web学习第八天 -----------配置静态路由并设置ACL

1，静态路由1）特点使用静态路由的环境：晓得网络环境仅仅需要简单的路由在hub and spoke 的网络拓扑同需要创建快速临时的路由不适合静态路由的情况：大型网络快速扩展的网络2）配置拓扑
需求a，site1和Internet处于202.106.1.0/24网络中其中：site1的IP：202.106.1.1 internet的IP地址：202.106.1.100b，internet和site2处于200.100.1.0/24其中：site2的IP地址：200.100.1.10 internet的IP地址：200.100.1.100c，配置静态/默认路由，保障site1可以和site2之间通过telnet通讯（1 telnet 2）配置：******************************site1*************************！interface Ethernet0/0  ----接口手动配置IP地址 ip address 202.106.1.1 255.255.255.0！ip route 200.100.1.0（目标网络前缀） 255.255.255.0（目标网络掩码 202.106.1.100（next-hop）---配置静态路由！ Site1#show ip routeCodes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2       E1 - OSPF external type 1, E2 - OSPF external type 2       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2       ia - IS-IS inter area, * - candidate default, U - per-user static route       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP       a - application route       + - replicated route, % - next hop override Gateway of last resort is not set S     200.100.1.0/24 [1/0] via 202.106.1.100      202.106.1.0/24 is variably subnetted, 2 subnets, 2 masks ******************************Internet****************************！interface Ethernet0/0 ip address 202.106.1.100 255.255.255.0！interface Ethernet0/1 ip address 200.100.1.100 255.255.255.0！Internet#sh ip routeCodes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2       E1 - OSPF external type 1, E2 - OSPF external type 2       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2       ia - IS-IS inter area, * - ca
10630
ndidate default, U - per-user static route       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP       a - application route       + - replicated route, % - next hop override Gateway of last resort is not set       200.100.1.0/24 is variably subnetted, 2 subnets, 2 masksC        200.100.1.0/24 is directly connected, Ethernet0/1L        200.100.1.100/32 is directly connected, Ethernet0/1      202.106.1.0/24 is variably subnetted, 2 subnets, 2 masksC        202.106.1.0/24 is directly connected, Ethernet0/0L        202.106.1.100/32 is directly connected, Ethernet0/0 ************************Site2***********************!interface Ethernet0/1 ip address 200.100.1.10 255.255.255.0!ip route 0.0.0.0 0.0.0.0 200.100.1.100 -----配置默认（缺省）路由!line vty 0 4 password cisco  ---配置登录秘钥 login transport input telnet ----定义登录方式（接受）!Site2#show ip routeCodes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2       E1 - OSPF external type 1, E2 - OSPF external type 2       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2       ia - IS-IS inter area, * - candidate default, U - per-user static route       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP       a - application route       + - replicated route, % - next hop override Gateway of last resort is 200.100.1.100 to network 0.0.0.0 S*    0.0.0.0/0 [1/0] via 200.100.1.100      200.100.1.0/24 is variably subnetted, 2 subnets, 2 masks **************************测试******************** 

2，ACL（access control list）访问控制列表作用：标记流量/路由，并针对标记标记做相关的策略（比如限制）1）特点a，一系列允许和拒绝条目的集合b，按照number从上至下依次匹配c，一旦匹配某一列表，将不再往下执行d，任何访问控制列表的最后都有一条隐含的拒绝所有的条目
严重提醒：ACL无法限制自身发起的流量（只对抵达或穿越的流量生效）2）通配符（Wildcard） ----所谓的“反掩码”表示方式：点分十进制匹配原则：0-------表示匹配1-------表示忽略
实例：172.30.16.0/24 to 172.30.31.0/24反掩码：172.30.16.0 0.0.15.255
匹配所有地址为使用关键词host（host .29）忽略所有地址为使用关键词any
3）ACL的种类a，IPv4b，IPv6c，非IP奥义：相同接口相同方向只能调用一种类型的ACL
4）ACL的类型a，PACL：端口的ACLb，RACL：路由的ACLc，VLAN：VLAN的ACL

5）思科ACL类型a，标准表示方式：数字（number）/命名（name）数字范围：1-99/1300-1999check：只能匹配源调用原则：靠近目的调用b，扩展表示方式：数字（number）/命名（name）数字范围：100-199/2000-2699check：可以匹配源目IP、源目端口以及协议号调用原则：靠近源调用
6）实验拓扑a，内网10.1.1.0/24R0：10.1.1.1R1：10.1.1.2GW-R3：10.1.1.100b，外网202.100.1.100GW-R2：202.100.10.100R3：202.100.1.10c，使用标准ACL限制R0访问R4的流量d，使用扩展的ACL----只允许R0通过telnet/http访问R3----只允许R1通过ping/SSH来访问R3
配置：****************************需求C************************分析：标准的ACL只能检查（匹配）源IP，在此实验需求中，只能匹配源自于In.R1的流量。调用原则：靠近目的调用，基于此实验需求中，目的为Out.R4。因此ACL在GW.R3或Out.R4上皆可配置（推荐在Out.R4上配置）严重提醒：在实施ACL之前，一定要对网络现况做一个全面的了解。然后在实施ACL Out.R4：！定义标准ACL内容access-list 1 deny   10.1.1.1  access-list 1 permit 202.100.1.0 0.0.0.255access-list 1 permit 10.1.1.0 0.0.0.255access-list 1 deny   any log  ---把默认隐含并且拒绝所有的条目显现并添加Log--了解被拒绝的流量类型！interface Ethernet0/1 ip address 202.100.1.10 255.255.255.0 ip access-group 1 in  ！ ***************************需求D*************************分析：因为扩展的ACL是可以匹配源目IP、源目端口以及协议号的。因此建议在GW.R3上去实施（靠近源） GW.R3：！ip access-list extended In.traffic permit tcp host 10.1.1.1 host 202.100.1.10 eq telnet --放行R1去往R4的telnet permit tcp host 10.1.1.1 host 202.100.1.10 eq www---放行R1去往R4的http permit icmp host 10.1.1.2 host 202.100.1.10 echo---放行R2 ping R4流量 permit tcp host 10.1.1.2 host 202.100.1.10 eq 22---放行R2去往R4的SSH deny   ip any any log！interface Ethernet0/0 ip address 10.1.1.100 255.255.255.0 ip access-group In.traffic in！

作业：1，ACL的作用2，ACL的种类3，ACL的特点4，ACL配置方式a，标准---只检查源---靠近目的调用b，扩展---检查源目IP、源目的端口和协议号---靠近源调用5，实验（课堂实验---自定义拓扑和需求）