.168.1.11 host 192.168.2.254 echo
R1(config)# access-list 100 permit tcp host 192.168.1.11 host 192.168.2.254 eq 21
R1(config)# access-list 100 permit tcp host 192.168.1.12 host 192.168.2.254 eq 80
R1(config)# int f0/0
Router(config-if)#ip access-group 100 in //應用100這個ACL到接口的入口上
Router(config-if)#do write
Router(config-if)#do show run //查看運行狀態,會顯示ACL 信息,及端口上所應用的ACL表
訪問驗證:
1、用192.168.1.11和192.168.1.12分別去ping 192.168.2.254這臺服務器,結果是192.168.1.11是可以ping通,而192.168.1.12是ping不通的。
2、在192.168.1.11這臺主機的CMD界面中輸入ftp 192.168.2.254訪問ftp共享,看是否能訪問。(能訪問則是正確結果)
3、在192.168.1.12這臺主機上的瀏覽器中訪問192.168.2.254,看是否能顯示網頁。(能訪問則是正確結果)。
路由器實現DHCP服務
案例:用PT
DHCP配置方法:
Router(config)#ip dhcp ?
excluded-address Prevent DHCP from assigning certain addresses 設置排除的IP地址
pool Configure DHCP address pools 設置DHCP作用域(IP地址池)
relay DHCP relay agent parameters 設置DHCP中繼功能(即DHCP轉發功能)
Router(config)#ip dhcp pool net1 創建名稱爲net1的IP地址池
Router(dhcp-config)# ? 顯示命令幫助
default-router Default routers
dns-server Set name server
exit Exit from DHCP pool configuration mode
network Network number and mask
Router(dhcp-config)#network 192.168.1.0 255.255.255.0
Router(dhcp-config)#default-router 192.168.1.1
Router(dhcp-config)#dns-server 8.8.8.8
Router(dhcp-config)#ip dhcp excluded-address 192.168.1.2 192.168.1.5 排除1.2到1.5之間的IP地址
Router(dhcp-config)#do write
Router(dhcp-config)#do show run
Router(config)#ip dhcp pool net2 創建名稱爲net2的IP地址池
Router(dhcp-config)#network 192.168.2.0 255.255.255.0
Router(dhcp-config)#default-router 192.168.2.1
Router(dhcp-config)#dns-server 8.8.8.8
Router(dhcp-config)#do write
Router(dhcp-config)#do show run
附加任務1:
Router(config)# int f0/1
Router(config-if)# ip add 192.168.2.1 255.255.255.0
Router(config-if)# no shutdown
Router(config-if)# do write
附加任務2:在上面的拓撲圖右側添加一臺交換機和2臺電腦,並連線。將電腦的IP地址設置爲DHCP自動獲取。看兩臺電腦獲得的IP地址是多少?
附加任務3:將上面的網絡拓撲圖右側進行修改,得到下圖所示的拓撲,即添加一臺路由器、交換機、兩臺電腦。再設置DHCP中繼(ip helper-address)功能。
在最右側的router1上給接口配置IP地址:
步驟省略……
在router 0上創建192.168.3.0的IP地址池
Router>en
Router#conf t
Router(config)#ip dhcp pool net3
Router(dhcp-config)#network 192.168.3.0 255.255.255.0
Router(dhcp-config)#default-router 192.168.3.1
Router(dhcp-config)#do write
在router0和router1上分別配置rip路由:
router0的rip配置:
enable
conf t
router rip
network 192.168.1.0
network 192.168.2.0
router1的rip配置:
enable
conf t
router rip
network 192.168.2.0
network 192.168.3.0
在router 1上配DHCP Relay中繼(ip helper-address):
Router(config)# int f0/1
Router(config-if)#ip helper-address 192.168.2.1 (把接收到的DHCP請求包發送到192.168.2.1)
驗證:查看最右邊的兩臺電腦通過DHCP自動獲得的IP是多少?
綜合項目練習:
某公司購買了如下設備:
路由器:1臺
三層交換機:1臺
二層交換機:2臺
服務器:1臺
臺式機:3臺
筆記本電腦:3臺
網絡設計和配置要求:
1.按下圖所示在PT中設計出網絡拓撲圖。
2.IP地址用192.168.1.0/24這個網絡進行子網劃分,分成2個子網。
3.路由器上配置DHCP服務,實現給網絡中的計算機動態分配IP地址。
4.在網絡中用到VLAN及VTP技術,將筆記本電腦劃分到名稱爲tech的VLAN11中,將臺式機和服務器劃分到名稱爲sales的vlan 12中。VLAN 11和VLAN12中的主機IP分別採用劃分後的子網IP地址。所有的臺式機和筆記本電腦採用DHCP自動獲取IP地址。
5.要求VLAN 11和VLAN 12中的主機要能互相通信(能ping通)。
6.在路由器上配置ACL,要求VLAN 11和VLAN 12中的第1臺電腦能正常訪問服務的各種服務,其他電腦不允許訪問。
參考答案:
1.設計拓撲圖
2.子網劃分
子網數:2個
子網掩碼:255.255.255.128(/25)
子網一的可用IP: 192.168.1.1~192.168.1.126 網絡地址:192.168.1.0 廣播地址:192.168.1.127
子網二的可用IP: 192.168.1.129~192.168.1.254 網絡地址:192.168.1.128 廣播地址:192.168.1.255
3.略去
4.VLAN配置
三層交換機的VLAN配置:
enable
conf t
ip routing
vlan 11
name tech
vlan 12
name sales
int f0/4
switchport access vlan 12
do show vtp status
vtp domain qf
vtp mode server
vtp password qf
int vlan 11
ip add 192.168.1.1 255.255.255.128
no shutdown
int vlan 12
ip add 192.168.1.129 255.255.255.128
no shutdown
do show vlan
do write
三層交換機的DHCP配置:
ip dhcp pool net1
network 192.168.1.0 255.255.255.128
default-router 192.168.1.1
dns-server 8.8.8.8
exit
ip dhcp pool net2
network 192.168.1.128 255.255.255.128
default-router 192.168.1.1
dns-server 8.8.8.8
do write
do show run
二層交換機配置(SW1)
enable
conf t
vtp domain qf
vtp mode client
vtp password qf
int f0/1
switchport mode trunk
do show vlan
int range f0/2-3
switchport access vlan 12
int f0/4
switchport access vlan 11
do write
do show vlan
二層交換機配置(SW2)
enable
conf t
vtp domain qf
vtp mode client
vtp password qf
int f0/1
switchport mode trunk
do show vlan
int range f0/2-3
switchport access vlan 11
int f0/4
switchport access vlan 12
電腦IP配置成DHCP:
查看獲取的IP地址是否爲所在VLAN的IP地址。
三層交換機配置ACL:
ACL配置詳解
什麼是ACL?
訪問控制列表簡稱爲ACL,訪問控制列表使用包過濾技術,在路由器上讀取第三層及第四層包頭中的信息如源地址,目的地址,源端口,目的端口等,根據預先定義好的規則對包進行過濾,從而達到訪問控制的目的。該技術初期僅在路由器上支持,近些年來已經擴展到三層交換機,部分最新的二層交換機也開始提供ACL的支持了。
訪問控制列表的原理
對路由器接口來說有兩個方向:
出out:已經經路由器的處理,正離開路由器接口的數據包
入in:已經到達路由器接口的數據包,將被路由器處理。
匹配順序爲:“自上而下,依次匹配”。默認爲拒絕(deny)
訪問控制列表的類型
標準訪問控制列表:一般應用在out出站接口。建議配置在離目標端最近的路由上
擴展訪問控制列表:配置在離源端最近的路由上,一般應用在入站in方向
命名訪問控制列表:允許在標準和擴展訪問列表中使用名稱代替表號
訪問控制列表使用原則
1、最小特權原則
只給受控對象完成任務所必須的最小的權限。也就是說被控制的總規則是各個規則的交集,只滿足部分條件的是不容許通過規則的。
2、最靠近受控對象原則
所有的網絡層訪問權限控制。也就是說在檢查規則時是採用自上而下在ACL中一條條檢測的,只要發現符合條件了就立刻轉發,而不繼續檢測下面的ACL語句。
3、默認丟棄原則(deny)
在CISCO路由交換設備中默認最後一句爲ACL中加入了DENY ANY ANY,也就是丟棄所有不符合條件的數據包。這一點要特別注意,雖然我們可以修改這個默認,但未改前一定要引起重視。
由於ACL是使用包過濾技術來實現的,過濾的依據又僅僅只是第三層和第四層包頭中的部分信息,這種技術具有一些固有的侷限性,如無法識別到具體的人,無法識別到應用內部的權限級別等。因此,要達到端到端的權限控制目的,需要和系統級及應用級的訪問權限控制結合使用。
一、standard標準訪問列表
訪問控制列表ACL分很多種,不同場合應用不同種類的ACL。其中最簡單的就是標準訪問控制列表,標準訪問控制列表是通過使用IP包中的源IP地址進行過濾,使用訪問控制列表號1到99來創建相應的ACL。
標準ACL格式:
access-list access-list-number [permit | deny ] [sourceaddress] [wildcard-mask]
access-list-number 爲1-99 或者 1300-1999之間的數字,這個是訪問列表號。一個表號中可包含多條訪問規則。
例如:access-list 10 deny host 192.168.1.1這句命令是將所有來自192.168.1.1地址的數據包丟棄。
當然我們也可以用網段來表示,對某個網段進行過濾。命令如下:access-list 10 deny 192.168.1.0 0.0.0.255
通過上面的配置將來自192.168.1.0/24的所有計算機數據包進行過濾丟棄。爲什麼後頭的子網掩碼錶示的是0.0.0.255呢?這是因爲CISCO規定在ACL中用反向掩瑪表示子網掩碼,反向掩碼爲0.0.0.255的代表他的子網掩碼爲255.255.255.0。
小提示:對於標準訪問控制列表來說,默認的命令是HOST,也就是說access-list 10 deny 192.168.1.1表示的是拒絕192.168.1.1這臺主機數據包通訊,可以省去我們輸入host命令。
標準訪問列表配置實例:
R1(config)#access-list 10 deny 192.168.2.0 0.0.0.255
R1(config)#access-list 10 permit any
R1(config)#int fa0/0.1
R1(config-subif)#ip access-group 10 out
上面配置的含義是阻止來自網段192.168.2.0的機器從int fa0/0.1端口出去,訪問列表在配置好之後,要把它在端口上應用,否則配置了還是無效的。
注意事項:
1、標準訪問列表,一般來說配置儘量靠近目的端。
2、配置的第二條命令中的any相當於 0.0.0.0 255.255.255.255
3、一定要加pemint any,使其他的網絡可通。
4、訪問列表是從上到下一條一條進行匹配的,所以在設置訪問列表的時候要注意順序。如果從第一條匹配到最後一條還是不知道要怎麼做,路由器就會丟棄這個數據包,也就是爲什麼上面的例子中上一定要加permit any。
5、如果只阻止一個主機,那可以用 host 192.168.1.12 或者 192.168.1.12 0.0.0.0,這兩種配置是等價的。
刪除已建立的標準ACL
R1(config)#no access-list number
對標準的ACL來說,不能刪除單個acl語句,只能刪除整個ACL
總結:標準ACL佔用路由器資源很少,是一種最基本最簡單的訪問控制列表格式。應用比較廣泛,經常在要求控制級別較低的情況下使用。如果要更加複雜的控制數據包的傳輸就需要使用擴展訪問控制列表了,他可以滿足我們到端口級的要求。
二、extend擴展訪問控制列表
上面我們提到的標準訪問控制列表是基於IP地址進行過濾的,是最簡單的ACL。那麼如果我們希望將過濾細到端口怎麼辦呢?或者希望對數據包的目的地址進行過濾。這時候就需要使用擴展訪問控制列表了。使用擴展IP訪問列表可以有效的容許用戶訪問物理LAN而並不容許他使用某個特定服務(例如WWW,FTP等)。擴展訪問控制列表使用的ACL號爲100到199。
擴展ACL格式:
access-list access-list number {permit/deny} protocol +源地址+反碼 +目標地址+反碼+operator operan(It小於,gt大於,eq等於,neq不等於.具體可?)+端口號
1、擴展訪問控制列表號的範圍是100-199或者2000-2699。
2、因爲默認情況下,每個訪問控制列表的末尾隱含deny all,所以在每個擴展訪問控制列表裏面必須有:access-list 110 permit ip any any 。
3、不同的服務要使用不同的協議,比如TFTP使用的是UDP協議。
4、更多注意事項可以參考上面標準訪問控制列表部分
例如:access-list 101 deny tcp any host 192.168.1.1 eq www //將所有主機訪問192.168.1.1這個地址網頁服務(WWW)TCP連接的數據包丟棄。
小提示:同樣在擴展訪問控制列表中也可以定義過濾某個網段,當然和標準訪問控制列表一樣需要我們使用反向掩碼定義IP地址後的子網掩碼。
擴展ACL配置實例一:
R2(config)#access-list 110 deny tcp any host 192.168.1.12 eq www
R2(config)#access-list 110 deny tcp any host 192.168.1.12 eq ftp
R2(config)#int fa0/0
R2(config-if)#ip access-group 110 out
上面配置的含義是拒絕訪問192.168.1.12的www和ftp服務
擴展ACL實例二:
路由器連接了二個網段,分別爲172.16.4.0/24,172.16.3.0/24。在172.16.4.0/24網段中有一臺服務器提供WWW服務,IP地址爲172.16.4.13。
要求:禁止172.16.3.0的計算機訪問172.16.4.0的計算機,包括那臺服務器,不過惟獨可以訪問172.16.4.13上的WWW服務,而其他服務不能訪問。
路由器配置命令:
access-list 101 permit tcp any 172.16.4.13 0.0.0.0 eq www //設置ACL101,容許源地址爲任意IP,目的地址爲172.16.4.13主機的80端口即WWW服務。由於CISCO默認添加DENY ANY的命令,所以ACL只寫此一句即可。
進入相應端口
ip access-group 101 out //將ACL101應用到端口
設置完畢後172.16.3.0的計算機就無法訪問172.16.4.0的計算機了,就算是服務器172.16.4.13開啓了FTP服務也無法訪問,惟獨可以訪問的就是172.16.4.13的WWW服務了。
刪除已建立的擴展標準ACL
刪除和標準一樣,不能單條刪除,只能刪除整個acl
總結:擴展ACL功能很強大,他可以控制源IP,目的IP,源端口,目的端口等,能實現相當精細的控制,擴展ACL不僅讀取IP包頭的源地址/目的地址,還要讀取第四層包頭中的源端口和目的端口的IP。不過他存在一個缺點,那就是在沒有硬件ACL加速的情況下,擴展ACL會消耗大量的路由器CPU資源。所以當使用中低檔路由器時應儘量減少擴展ACL的條目數,將其簡化爲標準ACL或將多條擴展ACL合一是最有效的方法。
三、命名訪問控制列表
不管是標準訪問控制列表還是擴展訪問控制列表都有一個弊端,那就是當設置好ACL的規則後發現其中的某條有問題,希望進行修改或刪除的話只能將全部ACL信息都刪除。也就是說修改一條或刪除一條都會影響到整個ACL列表。這一個缺點影響了我們的工作,爲我們帶來了繁重的負擔。不過我們可以用基於名稱的訪問控制列表來解決這個問題。
命名訪問控制列表格式:
ip access-list {standard/extended} access-list-name(可有字母,數字組合的字符串)
例如:ip access-list standard softer //建立一個名爲softer的標準訪問控制列表。
命名訪問控制列表配置方法:
router(config)#ip access-list standard +自定義名
router(config-std-nac1)#11 permit host +ip //默認情況下第一條爲10,第二條爲20.如果不指定序列號,則新添加的ACL被添加到列表的末尾
router(config-std-nac1)#deny any
對於命名ACL來說,可以向之前的acl中插入acl,刪除也可以刪除單條acl,
如:router(config)#ip access-list standard benet
router(config-std-nasl)#no 11
使用show access-lists可查看配置的acl信息
總結:如果設置ACL的規則比較多的話,應該使用基於名稱的訪問控制列表進行管理,這樣可以減輕很多後期維護的工作,方便我們隨時進行調整ACL規則。
四、反向訪問控制列表
反向訪問控制列表屬於ACL的一種高級應用。他可以有效的防範病毒。通過配置反向ACL可以保證AB兩個網段的計算機互相PING,A可以PING通B而B不能PING通A。
說得通俗些的話就是傳輸數據可以分爲兩個過程,首先是源主機向目的主機發送連接請求和數據,然後是目的主機在雙方建立好連接後發送數據給源主機。反向ACL控制的就是上面提到的連接請求。
反向訪問控制列表的格式:
反向訪問控制列表格式非常簡單,只要在配置好的擴展訪問列表最後加上established即可。
反向訪問控制列表配置實例:
路由器連接了二個網段,分別爲172.16.4.0/24,172.16.3.0/24。在172.16.4.0/24網段中的計算機都是服務器,我們通過反向ACL設置保護這些服務器免受來自172.16.3.0這個網段的病毒***。
要求:禁止病毒從172.16.3.0/24這個網段傳播到172.16.4.0/24這個服務器網段。
配置命令:
access-list 101 permit tcp 172.16.3.0 0.0.0.255 172.16.4.0 0.0.0.255 established //定義ACL101,容許所有來自172.16.3.0網段的計算機訪問172.16.4.0網段中的計算機,前提是TCP連接已經建立了的。當TCP連接沒有建立的話是不容許172.16.3.0訪問172.16.4.0的。
應用規則到路由的端口
ip access-group 101 out //將ACL101應用到端口
設置完畢後病毒就不會輕易的從172.16.3.0傳播到172.16.4.0的服務器區了。因爲病毒要想傳播都是主動進行TCP連接的,由於路由器上採用反向ACL禁止了172.16.3.0網段的TCP主動連接,因此病毒無法順利傳播。
小提示:檢驗反向ACL是否順利配置的一個簡單方法就是拿172.16.4.0裏的一臺服務器PING在172.16.3.0中的計算機,如果可以PING通的話再用172.16.3.0那臺計算機PING172.16.4.0的服務器,PING不通則說明ACL配置成功。
通過上文配置的反向ACL會出現一個問題,那就是172.16.3.0的計算機不能訪問服務器的服務了,假如圖中172.16.4.13提供了WWW服務的話也不能正常訪問。解決的方法是在ESTABLISHED那句前頭再添加一個擴展ACL規則,例如:access-list 101 permit tcp 172.16.3.0 0.0.0.255 172.16.4.13 0.0.0.0 eq www
這樣根據“最靠近受控對象原則”即在檢查ACL規則時是採用自上而下在ACL中一條條檢測的,只要發現符合條件了就立刻轉發,而不繼續檢測下面的ACL語句。172.16.3.0的計算機就可以正常訪問該服務器的WWW服務了,而下面的ESTABLISHED防病毒命令還可以正常生效。
五、定時訪問控制列表
設置步驟:
1、定義時間段及時間範圍。
2、ACL自身的配置,即將詳細的規則添加到ACL中。
3、宣告ACL,將設置好的ACL添加到相應的端口中。
定義時間範圍的名稱:
router(config)#time-range time-range-name
定義一個時間週期
router(config-time-range)#periodic(週期) days-of-the-week hh:mm to [days-of-the-week] hh:mm
其中days-of-the-week的取值有
Monday Tuesday Wednesday Thursday Friday Saturday Sunday{週一到週日}
daily(每天)weekdays(在平日)weekend(週末)
定義一個絕對時間
router(config)#time-range time-range-name
router(config-time-range)#absolute [start hh:mm day month year] [end hh:mm day month year]
在擴展ACL中引入時間範圍
router(config)#access-list access-list-number {permit|deny} protocol {source ip +反碼 destination ip +反碼 +operator+time-range+time-range-name}
定時訪問控制列表實例:
路由器連接了二個網段,分別爲172.16.4.0/24,172.16.3.0/24。在172.16.4.0/24網段中有一臺服務器提供FTP服務,IP地址爲172.16.4.13。
要求:只容許172.16.3.0網段的用戶在週末訪問172.16.4.13上的FTP資源,工作時間不能下載該FTP資源。
配置命令:
time-range softer //定義時間段名稱爲softer
periodic weekend 00:00 to 23:59 //定義具體時間範圍,爲每週週末(6,日)的0點到23點59分。當然可以使用periodic weekdays定義工作日或跟星期幾定義具體的周幾。
access-list 101 deny tcp any 172.16.4.13 0.0.0.0 eq ftp time-range softer //設置ACL,禁止在時間段softer範圍內訪問172.16.4.13的FTP服務。
access-list 101 permit ip any any //設置ACL,容許其他時間段和其他條件下的正常訪問。
進入相應端口。
ip access-group 101 out //應用到端口
基於時間的ACL比較適合於時間段的管理,通過上面的設置172.16.3.0的用戶就只能在週末訪問服務器提供的FTP資源了,平時無法訪問。
六、訪問控制列表流量記錄
網絡管理員就是要能夠合理的管理公司的網絡,俗話說知己知彼方能百戰百勝,所以有效的記錄ACL流量信息可以第一時間的瞭解網絡流量和病毒的傳播方式。下面這篇文章就爲大家簡單介紹下如何保存訪問控制列表的流量信息,方法就是在擴展ACL規則最後加上LOG命令。
實現方法:
log 192.168.1.1 //爲路由器指定一個日誌服務器地址,該地址爲192.168.1.1
access-list 101 permit tcp any 172.16.4.13 0.0.0.0 eq www log //在希望監測的擴展ACL最後加上LOG命令,這樣就會把滿足該條件的信息保存到指定的日誌服務器192.168.1.1中。
小提示:如果在擴展ACL最後加上log-input,則不僅會保存流量信息,還會將數據包通過的端口信息也進行保存。使用LOG記錄了滿足訪問控制列表規則的數據流量就可以完整的查詢公司網絡哪個地方流量大,哪個地方有病毒了。簡單的一句命令就完成了很多專業工具才能完成的工作。
參考文檔:
百度https://baike.baidu.com/item/%E7%BB%84%E6%92%AD%E6%89%A9%E5%B1%95OSPF/288964?fr=aladdin