救助~~急(慕名而来)IP访问控制列表
[b][size=12pt][font=Times New Roman] (1)[/font][/size][/b][b][font=宋体][size=12pt]配置标准[/size][/font][/b][b][size=12pt][font=Times New Roman]IP[/font][/size][/b][b][font=宋体][size=12pt]访问列表[/size][/font][/b][b][size=12pt][/size][/b][b][size=12pt][font=Times New Roman] (2)[/font][/size][/b][b][font=宋体][size=12pt]配置扩展的[/size][/font][/b][b][size=12pt][font=Times New Roman]IP[/font][/size][/b][b][font=宋体][size=12pt]访问列表[/size][/font][/b][b][size=12pt][/size][/b]
[b][size=12pt][font=Times New Roman] (3)[/font][/size][/b][b][font=宋体][size=12pt]自己设计网络拓扑图及访问条件(至少三台[/size][/font][/b][b][size=12pt][font=Times New Roman]PC[/font][/size][/b][b][font=宋体][size=12pt]机、三台路由器)[/size][/font][/b][b][size=12pt][/size][/b]
[b][size=12pt][font=Times New Roman] (4)[/font][/size][/b][b][font=宋体][size=12pt]在[/size][/font][/b][b][size=12pt][font=Times New Roman]BOSON[/font][/size][/b][b][font=宋体][size=12pt]软件上实现,要求截图[/size][/font][/b]
[b][font=宋体][size=12pt][color=black]这是明天的考试题目^好急:funk: :funk: [/color][/size][/font][/b]
[b][font=宋体][size=12pt][color=black]还望大哥不吝赐教,小弟不胜感激[/color][/size][/font][/b]
[[i] 本帖最后由 Hearfly 于 2007-1-11 21:03 编辑 [/i]] 楼住不厚道.
自己先做做嘛, 把做的结果发上来,大家可以帮你修修补补呀, [quote]原帖由 [i]Hearfly[/i] 于 2007-1-11 21:00 发表
(1)配置标准IP访问列表
(2)配置扩展的IP访问列表
(3)自己设计网络拓扑图及访问条件(至少三台PC机、三台路由器)
(4)在BOSON软件上实现,要求截图
这是明天的考试题目^好急:funk: :funk:
还 ... [/quote]
[font=Verdana][size=2][font=宋体][size=9pt][align=left][font=宋体][size=9pt]两[/size][/font][font=宋体][size=9pt]种主要的访问列表[/size][/font][font=宋体][size=9pt]:[/size][/font][/align][align=left][font=宋体][size=9pt]1.[/size][/font][font=宋体][size=9pt]标准访问列表[/size][/font][font=宋体][size=9pt](standard access lists):[/size][/font][font=宋体][size=9pt]只使用源[/size][/font][font=宋体][size=9pt]IP [/size][/font][font=宋体][size=9pt]地址来做过滤决定[/size][/font][/align][align=left][font=宋体][size=9pt]2.[/size][/font][font=宋体][size=9pt]扩展访问列表[/size][/font][font=宋体][size=9pt](extended access lists):[/size][/font][font=宋体][size=9pt]它比较源[/size][/font][font=宋体][size=9pt]IP [/size][/font][font=宋体][size=9pt]地址和目标[/size][/font][font=宋体][size=9pt]IP [/size][/font][font=宋体][size=9pt]地址[/size][/font][font=宋体][size=9pt],[/size][/font][font=宋体][size=9pt]层[/size][/font][font=宋体][size=9pt]3 [/size][/font][font=宋体][size=9pt]的协议字段[/size][/font][font=宋体][size=9pt],[/size][/font][font=宋体][size=9pt]层[/size][/font][font=宋体][size=9pt]4[/size][/font][/align][align=left][font=宋体][size=9pt]端口号来做过滤决定[/size][/font][/align][align=left][font=宋体][size=9pt]利用[/size][/font][font=宋体][size=9pt]ACL [/size][/font][font=宋体][size=9pt]来过滤[/size][/font][font=宋体][size=9pt],[/size][/font][font=宋体][size=9pt]必须把[/size][/font][font=宋体][size=9pt]ACL [/size][/font][font=宋体][size=9pt]应用到需要过滤的那个[/size][/font][font=宋体][size=9pt]router [/size][/font][font=宋体][size=9pt]的接口上[/size][/font][font=宋体][size=9pt],[/size][/font][font=宋体][size=9pt]否则[/size][/font][font=宋体][size=9pt]ACL [/size][/font][font=宋体][size=9pt]是不会起到[/size][/font][/align][align=left][font=宋体][size=9pt]过滤作用的[/size][/font][font=宋体][size=9pt].[/size][/font][font=宋体][size=9pt]而且你还要定义过滤的方向[/size][/font][font=宋体][size=9pt],[/size][/font][font=宋体][size=9pt]比如是是想过滤从[/size][/font][font=宋体][size=9pt]Internet [/size][/font][font=宋体][size=9pt]到你企业网的数据包呢[/size][/font][/align][align=left][font=宋体][size=9pt]还是想过滤从企业网传出到[/size][/font][font=宋体][size=9pt]Internet [/size][/font][font=宋体][size=9pt]的数据包呢[/size][/font][font=宋体][size=9pt]?[/size][/font][font=宋体][size=9pt]方向分为下面[/size][/font][font=宋体][size=9pt]2 [/size][/font][font=宋体][size=9pt]种[/size][/font][font=宋体][size=9pt]:[/size][/font][/align][align=left][font=宋体][size=9pt]1.inbound ACL:[/size][/font][font=宋体][size=9pt]先处理[/size][/font][font=宋体][size=9pt],[/size][/font][font=宋体][size=9pt]再路由[/size][/font][/align][align=left][font=宋体][size=9pt]2.outbound ACL:[/size][/font][font=宋体][size=9pt]先路由[/size][/font][font=宋体][size=9pt],[/size][/font][font=宋体][size=9pt]再处理[/size][/font][/align][align=left][font=宋体][size=9pt]一些设置[/size][/font][font=宋体][size=9pt]ACL [/size][/font][font=宋体][size=9pt]的要点[/size][/font][font=宋体][size=9pt]:[/size][/font][/align][align=left][font=宋体][size=9pt]1.[/size][/font][font=宋体][size=9pt]每个接口[/size][/font][font=宋体][size=9pt],[/size][/font][font=宋体][size=9pt]每个方向[/size][/font][font=宋体][size=9pt],[/size][/font][font=宋体][size=9pt]每种协议[/size][/font][font=宋体][size=9pt],[/size][/font][font=宋体][size=9pt]你只能设置[/size][/font][font=宋体][size=9pt]1 [/size][/font][font=宋体][size=9pt]个[/size][/font][font=宋体][size=9pt]ACL[/size][/font][/align][align=left][font=宋体][size=9pt]2.[/size][/font][font=宋体][size=9pt]组织好你的[/size][/font][font=宋体][size=9pt]ACL [/size][/font][font=宋体][size=9pt]的顺序[/size][/font][font=宋体][size=9pt],[/size][/font][font=宋体][size=9pt]比如测试性的最好放在[/size][/font][font=宋体][size=9pt]ACL [/size][/font][font=宋体][size=9pt]的最顶部[/size][/font][/align][align=left][font=宋体][size=9pt]3.[/size][/font][font=宋体][size=9pt]你不可能从[/size][/font][font=宋体][size=9pt]ACL [/size][/font][font=宋体][size=9pt]从除去[/size][/font][font=宋体][size=9pt]1 [/size][/font][font=宋体][size=9pt]行[/size][/font][font=宋体][size=9pt],[/size][/font][font=宋体][size=9pt]除去[/size][/font][font=宋体][size=9pt]1 [/size][/font][font=宋体][size=9pt]行意味你将除去整个[/size][/font][font=宋体][size=9pt]ACL,[/size][/font][font=宋体][size=9pt]命名访问列表[/size][/font][font=宋体][size=9pt](named access[/size][/font][/align][align=left][font=宋体][size=9pt]lists)[/size][/font][font=宋体][size=9pt]例外[/size][/font][font=宋体][size=9pt]([/size][/font][font=宋体][size=9pt]稍后介绍命名访问列表[/size][/font][font=宋体][size=9pt])[/size][/font][/align][align=left][font=宋体][size=9pt]4.[/size][/font][font=宋体][size=9pt]默认[/size][/font][font=宋体][size=9pt]ACL [/size][/font][font=宋体][size=9pt]结尾语句是[/size][/font][font=宋体][size=9pt]deny any,[/size][/font][font=宋体][size=9pt]所以你要记住的是在[/size][/font][font=宋体][size=9pt]ACL [/size][/font][font=宋体][size=9pt]里至少要有[/size][/font][font=宋体][size=9pt]1 [/size][/font][font=宋体][size=9pt]条[/size][/font][font=宋体][size=9pt]permit [/size][/font][font=宋体][size=9pt]语句[/size][/font][/align][align=left][font=宋体][size=9pt]5.[/size][/font][font=宋体][size=9pt]记得创建了[/size][/font][font=宋体][size=9pt]ACL [/size][/font][font=宋体][size=9pt]后要把它应用在需要过滤的接口上[/size][/font][/align][align=left][font=宋体][size=9pt]6.ACL [/size][/font][font=宋体][size=9pt]是用于过滤经过[/size][/font][font=宋体][size=9pt]router [/size][/font][font=宋体][size=9pt]的数据包[/size][/font][font=宋体][size=9pt],[/size][/font][font=宋体][size=9pt]它并不会过滤[/size][/font][font=宋体][size=9pt]router [/size][/font][font=宋体][size=9pt]本身所产生的数据包[/size][/font][/align][align=left][font=宋体][size=9pt]7.[/size][/font][font=宋体][size=9pt]尽可能的把[/size][/font][font=宋体][size=9pt]IP [/size][/font][font=宋体][size=9pt]标准[/size][/font][font=宋体][size=9pt]ACL [/size][/font][font=宋体][size=9pt]放置在离目标地址近的地方[/size][/font][font=宋体][size=9pt];[/size][/font][font=宋体][size=9pt]尽可能的把[/size][/font][font=宋体][size=9pt]IP [/size][/font][font=宋体][size=9pt]扩展[/size][/font][font=宋体][size=9pt]ACL [/size][/font][font=宋体][size=9pt]放置在离源[/size][/font][/align][align=left][font=宋体][size=9pt]地址近的地方[/size][/font][/align][align=left][font=宋体][size=9pt]Standard Access Lists[/size][/font][/align][align=left][font=宋体][size=9pt]介绍[/size][/font][font=宋体][size=9pt]ACL [/size][/font][font=宋体][size=9pt]设置之前先介绍下通配符掩码[/size][/font][font=宋体][size=9pt](wildcard masking).[/size][/font][font=宋体][size=9pt]它是由[/size][/font][font=宋体][size=9pt]0 [/size][/font][font=宋体][size=9pt]和[/size][/font][font=宋体][size=9pt]255 [/size][/font][font=宋体][size=9pt]的[/size][/font][font=宋体][size=9pt]4 [/size][/font][font=宋体][size=9pt]个[/size][/font][font=宋体][size=9pt]8 [/size][/font][font=宋体][size=9pt]位位组[/size][/font][/align][align=left][font=宋体][size=9pt]组成的[/size][/font][font=宋体][size=9pt].0 [/size][/font][font=宋体][size=9pt]代表必须精确匹配[/size][/font][font=宋体][size=9pt],255 [/size][/font][font=宋体][size=9pt]代表随意[/size][/font][font=宋体][size=9pt],[/size][/font][font=宋体][size=9pt]比如[/size][/font][font=宋体][size=9pt]:172.16.30.0 0.0.0.255,[/size][/font][font=宋体][size=9pt]这个告诉[/size][/font][font=宋体][size=9pt]router [/size][/font][font=宋体][size=9pt]前[/size][/font][font=宋体][size=9pt]3 [/size][/font][font=宋体][size=9pt]位[/size][/font][/align][align=left][font=宋体][size=9pt]的[/size][/font][font=宋体][size=9pt]8 [/size][/font][font=宋体][size=9pt]位位组必须精确匹配[/size][/font][font=宋体][size=9pt],[/size][/font][font=宋体][size=9pt]后[/size][/font][font=宋体][size=9pt]1 [/size][/font][font=宋体][size=9pt]位[/size][/font][font=宋体][size=9pt]8 [/size][/font][font=宋体][size=9pt]位位组的值可以为任意值[/size][/font][font=宋体][size=9pt].[/size][/font][font=宋体][size=9pt]如果你想指定[/size][/font][font=宋体][size=9pt]172.16.8.0 [/size][/font][font=宋体][size=9pt]到[/size][/font][/align][align=left][font=宋体][size=9pt]172.16.15.0,[/size][/font][font=宋体][size=9pt]则通配符掩码为[/size][/font][font=宋体][size=9pt]0.0.7[/size][/font][font=宋体][size=9pt].255(15-8=7)[/size][/font][/align][align=left][font=宋体][size=9pt][/size][/font][/align][align=left][color=red][font=宋体][size=9pt]配置[/size][/font][font=宋体][size=9pt]IP[/size][/font][font=宋体][size=9pt]标准[/size][/font][font=宋体][size=9pt]ACL,[/size][/font][/color][font=宋体][size=9pt]在特权模式下使用[/size][/font][font=宋体][size=9pt]access-lists [ACL [/size][/font][font=宋体][size=9pt]号[/size][/font][font=宋体][size=9pt]] [permit/deny] [any/host][/size][/font][font=宋体][size=9pt]命令[/size][/font][font=宋体][size=9pt].ACL[/size][/font][/align][align=left][font=宋体][size=9pt]号为[/size][/font][font=宋体][size=9pt]1 [/size][/font][font=宋体][size=9pt]到[/size][/font][font=宋体][size=9pt]99 [/size][/font][font=宋体][size=9pt]和[/size][/font][font=宋体][size=9pt]1300 [/size][/font][font=宋体][size=9pt]到[/size][/font][font=宋体][size=9pt]1999;permit/deny [/size][/font][font=宋体][size=9pt]分别为允许和拒绝[/size][/font][font=宋体][size=9pt];any [/size][/font][font=宋体][size=9pt]为任何主机[/size][/font][font=宋体][size=9pt],host [/size][/font][font=宋体][size=9pt]为具体某个[/size][/font][/align][align=left][font=宋体][size=9pt]主机[/size][/font][font=宋体][size=9pt]([/size][/font][font=宋体][size=9pt]需要跟上[/size][/font][font=宋体][size=9pt]IP [/size][/font][font=宋体][size=9pt]地址[/size][/font][font=宋体][size=9pt])[/size][/font][font=宋体][size=9pt]或某[/size][/font][font=宋体][size=9pt]1 [/size][/font][font=宋体][size=9pt]段[/size][/font][/align][align=left][font=宋体][size=9pt]例[/size][/font][font=宋体][size=9pt]:[/size][/font][/align][align=left][font=宋体][size=9pt][img]http://blog.bitscn.com/UploadFiles/2007-1/112659242.jpg[/img][/size][/font][/align][align=left][font=宋体][size=9pt]如图[/size][/font][font=宋体][size=9pt],router [/size][/font][font=宋体][size=9pt]有[/size][/font][font=宋体][size=9pt]3 [/size][/font][font=宋体][size=9pt]个[/size][/font][font=宋体][size=9pt]LAN [/size][/font][font=宋体][size=9pt]的连接[/size][/font][font=宋体][size=9pt]1 [/size][/font][font=宋体][size=9pt]个[/size][/font][font=宋体][size=9pt]Internet [/size][/font][font=宋体][size=9pt]的连接[/size][/font][font=宋体][size=9pt].[/size][/font][font=宋体][size=9pt]现在[/size][/font][font=宋体][size=9pt],[/size][/font][font=宋体][size=9pt]销售部的用户不允许访问金融部的[/size][/font][/align][align=left][font=宋体][size=9pt]用户[/size][/font][font=宋体][size=9pt],[/size][/font][font=宋体][size=9pt]但是允许他们访问市场部和[/size][/font][font=宋体][size=9pt]Internet [/size][/font][font=宋体][size=9pt]连接[/size][/font][font=宋体][size=9pt].[/size][/font][font=宋体][size=9pt]配置如下[/size][/font][font=宋体][size=9pt]:[/size][/font][/align][align=left][font=宋体][size=9pt]Router(config)#access-list 10 deny 172.16.40.0 0.0.0.255[/size][/font][/align][align=left][font=宋体][size=9pt]Router(config)#access-list 10 permit any[/size][/font][/align][align=left][font=宋体][size=9pt]注意隐含的[/size][/font][font=宋体][size=9pt]deny any,[/size][/font][font=宋体][size=9pt]所以末尾这里我们要加上[/size][/font][font=宋体][size=9pt]permit any,any [/size][/font][font=宋体][size=9pt]等同于[/size][/font][font=宋体][size=9pt]0.0.0[/size][/font][font=宋体][size=9pt].0 255.255.255.255.[/size][/font][/align][align=left][font=宋体][size=9pt]接下来把[/size][/font][font=宋体][size=9pt]ACL [/size][/font][font=宋体][size=9pt]应用在接口上[/size][/font][font=宋体][size=9pt],[/size][/font][font=宋体][size=9pt]之前说过了尽可能的把[/size][/font][font=宋体][size=9pt]IP [/size][/font][font=宋体][size=9pt]标准[/size][/font][font=宋体][size=9pt]ACL [/size][/font][font=宋体][size=9pt]放置在离目标地址近的地[/size][/font][/align][align=left][font=宋体][size=9pt]方[/size][/font][font=宋体][size=9pt],[/size][/font][font=宋体][size=9pt]所以使用[/size][/font][font=宋体][size=9pt]ip access-group [/size][/font][font=宋体][size=9pt]命令把[/size][/font][font=宋体][size=9pt]ACL 10 [/size][/font][font=宋体][size=9pt]放在[/size][/font][font=宋体][size=9pt]E1 [/size][/font][font=宋体][size=9pt]接口[/size][/font][font=宋体][size=9pt],[/size][/font][font=宋体][size=9pt]方向为出[/size][/font][font=宋体][size=9pt],[/size][/font][font=宋体][size=9pt]即[/size][/font][font=宋体][size=9pt]out.[/size][/font][font=宋体][size=9pt]如下[/size][/font][font=宋体][size=9pt]:[/size][/font][/align][align=left][font=宋体][size=9pt]Router(config)#int e1[/size][/font][/align][align=left][font=宋体][size=9pt]Router(config-if)#ip access-group 10 out[/size][/font][/align][align=left][font=宋体][size=9pt]Controlling VTY(Telnet) Access[/size][/font][/align][align=left][font=宋体][size=9pt]使用[/size][/font][font=宋体][size=9pt]IP [/size][/font][font=宋体][size=9pt]标准[/size][/font][font=宋体][size=9pt]ACL [/size][/font][font=宋体][size=9pt]来控制[/size][/font][font=宋体][size=9pt]VTY [/size][/font][font=宋体][size=9pt]线路的访问[/size][/font][font=宋体][size=9pt].[/size][/font][font=宋体][size=9pt]配置步骤如下[/size][/font][font=宋体][size=9pt]:[/size][/font][/align][align=left][font=宋体][size=9pt]1.[/size][/font][font=宋体][size=9pt]创建个[/size][/font][font=宋体][size=9pt]IP [/size][/font][font=宋体][size=9pt]标准[/size][/font][font=宋体][size=9pt]ACL [/size][/font][font=宋体][size=9pt]来允许某些主机可以[/size][/font][font=宋体][size=9pt]telnet[/size][/font][/align][align=left][font=宋体][size=9pt]2.[/size][/font][font=宋体][size=9pt]使用[/size][/font][font=宋体][size=9pt]access-class [/size][/font][font=宋体][size=9pt]命令来应用[/size][/font][font=宋体][size=9pt]ACL [/size][/font][font=宋体][size=9pt]到[/size][/font][font=宋体][size=9pt]VTY [/size][/font][font=宋体][size=9pt]线路上[/size][/font][/align][align=left][font=宋体][size=9pt]实例如下[/size][/font][font=宋体][size=9pt]:[/size][/font][/align][align=left][font=宋体][size=9pt]Router(config)#access-list 50 permit 172.16.10.3[/size][/font][/align][align=left][font=宋体][size=9pt]Router(config)#line vty 0 4[/size][/font][/align][align=left][font=宋体][size=9pt]Router(config-line)#access-class 50 in[/size][/font][/align][align=left][font=宋体][size=9pt]如上[/size][/font][font=宋体][size=9pt],[/size][/font][font=宋体][size=9pt]进入[/size][/font][font=宋体][size=9pt]VTY [/size][/font][font=宋体][size=9pt]线路模式[/size][/font][font=宋体][size=9pt],[/size][/font][font=宋体][size=9pt]应用[/size][/font][font=宋体][size=9pt]ACL,[/size][/font][font=宋体][size=9pt]方向为进来[/size][/font][font=宋体][size=9pt],[/size][/font][font=宋体][size=9pt]即[/size][/font][font=宋体][size=9pt]in.[/size][/font][font=宋体][size=9pt]因为默认隐含的[/size][/font][font=宋体][size=9pt]deny any,[/size][/font][font=宋体][size=9pt]所以上面的[/size][/font][/align][align=left][font=宋体][size=9pt]例子[/size][/font][font=宋体][size=9pt],[/size][/font][font=宋体][size=9pt]只允许[/size][/font][font=宋体][size=9pt]IP [/size][/font][font=宋体][size=9pt]地址为[/size][/font][font=宋体][size=9pt]172.16.10.3 [/size][/font][font=宋体][size=9pt]的主机[/size][/font][font=宋体][size=9pt]telnet [/size][/font][font=宋体][size=9pt]到[/size][/font][font=宋体][size=9pt]router [/size][/font][font=宋体][size=9pt]上[/size][/font][/align][align=left][font=宋体][size=9pt][/size][/font][/align][align=left][font=宋体][size=9pt][/size][/font] [/align][align=left][color=red][font=宋体][size=9pt]配置[/size][/font][font=宋体][size=9pt]IP[/size][/font][font=宋体][size=9pt]扩展[/size][/font][font=宋体][size=9pt]ACL:[/size][/font][/color][font=宋体][size=9pt]命令是[/size][/font][font=宋体][size=9pt]access-list [ACL [/size][/font][font=宋体][size=9pt]号[/size][/font][font=宋体][size=9pt]] [permit/deny] [[/size][/font][font=宋体][size=9pt]协议[/size][/font][font=宋体][size=9pt]] [[/size][/font][font=宋体][size=9pt]源地址[/size][/font][font=宋体][size=9pt]] [[/size][/font][font=宋体][size=9pt]目标地址[/size][/font][font=宋体][size=9pt]] [[/size][/font][font=宋体][size=9pt]操作符[/size][/font][font=宋体][size=9pt]] [[/size][/font][font=宋体][size=9pt]端[/size][/font][/align][align=left][font=宋体][size=9pt]口[/size][/font][font=宋体][size=9pt]] [log].ACL [/size][/font][font=宋体][size=9pt]号的范围是[/size][/font][font=宋体][size=9pt]100 [/size][/font][font=宋体][size=9pt]到[/size][/font][font=宋体][size=9pt]199 [/size][/font][font=宋体][size=9pt]和[/size][/font][font=宋体][size=9pt]2000 [/size][/font][font=宋体][size=9pt]到[/size][/font][font=宋体][size=9pt]2699;[/size][/font][font=宋体][size=9pt]协议为[/size][/font][font=宋体][size=9pt]TCP,UDP [/size][/font][font=宋体][size=9pt]等[/size][/font][font=宋体][size=9pt],[/size][/font][font=宋体][size=9pt]操作符号有[/size][/font][font=宋体][size=9pt]eq([/size][/font][font=宋体][size=9pt]表[/size][/font][/align][align=left][font=宋体][size=9pt]等于[/size][/font][font=宋体][size=9pt]),gt([/size][/font][font=宋体][size=9pt]大于[/size][/font][font=宋体][size=9pt]),lt([/size][/font][font=宋体][size=9pt]小于[/size][/font][font=宋体][size=9pt])[/size][/font][font=宋体][size=9pt]和[/size][/font][font=宋体][size=9pt]neq([/size][/font][font=宋体][size=9pt]非等于[/size][/font][font=宋体][size=9pt])[/size][/font][font=宋体][size=9pt]等等[/size][/font][font=宋体][size=9pt];log [/size][/font][font=宋体][size=9pt]为可选[/size][/font][font=宋体][size=9pt],[/size][/font][font=宋体][size=9pt]表示符合这个[/size][/font][font=宋体][size=9pt]ACL,[/size][/font][font=宋体][size=9pt]就记录下这些日志[/size][/font][/align][align=left][font=宋体][size=9pt][/size][/font][/align][align=left][font=宋体][size=9pt]例[/size][/font][font=宋体][size=9pt]:[/size][/font][/align][align=left][font=宋体][size=9pt][img]http://blog.bitscn.com/UploadFiles/2007-1/112675062.jpg[/img][/size][/font][/align][align=left][font=宋体][size=9pt]假如要拒[/size][/font][font=宋体][size=9pt]telnet [/size][/font][font=宋体][size=9pt]和[/size][/font][font=宋体][size=9pt]FTP [/size][/font][font=宋体][size=9pt]到绝位于金融部的主机[/size][/font][font=宋体][size=9pt]172.16.30.5,[/size][/font][font=宋体][size=9pt]配置如下[/size][/font][font=宋体][size=9pt]:[/size][/font][/align][align=left][font=宋体][size=9pt]Router(config)#access-list 110 deny tcp any host 172.16.30.5 eq 21[/size][/font][/align][align=left][font=宋体][size=9pt]Router(config)#access-list 110 deny tcp any host 172.16.30.5 eq 23[/size][/font][/align][align=left][font=宋体][size=9pt]Router(config)#access-list 110 permit ip any any[/size][/font][/align][align=left][font=宋体][size=9pt]记住默认隐含的[/size][/font][font=宋体][size=9pt]deny all.[/size][/font][font=宋体][size=9pt]应用到[/size][/font][font=宋体][size=9pt]E1 [/size][/font][font=宋体][size=9pt]接口[/size][/font][font=宋体][size=9pt],[/size][/font][font=宋体][size=9pt]注意方向为[/size][/font][font=宋体][size=9pt]out,[/size][/font][font=宋体][size=9pt]如下[/size][/font][font=宋体][size=9pt]:[/size][/font][/align][align=left][font=宋体][size=9pt]Router(config)#int e1[/size][/font][/align][align=left][font=宋体][size=9pt]Router(config-if)#ip access-group 110 out[/size][/font][/align][align=left][font=宋体][size=9pt][/size][/font] [/align][align=left][font=宋体][size=9pt][/size][/font] [/align][align=left][font=宋体][size=9pt]后两个问题实在是没法帮你了[/size][/font][/align][align=left][font=宋体][size=9pt]我可以给你试验一个,但是具体还是要靠楼主自己悟才行.我只给你做出个框来,楼主可根据我的思路进行更详细的配置.[/size][/font][/align][align=left] [/align][align=left]例子如下:[/align][align=left][font=宋体][size=9pt][img]http://blog.bitscn.com/UploadFiles/2007-1/112353011.jpg[/img][/size][/font][/align][font=宋体][size=9pt][size=3][/size]
[table][tr][td][align=center][font=宋体][size=9pt][font=宋体]内部局部地址 [/font][/size][/font][/align][/td][td][align=center][font=宋体][size=9pt][font=宋体]内部全局地址 [/font][/size][/font][/align][/td][td][align=center][font=宋体][size=9pt][font=宋体]外部局部地址 [/font][/size][/font][/align][/td][td][align=center][font=宋体][size=9pt][font=宋体]外部全局地址 [/font][/size][/font][/align][/td][/tr][tr][td][align=center][font=宋体][font=宋体][size=9pt]10.1.1[/size][/font][font=宋体][size=9pt].1 [/size][/font][/font][/align][/td][td][align=center][font=宋体][size=9pt][font=宋体]202.116.78.1 [/font][/size][/font][/align][/td][td][align=center][font=宋体][size=9pt][font=宋体]202.116.64.1 [/font][/size][/font][/align][/td][td][align=center][align=center][font=宋体][font=宋体][size=9pt]10.1.1[/size][/font][font=宋体][size=9pt].1 [/size][/font][/font][/align][/td][/tr][/table][/align][font=宋体][size=9pt][/size][/font]
[font=宋体][size=9pt]1[/size][/font][font=宋体][size=9pt].配置两条静态路路由,[/size][/font][font=宋体][size=9pt]RouterA[/size][/font][font=宋体][size=9pt]上配置到达外部局部地址的路由,[/size][/font][font=宋体][size=9pt]RouterB[/size][/font][font=宋体][size=9pt]上配置到达内部全局地址的路由,只两条路由是非常重要的。 [/size][/font]
[font=宋体][size=9pt]1) RouterA[/size][/font][font=宋体][size=9pt]的配置: [/size][/font]
[font=宋体][size=9pt]Router-A#config t [/size][/font][font=宋体][size=9pt][/size][/font]
[font=宋体][size=9pt]Router-A(config)#ip route 202.116.64.0 255.255.255.0 192.168.1.2 [/size][/font][font=宋体][size=9pt][/size][/font]
[font=宋体][size=9pt]2) RouterB[/size][/font][font=宋体][size=9pt]的配置: [/size][/font]
[font=宋体][size=9pt]Router-B#config [/size][/font]
[font=宋体][size=9pt]Router-B(config)#ip route 202.116.78.0 255.255.255.0 192.168.1.1 [/size][/font]
[font=宋体][size=9pt][/size][/font]
[font=宋体][size=9pt]2[/size][/font][font=宋体][size=9pt].用[/size][/font][font=宋体][size=9pt]NAT[/size][/font][font=宋体][size=9pt]转换交叉地址空间: [/size][/font]
[font=宋体][size=9pt]1[/size][/font][font=宋体][size=9pt])基本配置:[/size][/font]
[font=宋体][size=9pt]Router-A#config t [/size][/font]
[font=宋体][size=9pt]Router-A(config)# ip nat pool [i]CISCO [/i]202.116.78.1 202.116.78.254 netmask 255.255.255.0 [/size][/font]
[font=宋体][size=9pt]Router-A(config)# ip nat pool [i]ZSU [/i]202.116.64.1 202.116.64.254 netmask 255.255.255.0 [/size][/font]
[font=宋体][size=9pt]Router-A(config)# access-list 1 permit 10.1.1.0 0.0.0.255 [/size][/font]
[font=宋体][size=9pt]Router-A(config)#ip nat inside source list 1 pool CISCO [/size][/font]
[font=宋体][size=9pt]Router-A(config)#ip nat outside source list 1 pool ZSU [/size][/font]
[font=宋体][size=9pt]Router-A(config)#int e0 [/size][/font]
[font=宋体][size=9pt]Router-A(config-if)#ip nat inside [/size][/font]
[font=宋体][size=9pt]Router-A(config-if)#int s0 [/size][/font]
[font=宋体][size=9pt]Router-A(config-if)#ip nat outside [/size][/font]
[font=宋体][size=9pt]2[/size][/font][font=宋体][size=9pt])查看[/size][/font][font=宋体][size=9pt]NAT[/size][/font][font=宋体][size=9pt]转换交叉地址空间的配置: [/size][/font]
[font=宋体][size=9pt]Router-A#show ip nat translations [/size][/font]
[font=宋体][size=9pt]Router-A#show ip nat statistics [/size][/font]
[font=宋体][size=9pt]Router-A#show ip nat translations verbose [/size][/font]
[font=宋体][size=9pt]Router-A#debug ip nat [/size][/font]
[font=宋体][size=9pt]3[/size][/font][font=宋体][size=9pt])检验[/size][/font][font=宋体][size=9pt]NAT[/size][/font][font=宋体][size=9pt]转换交叉地址空间: [/size][/font]
[font=宋体][size=9pt]1. [/size][/font][font=宋体][size=9pt]在[/size][/font][font=宋体][size=9pt]Host_1[/size][/font][font=宋体][size=9pt]上[/size][/font][font=宋体][size=9pt]ping RouterB[/size][/font][font=宋体][size=9pt]的[/size][/font][font=宋体][size=9pt]s0,[/size][/font][font=宋体][size=9pt]建立内部局部地址[/size][/font][font=宋体][size=9pt]10.1.1[/size][/font][font=宋体][size=9pt].1[/size][/font][font=宋体][size=9pt]与内部全局地址[/size][/font][font=宋体][size=9pt]202.116.78.1[/size][/font][font=宋体][size=9pt]之间的映射[/size][/font][font=宋体][size=9pt],[/size][/font][font=宋体][size=9pt]可使用[/size][/font][font=宋体][size=9pt]show ip nat translations[/size][/font][font=宋体][size=9pt]查看映射关系[/size][/font][font=宋体][size=9pt],[/size][/font][font=宋体][size=9pt]可使用[/size][/font][font=宋体][size=9pt]debug ip nat[/size][/font][font=宋体][size=9pt]查看映射过程[/size][/font][font=宋体][size=9pt]. [/size][/font]
[font=宋体][size=9pt]2. [/size][/font][font=宋体][size=9pt]在[/size][/font][font=宋体][size=9pt]Host_2[/size][/font][font=宋体][size=9pt]上[/size][/font][font=宋体][size=9pt]ping [/size][/font][font=宋体][size=9pt]内部全局地址[/size][/font][font=宋体][size=9pt]202.116.78.1,[/size][/font][font=宋体][size=9pt]可建立外部全局地址[/size][/font][font=宋体][size=9pt]10.1.1[/size][/font][font=宋体][size=9pt].1,[/size][/font][font=宋体][size=9pt]外部局部地址[/size][/font][font=宋体][size=9pt]202.116.64.1[/size][/font][font=宋体][size=9pt]和内部全局地址[/size][/font][font=宋体][size=9pt]202.116.78.1[/size][/font][font=宋体][size=9pt]之间的映射[/size][/font][font=宋体][size=9pt], [/size][/font][font=宋体][size=9pt]可使用[/size][/font][font=宋体][size=9pt]show ip nat translations[/size][/font][font=宋体][size=9pt]查看映射关系[/size][/font][font=宋体][size=9pt],[/size][/font][font=宋体][size=9pt]可使用[/size][/font][font=宋体][size=9pt]debug ip nat[/size][/font][font=宋体][size=9pt]查看映射过程[/size][/font][font=宋体][size=9pt]. [/size][/font]
[align=left][color=black][size=10][font=Times New Roman][size=3][/size][/font][/size][/color][/align][font=宋体][size=9pt][/size][/font]
[align=left][/size][/font][/align][align=left][/size][/font][/size][/font][/align]
[[i] 本帖最后由 heart_dream_fly 于 2007-1-12 10:44 编辑 [/i]] 首先多谢了
:L 由于我只是学习了<计算机网络基础> 对路由器的配置知之甚少,现在也就知道两个路由器的配置(路由表的配置),但我在两个路由器之间又加了个路由时,我发现用两个路由的方法配置,却不能ping成功,请问中间的路由器的转发表应当这么配置.
谢谢先~~
[[i] 本帖最后由 Hearfly 于 2007-1-13 13:23 编辑 [/i]] 3个路由器你配置动态路由协议
这又是什么错误
:L[img]http://bbs.bitscn.com/attachments/forumid_128/1_rKqGOPJDa58N.jpg[/img]
[color=#000000][b][/b][/color]
[color=#000000][b][/b][/color]
[color=#000000][b][font=宋体]对[/font][font=Times New Roman]Router1[/font][/b][b][font=宋体]进行如下配置:[/font][/b][/color]
[font=Times New Roman][color=#000000]Router(config)#access-list 10 deny 192.168.2.0 0.0.0.255[/color][/font]
[font=Times New Roman][color=#000000]Router(config)#access-list 10 permit any[/color][/font]
[font=Times New Roman][color=#000000]Router(config)#int eth0[/color][/font]
[color=#000000][font=Times New Roman]Router(config-if)#ip access-group 10 out[b][/b][/font][/color]
[color=#000000][font=宋体]发现[/font][font=Times New Roman]PC1[/font][font=宋体]向[/font][font=Times New Roman]PC2 ping[/font][font=宋体]时也无法实现,我只是希望[/font][font=Times New Roman]PC2[/font][font=宋体]不能向[/font][font=Times New Roman]PC1[/font][font=宋体]通信就行了。这是怎么回事?是缺少语句,还是配置有问题?没有具体学过,实在是不清楚错误出现在哪[/font][font=Times New Roman].[/font][/color]
[font=Times New Roman][color=#000000]请指点^^[/color][/font] 嘿嘿,自己用心点就会发现问题出在那里了 以后boson不要用了
bug太多,会误导滴~~~~~~~
用Dynamips吧,功能太强了,对于没机会接触设备的兄弟是个好的模拟软件. :lol 我就在用Dynamips,强就一个字啊。。。 kan kan [quote]原帖由 [i]Hearfly[/i] 于 2007-1-15 16:35 发表
:L
[img]http://bbs.bitscn.com/attachments/forumid_128/1_rKqGOPJDa58N.jpg[/img]
对Router1进行如下配置:
Router(config)#access-list 10 deny 192.168.2.0 0.0.0.255
Router(config)#access-list 10 permi ... [/quote]
:L:通信是互相的,PC1发送ping包能过去,但是返回的包不能过来,所以还是ping不通
页:
[1]
