網(wǎng)絡(luò)故障診斷與排除數(shù)字化資源魏建英項(xiàng)目12課件

1、精品課程 —— 項(xiàng)目六,訪問控制列表在網(wǎng)絡(luò)中的應(yīng)用,,,,,任務(wù)12.1了解網(wǎng)絡(luò)中訪問控制列表的配置環(huán)境,任務(wù)12.2通過測(cè)試發(fā)現(xiàn)故障,任務(wù)12.3了解訪問控制列表的相關(guān)知識(shí),任務(wù)10.4訪問控制列表的故障排除,目錄 CONTENTS PAGE,項(xiàng)目十二、訪問控制列表在網(wǎng)絡(luò)中的應(yīng)用,12.1 了解網(wǎng)絡(luò)中訪問控制列表的配置環(huán)境,李工所在公司由于工作需要需要在現(xiàn)有網(wǎng)絡(luò)上增加訪問控制列表，要求在實(shí)現(xiàn)子公司A可以和公司總部電腦通信

2、，但不能訪問總部網(wǎng)頁服務(wù)器，子公司B只可以訪問總部網(wǎng)頁服務(wù)器，主要任務(wù)如下：查看現(xiàn)有網(wǎng)絡(luò)配置配置，落實(shí)已有的IP地址信息；對(duì)總部路由器進(jìn)行配置，通過ACL訪問控制實(shí)現(xiàn)既定要求；進(jìn)行配置結(jié)果測(cè)試,Chp1 了解網(wǎng)絡(luò)中訪問控制列表的配置環(huán)境,,12.2 通過測(cè)試發(fā)現(xiàn)故障,李工所在公司網(wǎng)絡(luò)拓?fù)淙鐖D12-1所示：,Chp2 通過測(cè)試發(fā)現(xiàn)故障,,網(wǎng)絡(luò)拓?fù)渲邪?個(gè)路由器，分別為R1、R2、R3，3個(gè)交換機(jī)，分別為S1、S2、S3，以及在交

3、換機(jī)上互連的服務(wù)器和終端設(shè)備等。對(duì)現(xiàn)有網(wǎng)絡(luò)拓?fù)渖系慕K端進(jìn)行測(cè)試，發(fā)現(xiàn)如表12-1所示錯(cuò)誤。,項(xiàng)目十二、訪問控制列表在網(wǎng)絡(luò)中的應(yīng)用,,,表12-1 主機(jī)互通測(cè)試表,完成如表12-1的6項(xiàng)測(cè)試，共4項(xiàng)測(cè)試失敗，因測(cè)試失敗可確定本次操作沒有成功完成項(xiàng)目目標(biāo)。是什么原因造成故障現(xiàn)象呢？是規(guī)劃設(shè)計(jì)的問題，是操作的問題，還是acl概念沒有理解清楚的問題？據(jù)此，我們要深入的進(jìn)行故障分析來確定問題所在。,項(xiàng)目十二、訪問控制列表在網(wǎng)絡(luò)中的應(yīng)用,Chp2

4、通過測(cè)試發(fā)現(xiàn)故障,Chp3 訪問控制列表技術(shù)詳解,12.3 訪問控制列表技術(shù)詳解,訪問控制列表（access list，ACL）是應(yīng)用在路由器接口的指令列表，這些指令列表用來告訴路由器哪些數(shù)據(jù)包可以接收、哪些數(shù)據(jù)包需要拒絕。,12.3.1 什么是訪問控制列表,12.3.2 訪問控制列表的分類,1.標(biāo)準(zhǔn)IP訪問控制列表　　 一個(gè)標(biāo)準(zhǔn)IP訪問控制列表匹配IP包中的源地址或源地址中的一部分，可對(duì)匹配的包采取拒絕或允許兩個(gè)操作。

5、編號(hào)范圍是從1到99的訪問控制列表是標(biāo)準(zhǔn)IP訪問控制列表。 下面舉例來說明： 配置任務(wù)：禁止172.16.4.13這個(gè)計(jì)算機(jī)對(duì)172.16.3.0/24網(wǎng)段的訪問，而172.16.4.0/24中的其他計(jì)算機(jī)可以正常訪問。,項(xiàng)目十二、訪問控制列表在網(wǎng)絡(luò)中的應(yīng)用,,路由器配置命令如下：,access-list 1 deny host 172.16.4.13 設(shè)置ACL，禁止172.16.4.13

6、的數(shù)據(jù)包通過　　access-list 1 permit any 設(shè)置ACL，容許其他地址的計(jì)算機(jī)進(jìn)行通訊　　int e 1 進(jìn)入E1端口　　ip access-group 1 in 將ACL1宣告，同理可以進(jìn)入E0端口后使用ip access-group 1 out來完成

7、宣告。,配置完畢后除了172.16.4.13其他IP地址都可以通過路由器正常通訊，傳輸數(shù)據(jù)包。　　總結(jié)：標(biāo)準(zhǔn)ACL占用路由器資源很少，是一種最基本最簡(jiǎn)單的訪問控制列表格式。應(yīng)用比較廣泛，經(jīng)常在要求控制級(jí)別較低的情況下使用。如果要更加復(fù)雜的控制數(shù)據(jù)包的傳輸就需要使用擴(kuò)展訪問控制列表了，他可以滿足我們到端口級(jí)的要求。,項(xiàng)目十二、訪問控制列表在網(wǎng)絡(luò)中的應(yīng)用,Chp3 訪問控制列表技術(shù)詳解,,2.擴(kuò)展IP訪問控制列表,擴(kuò)展IP訪問控制列表比標(biāo)

8、準(zhǔn)IP訪問控制列表具有更多的匹配項(xiàng)，包括協(xié)議類型、源地址、目的地址、源端口、目的端口、建立連接的和IP優(yōu)先級(jí)等。編號(hào)范圍是從100到199的訪問控制列表是擴(kuò)展IP訪問控制列表。擴(kuò)展訪問控制列表是一種高級(jí)的ACL，配置命令的具體格式如下：　　access-list ACL號(hào) [permit|deny] [協(xié)議] [定義過濾源主機(jī)范圍] [定義過濾源端口] [定義過濾目的主機(jī)訪問] [定義過濾目的端口] 例如：access

9、-list 101 deny tcp any host 192.168.1.1 eq www這句命令是將所有主機(jī)訪問192.168.1.1這個(gè)地址網(wǎng)頁服務(wù)(WWW)TCP連接的數(shù)據(jù)包丟棄。 小提示：同樣在擴(kuò)展訪問控制列表中也可以定義過濾某個(gè)網(wǎng)段，當(dāng)然和標(biāo)準(zhǔn)訪問控制列表一樣需要我們使用反向掩碼定義IP地址后的子網(wǎng)掩碼。,項(xiàng)目十二、訪問控制列表在網(wǎng)絡(luò)中的應(yīng)用,Chp3 訪問控制列表技術(shù)詳解,,擴(kuò)展ACL有一個(gè)最大的好處就是可以

10、保護(hù)服務(wù)器，例如很多服務(wù)器為了更好的提供服務(wù)都是暴露在公網(wǎng)上的，這時(shí)為了保證服務(wù)正常提供所有端口都對(duì)外界開放，很容易招來黑客和病毒的攻擊，通過擴(kuò)展ACL可以將除了服務(wù)端口以外的其他端口都封鎖掉，降低了被攻擊的機(jī)率。如本例就是僅僅將80端口對(duì)外界開放?！　】偨Y(jié)：擴(kuò)展ACL功能很強(qiáng)大，他可以控制源IP，目的IP，源端口，目的端口等，能實(shí)現(xiàn)相當(dāng)精細(xì)的控制，擴(kuò)展ACL不僅讀取IP包頭的源地址/目的地址，還要讀取第四層包頭中的源端口和目的端口的

11、IP。不過他存在一個(gè)缺點(diǎn)，那就是在沒有硬件ACL加速的情況下，擴(kuò)展ACL會(huì)消耗大量的路由器CPU資源。所以當(dāng)使用中低檔路由器時(shí)應(yīng)盡量減少擴(kuò)展ACL的條目數(shù)，將其簡(jiǎn)化為標(biāo)準(zhǔn)ACL或?qū)⒍鄺l擴(kuò)展ACL合一是最有效的方法?！　』诿Q的訪問控制列表　　不管是標(biāo)準(zhǔn)訪問控制列表還是擴(kuò)展訪問控制列表都有一個(gè)弊端，那就是當(dāng)設(shè)置好ACL的規(guī)則后發(fā)現(xiàn)其中的某條有問題，希望進(jìn)行修改或刪除的話只能將全部ACL信息都刪除。也就是說修改一條或刪除一條都會(huì)影響到

12、整個(gè)ACL列表。這一個(gè)缺點(diǎn)影響了我們的工作，為我們帶來了繁重的負(fù)擔(dān)。不過我們可以用基于名稱的訪問控制列表來解決這個(gè)問題。,項(xiàng)目十二、訪問控制列表在網(wǎng)絡(luò)中的應(yīng)用,Chp3 訪問控制列表技術(shù)詳解,,3.基于名稱的訪問控制列表的格式：,ip access-list [standard|extended] [ACL名稱]　　例如：ip access-list standard softer就建立了一個(gè)名為softer的標(biāo)準(zhǔn)訪問控制列表。,基于

13、名稱的訪問控制列表的使用方法：　　當(dāng)我們建立了一個(gè)基于名稱的訪問列表后就可以進(jìn)入到這個(gè)ACL中進(jìn)行配置了?！　±缥覀兲砑尤龡lACL規(guī)則　　　 如果我們發(fā)現(xiàn)第二條命令應(yīng)該是2.2.2.1而不是2.2.2.2，如果使用不是基于名稱的訪問控制列表的話，使用no permit 2.2.2.2 0.0.0.0后整個(gè)ACL信息都會(huì)被刪除掉。正是因?yàn)槭褂昧嘶诿Q的訪問控制列表，我們使用no permit 2.2.2.2 0.0.0.

14、0后第一條和第三條指令依然存在。　　總結(jié)：如果設(shè)置ACL的規(guī)則比較多的話，應(yīng)該使用基于名稱的訪問控制列表進(jìn)行管理，這樣可以減輕很多后期維護(hù)的工作，方便我們隨時(shí)進(jìn)行調(diào)整ACL規(guī)則。,permit 1.1.1.1 0.0.0.0　　permit 2.2.2.2 0.0.0.0　　permit 3.3.3.3 0.0.0.0,項(xiàng)目十二、訪問控制列表在網(wǎng)絡(luò)中的應(yīng)用,Chp3 訪問控制列表技術(shù)詳解,Chp4 訪問控制列表的故障排除,12.4

15、 訪問控制列表的故障排除,依據(jù)理論化的故障排除思路，結(jié)合acl的技術(shù)原理和實(shí)際操作步驟，本次故障排除分解為以下幾個(gè)子任務(wù)： ①查看現(xiàn)有配置，并按照要求羅列表格。 ②根據(jù)相關(guān)知識(shí)點(diǎn)確認(rèn)故障點(diǎn)所在 ③修改錯(cuò)誤配置，并保存配置。 ④在新配置環(huán)境下進(jìn)行測(cè)試 ⑤整理新的配置文檔,項(xiàng)目十二、訪問控制列表在網(wǎng)絡(luò)中的應(yīng)用,子任務(wù)1 查看現(xiàn)有網(wǎng)絡(luò)設(shè)備配置,1、任務(wù)目標(biāo)①查看所有路由器配置，確定已有的IP規(guī)劃信息；

16、②查看邊界路由器R2的配置，確定現(xiàn)有配置信息；2、任務(wù)所需設(shè)備①筆記本一臺(tái)，并裝有超級(jí)終端軟件或TELNET軟件，并確定訪問所需的用戶名和口令；②配置線纜；③記錄所用的筆和紙；3、實(shí)施步驟①使用超級(jí)終端軟件連接3臺(tái)路由器，使用show run命令確定路由器R1、R2、R3的接口配置。,項(xiàng)目十二、訪問控制列表在網(wǎng)絡(luò)中的應(yīng)用,Chp4 訪問控制列表的故障排除,R1,項(xiàng)目十二、訪問控制列表在網(wǎng)絡(luò)中的應(yīng)用,Chp4 訪問控制列表的故

17、障排除,R2,項(xiàng)目十二、訪問控制列表在網(wǎng)絡(luò)中的應(yīng)用,Chp4 訪問控制列表的故障排除,R3,項(xiàng)目十二、訪問控制列表在網(wǎng)絡(luò)中的應(yīng)用,Chp4 訪問控制列表的故障排除,表12-2 各設(shè)備的IP地址及相關(guān)信息,項(xiàng)目十二、訪問控制列表在網(wǎng)絡(luò)中的應(yīng)用,Chp4 訪問控制列表的故障排除,子任務(wù)2 確認(rèn)工作點(diǎn)所在,本項(xiàng)目用模擬環(huán)境來實(shí)現(xiàn)，故可以排除物理問題及設(shè)備問題。這里根據(jù)訪問控制列表的常見故障點(diǎn)來排查網(wǎng)絡(luò)配置是否合理。首先了解一下訪問控制列表

18、的常見故障點(diǎn)。acl配置概念模糊兩可，忽略了ACL 的最后一條語句都是隱式拒絕語句，通常默認(rèn)表示deny ip any any。沒有正確的在相應(yīng)的接口上引用acl。沒有充分發(fā)覺任務(wù)目標(biāo)，選擇配置設(shè)備出錯(cuò) 下面根據(jù)上述訪問控制列表常見故障點(diǎn)逐步確認(rèn)故障所在。 1.首先查看公司總部路由器R1的新增acl配置如下：,access-list 100 permit ip 192.168.3.0 0.0.0.255

19、 host 192.168.1.2access-list 100 deny ip 192.168.2.0 0.0.0.255 host 192.168.1.2access-list 100 permit ip any any,通過配置發(fā)現(xiàn)公司A所在網(wǎng)段即192.168.3.0 容許訪問 192.168.1.2公司B所在網(wǎng)段即192.168.2.0不容許訪問192.168.1.2，末尾語句添加了Access-list 100 Pe

20、rmit ip any any,項(xiàng)目十二、訪問控制列表在網(wǎng)絡(luò)中的應(yīng)用,Chp4 訪問控制列表的故障排除,2.查看acl是否應(yīng)用在了接口上，通過查看總部路由器R1已有的配置命令發(fā)現(xiàn)acl 100已經(jīng)應(yīng)用在了接口，由于是從外部公司訪問內(nèi)部公司，由此可以確定對(duì)于總部路由器來說，serial2/0是進(jìn)口 應(yīng)該在進(jìn)口上引入acl 100,具體配置信息如下。,3.基于以上倆點(diǎn)都沒出現(xiàn)問題，我們來仔細(xì)斟酌一下acl命令語句，,access-list

21、100 permit ip 192.168.3.0 0.0.0.255 host 192.168.1.2access-list 100 deny ip 192.168.2.0 0.0.0.255 host 192.168.1.2access-list 100 permit ip any any,項(xiàng)目十二、訪問控制列表在網(wǎng)絡(luò)中的應(yīng)用,Chp4 訪問控制列表的故障排除,通過配置發(fā)現(xiàn)公司A所在網(wǎng)段即192.168.2.0 不容許訪問 19

22、2.168.1.2 公司B所在網(wǎng)段即192.168.3.0容許訪問192.168.1.2，該語句拒絕了公司A網(wǎng)段即192.168.3.0網(wǎng)段訪問主機(jī)192.168.1.2的所有端口，導(dǎo)致公司A即不能訪問web服務(wù)器也不可以ping通pc1，同時(shí)公司B即可以ping通pc1，也可以訪問web服務(wù)網(wǎng)頁，這與既定的要求是不符合的, 通過了解網(wǎng)絡(luò)情況建議需要在路由器R2和路由器R3上分別做路由策略。重新做訪問控制列表,子

23、任務(wù)3 修改配置,①刪除路由器R1上的原有acl配置，即刪除acl 100,刪除在出接口上的應(yīng)用,項(xiàng)目十二、訪問控制列表在網(wǎng)絡(luò)中的應(yīng)用,Chp4 訪問控制列表的故障排除,② 在路由器R2上做如下配置：創(chuàng)建acl 102 ，拒絕192.168.2.0網(wǎng)段上ip訪問192.168.1.2上的網(wǎng)頁服務(wù)器,容許其他的數(shù)據(jù)流量通過,應(yīng)用到入接口上,③在路由器R3上作如下配置 創(chuàng)建acl 103 （注意隱式語句deny ip any any）,

24、在入接口上應(yīng)用：,項(xiàng)目十二、訪問控制列表在網(wǎng)絡(luò)中的應(yīng)用,Chp4 訪問控制列表的故障排除,子任務(wù)4 在新配置環(huán)境下進(jìn)行測(cè)試,完成配置后，重新對(duì)終端的互連進(jìn)行測(cè)試，測(cè)試項(xiàng)和測(cè)試結(jié)果如表12-3。,表12-3 主機(jī)互連測(cè)試表,完成如表12-3的6項(xiàng)測(cè)試，共有6項(xiàng)測(cè)試成功，由此確認(rèn)故障現(xiàn)象和以上分析完全吻合，經(jīng)過故障點(diǎn)分析確認(rèn)故障點(diǎn)，通過分步驟的配置修改，成功完成任務(wù)，結(jié)束故障排除工作。,項(xiàng)目十二、訪問控制列表在網(wǎng)絡(luò)中的應(yīng)用,Chp4 訪