什么是路由器的訪問控制列表功能?
路由器提供了基本的通信流量過濾的能力——這就是訪問控制列表,它是路由器一系列的允許和拒絕陳述語句集合的命令行,這些陳述語句對用戶的數(shù)據(jù)包中包含的地址(IP地址)和上層協(xié)議(TCP、UDP、FTP等)進(jìn)行控制。訪問控制列表(ACL)是應(yīng)用到路由器接口的指令列表,這些指令列表用來告訴路由器哪些數(shù)據(jù)包可以接收,哪些數(shù)據(jù)包需要拒絕,也就是可以轉(zhuǎn)發(fā)和被丟棄。至于數(shù)據(jù)包是被拒絕還是被接收,可以由源地址、目的地址、協(xié)議、端口號等的指示條件來決定。
網(wǎng)友提出的網(wǎng)絡(luò)結(jié)構(gòu)的廣域網(wǎng)連接有兩條線,一條是通往教育網(wǎng)(CERNET)的專線,一條是通往其他電信營運(yùn)商的廣域網(wǎng)(如:中國網(wǎng)通的CNCNET)的ADSL。按照網(wǎng)友所提出的“如果用戶訪問教育網(wǎng),還是通過本地的寬帶接入”的要求,那么最簡便的辦法就是控制所有從教育網(wǎng)端口出去的流量的目的地IP都指定成為教育網(wǎng)的IP網(wǎng)段(我想網(wǎng)友應(yīng)可以從CERNET的網(wǎng)絡(luò)中心那獲得教育網(wǎng)的網(wǎng)段IP),而通往ADSL的訪問流量的目的地IP則不作任何限制。
需要的設(shè)備
正如我們已經(jīng)知道的“訪問控制列表”是所有路由器都具有的基本功能。所以只要上檔次的路由器都可以選擇。在本案例中小酷給這位網(wǎng)友推薦思科公司的Cisco2600系列路由器(見圖1)。 產(chǎn)口代碼為Cisco 2611XM的這款產(chǎn)品應(yīng)能滿足這位網(wǎng)友的方案要求。Cisco 2600 系列是一個(gè)屢獲大獎(jiǎng)的模塊化多服務(wù)產(chǎn)品家族,它提供靈活的LAN 到 WAN配置,多樣化的安全選項(xiàng),綜合語音、數(shù)據(jù)服務(wù),一系列高性能CPU,廣范圍的功能和接口,能靈活選擇超過50個(gè)模塊來添加進(jìn)路由器中以滿足各種線路類型需要,使Cisco 2600 家族能適應(yīng)從現(xiàn)在到將來的應(yīng)用需求。
Cisco 2611XM支持的功能包括:
•多服務(wù)語音/數(shù)據(jù)綜合服務(wù)
•帶有防火墻和加密選項(xiàng)的VPN訪問
•慮擬拔號訪問服務(wù)Analog dial access services
•具有帶寬管理的路由選擇
•內(nèi)部局域網(wǎng)VLAN路由
•高速商務(wù)級DSL訪問傳輸
•低成本 ATM訪問
•低密度交換
![]("http://cisco.chinaitlab.com/imgfiles/2003.10.31.12.16.4.111111111111.jpg")
Cisco 2611XM 多服務(wù)路由器提供一個(gè)網(wǎng)絡(luò)模塊插槽,兩個(gè)10/100BaseT 以太網(wǎng)接口,兩個(gè)綜合廣域網(wǎng)接口卡插槽,一個(gè)高級綜合模塊插槽(見圖2)。我們最常用的是前面三個(gè),在本案例中我要配套選購兩個(gè)廣域網(wǎng)接口卡模塊:
![]("http://cisco.chinaitlab.com/imgfiles/2003.10.31.12.16.25.222222222222222.gif")
(1)WIC-1T(見圖3)這塊高速串行廣域網(wǎng)接口卡將安裝在CISCO2611XM的廣域網(wǎng)接口卡插槽1,通過串行電纜連接到基帶MODEM等通信終端設(shè)備,然后連往教育網(wǎng)專線。
![]("http://cisco.chinaitlab.com/imgfiles/2003.10.31.12.16.39.3333333333333333.gif")
(2)WIC-1ADSL(見圖4)這塊ADSL廣域網(wǎng)接口卡含有ADSL信道通信單元,所以不必另外購置ADSL MODEM,把它安裝在CISCO2611XM的廣域網(wǎng)接口卡插槽2。可直接通過它的RJ11接口連入用戶申請的ADSL電話線路。
![]("http://cisco.chinaitlab.com/imgfiles/2003.10.31.12.16.54.44444444.jpg")
參考的ACL配置命令
下面是在CISCO2611XM上可能的訪問控制列表配置命令行:(僅作為參考)
Router>
Router>enable 進(jìn)入特權(quán)模式
Router#
Router#config terminal 進(jìn)入配置模式
Router(config)#
Router(config)#hostname Cisco2611XM 修改路由器的名字為Cisco2611XM
Cisco2611XM(config)#
Cisco2611XN(config)#access-list 1 deny any any 創(chuàng)建訪問控制列表號為1,并禁止任何流量通過
Cisco2611XM(config)#access-list 1 permit 192.168.0.0 0.0.255.255 218.192.0.0 0.0.255.255 假設(shè)網(wǎng)友的內(nèi)網(wǎng)IP網(wǎng)段設(shè)192.168.0.0--192.168.255.255,教育網(wǎng)的網(wǎng)段為218.192.0.0—218.192.255.255。允許來自內(nèi)網(wǎng)的用戶能訪問教育網(wǎng)上的所有IP
Cisco2611XM(config)#
Cisco2611XM(config-if)# interface s0 進(jìn)入接口s0配置模式
Cisco2611XM(config-if)#ip address 192.168.1.1 255.255.255.0 給s0端口配置的IP地址為192.168.0.1 子網(wǎng)掩碼為255.255.255.0
Cisco2611Xm(config-if)#no shutdown 激活該端口
Cisco2611XM(config-if)#ip access-group 1 out 將訪問控制列表1寫入端口s0
Cisco2611XM(config-if)#exit 退出接口配置模式
Cisco2611XM(config)#router rip 啟用RIP路由選擇協(xié)議
Cisco2611XM(config-router)#network 192.168.1.0 直接與路由器連接的網(wǎng)絡(luò)地址,內(nèi)網(wǎng)網(wǎng)絡(luò)號
Cisco2611XM(config-router)#network 218.192.19.0 教育網(wǎng)網(wǎng)絡(luò)號
Cisco2611XM(config-router)#network 202.112.15.0 ADSL網(wǎng)絡(luò)號
Cisco2611XM(config-router)#exit 退出路由選擇配置模式
Cisco2611XM(config)#exit
Cisco2611XM #copy running-config startup-config 保存以上配置
網(wǎng)絡(luò)拓樸圖
本案例的網(wǎng)絡(luò)拓樸圖如下:
![]("http://cisco.chinaitlab.com/imgfiles/2003.10.31.12.20.13.5555.gif")
