學(xué)習(xí)啦 > 學(xué)習(xí)電腦 > 網(wǎng)絡(luò)知識 > 網(wǎng)絡(luò)技術(shù) >

思科交換機(jī)訪問列表原理方法

時間: 加城1195 分享

  訪問控制列表(Access Control List,ACL) 是路由器和交換機(jī)接口的指令列表,用來控制端口進(jìn)出的數(shù)據(jù)包。ACL適用于所有的被路由協(xié)議,如IP、IPX、AppleTalk等。CISCO路由器中的access-list(訪問列表)最基本的有兩種,分別是標(biāo)準(zhǔn)訪問列表和擴(kuò)展訪問列表,那么思科交換機(jī)訪問列表具體使用原理是什么?

  方法步驟

  (1)標(biāo)準(zhǔn)型IP訪問列表的格式

  ---- 標(biāo)準(zhǔn)型IP訪問列表的格式如下:

  ---- access-list[list number][permit|deny][source address]

  ---- [address][wildcard mask][log]

  ---- 下面解釋一下標(biāo)準(zhǔn)型IP訪問列表的關(guān)鍵字和參數(shù)。首先,在access和list這2個關(guān)鍵字之間必須有一個連字符"-";其次,list number的范圍在0~99之間,這表明該access-list語句是一個普通的標(biāo)準(zhǔn)型IP訪問列表語句。因?yàn)閷τ贑isco IOS,在0~99之間的數(shù)字指示出該訪問列表和IP協(xié)議有關(guān),所以list number參數(shù)具有雙重功能: (1)定義訪問列表的操作協(xié)議; (2)通知IOS在處理access-list語句時,把相同的list number參數(shù)作為同一實(shí)體對待。正如本文在后面所討論的,擴(kuò)展型IP訪問列表也是通過list number(范圍是100~199之間的數(shù)字)而表現(xiàn)其特點(diǎn)的。因此,當(dāng)運(yùn)用訪問列表時,還需要補(bǔ)充如下重要的規(guī)則: 在需要創(chuàng)建訪問列表的時候,需要選擇適當(dāng)?shù)膌ist number參數(shù)。

  (2)允許/拒絕數(shù)據(jù)包通過

  ---- 在標(biāo)準(zhǔn)型IP訪問列表中,使用permit語句可以使得和訪問列表項(xiàng)目匹配的數(shù)據(jù)包通過接口,而deny語句可以在接口過濾掉和訪問列表項(xiàng)目匹配的數(shù)據(jù)包。source address代表主機(jī)的IP地址,利用不同掩碼的組合可以指定主機(jī)。

  ---- 為了更好地了解IP地址和通配符掩碼的作用,這里舉一個例子。假設(shè)您的公司有一個分支機(jī)構(gòu),其IP地址為C類的192.46.28.0。在您的公司,每個 分支機(jī)構(gòu)都需要通過總部的路由器訪問Internet。要實(shí)現(xiàn)這點(diǎn),您就可以使用一個通配符掩碼 0.0.0.255。因?yàn)镃類IP地址的最后一組數(shù)字代表主機(jī),把它們都置1即允許總部訪問網(wǎng)絡(luò)上的每一臺主機(jī)。因此,您的標(biāo)準(zhǔn)型IP訪問列表中的 access-list語句如下:

  ---- access-list 1 permit 192.46.28.0 0.0.0.255

  ---- 注意,通配符掩碼是子網(wǎng)掩碼的補(bǔ)充。因此,如果您是網(wǎng)絡(luò)高手,您可以先確定子網(wǎng)掩碼,然后把它轉(zhuǎn)換成可應(yīng)用的通配符掩碼。這里,又可以補(bǔ)充一條訪問列表的規(guī)則5。

  (3)指定地址

  ---- 如果您想要指定一個特定的主機(jī),可以增加一個通配符掩碼0.0.0.0。例如,為了讓來自IP地址為192.46.27.7的數(shù)據(jù)包通過,可以使用下列語句:

  ---- Access-list 1 permit 192.46.27.7 0.0.0.0

  ---- 在Cisco的訪問列表中,用戶除了使用上述的通配符掩碼0.0.0.0來指定特定的主機(jī)外,還可以使用"host"這一關(guān)鍵字。例如,為了讓來自IP地址為192.46.27.7的數(shù)據(jù)包通過,您可以使用下列語句:

  ---- Access-list 1 permit host 192.46.27.7

  ---- 除了可以利用關(guān)鍵字"host"來代表通配符掩碼0.0.0.0外,關(guān)鍵字"any"可以作為源地址的縮寫,并代表通配符掩碼0.0.0.0 255.255.255.255。例如,如果希望拒絕來自IP地址為192.46.27.8的站點(diǎn)的數(shù)據(jù)包,可以在訪問列表中增加以下語句:

  ---- Access-list 1 deny host 192.46.27.8

  ---- Access-list 1 permit any

  ---- 注意上述2條訪問列表語句的次序。第1條語句把來自源地址為192.46.27.8的數(shù)據(jù)包過濾掉,第2條語句則允許來自任何源地址的數(shù)據(jù)包通過訪問列表 作用的接口。如果改變上述語句的次序,那么訪問列表將不能夠阻止來自源地址為192.46.27.8的數(shù)據(jù)包通過接口。因?yàn)樵L問列表是按從上到下的次序執(zhí) 行語句的。這樣,如果第1條語句是:

  ---- Access-list 1 permit any

  ---- 的話,那么來自任何源地址的數(shù)據(jù)包都會通過接口。

  (4)拒絕的奧秘

  ---- 在默認(rèn)情況下,除非明確規(guī)定允許通過,訪問列表總是阻止或拒絕一切數(shù)據(jù)包的通過,即實(shí)際上在每個訪問列表的最后,都隱含有一條"deny any"的語句。假設(shè)我們使用了前面創(chuàng)建的標(biāo)準(zhǔn)IP訪問列表,從路由器的角度來看,這條語句的實(shí)際內(nèi)容如下:

  ---- access-list 1 deny host 192.46.27.8

  ---- access-list 1 permit any

  ---- access-list 1 deny any

  ---- 在上述例子里面,由于訪問列表中第2條語句明確允許任何數(shù)據(jù)包都通過,所以隱含的拒絕語句不起作用,但實(shí)際情況并不總是如此。例如,如果希望來自源地址為 192.46.27.8和192.46.27.12的數(shù)據(jù)包通過路由器的接口,同時阻止其他一切數(shù)據(jù)包通過,則訪問列表的代碼如下:

  ---- access-list 1 permit host 192.46.27.8

  ---- access-list 1 permit host 192.46.27.12

  ---- 注意,因?yàn)樗械脑L問列表會自動在最后包括該語句.

  ---- 順便討論一下標(biāo)準(zhǔn)型IP訪問列表的參數(shù)"log",它起日志的作用。一旦訪問列表作用于某個接口,那么包括關(guān)鍵字"log"的語句將記錄那些滿足訪問列表 中"permit"和"deny"條件的數(shù)據(jù)包。第一個通過接口并且和訪問列表語句匹配的數(shù)據(jù)包將立即產(chǎn)生一個日志信息。后續(xù)的數(shù)據(jù)包根據(jù)記錄日志的方 式,或者在控制臺上顯示日志,或者在內(nèi)存中記錄日志。通過Cisco IOS的控制臺命令可以選擇記錄日志方式。

  擴(kuò)展型IP訪問列表

  ---- 擴(kuò)展型IP訪問列表在數(shù)據(jù)包的過濾方面增加了不少功能和靈活性。除了可以基于源地址和目標(biāo)地址過濾外,還可以根據(jù)協(xié)議、源端口和目的端口過濾,甚至可以利 用各種選項(xiàng)過濾。這些選項(xiàng)能夠?qū)?shù)據(jù)包中某些域的信息進(jìn)行讀取和比較。擴(kuò)展型IP訪問列表的通用格式如下:

  ---- access-list[list number][permit|deny]

  ---- [protocol|protocol key word]

  ---- [source address source-wildcard mask][source port]

  ---- [destination address destination-wildcard mask]

  ---- [destination port][log options]

  ---- 和標(biāo)準(zhǔn)型IP訪問列表類似,"list number"標(biāo)志了訪問列表的類型。數(shù)字100~199用于確定100個惟一的擴(kuò)展型IP訪問列表。"protocol"確定需要過濾的協(xié)議,其中包括IP、TCP、UDP和ICMP等等。

  ---- 如果我們回顧一下數(shù)據(jù)包是如何形成的,我們就會了解為什么協(xié)議會影響數(shù)據(jù)包的過濾,盡管有時這樣會產(chǎn)生副作用。圖2表示了數(shù)據(jù)包的形成。請注意,應(yīng)用數(shù)據(jù) 通常有一個在傳輸層增加的前綴,它可以是TCP協(xié)議或UDP協(xié)議的頭部,這樣就增加了一個指示應(yīng)用的端口標(biāo)志。當(dāng)數(shù)據(jù)流入?yún)f(xié)議棧之后,網(wǎng)絡(luò)層再加上一個包 含地址信息的IP協(xié)議的頭部。

  由于IP頭部傳送TCP、UDP、路由協(xié)議和ICMP協(xié)議,所以在訪問列表的語句中,IP協(xié)議的級別比其他協(xié)議更為重要。但是,在有些應(yīng)用中,您可能需要改變這種情況,您需要基于某個非IP協(xié)議進(jìn)行過濾

  ---- 為了更好地說明,下面列舉2個擴(kuò)展型IP訪問列表的語句來說明。假設(shè)我們希望阻止TCP協(xié)議的流量訪問IP地址為192.78.46.8的服務(wù)器,同時允許其他協(xié)議的流量訪問該服務(wù)器。那么以下訪問列表語句能滿足這一要求嗎?

  ---- access-list 101 permit host 192.78.46.8

  ---- access-list 101 deny host 192.78.46.12

  ---- 回答是否定的。第一條語句允許所有的IP流量、同時包括TCP流量通過指定的主機(jī)地址。這樣,第二條語句將不起任何作用。

  補(bǔ)充:交換機(jī)基本使用方法

  作為基本核心交換機(jī)使用,連接多個有線設(shè)備使用:網(wǎng)絡(luò)結(jié)構(gòu)如下圖,基本連接參考上面的【方法/步驟1:基本連接方式 】

  作為網(wǎng)絡(luò)隔離使用:對于一些功能好的交換機(jī),可以通過模式選擇開關(guān)選擇網(wǎng)絡(luò)隔離模式,實(shí)現(xiàn)網(wǎng)絡(luò)隔離的作用,可以只允許普通端口和UPlink端口通訊,普通端口之間是相互隔離不可以通訊的

  除了作為核心交換機(jī)(中心交換機(jī))使用,還可以作為擴(kuò)展交換機(jī)(接入交換機(jī))來擴(kuò)展網(wǎng)絡(luò)

  放在路由器上方,擴(kuò)展網(wǎng)絡(luò)供應(yīng)商的網(wǎng)絡(luò)線路(用于一條線路多個IP的網(wǎng)絡(luò)),連接之后不同的路由器用不同的IP連接至公網(wǎng)

  相關(guān)閱讀:交換機(jī)硬件故障常見問題

  電源故障:

  由于外部供電不穩(wěn)定,或者電源線路老化或者雷擊等原因?qū)е码娫磽p壞或者風(fēng)扇停止,從而不能正常工作。

  由于電源緣故而導(dǎo)致機(jī)內(nèi)其他部件損壞的事情也經(jīng)常發(fā)生。

  如果面板上的POWER指示燈是綠色的,就表示是正常的;如果該指示燈滅了,則說明交換機(jī)沒有正常供電。

  這類問題很容易發(fā)現(xiàn),也很容易解決,同時也是最容易預(yù)防的。

  針對這類故障,首先應(yīng)該做好外部電源的供應(yīng)工作,一般通過引入獨(dú)立的電力線來提供獨(dú)立的電源,并添加穩(wěn)壓器來避免瞬間高壓或低壓現(xiàn)象。

  如果條件允許,可以添加UPS(不間斷電源)來保證交換機(jī)的正常供電,有的UPS提供穩(wěn)壓功能,而有的沒有,選擇時要注意。

  在機(jī)房內(nèi)設(shè)置專業(yè)的避雷措施,來避免雷電對交換機(jī)的傷害?,F(xiàn)在有很多做避雷工程的專業(yè)公司,實(shí)施網(wǎng)絡(luò)布線時可以考慮。


思科交換機(jī)訪問列表相關(guān)文章:

1.cisco電腦設(shè)置ip

2.CISCO交換機(jī)LOG設(shè)備方法

3.華為防火墻acl與思科訪問控制列表有什么區(qū)別

4.cisco如何配置連接思科公司制造的路由器、交換機(jī)和...

5.cisco如何查看aaa用戶

4018434