web学习第八天 -----------配置静态路由并设置ACL
2018-03-22 16:08
447 查看
需求a,site1和Internet处于202.106.1.0/24网络中其中:site1的IP:202.106.1.1 internet的IP地址:202.106.1.100b,internet和site2处于200.100.1.0/24其中:site2的IP地址:200.100.1.10 internet的IP地址:200.100.1.100c,配置静态/默认路由,保障site1可以和site2之间通过telnet通讯(1 telnet 2)配置:******************************site1*************************!interface Ethernet0/0 ----接口手动配置IP地址 ip address 202.106.1.1 255.255.255.0!ip route 200.100.1.0(目标网络前缀) 255.255.255.0(目标网络掩码 202.106.1.100(next-hop)---配置静态路由! Site1#show ip routeCodes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP a - application route + - replicated route, % - next hop override Gateway of last resort is not set S 200.100.1.0/24 [1/0] via 202.106.1.100 202.106.1.0/24 is variably subnetted, 2 subnets, 2 masks ******************************Internet****************************!interface Ethernet0/0 ip address 202.106.1.100 255.255.255.0!interface Ethernet0/1 ip address 200.100.1.100 255.255.255.0!Internet#sh ip routeCodes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - ca
10630
ndidate default, U - per-user static route o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP a - application route + - replicated route, % - next hop override Gateway of last resort is not set 200.100.1.0/24 is variably subnetted, 2 subnets, 2 masksC 200.100.1.0/24 is directly connected, Ethernet0/1L 200.100.1.100/32 is directly connected, Ethernet0/1 202.106.1.0/24 is variably subnetted, 2 subnets, 2 masksC 202.106.1.0/24 is directly connected, Ethernet0/0L 202.106.1.100/32 is directly connected, Ethernet0/0 ************************Site2***********************!interface Ethernet0/1 ip address 200.100.1.10 255.255.255.0!ip route 0.0.0.0 0.0.0.0 200.100.1.100 -----配置默认(缺省)路由!line vty 0 4 password cisco ---配置登录秘钥 login transport input telnet ----定义登录方式(接受)!Site2#show ip routeCodes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP a - application route + - replicated route, % - next hop override Gateway of last resort is 200.100.1.100 to network 0.0.0.0 S* 0.0.0.0/0 [1/0] via 200.100.1.100 200.100.1.0/24 is variably subnetted, 2 subnets, 2 masks **************************测试********************
2,ACL(access control list)访问控制列表作用:标记流量/路由,并针对标记标记做相关的策略(比如限制)1)特点a,一系列允许和拒绝条目的集合b,按照number从上至下依次匹配c,一旦匹配某一列表,将不再往下执行d,任何访问控制列表的最后都有一条隐含的拒绝所有的条目
严重提醒:ACL无法限制自身发起的流量(只对抵达或穿越的流量生效)2)通配符(Wildcard) ----所谓的“反掩码”表示方式:点分十进制匹配原则:0-------表示匹配1-------表示忽略
实例:172.30.16.0/24 to 172.30.31.0/24反掩码:172.30.16.0 0.0.15.255
匹配所有地址为使用关键词host(host .29)忽略所有地址为使用关键词any
3)ACL的种类a,IPv4b,IPv6c,非IP奥义:相同接口相同方向只能调用一种类型的ACL
4)ACL的类型a,PACL:端口的ACLb,RACL:路由的ACLc,VLAN:VLAN的ACL
5)思科ACL类型a,标准表示方式:数字(number)/命名(name)数字范围:1-99/1300-1999check:只能匹配源调用原则:靠近目的调用b,扩展表示方式:数字(number)/命名(name)数字范围:100-199/2000-2699check:可以匹配源目IP、源目端口以及协议号调用原则:靠近源调用
6)实验拓扑a,内网10.1.1.0/24R0:10.1.1.1R1:10.1.1.2GW-R3:10.1.1.100b,外网202.100.1.100GW-R2:202.100.10.100R3:202.100.1.10c,使用标准ACL限制R0访问R4的流量d,使用扩展的ACL----只允许R0通过telnet/http访问R3----只允许R1通过ping/SSH来访问R3
配置:****************************需求C************************分析:标准的ACL只能检查(匹配)源IP,在此实验需求中,只能匹配源自于In.R1的流量。调用原则:靠近目的调用,基于此实验需求中,目的为Out.R4。因此ACL在GW.R3或Out.R4上皆可配置(推荐在Out.R4上配置)严重提醒:在实施ACL之前,一定要对网络现况做一个全面的了解。然后在实施ACL Out.R4:!定义标准ACL内容access-list 1 deny 10.1.1.1 access-list 1 permit 202.100.1.0 0.0.0.255access-list 1 permit 10.1.1.0 0.0.0.255access-list 1 deny any log ---把默认隐含并且拒绝所有的条目显现并添加Log--了解被拒绝的流量类型!interface Ethernet0/1 ip address 202.100.1.10 255.255.255.0 ip access-group 1 in ! ***************************需求D*************************分析:因为扩展的ACL是可以匹配源目IP、源目端口以及协议号的。因此建议在GW.R3上去实施(靠近源) GW.R3:!ip access-list extended In.traffic permit tcp host 10.1.1.1 host 202.100.1.10 eq telnet --放行R1去往R4的telnet permit tcp host 10.1.1.1 host 202.100.1.10 eq www---放行R1去往R4的http permit icmp host 10.1.1.2 host 202.100.1.10 echo---放行R2 ping R4流量 permit tcp host 10.1.1.2 host 202.100.1.10 eq 22---放行R2去往R4的SSH deny ip any any log!interface Ethernet0/0 ip address 10.1.1.100 255.255.255.0 ip access-group In.traffic in!
作业:1,ACL的作用2,ACL的种类3,ACL的特点4,ACL配置方式a,标准---只检查源---靠近目的调用b,扩展---检查源目IP、源目的端口和协议号---靠近源调用5,实验(课堂实验---自定义拓扑和需求)
相关文章推荐
- IIS中遇到无法预览的问题(HTTP 错误 401.3 - Unauthorized 因为 Web server上此资源的訪问控制列表(ACL)配置或加密设置,您无权查看此文件夹或页面。)
- 由于 web 服务器上此资源的访问控制列表(acl)配置或加密设置,您无权查看此目录或页面。
- HTTP 错误 401.3 - Unauthorized 由于 Web 服务器上此资源的访问控制列表(ACL)配置或加密设置,您无权查看此目录或页面。
- IIS中遇到无法预览的问题(HTTP 错误 401.3 - Unauthorized 由于 Web 服务器上此资源的访问控制列表(ACL)配置或加密设置,您无权查看此目录或页面。)
- IIS中遇到无法预览的问题(HTTP 错误 401.3 - Unauthorized 由于 Web 服务器上此资源的访问控制列表(ACL)配置或加密设置,您无权查看此目录或页面。)
- jsp中session过期设置及web.xml配置学习
- IIS错误信息:HTTP 错误 401.3 - Unauthorized 由于 Web 服务器上此资源的访问控制列表(ACL)配置或加密设置,您无权查看此目录或页面
- jsp中session过期设置及web.xml配置学习
- 传智播客学习之Tomcat配置WEB站点的虚拟目录
- asp.net 安全认证学习(一)-web.config 配置
- Altiris安装配置学习教程(六)- 安装Deployment Web Console
- asp.net 安全认证学习(一)-web.config 配置
- 关于Web.config文件对个性化设置Profile的配置
- ACL学习:自反访问列表引入和配置
- Python Web 开发 学习笔记1 安装配置 python+django
- 今天 学习 web.config 配置数据库,奥耶
- Web开发学习笔记之一:如何配置IIS使其能运行ISAPI动态链接库程序?
- 在Asp.Net2.0中可以方便的访问配置文件web.config,如判断debug设置,验证类型等
- 2008年3月小记(设置Windows服务的依赖关系,配置MSMQ的访问权限,WCF的安全配置,删除重建网站,HttpWebRequest,一年中的周,在WCF中使用HttpContext,String.Join)
- 您不具备查看该目录或页面的权限,因为访问控制列表(ACL)对Web 服务器上的该资源进行了配置或者访问网站时出现登录对话框。