router# configure terminal
router(config)# access-list 1 deny host 192.168.1.1 router(config)# access-list 1 permit any router(config)# interface Ethernet 1 router(config)# ip access-group 1 out 配置扩展访问列表
access-list access-list-number permit|deny protocol source-address source-wildcard source-port destinaiton address destination-wildcard destination-port log options access-list-numberL:编号范围为100~199。 Permit:通过;deny:禁止通过
Protocol:需要被过滤的协议的类型,如IP、TCP、UDP、ICMP、EIGRP,GRE等。 source-address :源IP地址 source-wildcard:源通配符掩码
source-port:可以是单一的某个端口,也可以是一个端口范围
destination-address:目的IP地址
destination-wildcard:目的地址通配符掩码
destination-port:目的端口号,指定方法与源端口号的指定方法相同 访问列表配置注意事项
① 注意访问列表中语句的次序,尽量把作用范围小的语句放在前面
② 新的表项只能被添加到访问表的末尾,即不允许将新的语句插入到原有的访问列表中 ③ 标准的IP访问列表只匹配源地址,如果要检查更多的条件,则使用扩展的IP访问列表 ④ 标准的访问列表尽量靠近目的
⑤ 在应用访问列表时,要特别注意应用的方向 命名IP访问列表-----给访问列表命名
① 命名IP访问列表通过一个名称而不是一个编号来引用的。 ② 命名的访问列表可用于标准的和扩展的访问表中。
③ 名称的使用是区分大小写的,并且必须以字母开头。在名称的中间可以包含任何字母数字混合使用的字符,也可以在其中包含[,]、{,}、_、-、+、/、\\、.、&、$、#、@、!以及?等特殊字符
④ 名称的最大长度为1 0 0个字符
编号IP访问列表和命名IP访问列表的区别 ① 名字能更直观地反映出访问列表完成的功能
② 命名访问列表突破了99个标准访问列表和100个扩展访问列表的数量限制,能够定义更多的访问列表。
③ 命名IP访问列表允许删除个别语句,而编号访问列表只能删除整个访问列表 ④ 单个路由器上命名访问列表的名称必须是唯一的,而不同路由器上的命名访问列表名称可以相同
命名访问列表删除语句
显示example的内容router#show ip access-lists example 删除语句permit tcp host 192.168.1.1 any router#configure terminal
router (config)#ip access-list extended example
router (config-ext-nacl)#no permit tcp host 192.168.1.1 any 命名访问列表加入语句
增加语句permit udp host 192.168.1.3 cqdd#configure terminal
cqdd(config)#ip access-list extended example
cqdd(config-ext-nacl)#permit udp host 192.168.1.3 基于时间访问列表概述
基于时间的访问列表能够应用于编号访问列表和命名访问列表。
实现基于时间的访问表只需要两个步骤:第一步是定义一个时间范围; 第二步是在访问列表中用t i m e -range引用时间范围。 基于时间访问列表的配置命令 时间范围命名time-range time-range-name (解析:time-range-name:时间范围的名称) 定义绝对时间范围:absolute [start start-time start-date] [end end-time end-date] start-time和end-time分别用于指定开始和结束时间,使用24小时间表示,其格式为“小时:分钟”;start-date和end-date分别用于指定开始的日期和结束的日期,使用日/月/年的日间格式,而不是通常采用的月/日/年格式 定义周期、重复使用的时间范围
periodic days-of-the-week hh:mm to days-of -the-week hh:mm
periodic是以星期为参数来定义时间范围的一个命令。它可以使用大量的参数,其范围可以是一个星期中的某一天、几天的结合,或者使用关键字daily、weekdays、weekend等 例如:指定的时间范围为从星期六的早上8:00到星期日的下午5:00,日期为2000年6月1日到2000年的12月31日:
router(config)#time-range example
router(config-time-range)#absolute start 8:00 1 June 2000 end 17:00 31 December 2000 router(config-time-range)#periodic weekend 8:00 to 17:00 使用三层交换机作防火墙 优点:包过滤速度快
缺点:三层交换机的ACL只有包过滤功能,缺少防火墙的其他策略,如防上DDOS攻击,碎片攻击等
三层交换机配置防火墙的步骤
① 配置主机请求数据的访问控制列表,对目的端口进行检; ② 配置服务器回应数据的访问控制列表,对源端口进行检查;
③ 将第1步配置的访问列表应用在主机连接端口的in方向; ④ 将第2步配置的访问列表应用在服务器连接端口的in方向;
⑤ 由于防火墙采用“除了允许的数据包,其余全部禁止”的策略,因此每个访问列表的最后应该有一条语句禁止所有数据包通过(deny ip any any)。 三层交换机防火墙的维护 增加ACL列表
将原有ACL列表复制保存,再删除原有的ACL列表 按增加新ACL规则后的顺序重新配置ACL列表。
修改ACL列表:由于cisco和华为都没有提供修改ACL语句的命令,因此,ACL语句的修改操作的步骤与增加ACL语句的操作步骤是一样的
删除ACL规则:直接用no或undo命令删除相应的规则即可 TCP拦截原理
TCP拦截有拦截和监视两种工作模式
拦截模式:路由器拦截到达的TCP SYN请求,并代表服务器建立与客户机的连接,如果连接成功,则代表客户机建立与服务器的连接,并将两个连接进行透明合并。在整个连接期间,路由器会一直拦截和发送数据包。对于非法的连接请求,路由器提供更为严格的半连接(half-open)超时限制,以防止自身的资源被SYN攻击耗尽
在监视模式下,路由器被动地观察流经路由器的连接请求,如果连接超过了所配置的建立时间,路由器就会关闭此连接 TCP拦截的配置: ①开启TCP拦截
ip tcp intercept list access-list-number
access-list-number是已经设置好的IP访问列表的编号或名称。 ②设置TCP拦截模式
ip tcp intercept mode intercept | watch intercept :拦截模式;watch:监视模式 ③配置路由器等待时间
ip tcp intercept watch-timeout seconds Seconds:设置等待时间,单位为秒 ④配置删除TCP半连接的阀值
(1)ip tcp intercept max-incomplete high number
Number:路由器开始删除连接之前,能够存在的最大半连接数 (2)ip tcp inercept max-incomplete low number
Number:路由器停止删除连接之前,能够存在的最大半连接数 (3)ip tcp intercept one-minute high number
Number:路由器开始删除连接之前,每分钟内能存在的最大半连接数目 ⑷ ip tcp intercept one-minute low number
Number:路由器停止删除连接之前,每分钟内能存在的最大半连接数目 ⑤设置路由器删除半连接的方式
ip tcp intercept drop-mode oldest|random
Oldest:删除建立时间最早的连接; random:随机删除已经建立的连接 查看TCP拦截信息
show tcp intercept connections show tcp intercept statistics
第11章 网络地址转换
1. NAT的概念:将私有IP地址映射到外部网络的合法IP地址,以减少可用IP空间的消耗。 为了解决IP地址紧缺的问题,将一部分IP地址划分为私网地址。
为了解决使用私网地址的局域网用户访问因特网的问题,从而诞生了网络地址转换技(NAT)。 代理服务器的实质就是网络地址转换。
NAT的工作原理:报文出去时,替换修改源IP地址;报文回来时,替换修改目的IP地址。 NAT的分类
1. 静态地址转换:局域网内部的私网地址,一对一地映射为一个公网地址。
2. 动态地址转换:有一个供转换用的公网地址池,从地址池中选择未用的公网地址,实现私网地址与公网地址间一对一对映射转换。可提供公网地址的利用率。 3.复用(端口映射PAT):通过端口映射到多个未注册的IP地址到单独的一个注册的IP地址。 网络地址转换
1. 配置地址端口转换(复用): 配置步骤和配置方法:
(1)配置内部全局地址池 (可选配置)
ip nat pool pool-name start-ip end-ip netmask netmask ip nat pool pool-name start-ip end-ip prefix-length prefix length (2)配置接口类型
ip nat inside|outside
inside定义接口为内网接口,outside定义为外网口。 (3)配置访问列表
access-list number permit network wildcard 访问列表用于配置允许哪些网络可以进行NAT以访问因特网。Number取值范围为1-99,wildcard为子网掩码的反码。 (4)配置内部源地址的转换
ip nat inside source list acl-number pool pool-name overload
ip nat inside source list acl-number interface int-type int-number overload 示例:
ip nat inside source list 1 pool mypool overload ip nat inside source list 1 interface fa0/1 overload 2. 配置静态地址转换 配置命令:
ip nat inside source static tcp|udp local-ip port global-ip port (2)公网地址的某个端口与私网地址的某个端口间建立一一对应的映射关系 ip nat inside source static tcp|udp local-ip port global-ip port 3. 配置动态地址转换
与使用地址池的地址端口转换配置方法和配置步骤基本相同,只是在配置内部源地址转换时,命令中不使用overload关键字。 4. 验证NAT配置
show ip nat translations 显示NAT转换表 show ip nat statistics 显示NAT统计信息 clear ip nat translations * 清除NAT转换表 clear ip nat statistics 清除NAT统计信息 以上命令在特权模式执行。 5. NAT配置的删除
使用带no的相同命令来删除。删除时,不能有内网用户正在使用NAT转换。
可断开路由器与内网用户的连接,并清除NAT转换表,然后再删除NAT的相关配置。
Nat地址转换
Router0#show ip nat translations Router0(config)#int s0/0/0
Router0(config-if)#ip nat outside 设为出口 Router0(config-if)#int f0/0
Router0(config-if)#ip nat inside 设为入口
Router0(config-if)#ip nat pool jiben 2.2.2.1 2.2.2.1 netmask 255.255.255.0 地址池名 起始ip 结束ip 掩码 Router0(config)#access-list 1 permit 192.168.1.0 0.0.0.255
Router0(config)#ip nat inside source list 1 pool jiben overload Router0(config)#ip nat inside source static 192.168.1.1 2.2.2.3
第12章 cisco无线网络技术
无线技术使用电磁波在设备之间传送信息。
公共无线通信最常用的波长包括红外和无线电射频 (RF) 波段部分。
红外线 (IR) 的能量非常低,无法穿透墙壁或其它障碍物。IR 只支持一对一类型的连接
无线电射频 (RF):RF 波可以穿透墙壁及其它障碍物,适用范围比 IR 大得多。RF 波段的特定区域预留给没有许可证的设备使用
蓝牙是一种利用 2.4 GHz 频带的技术,它仅限于低速、近距离通信,但优势是可以同时与许多设备通信。 影响信号的失真主要有3个因素:①吸收:如墙壁②散射:如凹凸不平的地方③反射:如玻璃
WPAN:这是最小的无线网络,用于连接各种外围设备到计算机,例如鼠标、键盘和 PDA。所有这些设备专属于通常使用 IR 或蓝牙技术的一台主机。
WLAN 通常用于延伸本地有线网络 (LAN) 的覆盖范围。WLAN 使用 RF 技术并遵守 IEEE 802.11 标准。它们可以让许多用户通过称为“接入点”(AP) 的设备连接到有线网络。接入点用于连接无线主机和有线以太网络中的主机。
WWAN 网络覆盖非常广大的区域。移动电话网络就是一种非常典型的 WWAN。这些网络使用码分多址 (CDMA) 或全球移动通信系统 (GSM) 等技术,通常受政府机构的管制。 目前主要有2个标准组织负责WLAN的实施:
①IEEE:定义在802.11中使用WLAN的机械过程,这样厂商可以生产兼容的产品。 ②Wi-Fi联盟:认证各个厂家,确保其产品符合802.11 无线LAN组件
天线:定向天线:将信号强度集中到一个方向发射。 全向天线:朝所有方向均匀发射信号。 WLAN和SSID
服务集标识符(SSID)
用于标识无线设备所属的 WLAN 以及能与其相互通信的设备。
无论是哪种类型的 WLAN,同一个 WLAN 中的所有设备必须使用相同的 SSID 配置才能进行通信。
百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,免费范文网,提供经典小说综合文库ccna知识点总结(6)在线全文阅读。
相关推荐: