配置tracert命令详解
基础过滤工具10.
1配置基本的访问控制列表10.
2配置高级的访问控制列表10.
3配置前缀列表10.
1配置基本的访问控制列表原理概述访问控能列表ACL(AccessControlList)是由permit或deny语句组成的一系列有顺序的规则集合,这些规则根据数据包的源地址、目的地址、源端口、目的端口等信息来描述.
ACL规则通过匹配报文中的信息对数据包进行分类,路由设各根据这些规则判断哪些数据包可以通过,哪些数据包需要拒绝.
按照访问控制列表的用途,可以分为基本的访问控制列表和高级的访问控制列表,基本ACL可使用报文的源IP地址、时间段信息来定义规则,编号范围为2000~2999.
一个ACL可以由多条"deny/permit"语句组成,每一条语句描述一条规则,每条规则有一个Rule-ID.
Rule-ID可以由用户进行配置,也可以由系统自动根据步长生成,默认步长为5,Rule-ID默认按照配置先后顺序分配0、5、10、15等,匹配顺序按照ACL的Rule-ID的顺序,从小到大进行匹配.
实验目的·理解基本访问控制列表的应用场景·掌握配置基本访问控制列表的方法实验内容本实验模拟企业网络环境,RI为分支机构A管理员所在IT部门的网关,为分支机构A用户部门的网关,R3为分支机构A去往总部出口的网关设备,R4为总部核心路由器设备.
整网运行OSPF协议,并在区域0内企业设计通过远程方式管理核心网路由器R4,要求只能由RI所连的PC(本实验使用环回接口模拟)访问R4,其他设备均不能访问.
实验拓扑实验编址配置基本的访问控制列表的拓扑如图所示.
实验编址设备接口IP地址子网掩码默认网关R1(AR2220)GE0/0/010.
0.
13.
1255.
255.
255.
0N/ALoopback01.
1.
1.
1255.
255.
255.
255N/AR2(AR2220)GE0/0/010.
0.
23.
2255.
255.
255.
0N/AR3(AR2220)GE0/0/010.
0.
13.
3255.
255.
255.
0N/AGE0/0/110.
0.
23.
3255.
255.
255.
0N/AGE0/0/210.
0.
34.
3255.
255.
255.
0N/ALoopback03.
3.
3.
3255.
255.
255.
255N/AR4(AR2220)GE0/0/010.
0.
34.
4255.
255.
255.
0N/ALoopback04.
4.
4.
4255.
255.
255.
255N/A实验步骤1.
基本配置根据实验编址表进行相应的基本配置,并使用ping命令检测各直连链路的连通性测试通过,其余直连网段的连通性测试省略.
2.
搭建OSPF网络在所有路由器上运行OSPF协议,通告相应网段至区域0中.
配置完成后,在R1的路由表上查看OSPF路由信息.
路由器R1已经学习到了相关网段的路由条目,测试R1的环回口与R4的环回口间的连通性.
通信正常,其他路由器之间测试省略.
3.
配置基本ACL控制访问在总部核心路由器R4上配置Telnet相关配置,配置用户密码为huawei.
配置完成后,尝试在IT部门网关设备R1上建立Telnet连接.
可以观察到,R1可以成功登陆R4.
再尝试在普通员工部门网关设备R2上建立连接.
这时发现,只要是路由可达的设各,并且拥有Telnet的密码,都可以成功访问核心设备R4.
这显然是极为不安全的.
网络管理员通过配置标准ACL来实现访问过滤,禁止普通员工设各登录.
基本的ACL可以针对数据包的源IP地址进行过滤,在R4上使用ACL命令创建一个编号型ACL,基本ACL的范围是2000~2999.
接下来在ACL视图中,使用rule命令配置ACL规则,指定规则ID为5,允许数据包源地址为1.
1.
1.
1的报文通过,反掩码为全0,即精确匹配.
使用rule命令配置第二条规则,指定规则ID为10,拒绝任意源地址的数据包通过.
在上面ACL配置中第一条规则的规则ID定义为5,并不是1;第二条定义为10,也不与5连续,这样配置的好处是能够方便后续的修改或插入新的条目.
并且在配置的时候也可以不采用手工方式指定觌则ID,ACL会自动分配规则ID,第一条为5,第二条为10,第三条为15,依此类推,即默认步长为5,该步长参数也是可以修改的.
ACL配置完成后,在VTY中调用,使用inbound参数,即在R4的数据入方向上调用.
配置完成后,使用R1的环回口地址1.
1.
1.
1测试访问4.
4.
4.
4的连通性.
发现没有问题,然后尝试在R2上访问R4.
可以观察到,此时R2己经无法访问4.
4.
4.
4,即上述ACL配置己经生效.
4.
基本ACL的语法规则ACL的执行是有顺序性的,如果规则ID小的规则己经被命中,并且执行了允许或者拒绝的动作,那么后续的规则就不再继续匹配.
在R4上使用displayaclall命令查看设备上所有的访问控制列表.
以上是目前ACL的所有配置信息.
根据上一步骤中的配置,R4中存在一个基本ACL,有两个规则rule5permitsource1.
1.
1.
10和rule10denysourceany,且根据这两个规则己经将R2的访问拒绝.
现出现新的需求,需要R3能够使用其环回口3.
3.
3.
3访问R4.
首先尝试使用规则ID15来添加允许3.
3.
3.
3访问的规则.
配置完成后,尝试使用R3的3.
3.
3.
3访问R4.
发现无法访问.
按照ACL匹配顺序,这是由于规则为10的条目是拒绝所有行为,后续所有的允许规则都不会被匹配.
若要此规则生效,必须添加在拒绝所有的规则ID之前.
在R4上修改ACL2000,将规则ID修改为8.
配置完成后,再次尝试使用R3的环回口访问R4.
此时访问成功,证明配置已经生效.
10.
2配置高级的访问控制列表原理概述基本的ACL只能用于匹配源IP地址,而在实际应用当中往往需要针对数据包的其他参数进行匹配,比如目的IP地址、协议号、端口号等,所以基本的ACL由于匹配的局限性而无法实现更多的功能,所以就需要使用高级的访问控制列表.
高级的访问控制列表在匹配项上做了扩展,编号范围为3000~3999,既可使用报文的源IP地址,也可使用目的地址、IP优先级、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等信息来定义规则.
高级访问控制列表可以定义比基本访问控制列表更准确、更丰富、更灵活的规则,也因此得到更加广泛的应用.
实验目的·理解高级访问控制列表的应用场景·掌握配置高级访问控伟刂列表的方法·理解高级访问控制列表与基本访问控制列表的区别实验内容本实验模拟企业网络环境.
R1为分支机构A管理员所在IT部门的网关,R2为分支机构A用户部门的网关,R3为分支机构A去往总部出口的网关设备,R4为总部核心路由器设备.
企业原始设计思路想要通过远程方式管理核心网路由器R4,要求由R1所连的PC可以访问R4,其他设备均不能访问.
同时又要求只能管理R4上的4.
4.
4.
4这台服务器,另一台同样直连R4的服务器40.
40.
40.
40不能被管理(本实验PC使用环回接口模拟)实验拓扑配置高级的访问控制列表的拓扑如图2所示.
实验编址实验编址见表如下设备接口IP地址子网掩码默认网关R1(AR2220)GE0/0/010.
0.
13.
1255.
255.
255.
0N/ALoopback01.
1.
1.
1255.
255.
255.
255N/AR2(AR2220)GE0/0/010.
0.
23.
2255.
255.
255.
0N/AR3(AR2220)GE0/0/010.
0.
13.
3255.
255.
255.
0N/AGE0/0/110.
0.
23.
3255.
255.
255.
0N/AGE0/0/210.
0.
34.
3255.
255.
255.
0N/ALoopback03.
3.
3.
3255.
255.
255.
255N/AR4(AR2220)GE0/0/010.
0.
34.
4255.
255.
255.
0N/ALoopback04.
4.
4.
4255.
255.
255.
255N/ALoopback140.
40.
40.
40255.
255.
255.
255N/A实验步骤1.
基本配置根据实验编址表进行相应的基本配置,并使用ping命令检测各直连链路的连通性测试通过,其余直连网段的连通性测试省略.
2.
搭建OSPF网络在所有路由器上运行OSPF协议,通告相应网段至区域0中.
配置完成后,在R1的路由表上查看OSPF路由信息.
路由器R1已经学习到了相关网段的路由条目.
3.
配置基本Telnet在总部核心路由器R4上配置Telnet相关配置,配置用户密码为huawei.
配置完成后,尝试在R1上建立与R4的环回接口0的IP地址的Telnet连接.
可以观察到,R1已经可以成功登陆R4.
再尝试在R1上建立与R4的环回接口1的IP地址的Telnet连接.
这时发现,只要是路由可达的设备,并且拥有Telnet的密码,都可以成功正常登录.
4.
配置高级ACL控制访问根据设计要求,R1的环回接口只能通过R4上的4.
4.
4.
4进行Telnet访问,但是不能通过40.
40.
40.
40访问.
如果要R1只能通过访问R4的环回口0地址登录设备,即同时匹配数据包的源地址和目的地址实现过滤,此时通过标准ACL是无法实现的,因为ACL只能通过匹配原地址实现过滤,所以需要使用到高级ACL,在R4上使用ACL命令创建一个高级ACL3000.
在高级ACL视图中,使用rule命令配置ACL规则,IP为协议类型,允许源地址为1.
1.
1.
1、目的地址为4.
4.
4.
4的数据包通过.
配置完成后,查看ACL配置信息.
可以观察到,在不指定规则ID的情况下,默认步长为5,第一条规则的规则ID即为5.
将ACL3000调用在VTY下,使用inbound参数,即在R4的数据入方向上调用.
配置完成后,在R1上使用环回口地址尝试访问40.
40.
40.
40.
可以观察到,此时过滤己经实现,R1不能使用环回口地址40.
40.
40.
40.
此外高级ACL还可以实现对源、目的端口,协议号等信息的匹配,功能非常强大.
10.
3配置前缀列表原理概述前缀列表即IP-PrefixList,它可以将与所定义的前缀列表相匹配的路由,根据定义的匹配模式进行过滤.
前缀列表中的匹配条目由IP地址和掩码组成,IP地址可以是网段地址或者主机地址,掩码长度的配置范围为0~32,可以进行精确匹配或者在一定掩码长度范围内匹配,也可以通过配置关键字greater-equal和less-equal指定待匹配的前缀掩码长度范围.
前缀列表能同时匹配前缀号和前缀长度,主要用于路由的匹配和控制,不能用于数据包的过滤.
华圣云 HuaSaint-阿里云国际站一级分销商,只需一个邮箱即可注册国际账号,可代充值
简介华圣云 HuaSaint是阿里云国际版一级分销商(诚招募二级代理),专业为全球企业客户与个人开发者提供阿里云国际版开户注册、认证、充值等服务,通过HuaSaint开通阿里云国际版只需要一个邮箱,不需要PayPal信用卡,不需要买海外电话卡,绝对的零门槛,零风险官方网站:www.huasaint.com企业名:huaSaint Tech Limited阿里云国际版都有什么优势?阿里云国际版的产品...
ParkInHost - 俄罗斯VPS主机 抗投诉 55折,月付2.75欧元起
ParkInHost主机商是首次介绍到的主机商,这个商家是2013年的印度主机商,隶属于印度DiggDigital公司,主营业务有俄罗斯、荷兰、德国等机房的抗投诉虚拟主机、VPS主机和独立服务器。也看到商家的数据中心还有中国香港和美国、法国等,不过香港机房肯定不是直连的。根据曾经对于抗投诉外贸主机的了解,虽然ParkInHost以无视DMCA的抗投诉VPS和抗投诉服务器,但是,我们还是要做好数据备...
DMIT:美国cn2 gia线路vps,高性能 AMD EPYC/不限流量(Premium Unmetered),$179.99/月起
DMIT怎么样?DMIT最近动作频繁,前几天刚刚上架了日本lite版VPS,正在酝酿上线日本高级网络VPS,又差不多在同一时间推出了美国cn2 gia线路不限流量的美国云服务器,不过价格太过昂贵。丐版只有30M带宽,月付179.99美元 !!目前,美国云服务器已经有个4个套餐,分别是,Premium(cn2 gia线路)、Lite(普通直连)、Premium Secure(带高防的cn2 gia线...
-
电信主机租用电信服务器租用哪家有实力?vps虚拟主机请问VPS和虚拟主机有什么不一样,为什么VPS贵那么多。广告的别来!海外主机那些韩国主机,美国主机是怎么来的?虚拟主机推荐虚拟主机哪个好com域名注册com域名注册要注意哪些情况啊?我想现在注册一个com域名~重庆虚拟空间重庆那里可以租用VSP主机香港虚拟主机香港的虚拟主机好不好,如何选择虚拟主机?虚拟主机控制面板如何利用虚拟主机控制面板对网站进行管理合肥虚拟主机哪里的虚拟主机空间实惠?河南虚拟主机新乡在哪个网站买虚拟主机好?