思科路由器的高級(jí)功能

1 第 7章 思科路由器的高級(jí)功能 7.1 設(shè)置路由器成為 DHCP服務(wù)器 操作內(nèi)容：設(shè)置路由器成為 DHCP服務(wù)器，設(shè)置路由器的 IP轉(zhuǎn)發(fā)廣播特性，用以傳送非直連子網(wǎng)的 DHCP請(qǐng)求 。 。 組網(wǎng)環(huán)境： Cisco7204 VXR路由器，操作系統(tǒng)版本為 IOS (tm) 7200 Software (C7200-JK9S-M), Version 12.3(12a)，該路由器充當(dāng) DHCP服務(wù)器。 Cisco 3725路由器，操作系統(tǒng)版本為 IOS (tm) 3700 Software (C3725-JK9S-M), Version 12.3(12a)，該路由器上設(shè)置 IP轉(zhuǎn)發(fā)廣播特性。至少二臺(tái) PC機(jī)充當(dāng)客戶機(jī)，一臺(tái)在 LAN1，另一臺(tái)在 LAN2。 RTA的串口 S1/0連接 V.35交叉電纜的DCE端 。 2 圖 7-1 設(shè)置路由器為 DHCP服務(wù)器 D N S 服 務(wù) 器D H C P 客 戶 機(jī)N e t B I O S 服 務(wù) 器S 1 / 0 S 1 / 01 9 2 . 1 6 8 . 1 . 1 / 2 41 9 2 . 1 6 8 . 1 . 2 / 2 4C i s c o 7 2 0 4 V X RC i s c o 3 7 2 51 0 . 2 1 4 . 2 8 . 0 / 2 4 1 0 . 2 1 4 . 2 9 . 0 / 2 41 0 . 2 1 4 . 2 8 . 21 0 . 2 1 4 . 2 8 . 3D H C P 客 戶 機(jī)D H C P 客 戶 機(jī) D H C P 客 戶 機(jī)D H C P 客 戶 機(jī) D H C P 客 戶 機(jī)1 0 . 2 1 4 . 2 8 . 1F a 0 / 0 F a 0 / 01 0 . 2 1 4 . 2 9 . 1D H C P 服 務(wù) 器L A N 1 L A N 2R T AR T D3 7.1.2 背景知識(shí) 動(dòng)態(tài)主機(jī)配置協(xié)議（ DHCP）主要用于在 TCP/IP網(wǎng)絡(luò)中 ,通過(guò)DHCP服務(wù)器給客戶端主機(jī)自動(dòng)配置參數(shù) DHCP協(xié)議支持三種 IP地址分配方式： 自動(dòng)分配： DHCP服務(wù)器給客戶機(jī)分配一個(gè)永久的 IP地址。 動(dòng)態(tài)分配： DHCP服務(wù)器給客戶機(jī)分配的 IP地址有一定的期 限，稱為租約期限。 手工分配：每個(gè)客戶機(jī)對(duì)應(yīng)的 IP地址由管理員指定，只是通過(guò)DHCP服務(wù)器給客戶機(jī)分配。 DHCP客戶機(jī)第一次登錄網(wǎng)絡(luò)時(shí)向本地物理子網(wǎng)廣播一個(gè)DHCPDISCOVER消息 ,接受第一個(gè)收到的 DHCPOFFER消息，并廣播一個(gè) DHCPREQUEST消息，告訴所有的 DHCP服務(wù)器它將使用哪一臺(tái)服務(wù)器提供的 IP地址。 4 7.1.3 操作步驟 1. 網(wǎng)絡(luò)拓?fù)湔f(shuō)明 如圖 7-1所示， /24網(wǎng)絡(luò)為 LAN1， /24網(wǎng)絡(luò)為L(zhǎng)AN2， LAN1和 LAN2上的主機(jī)作為 DHCP客戶機(jī)。 路由器 RTA作為 DHCP服務(wù)器，創(chuàng)建兩個(gè)獨(dú)立的地址池為這兩個(gè)子網(wǎng)服務(wù)。 路由器 RTD的以太網(wǎng)口 Fa0/0需要設(shè)置 IP轉(zhuǎn)發(fā)廣播特性，將 LAN2上的客戶端主機(jī)的 DHCP請(qǐng)求轉(zhuǎn)發(fā)給 DHCP服務(wù)器 RTA LAN1中主機(jī)的默認(rèn)網(wǎng)關(guān)地址為 ,DHCP服務(wù)器為之創(chuàng)建的地址池命名為 28-net。 NetBIOS服務(wù)器地址為 ，域名為 ，地址租用期限為 10天 10小時(shí) 10分鐘。 LAN2中主機(jī)的默認(rèn)網(wǎng)關(guān)地址為 ， DHCP服務(wù)器為之創(chuàng)建的地址池命名為 29-net。 29-net地址池中 DNS服務(wù)器地址、 NetBIOS服務(wù)器地址和域名與 28-net地址池相同，地址租用期限為 8天 8小時(shí) 8分鐘 路由器 RTA和 RTD的相連網(wǎng)段為 /24。 5 7.1.3 操作步驟 1. 配置步驟 (1)配置路由器 RTA RTA# configure terminal RTA(config)# ip route Serial1/0 RTA(config)# interface FastEthernet0/0 #RTA的以太網(wǎng)接口地址設(shè)置 RTA(config-if)# ip address RTA(config-if)# no shutdown RTA(config-if)# exit RTA(config)# interface Serial1/0 #RTA的串行接口地址設(shè)置 RTA(config-if)# ip address RTA(config-if)# clock rate 56000 #連接該端口的電纜若是 DTE電纜，則不用配置 RTA(config-if)# no shutdown 6 (2)配置路由器 RTD： RTD# configure terminal RTD(config)# ip route Serial1/0 RTD(config)# interface FastEthernet 0/0 #RTD的以太網(wǎng)接口地址設(shè)置 RTD(config-if)# ip address RTD(config-if)# no shutdown RTD(config-if)# exit RTD(config)# interface Serial1/0 #RTD的串行接口地址設(shè)置 RTD(config-if)# ip address RTA(config-if)# clock rate 56000 #連接該端口的電纜若是 DTE電纜，則不用配置 RTD(config-if)# no shutdown 7 (3) 驗(yàn)證路由是否正常工作： 在子網(wǎng) LAN1和 LAN2上各任選一臺(tái)客戶機(jī)，指定客戶機(jī)的本地連接網(wǎng)絡(luò)參數(shù)。如指定 LAN1上的客戶機(jī)靜態(tài) IP地址為00，子網(wǎng)掩碼為 ，默認(rèn)網(wǎng)關(guān)為，指定 LAN2上的客戶機(jī)靜態(tài) IP地址 00，子網(wǎng)掩碼為 ，默認(rèn)網(wǎng)關(guān)為 。 然后從 LAN1上客戶機(jī) 00 ping LAN2上客戶機(jī)00，應(yīng)該能夠互通。如果有問(wèn)題，可以用命令 show ip route查看路由信息。 C:ping 00 Pinging 00 with 32 bytes of data: Reply from 00: bytes=32 time=21ms TTL=126 Reply from 00: bytes=32 time=21ms TTL=126 8 RTA# show ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set /24 is subnetted, 2 subnets C is directly connected, FastEthernet0/0 S is directly connected, Serial1/0 #創(chuàng)建的靜態(tài)路由 C /24 is directly connected, Serial1/0 9 (4) 配置 RTA為 DHCP服務(wù)器 啟動(dòng) DHCP服務(wù) RTA(config)# service dhcp 在全局模式下配置 DHCP地址池中不參與自動(dòng)分配的 IP地址。 RTA(config)# ip dhcp excluded-address RTA(config)# ip dhcp excluded-address IP地址 到 以及 不參與自動(dòng)地址分配，這些地址有特定的用途。 創(chuàng)建地址池 28-net,并設(shè)置地址池網(wǎng)段、默認(rèn)網(wǎng)關(guān)地址、 DNS服務(wù)器地址、 WINS服務(wù)器地址、域名和地址租用期限。 RTA(config)# ip dhcp pool 28-net #指定地址池名為 28-net RTA(dhcp-config)# network #指定動(dòng)態(tài)地址段為 RTA(dhcp-config)# default-router #指定默認(rèn)網(wǎng)關(guān)地址為 RTA(dhcp-config)# dns-server #指定 dns服務(wù)器地址為 10 RTA(dhcp-config)# netbios-name-server #指定WINS服務(wù)器地址為 RTA(dhcp-config)# domain-name #指定域名為 RTA(dhcp-config)# lease 10 10 10 #指定地址租用期限 10天 10小時(shí) 10分鐘 RTA(dhcp-config)# exit 創(chuàng)建地址池 29-net,并設(shè)置地址池網(wǎng)段、默認(rèn)網(wǎng)關(guān)地址、 DNS服務(wù)器地址、 WINS服務(wù)器地址、域名和地址租用期限。 RTA (config)# ip dhcp pool 29-net #說(shuō)明略，同上 RTA(dhcp-config)# network RTA(dhcp-config)# default-router RTA(dhcp-config)# dns-server RTA(dhcp-config)# netbios-name-server RTA(dhcp-config)# domain-name RTA(dhcp-config)# lease 8 8 8 11 (5) 測(cè)試 DHCP服務(wù)器為 LAN1網(wǎng)段分發(fā)的動(dòng)態(tài) IP地址 選擇 LAN1上的任意一臺(tái)客戶機(jī) ,在該客戶機(jī)上選擇網(wǎng)上鄰居中的“本地連接”，在 TCP/IP屬性中選中“自動(dòng)獲取 IP地址”和“自動(dòng)獲得 DNS服務(wù)器地址”選項(xiàng)，單擊“確定”。 然后打開(kāi) DOS命令提示符，輸入命令“ ipconfig /all”進(jìn)行查看，顯示信息如圖 7-2所示。 該客戶機(jī)獲取的 IP地址是地址池 28-net中第一個(gè)可用地址 ，同時(shí)檢查客戶機(jī)收到的子網(wǎng)掩碼、缺省網(wǎng)關(guān)、域名、 DNS服務(wù)器地址、WINS服務(wù)器地址和地址租用時(shí)間等信息是否正確。 如果客戶機(jī)無(wú)法獲取動(dòng)態(tài) IP地址等信息，有可能是客戶機(jī)的 DHCP Client服務(wù)沒(méi)有開(kāi)啟。請(qǐng)確認(rèn)客戶機(jī)的 DHCP Client服務(wù)已經(jīng)啟動(dòng)。 12 圖 7-2 圖 7-2 13 (6) 在 路由器 RTD上配置 IP廣播地址轉(zhuǎn)發(fā) LAN2(/24)網(wǎng)段不是 DHCP服務(wù)器的直連網(wǎng)段，默認(rèn)情況下， DHCP服務(wù)器是無(wú)法收到該網(wǎng)段上 DHCP客戶機(jī)發(fā)送的 DHCP請(qǐng)求消息的（ UDP廣播）。 為了讓 DHCP服務(wù)器能夠給 /24網(wǎng)段上的客戶機(jī)分發(fā)地址，需要在路由器 RTD的 Fa0/0接口上設(shè)置 UDP廣播轉(zhuǎn)發(fā)。 設(shè)置廣播轉(zhuǎn)發(fā)特性使用命令 ip helper-address。 RTD(config)# interface FastEthernet 0/0 RTD(config-if)# ip helper-address 該命令執(zhí)行的結(jié)果是，路由器 RTD把以太網(wǎng)口 Fa0/0收到的廣播消息轉(zhuǎn)發(fā)給 RTA上的 串行接口上。關(guān)于命令 ip helper-address的詳細(xì)說(shuō)明請(qǐng)參看有關(guān)書籍。 14 (7) 測(cè)試 DHCP服務(wù)器為 LAN2分發(fā)的動(dòng)態(tài) IP地址 選擇 LAN2上的一臺(tái)客戶機(jī)，操作步驟同 (5),顯示信息如圖 7-3所示。 結(jié)果正確 。 15 (8) 測(cè)試 DHCP地址分配下的子網(wǎng)連通性 通過(guò) DHCP方式獲取的動(dòng)態(tài)地址可以釋放也可以重新申請(qǐng)。 在 DOS命令提示符下，用命令 ipconfig /release 釋放動(dòng)態(tài)地址 . 用命令 ipconfig /renew重新申請(qǐng)動(dòng)態(tài)地址。 從 LAN1網(wǎng)段中 IP地址為 的客戶機(jī) ping LAN2網(wǎng)段中的 IP地址為 的客戶機(jī)，能夠 ping通，說(shuō)明配置成功。 C:ping Pinging with 32 bytes of data: Reply from : bytes=32 time=21ms TTL=126 Reply from : bytes=32 time=21ms TTL=126 16 (9) 配置文件列表 RTA配置文件如下，以下橫線標(biāo)出的是進(jìn)行配置過(guò)的選項(xiàng)。 Current configuration : 1496 bytes ! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname RTA ! boot-start-marker boot-end-marker ! no aaa new-model ip subnet-zero ! ip dhcp excluded-address ip dhcp excluded-address ! 17 ip dhcp pool 28-net network default-router dns-server netbios-name-server domain-name lease 10 10 10 ! ip dhcp pool 29-net network default-router dns-server netbios-name-server domain-name lease 8 8 8 ! ip cef ! 18 interface FastEthernet0/0 ip address duplex auto speed auto ! interface FastEthernet0/1 no ip address shutdown duplex auto speed auto ! interface Serial1/0 ip address serial restart-delay 0 clockrate 56000 no fair-queue ! interface Serial1/1 no ip address shutdown serial restart-delay 0 ! 19 interface Serial1/2 no ip address shutdown serial restart-delay 0 ! interface Serial1/3 no ip address shutdown serial restart-delay 0 ! ip classless ip route Serial1/0 no ip http server no ip http secure-server ! gatekeeper shutdown ! 20 line con 0 transport preferred all transport output all stopbits 1 line aux 0 stopbits 1 line vty 0 4 login ! 21 RTD配置文件如下： . hostname RTD ! interface FastEthernet0/0 ip address ip helper-address duplex auto speed auto ! interface Serial1/0 ip address serial restart-delay 0 ip classless ip route Serial1/0 ! 22 (10) DHCP服務(wù)器信息查詢和顯示 查看 DHCP服務(wù)器統(tǒng)計(jì)信息 RTA# show ip dhcp server statistics Memory usage 16803 Address pools 2 Database agents 0 Automatic bindings 2 Manual bindings 0 Expired bindings 0 Malformed messages 0 Secure arp entries 0 Message Received BOOTREQUEST 0 DHCPDISCOVER 9 DHCPREQUEST 8 DHCPDECLINE 0 DHCPRELEASE 1 DHCPINFORM 6 23 Message Sent BOOTREPLY 0 DHCPOFFER 9 DHCPACK 14 DHCPNAK 0 該命令用于對(duì) DHCP服務(wù)器的相關(guān)信息進(jìn)行統(tǒng)計(jì)。 如上所示， Memory usage表示服務(wù)器使用內(nèi)存的情況。 Address pools表示服務(wù)器中地址池的個(gè)數(shù)。 Database agents表示數(shù)據(jù)庫(kù)代理的個(gè)數(shù)。 Automatic bindings表示自動(dòng)分配的地址個(gè)數(shù)。 Manual bindings表示手工綁定 (如 mac地址和 IP地址綁定 )的地址個(gè)數(shù)。 Expired bindings表示過(guò)期的地址個(gè)數(shù)。 Malformed messages表示錯(cuò)誤消息個(gè)數(shù)。 Secure arp entries表示安全 arp條目個(gè)數(shù)。 24 地址池詳細(xì)信息查看 RTA# show ip dhcp pool Pool 28-net: Utilization mark (high/low) : 100/0 Subnet size (first/next) : 0/0 Total addresses : 254 Leased addresses : 1 Pending event : none 1 subnet is currently in the pool : Current index IP address range Leased addresses - 54 1 Pool 29-net: Utilization mark (high/low) : 100/0 Subnet size (first/next) : 0/0 Total addresses : 254 Leased addresses : 1 Pending event : none 1 subnet is currently in the pool : Current index IP address range Leased addresses - 54 1 25 已分配地址信息 命令 show ip dhcp binding顯示 DHCP服務(wù)器已分配的地址信息。 RTA# show ip dhcp binding Bindings from all pools not associated with VRF: IP address Client-ID/ Lease expiration Type Hardware address/ User name 0100.0874.164a.3f Feb 10 2005 04:33 PM Automatic 0100.0874.164a.46 Feb 08 2005 01:40 PM Automatic 顯示的信息可以得知，目前 DHCP服務(wù)器已分配二個(gè)地址給客戶機(jī)，分別是 和 ，同時(shí)對(duì)每個(gè)地址還給出了對(duì)應(yīng)的詳細(xì)信息，包括客戶機(jī) ID(硬件地址或用戶名 )、地址租用過(guò)期時(shí)間和地址類型。 26 第 7章 思科路由器的高級(jí)功能 7.2 訪問(wèn)控制列表的配置 操作內(nèi)容：如圖 7-4所示，連接路由器和 PC機(jī)，然后配置路由器到達(dá)如下兩個(gè)目標(biāo)： 一是使用標(biāo)準(zhǔn)訪問(wèn)控制列表禁止 PC1所在網(wǎng)段（ /24）的主機(jī)訪問(wèn) PC2所在網(wǎng)段（ /24）的主機(jī)； 二是使用基于時(shí)間的擴(kuò)展訪問(wèn)控制列表在每晚 0： 00 1： 00時(shí)間段禁止 PC1所在網(wǎng)段（ /24）的主機(jī) ping PC3所在網(wǎng)段（ /24）的主機(jī)。 組網(wǎng)環(huán)境： Cisco 2621XM路由器兩臺(tái)， IOS為 c2600-adventerprisek9-mz.123-11.T3（版本為 12.3）， PC機(jī) 3臺(tái)，操作系統(tǒng)為 Windows 2000/XP/2003。 。 27 圖 7-4 訪問(wèn)控制列表拓?fù)鋱D P C 11 9 2 . 1 6 8 . 1 . 11 9 2 . 1 6 8 . 2 . 11 9 2 . 1 6 8 . 4 . 21 9 2 . 1 6 8 . 2 . 2R 2P C 2R 1 1 9 2 . 1 6 8 . 4 . 11 9 2 . 1 6 8 . 1 . 2P C 31 9 2 . 1 6 8 . 3 . 11 9 2 . 1 6 8 . 3 . 2S 0 / 0S 0 / 0F E 0 / 0 F E 0 / 0F E 0 / 128 7.2.2 背景知識(shí) 1. 包過(guò)濾與訪問(wèn)控制列表 Cisco IOS軟件在許多功能上使用了訪問(wèn)控制列表（ access control list），訪問(wèn)控制列表可以應(yīng)用于下列情形： 實(shí)現(xiàn)數(shù)據(jù)報(bào)過(guò)濾，限制用戶訪問(wèn)某些外部網(wǎng)段、端口、應(yīng)用服務(wù)器，或者限制外部數(shù)據(jù)報(bào)存取內(nèi)部網(wǎng)絡(luò)的某些網(wǎng)段、端口、應(yīng)用服務(wù)器。防火墻一般都有該項(xiàng)功能。 在接口上控制報(bào)文傳輸。 控制 vty的訪問(wèn)。 限制路由更新的內(nèi)容。 在配置和使用訪問(wèn)控制列表時(shí)需要注意如下規(guī)則： 所有訪問(wèn)控制列表的最后都隱含有一個(gè) deny，這在配置文件中是看不到的。 對(duì)訪問(wèn)控制列表的匹配是自上而下按順序進(jìn)行的，當(dāng)找到匹配規(guī)則時(shí)將停止進(jìn)一步的比較。 沒(méi)有定義任何條目的訪問(wèn)控制列表表示允許所有的數(shù)據(jù)。 出站過(guò)濾僅對(duì)轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)有效，不會(huì)影響路由器自身產(chǎn)生的數(shù)據(jù)報(bào)。 配置訪問(wèn)控制列表時(shí)應(yīng)當(dāng)按照從一般到特殊的順序，特殊的列表項(xiàng)總是添加在訪問(wèn)控制列表的最后，使得大部分分組能與前面的列表項(xiàng)匹配，減少比較的時(shí)間和開(kāi)銷。 29 2. 訪問(wèn)控制列表的基本配置命令 (1) 標(biāo)準(zhǔn) IP訪問(wèn)控制列表 標(biāo)準(zhǔn)訪問(wèn)控制列表根據(jù)源地址進(jìn)行匹配，路由器檢查分組的源地址，并與標(biāo)準(zhǔn)訪問(wèn)控制列表進(jìn)行比較和匹配，然后決定丟棄或轉(zhuǎn)發(fā)。 如果使用數(shù)字來(lái)定義標(biāo)準(zhǔn)訪問(wèn)控制列表，其具體的命令如下所示。 第一步，對(duì)訪問(wèn)控制列表進(jìn)行注釋說(shuō)明（可選）： Router(config)# access-list access-list-number remark remark 其中， access-list-number是 1 99之間的整數(shù)， remark是添加的注釋說(shuō)明，本命令僅起注釋說(shuō)明作用，可以省略。 第二步，定義標(biāo)準(zhǔn)訪問(wèn)控制列表的匹配條件，有下面幾種形式： 使用源地址和通配符掩碼定義一個(gè)標(biāo)準(zhǔn)訪問(wèn)控制列表： Router(config)# access-list access-list-number deny | permit source source-wildcard log 或者使用 any來(lái)代表源地址和通配符掩碼 55： Router(config)# access-list access-list-number deny | permit any log 30 如果使用名字來(lái)定義標(biāo)準(zhǔn)列表，其具體的命令如下所示。 第一步，使用名字定義標(biāo)準(zhǔn)訪問(wèn)控制列表，并進(jìn)入標(biāo)準(zhǔn)命名訪問(wèn)控制列表配置模式： Router(config)# ip access-list standard name 其中， name是當(dāng)前所創(chuàng)建的訪問(wèn)控制列表的名字。 第二步，對(duì)訪問(wèn)控制列表進(jìn)行注釋說(shuō)明： Router(config-std-nacl)# remark remark 第三步，通過(guò) deny和 permit來(lái)定義匹配條件： Router(config-std-nacl)# deny | permit source source-wildcard | anylog 第四步，退出標(biāo)準(zhǔn)命名訪問(wèn)控制列表配置模式： Router(config-std-nacl)# exit 31 (2) 擴(kuò)展 IP訪問(wèn)控制列表 擴(kuò)展 IP訪問(wèn)控制列表根據(jù)源和目的地址、協(xié)議、 TCP/UDP協(xié)議中的源和目的端口等參數(shù)進(jìn)行匹配。 使用數(shù)字來(lái)定義擴(kuò)展訪問(wèn)控制列表，其具體的命令如下所示。 第一步，對(duì)訪問(wèn)控制列表進(jìn)行注釋說(shuō)明（可選）： Router(config)# access-list access-list-number remark remark 第二步，定義擴(kuò)展訪問(wèn)控制列表的匹配條件，有下面幾種形式： Router(config)# access-list access-list-number deny | permit protocol source source-wildcard destination destination-wildcard precedence precedence tos tos established log | log-input time-range time-range-name fragments 其中， access-list-number是 100 199之間的整數(shù) ， time-range表示相應(yīng)規(guī)則在指定時(shí)間內(nèi)適用，這個(gè)選項(xiàng)將在下面專門講述。 當(dāng)協(xié)議為 TCP協(xié)議時(shí)，使用下面的語(yǔ)法： access-list access-list-number deny | permit tcp source source-wildcard operator port destination destination-wildcard operator port established precedence precedence tos tos log | log-input time-range time-range-name fragments 32 當(dāng)協(xié)議為 ICMP時(shí)，使用下面的語(yǔ)法： access-list access-list-number deny | permit icmp source source-wildcard destination destination-wildcard icmp-type icmp-code | icmp-message precedence precedence tos tos log | log-input time-range time-range-name fragments 對(duì)于其它的協(xié)議 UD等，相應(yīng)命令還可以繼續(xù)展開(kāi)，對(duì)端口、類型等值進(jìn)行匹配，這里就略去了。 使用名字來(lái)定義擴(kuò)展訪問(wèn)控制列表，其具體的命令如下所示。 第一步，使用名字定義擴(kuò)展訪問(wèn)控制列表，并進(jìn)入擴(kuò)展命名訪問(wèn)控制列表配置模式： Router(config)# ip access-list extended name 第二步，對(duì)訪問(wèn)控制列表進(jìn)行注釋說(shuō)明（可選）： Router(config-ext-nacl)# remark remark 第三步，通過(guò) deny和 permit來(lái)定義匹配條件： Router(config-ext-nacl)# deny | permit protocol source source-wildcard destination destination-wildcard precedence precedence tos tos established log | log-input time-range time-range-name fragments 33 (3) 設(shè)定時(shí)間段 在上面的擴(kuò)展訪問(wèn)控制列表中我們可以看到 time-range這個(gè)關(guān)鍵字，它用于在指定的日期和時(shí)間范圍內(nèi)應(yīng)用訪問(wèn)控制列表。下面介紹一下定義時(shí)間段的相關(guān)命令。 第一步，為時(shí)間段命名，并進(jìn)入時(shí)間段配置模式： Router(config)# time-range time-range-name 第二步，配置時(shí)間段： Router(config-time-range)# absolute start time date end time date 或者 Router(config-time-range)# periodic days-of-the-week hh:mm to days-of-the-week hh:mm (4) 將訪問(wèn)控制列表應(yīng)用到接口上 要啟用包過(guò)濾功能，應(yīng)該在指定接口上的進(jìn)入或者外出方向應(yīng)用訪問(wèn)控制列表，命令如下所示： Router(config-if)# ip access-group access-list-number | access-list-name in | out access-list-number和 access-list-name是指相應(yīng)訪問(wèn)控制列表的數(shù)字編號(hào)和名字。 34 7.2.3 操作步驟 1. 配置： (1) 在設(shè)置訪問(wèn)控制列表前首先搭建基本的聯(lián)網(wǎng)環(huán)境： 對(duì)路由器 R1的配置如下： Router#config t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#hostname R1 R1(config)#interface fastEthernet 0/0 R1(config-if)#ip address R1(config-if)#no shut R1(config-if)#int s0/0 R1(config-if)#ip address R1(config-if)#clock rate 64000 #連接該端口的電纜若是 DTE電纜，則不用配置 R1(config-if)#no shut R1(config-if)#exit #配置靜態(tài)路由 R1(config)#ip route R1(config)#ip route 35 對(duì)路由器 R2的配置如下： Router#config t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#hostname R2 R2(config)#int fastEthernet 0/0 R2(config-if)#ip address R2(config-if)#no shut R2(config)#int fastEthernet 0/1 R2(config-if)#ip address R2(config-if)#no shut R2(config-if)#int s0/0 R2(config-if)#ip address R2(config-if)#clock rate 64000 #連接該端口的電纜若是 DTE電纜，則不用配置 R2(config-if)#no shut R2(config-if)#exit R2(config)#ip route #配置靜態(tài)路由 36 聯(lián)網(wǎng)環(huán)境測(cè)試： PC1:ping #PC1 ping PC2，能 ping通 Pinging with 32 bytes of data: Reply from : bytes=32 time=18ms TTL=126 PC1:ping #PC1 ping PC3，能 ping通 Pinging with 32 bytes of data: Reply from : bytes=32 time=19ms TTL=126 由此可見(jiàn)，基本的網(wǎng)絡(luò)環(huán)境已經(jīng)搭建成功，下面就可以配置訪問(wèn)控制列表了。 37 (2) 對(duì) R2配置標(biāo)準(zhǔn)訪問(wèn)控制列表： 為了盡量減小標(biāo)準(zhǔn)訪問(wèn)控制列表的影響范圍，應(yīng)該將它們放在離源地址較遠(yuǎn)的地方。因此，我們?cè)?R2的 FE0/0接口的外出方向應(yīng)用標(biāo)準(zhǔn)訪問(wèn)控制列表，限制源地址為 /24的 IP包通過(guò)。 R2(config)#access-list 1 deny 55 R2(config)#access-list 1 permit any #很有必要，因?yàn)樵L問(wèn)控制列表的最后隱含有拒絕規(guī)則 R2(config)#int fastEthernet 0/0 #將訪問(wèn)控制列表應(yīng)用到 FE0/0接口的外出方向 R2(config-if)#ip access-group 1 out 測(cè)試： PC1:ping Pinging with 32 bytes of data: Reply from : Destination net unreachable. Reply from : Destination net unreachable. PC1到 PC2不可達(dá)，由此可見(jiàn)，訪問(wèn)控制列表已經(jīng)生效。 38 (3) 對(duì) R1配置擴(kuò)展訪問(wèn)控制列表 首先定義名字為 deny_ping_time的時(shí)間段：每晚 0： 00 1： 00 R1(config)#time-range deny_ping_time R1(config-time-range)#periodic daily 0:00 to 1:00 R1(config-time-range)#exit 定義基于時(shí)間的擴(kuò)展訪問(wèn)控制列表，命名為 deny_ping。添加規(guī)則以禁止源地址為 /24，目的地址為 /24，類型為 ECHO REQUEST的 ICMP協(xié)議包通過(guò)。 R1(config)#ip access-list extended deny_ping R1(config-ext-nacl)#deny icmp 55 55 echo time-range deny_ping_time 由于訪問(wèn)控制列表的最后缺省隱含了“ deny any”規(guī)則，所以必須添加 permit規(guī)則。 R1(config-ext-nacl)#permit ip any any R1(config-ext-nacl)#exit 在 FE0/0接口的進(jìn)入方向應(yīng)用名字為 deny_ping的訪問(wèn)控制列表。 R1(config)#int fastEthernet 0/0 R1(config-if)#ip access-group deny_ping in 圖 7-2 39 測(cè)試： 首先使用如下命令設(shè)置當(dāng)前時(shí)間，使得處于時(shí)間段 deny_ping_time范圍內(nèi)： R1#clock set 0:11:00 31 jan 2005 PC1:ping Pinging with 32 bytes of data: Reply from : Destination net unreachable. Reply from : Destination net unreachable. 可以看出，所設(shè)置的當(dāng)前時(shí)間正處于訪問(wèn)控制列表的時(shí)間段內(nèi)，過(guò)濾規(guī)則生效，數(shù)據(jù)報(bào)被路由器 R1丟棄，無(wú)法到達(dá)目的地?？梢栽囍漠?dāng)前時(shí)間，查看 ping的結(jié)果是否改變。 40 2.查看信息： R1#show access-lists Extended IP access list deny_ping 10 deny icmp 55 55 echo time-range deny_ping_time (active) (72 matches) 20 permit ip any any (293 matches) show access-lists命令可以查看當(dāng)前路由器所定義的訪問(wèn)控制列表。上面的信息表明， R1定義了一條擴(kuò)展訪問(wèn)控制列表 ,內(nèi)含一條基于時(shí)間的 deny規(guī)則和一條 permit規(guī)則。 R1#show time-range time-range entry: deny_ping_time