配置tracert命令详解

tracert命令详解  时间:2021-01-14  阅读:()

基础过滤工具10.
1配置基本的访问控制列表10.
2配置高级的访问控制列表10.
3配置前缀列表10.
1配置基本的访问控制列表原理概述访问控能列表ACL(AccessControlList)是由permit或deny语句组成的一系列有顺序的规则集合,这些规则根据数据包的源地址、目的地址、源端口、目的端口等信息来描述.
ACL规则通过匹配报文中的信息对数据包进行分类,路由设各根据这些规则判断哪些数据包可以通过,哪些数据包需要拒绝.

按照访问控制列表的用途,可以分为基本的访问控制列表和高级的访问控制列表,基本ACL可使用报文的源IP地址、时间段信息来定义规则,编号范围为2000~2999.
一个ACL可以由多条"deny/permit"语句组成,每一条语句描述一条规则,每条规则有一个Rule-ID.
Rule-ID可以由用户进行配置,也可以由系统自动根据步长生成,默认步长为5,Rule-ID默认按照配置先后顺序分配0、5、10、15等,匹配顺序按照ACL的Rule-ID的顺序,从小到大进行匹配.
实验目的·理解基本访问控制列表的应用场景·掌握配置基本访问控制列表的方法实验内容本实验模拟企业网络环境,RI为分支机构A管理员所在IT部门的网关,为分支机构A用户部门的网关,R3为分支机构A去往总部出口的网关设备,R4为总部核心路由器设备.
整网运行OSPF协议,并在区域0内企业设计通过远程方式管理核心网路由器R4,要求只能由RI所连的PC(本实验使用环回接口模拟)访问R4,其他设备均不能访问.
实验拓扑实验编址配置基本的访问控制列表的拓扑如图所示.
实验编址设备接口IP地址子网掩码默认网关R1(AR2220)GE0/0/010.
0.
13.
1255.
255.
255.
0N/ALoopback01.
1.
1.
1255.
255.
255.
255N/AR2(AR2220)GE0/0/010.
0.
23.
2255.
255.
255.
0N/AR3(AR2220)GE0/0/010.
0.
13.
3255.
255.
255.
0N/AGE0/0/110.
0.
23.
3255.
255.
255.
0N/AGE0/0/210.
0.
34.
3255.
255.
255.
0N/ALoopback03.
3.
3.
3255.
255.
255.
255N/AR4(AR2220)GE0/0/010.
0.
34.
4255.
255.
255.
0N/ALoopback04.
4.
4.
4255.
255.
255.
255N/A实验步骤1.
基本配置根据实验编址表进行相应的基本配置,并使用ping命令检测各直连链路的连通性测试通过,其余直连网段的连通性测试省略.
2.
搭建OSPF网络在所有路由器上运行OSPF协议,通告相应网段至区域0中.
配置完成后,在R1的路由表上查看OSPF路由信息.
路由器R1已经学习到了相关网段的路由条目,测试R1的环回口与R4的环回口间的连通性.
通信正常,其他路由器之间测试省略.
3.
配置基本ACL控制访问在总部核心路由器R4上配置Telnet相关配置,配置用户密码为huawei.
配置完成后,尝试在IT部门网关设备R1上建立Telnet连接.
可以观察到,R1可以成功登陆R4.
再尝试在普通员工部门网关设备R2上建立连接.
这时发现,只要是路由可达的设各,并且拥有Telnet的密码,都可以成功访问核心设备R4.
这显然是极为不安全的.
网络管理员通过配置标准ACL来实现访问过滤,禁止普通员工设各登录.
基本的ACL可以针对数据包的源IP地址进行过滤,在R4上使用ACL命令创建一个编号型ACL,基本ACL的范围是2000~2999.
接下来在ACL视图中,使用rule命令配置ACL规则,指定规则ID为5,允许数据包源地址为1.
1.
1.
1的报文通过,反掩码为全0,即精确匹配.
使用rule命令配置第二条规则,指定规则ID为10,拒绝任意源地址的数据包通过.
在上面ACL配置中第一条规则的规则ID定义为5,并不是1;第二条定义为10,也不与5连续,这样配置的好处是能够方便后续的修改或插入新的条目.
并且在配置的时候也可以不采用手工方式指定觌则ID,ACL会自动分配规则ID,第一条为5,第二条为10,第三条为15,依此类推,即默认步长为5,该步长参数也是可以修改的.
ACL配置完成后,在VTY中调用,使用inbound参数,即在R4的数据入方向上调用.
配置完成后,使用R1的环回口地址1.
1.
1.
1测试访问4.
4.
4.
4的连通性.
发现没有问题,然后尝试在R2上访问R4.
可以观察到,此时R2己经无法访问4.
4.
4.
4,即上述ACL配置己经生效.
4.
基本ACL的语法规则ACL的执行是有顺序性的,如果规则ID小的规则己经被命中,并且执行了允许或者拒绝的动作,那么后续的规则就不再继续匹配.
在R4上使用displayaclall命令查看设备上所有的访问控制列表.
以上是目前ACL的所有配置信息.
根据上一步骤中的配置,R4中存在一个基本ACL,有两个规则rule5permitsource1.
1.
1.
10和rule10denysourceany,且根据这两个规则己经将R2的访问拒绝.
现出现新的需求,需要R3能够使用其环回口3.
3.
3.
3访问R4.
首先尝试使用规则ID15来添加允许3.
3.
3.
3访问的规则.
配置完成后,尝试使用R3的3.
3.
3.
3访问R4.
发现无法访问.
按照ACL匹配顺序,这是由于规则为10的条目是拒绝所有行为,后续所有的允许规则都不会被匹配.
若要此规则生效,必须添加在拒绝所有的规则ID之前.
在R4上修改ACL2000,将规则ID修改为8.
配置完成后,再次尝试使用R3的环回口访问R4.
此时访问成功,证明配置已经生效.
10.
2配置高级的访问控制列表原理概述基本的ACL只能用于匹配源IP地址,而在实际应用当中往往需要针对数据包的其他参数进行匹配,比如目的IP地址、协议号、端口号等,所以基本的ACL由于匹配的局限性而无法实现更多的功能,所以就需要使用高级的访问控制列表.
高级的访问控制列表在匹配项上做了扩展,编号范围为3000~3999,既可使用报文的源IP地址,也可使用目的地址、IP优先级、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等信息来定义规则.
高级访问控制列表可以定义比基本访问控制列表更准确、更丰富、更灵活的规则,也因此得到更加广泛的应用.
实验目的·理解高级访问控制列表的应用场景·掌握配置高级访问控伟刂列表的方法·理解高级访问控制列表与基本访问控制列表的区别实验内容本实验模拟企业网络环境.
R1为分支机构A管理员所在IT部门的网关,R2为分支机构A用户部门的网关,R3为分支机构A去往总部出口的网关设备,R4为总部核心路由器设备.
企业原始设计思路想要通过远程方式管理核心网路由器R4,要求由R1所连的PC可以访问R4,其他设备均不能访问.
同时又要求只能管理R4上的4.
4.
4.
4这台服务器,另一台同样直连R4的服务器40.
40.
40.
40不能被管理(本实验PC使用环回接口模拟)实验拓扑配置高级的访问控制列表的拓扑如图2所示.
实验编址实验编址见表如下设备接口IP地址子网掩码默认网关R1(AR2220)GE0/0/010.
0.
13.
1255.
255.
255.
0N/ALoopback01.
1.
1.
1255.
255.
255.
255N/AR2(AR2220)GE0/0/010.
0.
23.
2255.
255.
255.
0N/AR3(AR2220)GE0/0/010.
0.
13.
3255.
255.
255.
0N/AGE0/0/110.
0.
23.
3255.
255.
255.
0N/AGE0/0/210.
0.
34.
3255.
255.
255.
0N/ALoopback03.
3.
3.
3255.
255.
255.
255N/AR4(AR2220)GE0/0/010.
0.
34.
4255.
255.
255.
0N/ALoopback04.
4.
4.
4255.
255.
255.
255N/ALoopback140.
40.
40.
40255.
255.
255.
255N/A实验步骤1.
基本配置根据实验编址表进行相应的基本配置,并使用ping命令检测各直连链路的连通性测试通过,其余直连网段的连通性测试省略.
2.
搭建OSPF网络在所有路由器上运行OSPF协议,通告相应网段至区域0中.
配置完成后,在R1的路由表上查看OSPF路由信息.
路由器R1已经学习到了相关网段的路由条目.
3.
配置基本Telnet在总部核心路由器R4上配置Telnet相关配置,配置用户密码为huawei.
配置完成后,尝试在R1上建立与R4的环回接口0的IP地址的Telnet连接.
可以观察到,R1已经可以成功登陆R4.
再尝试在R1上建立与R4的环回接口1的IP地址的Telnet连接.
这时发现,只要是路由可达的设备,并且拥有Telnet的密码,都可以成功正常登录.
4.
配置高级ACL控制访问根据设计要求,R1的环回接口只能通过R4上的4.
4.
4.
4进行Telnet访问,但是不能通过40.
40.
40.
40访问.
如果要R1只能通过访问R4的环回口0地址登录设备,即同时匹配数据包的源地址和目的地址实现过滤,此时通过标准ACL是无法实现的,因为ACL只能通过匹配原地址实现过滤,所以需要使用到高级ACL,在R4上使用ACL命令创建一个高级ACL3000.
在高级ACL视图中,使用rule命令配置ACL规则,IP为协议类型,允许源地址为1.
1.
1.
1、目的地址为4.
4.
4.
4的数据包通过.
配置完成后,查看ACL配置信息.
可以观察到,在不指定规则ID的情况下,默认步长为5,第一条规则的规则ID即为5.
将ACL3000调用在VTY下,使用inbound参数,即在R4的数据入方向上调用.
配置完成后,在R1上使用环回口地址尝试访问40.
40.
40.
40.
可以观察到,此时过滤己经实现,R1不能使用环回口地址40.
40.
40.
40.
此外高级ACL还可以实现对源、目的端口,协议号等信息的匹配,功能非常强大.
10.
3配置前缀列表原理概述前缀列表即IP-PrefixList,它可以将与所定义的前缀列表相匹配的路由,根据定义的匹配模式进行过滤.
前缀列表中的匹配条目由IP地址和掩码组成,IP地址可以是网段地址或者主机地址,掩码长度的配置范围为0~32,可以进行精确匹配或者在一定掩码长度范围内匹配,也可以通过配置关键字greater-equal和less-equal指定待匹配的前缀掩码长度范围.
前缀列表能同时匹配前缀号和前缀长度,主要用于路由的匹配和控制,不能用于数据包的过滤.

恒创科技SonderCloud,美国VPS综合性能测评报告,美国洛杉矶机房,CN2+BGP优质线路,2核4G内存10Mbps带宽,适用于稳定建站业务需求

最近主机参考拿到了一台恒创科技的美国VPS云服务器测试机器,那具体恒创科技美国云服务器性能到底怎么样呢?主机参考进行了一番VPS测评,大家可以参考一下,总体来说还是非常不错的,是值得购买的。非常适用于稳定建站业务需求。恒创科技服务器怎么样?恒创科技服务器好不好?henghost怎么样?henghost值不值得购买?SonderCloud服务器好不好?恒创科技henghost值不值得购买?恒创科技是...

小欢互联19元/月起, 即日起至10月底 美国CERA 促销活动 美国/香港八折

小欢互联成立于2019年10月,主打海外高性价比云服务器、CDN和虚拟主机服务。近期上线了自营美国CERA机房高速VPS,进行促销活动,为客户奉上美国/香港八折优惠码:Xxc1mtLB优惠码适用于美国CERA一区/二区以及香港一区/二区优惠时间:即日起至10月底优惠码可无限次使用,且续费同价!官网:https://idc.xh-ws.com购买地址:美国CERA一区:https://idc.xh-...

BuyVM老牌商家新增迈阿密机房 不限流量 月付2美元

我们很多老用户对于BuyVM商家还是相当熟悉的,也有翻看BuyVM相关的文章可以追溯到2014年的时候有介绍过,不过那时候介绍这个商家并不是很多,主要是因为这个商家很是刁钻。比如我们注册账户的信息是否完整,以及我们使用是否规范,甚至有其他各种问题导致我们是不能购买他们家机器的。以前你嚣张是很多人没有办法购买到其他商家的机器,那时候其他商家的机器不多。而如今,我们可选的商家比较多,你再也嚣张不起来。...

tracert命令详解为你推荐
免费虚拟空间有国内免费虚拟主机空间吗域名备案买域名要备案吗域名备案域名备案需要什么网站空间购买怎么购买一个网站空间及购买注意事项100m网站空间网站空间100M和1000M有什么区别 ?深圳网站空间求免费稳定空间网站?虚拟主机评测浅谈建站新手如何挑选虚拟主机虚拟主机试用哪儿的虚拟主机可以试用??新网域名新网域名怎么做域名转发?万网域名怎样设置域名解析 万网域名解析图解
美国和欧洲vps bash漏洞 mobaxterm 免费网络电视 警告本网站美国保护 165邮箱 bgp双线 河南移动网 卡巴斯基免费试用 国外ip加速器 银盘服务 ebay注册 小夜博客 密钥索引 优惠服务器 香港打折信息 cdn免备案空间 性能测试工具 ddos攻击教程 宿主机 更多