企业网络的构建技术10章重点.ppt

(6) 测试网络的连通性。 C：＼ping 2 从PC1 Ping PC2，如图10-8所示。 C：＼ping 1 从PC2 Ping PC1，如图10-9所示。 图10-8 从PC1 Ping PC2 图10-9 从PC2 Ping PC1 5. 小结 (1) 在串口上配置时钟频率时，一定要在电缆DCE端的路由器上配置，否则链路不通。 (2) 定义关联网络时，命令netWork后面必须是与该路由器直连的主类网络地址。 10.5 配置IP访问控制列表 10.5.1 配置访问控制列表 访问控制列表(Access Control List，ACL)，最直接的功能便是包过滤。通过ACL可以在路由器、三层交换机上进行网络安全属性配置，可以实现对进入到路由器、三层交换机的输入数据流进行过滤。图10-10所示为ACL的工作过程。 认证输入数据流的定义可以基于网络地址、TCP/UDP的应用等。可以选择对于符合过滤标准的流是丢弃还是转发，因此必须了解网络是如何设计的，以及路由器接口是如何在过滤设备上使用的。要通过ACL配置网络安全属性，只有通过命令来完成配置，而无法通过SNMP来完成这些设置。 图10-10 ACL工作过程 10.5.2 ACL的类型 ACL的类型主要分为IP标准访问控制列表(Standard IP ACL)和IP扩展访问控制列表：(Extended IP ACL)。主要的动作为允许(Permit) 和禁止(Deny)；主要的应用方法分为入栈(In)应用和出栈(Out)应用。 1. 编号的访问控制列表 在路由器上可配置编号的访问控制列表，具体如下。 (1) IP标准访问控制列表 所有的访问控制列表都是在全局配置模式下生成的。IP标准访问控制列表(如图10-11所示)的格式如下： Access-list listnumber{permit|deny} address [wildcard-mask] 其中，listnumber是规则序号，IP标准访问控制列表的规则序号范围是l～99。Permit和deny表示允许或禁止满足该规则的数据包通过；Address是源地址IP；wildcard-mask是源地址IP的通配比较位，也称反掩码。 图10-11 IP标准访问控制列表 例如： (config)#access.list 1 permit 55 (config)#access-list 1 deny 55 (2) IP扩展访问控制列表 IP扩展访问控制列表(如图10-12)都也是在全局配置模式下生成的，其格式如下： Access-list listnumber {permit| deny}protocolsource source-wildcard-mask destination-wildcard-mask[operator operand] 其中，IP扩展访问控制列表的规则序号范围是100~199；protocol是指定的协议，如IP、TCP和UDP等；destination是目的地址；destination-wildcard-mask是目的地址的反掩码；operator和operand用于指定端口范围，默认为全部端口号0～65535，只有TCP和UDP需要指定的端口范围。 IP扩展访问控制列表支持的操作符及其语法如表10-1所示。 图10-12 IP扩展访问控制列表 表10-1 IP扩展访问控制列表支持的操作符及其语法 介于端口号 portnumberI和portnumber2之间 range portnumberI portnumber2 不等于端口号portnumber neq portnumber 小于断口号portnumber It portnumber 大于断口号portnumber gt portnumber 等于端口号 portnumber eq portnumber 意 义 操作符及其语法 2. ACL命令中的反掩码 反掩码(如图10-13)与子网掩码算法相似但写法不同，区别是：在反掩码中，0表示需要比较，表示不需要比较。对于55，只比较前24位；55只比较前22位；55只比较前8位。 3. 入栈(In)应用和出栈(Out)应用 入栈和出栈应用是相对于设备的某一端口而言，当要对从设备外的数据经端口流入设备时做访问控制，就是入栈(In)应用；当要对从设备内的数据经端口流出设备时做访问控制，就是出栈(Out)应用。 图10-13 反掩码 10.5.3 配置命名的访问控制列表 在三层交换机上配置命名的ACL，可以采用创建ACL、接口上应用ACL和查看ACL这3个步骤进行。 1. 创建Standard IP ACL 在特权配置模式下，可以通过如下步骤来创建一个St