路由器控制列表ACl与策略路由
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1.创建策略路由 R1(config)# route-map test permit 10 R1(config-route-map)# match ip address 1 R1(config-route-map)#set ip next-hop 172.16.1.1 R1(config)# route-map test permit 11 R1(config-route-map)# match ip address 2 R1(config-route-map)# set ip next-hop 172.16.2.1 2.创建基于源地址的标准访问控制列表 R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255 R1(config)#access-list 2 permit 192.168.2.0 0.0.0.255 3.将策略路由应用在接口上 R1(config)# interface FastEthernet0/0 R1(config-if)# ip address 192.168.1.1 255.255.255.0 R1(config-if)# ip address 192.168.2.1 255.255.255.0 secondary R1(config-if)# ip policy route-map test
1
Enterprise Router & Switch Technology
构建路由交换的大型企业网络
2
2
《构建路由交换的大型企业网络》课程结构 构建路由交换的大型企业网络》
第一部分 第二部分 第三部分 第四部分 路由技术 交换技术 RIP,IGRP,EIGRP VLAN,VLAN TRUNK,VTP,STP, OSPF路由协 议及路由再分 三层交换. 配. 广域网接入技术 新技术 HDLC,PPP,帧中继, VOIP ,IPV6 ADSL,NAT,ACL与策 略路由.
Router(config)# access-list 1 permit any access-
12
12
使用主机 host
主机 host 表示与一个主机的 IP地址
Router(config)# access-list 1 permit 172.30.16.29 access0.0.0.0
Router(config)# access-list 1 permit host 172.30.16.29 access-
在路由器的全局配置模式下创建ACL.
指定一个访问列表的表号,1-99表示标准ACL;100-199 表示扩展访问列表,不到必要的时候,不要使用扩展的 列表号码. 每接口,每协议,每方向只能有一个访问列表. 在ACL中,你输入列表条目的顺序就是IOS测试的顺序. 记住:把最严格的条目写在最上面,并且注意好判断语 句之间的逻辑顺序,防止出错. ACL的最后一行语句默认是拒绝所有,此条目并不显 示,所以要非常注意.你要根据实际情况,添加相应的 允许(permit)语句.
节省费用
将大量数据流转移到带宽高的高费用链路上 使用带宽较低的低费用链路传输交换式数据流
24
24
策略路由命令模式
route-map demo permit 10
match X Y Z match A set B set C
route-map demo permit 20
match Q set R
route-map demo permit 30
25
25
策略路由命令
创建策略路由 (config)# route-map map-tag [ permit | deny ] [ number ] 定义检查条件 Router(config-route-map)# match { conditions } 当条件匹配后,采取的行为 Router(config-route-map)# set { actions } 将策略路由应用在接口上 Router(config-if)# ip policy route-map map-tag
第二步,将扩展ACL应用到接口上
Router(configRouter(config-if)#
ip access-group acl-number { in | out } accessacl-
16
16
常见端口号
端口号
21 23 25 53 69 80
关键字
FTP TELNET SMTP DOMAIN TFTP WWW
26
26
基于源地址的策略路由
192.168.3.3
192.168.3.1
192.168.3.2 r2 r3
172.16.2.1
172.16.1.1
Se 0/0 Se 0/1
172.16.1.2
r1
172.16.2.2
Fa0/0
192.168.1.0 192.168.2.0 27
27
基于源地址的策略路由的配置
描 述
文件传输协议 终端连接 简单邮件传输协议 域名服务 简易文件传输协议 超文本传输协议 回显(echo) 回显
协 议
TCP TCP TCP TCP/UDP UDP TCP ICMP
17
17
扩展访问控制列表操作符的含义 操作符及语法
eq portnumber gt portnumber it portnumber neq portnumber
6
6
访问控制列表概述( 访问控制列表概述(二)
IP 报头 TCP 报头 数据
源地址 目的地址
源端口 目的端口
访问控制列表利用这4 访问控制列表利用这4个 元素定义的规则
7
7
访问控制列表的作用
提供对通信流量的控制手段 提供网络安全访问的基本手段 在路由器端口决定哪种流量被转发或被阻塞
R
内部网络 访问控制列表 Internet 办事处
13
13ຫໍສະໝຸດ Baidu
标准IP访问应用一: 标准 访问应用一:允许一个源的通信流量通过 访问应用一 本例的 本例的ACL只允许源网络地址 只允许源网络地址172.16.0.0的那些通 只允许源网络地址 的那些通 信流量通过, 信流量通过,而阻塞其他所有的通信流量
14
14
标准IP访问列表应用二: 标准 访问列表应用二:拒绝一个特定主机的通信流量 访问列表应用二 要求设计一个 要求设计一个ACL,以便阻塞来自一个特定主机 以便阻塞来自一个特定主机172.16.4.13 以便阻塞来自一个特定主机 的流量,而把所有其他的流量从 接口发送出去. 而把所有其他的流量从E0接口发送出去 的流量 而把所有其他的流量从 接口发送出去
22
22
策略路由
根据网络管理者制定的标准来进行报文的转发 根据实际的应用需求来指定,它的依据可以是
协议类型 应用 报文大小 IP 源地址
23
23
策略路由的优点和作用
根据来源选择连接
使用不同的连接线路传输不同的数据流
服务质量
通过在位于网络边远的路由器上的优先级对数据流进 行分区,并在网络核心上实现排队机制
3
第15章 ACL与策略路由概述 章 与策略路由概述
理解访问控制列表的作用 掌握标准和扩展访问控制列表的配置方法 理解策略路由的作用 掌握策略路由的配置方法
4
4
TCP/IP 协议簇
应用层 会话层 表示层 传输层 TCP UDP FTP Telnet SMTP HTTP TFTP
网络层
IP
N
允许
目的接口
允许
Y
匹配 下一步
N
隐含拒绝
数据包 垃圾桶
拒绝
10
10
标准访问控制列表的配置
第一步,创建访问控制列表 (config)# access-list acl-number { deny | permit } source wildcard 第二步,将标准ACL应用到接口上 (config)# ip access-group access-list-number { in | out } 通配符掩码和子网掩码相似,但写法不同 0 表示必须匹配的位 1 表示忽略匹配的位
数据链路层
PPP
Ethernet
Frame Relay
5
访问控制列表( 访问控制列表(Access Control List)概述 )
访问控制列表(ACL)
应用在路由器接口的指令列表,用来告诉路由器哪些 数据包可以接收转发,哪些数据包需要拒绝
工作原理
读取第三层及第四层包头中的信息 ,根据预先定义好 的规则对包进行过滤
19
19
检查访问控制列表 show ip interface interface
显示接口的IP配置信息和配置的ACL信息
show access-list
显示路由器上所有的ACL信息
20
20
访问控制列表应用原则 标准ACL
放置在离目的端近的地方
扩展ACL
放置通信流量的来源近的地方
21
21
访问控制列表配置原则
192.168.1.0 /24 的通配符掩码 的通配符掩码? 172.30.16.0 到 172.16.31.0 子网 的通配符掩码 的通配符掩码?
11
11
使用通配符 any
通配符 any 可代替 0.0.0.0 255.255.255.255 表示允许任何地址
Router(config)# access-list 1 permit 0.0.0.0 access255.255.255.255
意义
等于端口号 portnumber 大于端口号 portnumber 小于端口号 portnumber 不等于端口号 portnumber
18
18
扩展访问列表范例1:拒绝 通信流量通过 通信流量通过ETHERNET0 扩展访问列表范例 :拒绝FTP通信流量通过
拒绝来自子网172.16.4.0 到子网 172.16.3.0的FTP流 量通过 E0.
15
15
扩展访问控制列表的配置
第一步,创建访问控制列表
Router(config)#
accessaccess-list acl-number { permit | deny } protocol [ source aclsourcesource-wildcard destination destination-wildcard ] [ operator port ] destination-
28
28
本章总结
访问控制列表的作用 标准和扩展访问控制列表的配置方法 策略路由的作用 策略路由的配置方法
29
29
课堂提问时间
30
30
�
公司总部
8
未授权用户
8
访问控制列表的类型
标准访问控制列表
只检查数据包的源地址 编号:1~99
扩展访问控制列表
检查数据包的源地址,目的地址,协议类型,端口号 编号:100~199
9
9
路由器对访问控制列表的处理过程
到达访问控制组接口的数据包
Y
匹配 第一步
N
Y
拒绝 拒绝 Y 拒绝
Y
允许
Y
匹配 下一步
Router(config)# access-list 1 deny host 172.16.4.13 accessRouter(config)#accessRouter(config)#access-list 1 permit any
Router(config)#interface ethernet 0 Router(config)#ip access-group 1 out access-
1
Enterprise Router & Switch Technology
构建路由交换的大型企业网络
2
2
《构建路由交换的大型企业网络》课程结构 构建路由交换的大型企业网络》
第一部分 第二部分 第三部分 第四部分 路由技术 交换技术 RIP,IGRP,EIGRP VLAN,VLAN TRUNK,VTP,STP, OSPF路由协 议及路由再分 三层交换. 配. 广域网接入技术 新技术 HDLC,PPP,帧中继, VOIP ,IPV6 ADSL,NAT,ACL与策 略路由.
Router(config)# access-list 1 permit any access-
12
12
使用主机 host
主机 host 表示与一个主机的 IP地址
Router(config)# access-list 1 permit 172.30.16.29 access0.0.0.0
Router(config)# access-list 1 permit host 172.30.16.29 access-
在路由器的全局配置模式下创建ACL.
指定一个访问列表的表号,1-99表示标准ACL;100-199 表示扩展访问列表,不到必要的时候,不要使用扩展的 列表号码. 每接口,每协议,每方向只能有一个访问列表. 在ACL中,你输入列表条目的顺序就是IOS测试的顺序. 记住:把最严格的条目写在最上面,并且注意好判断语 句之间的逻辑顺序,防止出错. ACL的最后一行语句默认是拒绝所有,此条目并不显 示,所以要非常注意.你要根据实际情况,添加相应的 允许(permit)语句.
节省费用
将大量数据流转移到带宽高的高费用链路上 使用带宽较低的低费用链路传输交换式数据流
24
24
策略路由命令模式
route-map demo permit 10
match X Y Z match A set B set C
route-map demo permit 20
match Q set R
route-map demo permit 30
25
25
策略路由命令
创建策略路由 (config)# route-map map-tag [ permit | deny ] [ number ] 定义检查条件 Router(config-route-map)# match { conditions } 当条件匹配后,采取的行为 Router(config-route-map)# set { actions } 将策略路由应用在接口上 Router(config-if)# ip policy route-map map-tag
第二步,将扩展ACL应用到接口上
Router(configRouter(config-if)#
ip access-group acl-number { in | out } accessacl-
16
16
常见端口号
端口号
21 23 25 53 69 80
关键字
FTP TELNET SMTP DOMAIN TFTP WWW
26
26
基于源地址的策略路由
192.168.3.3
192.168.3.1
192.168.3.2 r2 r3
172.16.2.1
172.16.1.1
Se 0/0 Se 0/1
172.16.1.2
r1
172.16.2.2
Fa0/0
192.168.1.0 192.168.2.0 27
27
基于源地址的策略路由的配置
描 述
文件传输协议 终端连接 简单邮件传输协议 域名服务 简易文件传输协议 超文本传输协议 回显(echo) 回显
协 议
TCP TCP TCP TCP/UDP UDP TCP ICMP
17
17
扩展访问控制列表操作符的含义 操作符及语法
eq portnumber gt portnumber it portnumber neq portnumber
6
6
访问控制列表概述( 访问控制列表概述(二)
IP 报头 TCP 报头 数据
源地址 目的地址
源端口 目的端口
访问控制列表利用这4 访问控制列表利用这4个 元素定义的规则
7
7
访问控制列表的作用
提供对通信流量的控制手段 提供网络安全访问的基本手段 在路由器端口决定哪种流量被转发或被阻塞
R
内部网络 访问控制列表 Internet 办事处
13
13ຫໍສະໝຸດ Baidu
标准IP访问应用一: 标准 访问应用一:允许一个源的通信流量通过 访问应用一 本例的 本例的ACL只允许源网络地址 只允许源网络地址172.16.0.0的那些通 只允许源网络地址 的那些通 信流量通过, 信流量通过,而阻塞其他所有的通信流量
14
14
标准IP访问列表应用二: 标准 访问列表应用二:拒绝一个特定主机的通信流量 访问列表应用二 要求设计一个 要求设计一个ACL,以便阻塞来自一个特定主机 以便阻塞来自一个特定主机172.16.4.13 以便阻塞来自一个特定主机 的流量,而把所有其他的流量从 接口发送出去. 而把所有其他的流量从E0接口发送出去 的流量 而把所有其他的流量从 接口发送出去
22
22
策略路由
根据网络管理者制定的标准来进行报文的转发 根据实际的应用需求来指定,它的依据可以是
协议类型 应用 报文大小 IP 源地址
23
23
策略路由的优点和作用
根据来源选择连接
使用不同的连接线路传输不同的数据流
服务质量
通过在位于网络边远的路由器上的优先级对数据流进 行分区,并在网络核心上实现排队机制
3
第15章 ACL与策略路由概述 章 与策略路由概述
理解访问控制列表的作用 掌握标准和扩展访问控制列表的配置方法 理解策略路由的作用 掌握策略路由的配置方法
4
4
TCP/IP 协议簇
应用层 会话层 表示层 传输层 TCP UDP FTP Telnet SMTP HTTP TFTP
网络层
IP
N
允许
目的接口
允许
Y
匹配 下一步
N
隐含拒绝
数据包 垃圾桶
拒绝
10
10
标准访问控制列表的配置
第一步,创建访问控制列表 (config)# access-list acl-number { deny | permit } source wildcard 第二步,将标准ACL应用到接口上 (config)# ip access-group access-list-number { in | out } 通配符掩码和子网掩码相似,但写法不同 0 表示必须匹配的位 1 表示忽略匹配的位
数据链路层
PPP
Ethernet
Frame Relay
5
访问控制列表( 访问控制列表(Access Control List)概述 )
访问控制列表(ACL)
应用在路由器接口的指令列表,用来告诉路由器哪些 数据包可以接收转发,哪些数据包需要拒绝
工作原理
读取第三层及第四层包头中的信息 ,根据预先定义好 的规则对包进行过滤
19
19
检查访问控制列表 show ip interface interface
显示接口的IP配置信息和配置的ACL信息
show access-list
显示路由器上所有的ACL信息
20
20
访问控制列表应用原则 标准ACL
放置在离目的端近的地方
扩展ACL
放置通信流量的来源近的地方
21
21
访问控制列表配置原则
192.168.1.0 /24 的通配符掩码 的通配符掩码? 172.30.16.0 到 172.16.31.0 子网 的通配符掩码 的通配符掩码?
11
11
使用通配符 any
通配符 any 可代替 0.0.0.0 255.255.255.255 表示允许任何地址
Router(config)# access-list 1 permit 0.0.0.0 access255.255.255.255
意义
等于端口号 portnumber 大于端口号 portnumber 小于端口号 portnumber 不等于端口号 portnumber
18
18
扩展访问列表范例1:拒绝 通信流量通过 通信流量通过ETHERNET0 扩展访问列表范例 :拒绝FTP通信流量通过
拒绝来自子网172.16.4.0 到子网 172.16.3.0的FTP流 量通过 E0.
15
15
扩展访问控制列表的配置
第一步,创建访问控制列表
Router(config)#
accessaccess-list acl-number { permit | deny } protocol [ source aclsourcesource-wildcard destination destination-wildcard ] [ operator port ] destination-
28
28
本章总结
访问控制列表的作用 标准和扩展访问控制列表的配置方法 策略路由的作用 策略路由的配置方法
29
29
课堂提问时间
30
30
�
公司总部
8
未授权用户
8
访问控制列表的类型
标准访问控制列表
只检查数据包的源地址 编号:1~99
扩展访问控制列表
检查数据包的源地址,目的地址,协议类型,端口号 编号:100~199
9
9
路由器对访问控制列表的处理过程
到达访问控制组接口的数据包
Y
匹配 第一步
N
Y
拒绝 拒绝 Y 拒绝
Y
允许
Y
匹配 下一步
Router(config)# access-list 1 deny host 172.16.4.13 accessRouter(config)#accessRouter(config)#access-list 1 permit any
Router(config)#interface ethernet 0 Router(config)#ip access-group 1 out access-