IP地址分类有类地址和无类地址。
有类地址就是标准的IP地址
无类地址:是对IP地址进行子网划分
子网划分:将网络划分适当大小的多个子网。
为什么要划分子网?
- 提供灵活的编址
- 便于管理
- 广播抑制......
子网划分的原理:
通过子网掩码的变化实现的,不同的子网掩码可以分割出不同的子网。
类似于用刀子分割大饼。
IP地址经过一次子网划分之后,变为由三部分组成,即网络地址部分、子网地址部分和主机地址部分。
C类地址子网掩码及相关参数对应表
子网掩码 |
子网数 |
主机数 |
可用主机数 |
/24 |
0 |
256 |
254 |
/25 |
2 |
128 |
126 |
/26 |
4 |
64 |
62 |
/27 |
8 |
32 |
30 |
/28 |
16 |
16 |
14 |
/29 |
32 |
8 |
6 |
/30 |
64 |
4 |
2 |
子网数:是在当前网段下在划分为几个网段。
主机数:被划分的网段中的有效主机地址
IP地址规划的原则:
- 唯一性:IP地址是主机和设备在网络中的标识,一个ip网络中不能有两个主机使用相同的ipdizhi,否则无法寻址。
- 可扩展性:在IP地址分配时,要有一定的余量,以满足网络扩展时的需要
- 连续性:分配的连续的IP地址要有利于地址管理和地址汇总,连续的IP地址易于进行路由汇总,减小路由表,提高路由的效率
- 实意性:在分配IP地址时尽量使所分配的IP地址具有一定的实际意义,诗人一看到ipdizhi就可以知道此ip地址分配给了哪个部门和哪个地区。
访问控制列表
目标:理解ACL的基本原理
会配置标准的ACL
会配置扩展的ACL
会配置命名ACL
能够综合应用ACL
ACL (Access Control List)访问控制列表
应用原理:使用包过滤技术,在路由器上第三层及第四层包头中的信息,然后根据预先定义好的规则,对包进行过滤,从而达到访问控制的目的
允许或拒绝数据包在路由器中移动。
允许或拒绝vty访问或从路由器访问。
没有acl,所有数据包都可以传输到您的网络的所有部分
ACL通过在路由器接口处控制转发还是丢弃数据包来过滤通信流量。
路由器根据ACL中指定的条件来检测通过路由器的数据包,从而决定是转发还是丢弃该数据包。
ACL的工作原理
对路由器接口来说,ACL有两个方向:
出:已经过路由器的处理,正离开路由器接口的数据包
入:已到达路由器接口的数据包,将被路由器处理
先拟定好访问控制列表,
然后列表应用到接口的方向与数据方向有关。
访问控制列表的处理过程:
如果接口应用了ACL,那么路由器将对数据包应用该组规则进行顺序检查:
- 如果匹配第一条规则,则不再往下检查,路由器将界定允许该数据包通过或拒绝通过。
- 如果不匹配第一条规则,则一次往下检查,知道有任何一条规则匹配,路由器才决定允许该数据包通过或拒绝通过
- 如果没有一条规则匹配,则路由器根据默认的规则将丢弃该数据包。
总结:逐条匹配,匹配到了就结束,不在往下匹配
注:
在ACL中,各规则的放置顺序是很重要的,一旦找到了某一条匹配规则,就会结束匹配过程,不再检查之后的其他规则。
ACL的种类:
ACL可分为以下类型:
1、标准ACL:
基于源IP地址过滤数据包
使用1~99之间的数字作为列表号
2、扩展ACL:
基于源IP地址、目的IP地址、指定协议、端口和标志来过数据包。
使用100~199之间的数字作为列表号。
3、命名ACL:
允许在标准和扩展ACL中使用名称代替列表号。
一、标准ACL的配置:
第一步:在全局配置模式下创建标准的ACL
格式:access-list ACL列表号 permit|deny 源IP地址 反码
例子:
access-list 1 permit 192.168.10.0 0.0.0.255
access-list 1 deny 192.168.10.0 0.0.0.255
注:
1:ACL列表号,对于标准ACL来说,该列表号是1~99中的一个数字
permit:允许
deny:拒绝
192.168.10.0 :数据包的源地址,可以是IP地址,也可以是网段地址
0.0.0.255:通配符掩码,也称为反掩码。
网段的反掩码是0.0.0.255,ip地址的反掩码是0.0.0.0
- 隐含的拒绝语句
因为每一个ACL都有一条隐含的拒绝语句,拒绝所有访问
access-list 1 deny 0.0.0.0 255.255.255.255
- 关键字host、any
如果是主机的IP地址,
可用host 192.168.1.1来表示192.168.1.1 0.0.0.0
access-list 1 deny host 192.168.10.1
可用any来表示0.0.0.0 255.255.255.255
access-list 1 deny any
(3)删除已建立的标准ACL
no access-list 1
注:对标准ACL来说,不能删除单条ACL语句,只能删除整个ACL。意味着如果要改变一条或几条ACL语句,必须先删除整个ACL,然后在输入所要的ACL语句。
第二步:将ACL应用于接口
创建ACL后,只有将ACL应用于接口,ACL才会生效。
- 先进入接口
- 将ACL应用于接口
ip access-group 1 in
ip access-group 1 out
注:
in:指示该ACL是应用到入站接口,接收接口
out:指示该ACL是应用到出站接口
取消,在命令前面加no
每个方向上只能有一个ACL,也就是每个接口最多只能有两个ACL:一个入方向ACL,一个出方向ACL。
show access-lists 查看ACL配置的规则
二、扩展ACL的配置:
- 首先创建ACL
access-list 组号 permit|deny protocol {source source-wildcard destination destinnation-wildcard} [operator aperan]
说明:
组号:ACL表号,对于扩展ACL,是100~199中的一个数字
permit|deny:允许或者拒绝
protocol:用于指定协议类型,如IP、TCP、UDP、ICMP等
source、destination:源地址、目的地址,可以是ip地址,也可以是网段地址
source-wildcard、destinnation-wildcard:反掩码,源地址反码,目的地址反码
operator aperan:lt(小于)、gt(大于)、eq(等于)或者neq(不等于)一个端口号
例子:
(1)、access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.20.0 0.0.0.255 允许网络192.168.1.0访问网络192.168.20.0的IP流量通过
(2)、access-list 101 deny ip any any
(3)、access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq 21
(4)、access-list 101 permit ip any any
(5)、access-list 101 deny icmp 192.168.1.0 0.0.0.255 host 192.168.2.2 echo
(6)、no access-list 101
- 将ACL应用于接口(先进接口再配置)
与标准ACL一样,只有将ACL应用于接口,ACL才会生效。
ip access-group 101 in
ip access-group 101 out
- 命名ACL配置
- 创建ACL
ip access-list standard|extended access-list-name
说明:
standard:定义标准ACL
extended:定义扩展ACL
access-list-name:ACL表的名称
如果是标准命名ACL:
permit | deny 源地址 反掩码
如果是扩展命名ACL
permit | deny 协议 源地址 反掩码 目的地址 反掩码 定义 端口号
- 应用到接口
同标准ACL一样