版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領
文檔簡介
1、精品課程 —— 項目六,訪問控制列表在網(wǎng)絡中的應用,,,,,任務12.1了解網(wǎng)絡中訪問控制列表的配置環(huán)境,任務12.2通過測試發(fā)現(xiàn)故障,任務12.3了解訪問控制列表的相關知識,任務10.4訪問控制列表的故障排除,目錄 CONTENTS PAGE,項目十二、訪問控制列表在網(wǎng)絡中的應用,12.1 了解網(wǎng)絡中訪問控制列表的配置環(huán)境,李工所在公司由于工作需要需要在現(xiàn)有網(wǎng)絡上增加訪問控制列表,要求在實現(xiàn)子公司A可以和公司總部電腦通信
2、,但不能訪問總部網(wǎng)頁服務器,子公司B只可以訪問總部網(wǎng)頁服務器,主要任務如下:查看現(xiàn)有網(wǎng)絡配置配置,落實已有的IP地址信息;對總部路由器進行配置,通過ACL訪問控制實現(xiàn)既定要求;進行配置結(jié)果測試,Chp1 了解網(wǎng)絡中訪問控制列表的配置環(huán)境,,12.2 通過測試發(fā)現(xiàn)故障,李工所在公司網(wǎng)絡拓撲如圖12-1所示:,Chp2 通過測試發(fā)現(xiàn)故障,,網(wǎng)絡拓撲中包括3個路由器,分別為R1、R2、R3,3個交換機,分別為S1、S2、S3,以及在交
3、換機上互連的服務器和終端設備等。對現(xiàn)有網(wǎng)絡拓撲上的終端進行測試,發(fā)現(xiàn)如表12-1所示錯誤。,項目十二、訪問控制列表在網(wǎng)絡中的應用,,,表12-1 主機互通測試表,完成如表12-1的6項測試,共4項測試失敗,因測試失敗可確定本次操作沒有成功完成項目目標。是什么原因造成故障現(xiàn)象呢?是規(guī)劃設計的問題,是操作的問題,還是acl概念沒有理解清楚的問題?據(jù)此,我們要深入的進行故障分析來確定問題所在。,項目十二、訪問控制列表在網(wǎng)絡中的應用,Chp2
4、通過測試發(fā)現(xiàn)故障,Chp3 訪問控制列表技術詳解,12.3 訪問控制列表技術詳解,訪問控制列表(access list,ACL)是應用在路由器接口的指令列表,這些指令列表用來告訴路由器哪些數(shù)據(jù)包可以接收、哪些數(shù)據(jù)包需要拒絕。,12.3.1 什么是訪問控制列表,12.3.2 訪問控制列表的分類,1.標準IP訪問控制列表 一個標準IP訪問控制列表匹配IP包中的源地址或源地址中的一部分,可對匹配的包采取拒絕或允許兩個操作。
5、編號范圍是從1到99的訪問控制列表是標準IP訪問控制列表。 下面舉例來說明: 配置任務:禁止172.16.4.13這個計算機對172.16.3.0/24網(wǎng)段的訪問,而172.16.4.0/24中的其他計算機可以正常訪問。,項目十二、訪問控制列表在網(wǎng)絡中的應用,,路由器配置命令如下:,access-list 1 deny host 172.16.4.13 設置ACL,禁止172.16.4.13
6、的數(shù)據(jù)包通過 access-list 1 permit any 設置ACL,容許其他地址的計算機進行通訊 int e 1 進入E1端口 ip access-group 1 in 將ACL1宣告,同理可以進入E0端口后使用ip access-group 1 out來完成
7、宣告。,配置完畢后除了172.16.4.13其他IP地址都可以通過路由器正常通訊,傳輸數(shù)據(jù)包?! 】偨Y(jié):標準ACL占用路由器資源很少,是一種最基本最簡單的訪問控制列表格式。應用比較廣泛,經(jīng)常在要求控制級別較低的情況下使用。如果要更加復雜的控制數(shù)據(jù)包的傳輸就需要使用擴展訪問控制列表了,他可以滿足我們到端口級的要求。,項目十二、訪問控制列表在網(wǎng)絡中的應用,Chp3 訪問控制列表技術詳解,,2.擴展IP訪問控制列表,擴展IP訪問控制列表比標
8、準IP訪問控制列表具有更多的匹配項,包括協(xié)議類型、源地址、目的地址、源端口、目的端口、建立連接的和IP優(yōu)先級等。編號范圍是從100到199的訪問控制列表是擴展IP訪問控制列表。擴展訪問控制列表是一種高級的ACL,配置命令的具體格式如下: access-list ACL號 [permit|deny] [協(xié)議] [定義過濾源主機范圍] [定義過濾源端口] [定義過濾目的主機訪問] [定義過濾目的端口] 例如:access
9、-list 101 deny tcp any host 192.168.1.1 eq www這句命令是將所有主機訪問192.168.1.1這個地址網(wǎng)頁服務(WWW)TCP連接的數(shù)據(jù)包丟棄。 小提示:同樣在擴展訪問控制列表中也可以定義過濾某個網(wǎng)段,當然和標準訪問控制列表一樣需要我們使用反向掩碼定義IP地址后的子網(wǎng)掩碼。,項目十二、訪問控制列表在網(wǎng)絡中的應用,Chp3 訪問控制列表技術詳解,,擴展ACL有一個最大的好處就是可以
10、保護服務器,例如很多服務器為了更好的提供服務都是暴露在公網(wǎng)上的,這時為了保證服務正常提供所有端口都對外界開放,很容易招來黑客和病毒的攻擊,通過擴展ACL可以將除了服務端口以外的其他端口都封鎖掉,降低了被攻擊的機率。如本例就是僅僅將80端口對外界開放?! 】偨Y(jié):擴展ACL功能很強大,他可以控制源IP,目的IP,源端口,目的端口等,能實現(xiàn)相當精細的控制,擴展ACL不僅讀取IP包頭的源地址/目的地址,還要讀取第四層包頭中的源端口和目的端口的
11、IP。不過他存在一個缺點,那就是在沒有硬件ACL加速的情況下,擴展ACL會消耗大量的路由器CPU資源。所以當使用中低檔路由器時應盡量減少擴展ACL的條目數(shù),將其簡化為標準ACL或?qū)⒍鄺l擴展ACL合一是最有效的方法?! 』诿Q的訪問控制列表 不管是標準訪問控制列表還是擴展訪問控制列表都有一個弊端,那就是當設置好ACL的規(guī)則后發(fā)現(xiàn)其中的某條有問題,希望進行修改或刪除的話只能將全部ACL信息都刪除。也就是說修改一條或刪除一條都會影響到
12、整個ACL列表。這一個缺點影響了我們的工作,為我們帶來了繁重的負擔。不過我們可以用基于名稱的訪問控制列表來解決這個問題。,項目十二、訪問控制列表在網(wǎng)絡中的應用,Chp3 訪問控制列表技術詳解,,3.基于名稱的訪問控制列表的格式:,ip access-list [standard|extended] [ACL名稱] 例如:ip access-list standard softer就建立了一個名為softer的標準訪問控制列表。,基于
13、名稱的訪問控制列表的使用方法: 當我們建立了一個基于名稱的訪問列表后就可以進入到這個ACL中進行配置了。 例如我們添加三條ACL規(guī)則 如果我們發(fā)現(xiàn)第二條命令應該是2.2.2.1而不是2.2.2.2,如果使用不是基于名稱的訪問控制列表的話,使用no permit 2.2.2.2 0.0.0.0后整個ACL信息都會被刪除掉。正是因為使用了基于名稱的訪問控制列表,我們使用no permit 2.2.2.2 0.0.0.
14、0后第一條和第三條指令依然存在。 總結(jié):如果設置ACL的規(guī)則比較多的話,應該使用基于名稱的訪問控制列表進行管理,這樣可以減輕很多后期維護的工作,方便我們隨時進行調(diào)整ACL規(guī)則。,permit 1.1.1.1 0.0.0.0 permit 2.2.2.2 0.0.0.0 permit 3.3.3.3 0.0.0.0,項目十二、訪問控制列表在網(wǎng)絡中的應用,Chp3 訪問控制列表技術詳解,Chp4 訪問控制列表的故障排除,12.4
15、 訪問控制列表的故障排除,依據(jù)理論化的故障排除思路,結(jié)合acl的技術原理和實際操作步驟,本次故障排除分解為以下幾個子任務: ①查看現(xiàn)有配置,并按照要求羅列表格。 ②根據(jù)相關知識點確認故障點所在 ③修改錯誤配置,并保存配置。 ④在新配置環(huán)境下進行測試 ⑤整理新的配置文檔,項目十二、訪問控制列表在網(wǎng)絡中的應用,子任務1 查看現(xiàn)有網(wǎng)絡設備配置,1、任務目標①查看所有路由器配置,確定已有的IP規(guī)劃信息;
16、②查看邊界路由器R2的配置,確定現(xiàn)有配置信息;2、任務所需設備①筆記本一臺,并裝有超級終端軟件或TELNET軟件,并確定訪問所需的用戶名和口令;②配置線纜;③記錄所用的筆和紙;3、實施步驟①使用超級終端軟件連接3臺路由器,使用show run命令確定路由器R1、R2、R3的接口配置。,項目十二、訪問控制列表在網(wǎng)絡中的應用,Chp4 訪問控制列表的故障排除,R1,項目十二、訪問控制列表在網(wǎng)絡中的應用,Chp4 訪問控制列表的故
17、障排除,R2,項目十二、訪問控制列表在網(wǎng)絡中的應用,Chp4 訪問控制列表的故障排除,R3,項目十二、訪問控制列表在網(wǎng)絡中的應用,Chp4 訪問控制列表的故障排除,表12-2 各設備的IP地址及相關信息,項目十二、訪問控制列表在網(wǎng)絡中的應用,Chp4 訪問控制列表的故障排除,子任務2 確認工作點所在,本項目用模擬環(huán)境來實現(xiàn),故可以排除物理問題及設備問題。這里根據(jù)訪問控制列表的常見故障點來排查網(wǎng)絡配置是否合理。首先了解一下訪問控制列表
18、的常見故障點。acl配置概念模糊兩可,忽略了ACL 的最后一條語句都是隱式拒絕語句,通常默認表示deny ip any any。沒有正確的在相應的接口上引用acl。沒有充分發(fā)覺任務目標,選擇配置設備出錯 下面根據(jù)上述訪問控制列表常見故障點逐步確認故障所在。 1.首先查看公司總部路由器R1的新增acl配置如下:,access-list 100 permit ip 192.168.3.0 0.0.0.255
19、 host 192.168.1.2access-list 100 deny ip 192.168.2.0 0.0.0.255 host 192.168.1.2access-list 100 permit ip any any,通過配置發(fā)現(xiàn)公司A所在網(wǎng)段即192.168.3.0 容許訪問 192.168.1.2公司B所在網(wǎng)段即192.168.2.0不容許訪問192.168.1.2,末尾語句添加了Access-list 100 Pe
20、rmit ip any any,項目十二、訪問控制列表在網(wǎng)絡中的應用,Chp4 訪問控制列表的故障排除,2.查看acl是否應用在了接口上,通過查看總部路由器R1已有的配置命令發(fā)現(xiàn)acl 100已經(jīng)應用在了接口,由于是從外部公司訪問內(nèi)部公司,由此可以確定對于總部路由器來說,serial2/0是進口 應該在進口上引入acl 100,具體配置信息如下。,3.基于以上倆點都沒出現(xiàn)問題,我們來仔細斟酌一下acl命令語句,,access-list
21、100 permit ip 192.168.3.0 0.0.0.255 host 192.168.1.2access-list 100 deny ip 192.168.2.0 0.0.0.255 host 192.168.1.2access-list 100 permit ip any any,項目十二、訪問控制列表在網(wǎng)絡中的應用,Chp4 訪問控制列表的故障排除,通過配置發(fā)現(xiàn)公司A所在網(wǎng)段即192.168.2.0 不容許訪問 19
22、2.168.1.2 公司B所在網(wǎng)段即192.168.3.0容許訪問192.168.1.2,該語句拒絕了公司A網(wǎng)段即192.168.3.0網(wǎng)段訪問主機192.168.1.2的所有端口,導致公司A即不能訪問web服務器也不可以ping通pc1,同時公司B即可以ping通pc1,也可以訪問web服務網(wǎng)頁,這與既定的要求是不符合的, 通過了解網(wǎng)絡情況建議需要在路由器R2和路由器R3上分別做路由策略。重新做訪問控制列表,子
23、任務3 修改配置,①刪除路由器R1上的原有acl配置,即刪除acl 100,刪除在出接口上的應用,項目十二、訪問控制列表在網(wǎng)絡中的應用,Chp4 訪問控制列表的故障排除,② 在路由器R2上做如下配置:創(chuàng)建acl 102 ,拒絕192.168.2.0網(wǎng)段上ip訪問192.168.1.2上的網(wǎng)頁服務器,容許其他的數(shù)據(jù)流量通過,應用到入接口上,③在路由器R3上作如下配置 創(chuàng)建acl 103 (注意隱式語句deny ip any any),
24、在入接口上應用:,項目十二、訪問控制列表在網(wǎng)絡中的應用,Chp4 訪問控制列表的故障排除,子任務4 在新配置環(huán)境下進行測試,完成配置后,重新對終端的互連進行測試,測試項和測試結(jié)果如表12-3。,表12-3 主機互連測試表,完成如表12-3的6項測試,共有6項測試成功,由此確認故障現(xiàn)象和以上分析完全吻合,經(jīng)過故障點分析確認故障點,通過分步驟的配置修改,成功完成任務,結(jié)束故障排除工作。,項目十二、訪問控制列表在網(wǎng)絡中的應用,Chp4 訪
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
- 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 網(wǎng)絡故障診斷與排除數(shù)字化資源魏建英項目10課件
- 網(wǎng)絡故障診斷與排除數(shù)字化資源魏建英項目11課件
- 網(wǎng)絡故障診斷與排除數(shù)字化資源魏建英項目8課件
- 網(wǎng)絡故障診斷與排除數(shù)字化資源魏建英項目9課件
- 網(wǎng)絡故障診斷與排除數(shù)字化資源魏建英第二章
- 網(wǎng)絡故障診斷與排除數(shù)字化資源魏建英第一章
- 網(wǎng)絡故障診斷-使用ttl分析網(wǎng)絡故障
- [學習]網(wǎng)絡故障診斷與維護
- 探討網(wǎng)絡故障診斷與處理
- 網(wǎng)絡故障診斷70例
- 華為網(wǎng)絡故障排除
- 網(wǎng)絡故障案例與故障排除方法
- 網(wǎng)絡故障診斷和性能分析
- 案例分析-某中學網(wǎng)絡故障診斷
- 案例分析 - 某中學網(wǎng)絡故障診斷
- 案例分析-某中學網(wǎng)絡故障診斷
- 網(wǎng)絡故障診斷-利用tcp標記分析故障
- 網(wǎng)絡故障診斷-利用tcp標記分析故障
- 網(wǎng)絡故障診斷技術應用研究.pdf
- 基于OpenFlow的網(wǎng)絡故障診斷研究.pdf
評論
0/150
提交評論