网站首页  注册会员  本站免费电影 留言板  繁體中文

 

您现在的位置: 陈鹏个人网站 >> 电脑应用 >> 网络应用 >> 组网维护 >> 正文
 

|
閻絻鍓虫惔鏃傛暏妫f牠銆�
|
绾兛娆㈡径鈺佺垶
|
娴溠冩惂鐎佃壈鍠�
|
鏉烆垯娆㈢€涳箒瀚�
|
缂冩垹绮舵惔鏃傛暏
|
IT閺備即妞�
|
鎼存梻鏁ら幎鈧锟�
|
閻絻鍓崇紒缈犳叏
|
鐟欏棝顣堕弫娆戔柤
|
   
专 题 栏 目
 濞屸剝婀佹禒璁崇秿娑撴捇顣介弽蹇曟窗
相 关 文 章

Photoshop合成实例 蓝色
Photoshop制作逼真皮革质
MSN 故障排除实例三则
DW MX实例:客房预订业务
DW MX实例:动态广告管理
DW MX实例:在线音乐网站
DW MX实例:随笔管理及评
DW MX实例:BLOG 日历事
DW MX实例:网站在线调查
DW MX实例:实现产品搜索

 
实例:恰当应用ACL访问控制列表           
实例:恰当应用ACL访问控制列表
作者:陈鹏 文章来源:eNet 点击数:127 更新时间:2009-9-11 1:42:20
 




 

访问控制列表是为了对路由器处理的流量进行过滤而在路由器上建立的规则,它在改善网络性能和加强网络安全等方面已经发挥出越来越重要的作用。本文列举几个在CISCO路由器上设置访问控制列表的应用实例,希望对各位同仁充分掌握和恰当应用访问控制列表有所帮助。

单向屏蔽ICMP ECHO报文

1.设置如下的访问控制列表

access-list 100 permit icmp any 本地路由器广域地址 echo
access-list 100 deny icmp any any echo
access-list 100 permit ip any any

2.在路由器相应端口上应用

interface {外部网络接口} {网络接口号}

ip access-group 100 in

列表第一行,是允许外网主机可以PING通我方路由器广域口地址,便于外网进行网络测试。列表第二行,系禁止外网主机发起的任何ICMP ECHO 报文到达我方网络主机,杜绝了外网主机发起的“端口扫描器Nmap ping操作”。列表第三行允许所有的IP协议数据包通过,是保证不影响其他各种应用。端口应用上设置在入方向进行应用,保证了我方网络主机可PING通外网任意主机,便于我方进行网络连通性测试。

防止病毒传播和黑客攻击

针对微软操作系统的漏洞,一些病毒程序和漏洞扫描软件通过UDP端口135、137、138、1434和TCP端口135、137、139、445、4444、5554、9995、9996等进行病毒传播和攻击,可如下设置访问控制列表阻止病毒传播和黑客攻击。

1.设置如下的访问控制列表

access-list 101 deny udp any any eq 135
access-list 101 deny udp any any eq 137
access-list 101 deny udp any any eq 138
access-list 101 deny udp any any eq 1434
access-list 101 deny tcp any any eq 135
access-list 101 deny tcp any any eq 137
access-list 101 deny tcp any any eq 139
access-list 101 deny tcp any any eq 445 
access-list 101 deny tcp any any eq 4444
access-list 101 deny tcp any any eq 5554
access-list 101 deny tcp any any eq 9995
access-list 101 deny tcp any any eq 9996
access-list 101 permit ip any any

2.在路由器相应端口上应用

interface {外部网络接口} {网络接口号}

ip access-group 101 in

说明:在同一端口上应用访问控制列表的IN语句或OUT语句只能有一条,如需将两组访问列表应用到同一端口上的同一方向,需将两组访问控制列表进行合并处理,方能应用。

利用访问控制列表实现QoS

针对一些重要业务和特殊应用,使用时要求保证带宽,不用时又能将带宽让出来给其他应用,可用如下设置访问控制列表和数据包染色技术来实现。

1.设置如下的访问控制列表

access-list 102 permit ip 网段1IP 子网掩码 host 服务器1IP
access-list 103 permit ip 网段2IP 子网掩码 host 服务器2IP
access-list 104 permit ip 网段3IP 子网掩码 host 服务器3IP

2.数据包染色标记

class-map match-all Critical-1
    match ip dscp 34 
class-map match-all Critical-2
    match ip dscp 26
class-map match-all Critical-3
    match ip dscp 35

3.数据包染色分类

class-map match-any Critical-1
    match access-group 102 /*匹配访问控制列表102 */
class-map match-any Critical-2
    match access-group 103 /*匹配访问控制列表103 */
class-map match-any Critical-3
    match access-group 104 /*匹配访问控制列表104 */

4.策略定义

policy-map AA
class Critical-1
    bandwidth percent 10 /*定义保障带宽为基本带宽的10% */
    random-detect dscp-based /*定义路由器带宽拥塞时的数据包丢弃策略 */
random-detect dscp 34  24   40   10  
 /* 定义发生拥塞时DSCP=34数据包的最小丢包率/最大丢包率/丢弃概率分别是:24/40/10 */
  class Critical-2
  bandwidth percent 5
  random-detect dscp-based
  random-detect dscp 26   24    40    10
  classs Critical-3 
  bandwidth percent  2 
  random-detect dscp-based 
  random-detect dscp 35   24    40    10

5.在路由器相应端口上进行策略应用

interface Serial0/0
service-policy output AA

如上设置后,即实现了在端口Serial0/0上符合访问控制列表102的业务保障带宽是基本带宽的10%,符合访问控制列表103的业务保障带宽为基本带宽的5%,符合访问控制列表104的业务保障带宽为基本带宽的2%。

文章录入:陈鹏    责任编辑:陈鹏 
  • 上一篇文章:

  • 下一篇文章:
  • 【字体: 】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
     
     
     
     
     

    Copyright © 2007 - 2009 chenpeng123.com All Rights Reserved
    本站所有文章,软件等均来自网络收集,不代表本站观点,仅供学习和研究使用。如有侵犯您的版权,请联系我们,本站将立即删除。
    鲁ICP备07014697号
    你是本站第 位访客
    51La