cisco网络专题教程-6.docVIP

CCNA专题6－访问控制列表、IOS升级和口令设置及恢复 一、访问控制列表 1、访问控制列表的概念 访问控制列表（Access Control List，ACL) 是路由器接口的指令列表，用来控制端口进出的数据包。访问列表（access-list）就是一系列允许和拒绝条件的集合，通过访问列表可以过滤发进和发出的信息包的请求，实现对路由器和网络的安全控制。路由器一个一个地检测包与访问列表的条件，在满足第一个匹配条件后，就可以决定路由器接收或拒收该包。包括两种类型: 1)标准访问列表只检查包的源地址2)扩展访问列表既检查包的源地址，也检查包的目的地址，也可以检查特殊的协议、端口以及其他参数，具有更大的自由度。 6、正确放置ACL ACL通过过滤数据包并且丢弃不希望抵达目的地的数据包来控制通信流量。然而，网络能否有效地减少不必要的通信流量，这还要取决于网络管理员把ACL放置在哪个地方。 1）标准ACL要尽量靠近目的端。 2）扩展ACL要尽量靠近源端。 7、ACL的配置 ACL的配置分为两个步骤： 1）第一步:在全局配置模式下，使用下列命令创建ACL： Router (config)# access-list access-list-number {permit | deny } {test-conditions} 其中，access-list-number为ACL的表号。人们使用较频繁的表号是标准的IP ACL（1—99）和扩展的IP ACL（100－199）。 在路由器中，如果使用ACL的表号进行配置，则列表不能插入或删除行。如果列表要插入或删除一行，必须先去掉所有ACL，然后重新配置。 2）第二步：在接口配置模式下，使用access-group命令ACL应用到某一接口上： Router (config-if)# {protocol} access-group access-list-number {in | out } 其中，in和out参数可以控制接口中不同方向的数据包，如果不配置该参数，缺省为out。 ACL在一个接口可以进行双向控制，即配置两条命令，一条为in，一条为out，两条命令执行的ACL表号可以相同，也可以不同。但是，在一个接口的一个方向上，只能有一个ACL控制。 值得注意的是，在进行ACL配置时，网管员一定要先在全局状态配置ACL表，再在具体接口上进行配置，否则会造成网络的安全隐患。 7、实例说明 ---- 例如：仅允许内部IP地址为和 的主机访问外部,禁止外部访问内部网主机的telnet和ftp端口。 router(config)#ip access-list 1 permit router(config)#ip access-list 1 permit router(config)#ip access-list 101 deny tcp any any eq 23 router(config)#ip access-list 101 deny tcp any any eq 21 router(config)#ip access-list 101 deny tcp any any eq 20 （其中20、21为FTP的端口，23为TELNET端口） router(config)#ip access-list 101 permit ip any any router(config)#int e0 router(config-if)#ip access-group 1 out router(config-if)#ip access-group 101 in router(config-if)#exit 二、IOS升级 1、Cisco路由器的存储器 路由器与计算机有相似点是，它也有内存、操作系统、配置和用户界面，Cisco路由器中，操作系统叫做互连网操作系统（Internetwork Operating System）或IOS。下面主要介绍路由器的存储器。 ROM：只读存储器包含路由器正在使用的IOS的一份副本； RAM：IOS将随机访问存储器分成共享和主存。主要用来存储运行中的路由器配置和与路由协议有关的IOS数据结构； 闪存(FLASH)：用来存储IOS软件映像文件，闪存是可以擦除内存，它能够用IOS的新版本覆写，IOS升级主要是闪存中的IOS映像文件进行更换。 NVRAM：非易失性随机访问存储器，用来存储系统的配置文件。 2、路由器IOS升级过程 1）安装TFTP服务器软件。 此类软件有TFTPServ