什么是路由器的访问控制列表功能?
路由器提供了基本的通信流量过滤的能力——这就是访问控制列表,它是路由器一系列的答应和拒绝陈述语句集合的命令行,这些陈述语句对用户的数据包中包含的地址(ip地址)和上层协议(TCP、UDP、FTP等)进行控制。访问控制列表(ACL)是应用到路由器接口的指令列表,这些指令列表用来告诉路由器哪些数据包可以接收,哪些数据包需要拒绝,也就是可以转发和被丢弃。至于数据包是被拒绝还是被接收,可以由源地址、目的地址、协议、端口号等的指示条件来决定。
网友提出的网络结构的广域网连接有两条线,一条是通往教育网(CERNET)的专线,一条是通往其他电信营运商的广域网(如:中国网通的CNCNET)的ADSL。按照网友所提出的“假如用户访问教育网,还是通过本地的宽带接入”的要求,那么最简便的办法就是控制所有从教育网端口出去的流量的目的地IP都指定成为教育网的IP网段(我想网友应可以从CERNET的网络中心那获得教育网的网段IP),而通往ADSL的访问流量的目的地IP则不作任何限制。
需要的设备
正如我们已经知道的“访问控制列表”是所有路由器都具有的基本功能。所以只要上档次的路由器都可以选择。在本案例中小酷给这位网友推荐思科公司的Cisco2600系列路由器(见图1)。 产口代码为Cisco 2611XM的这款产品应能满足这位网友的方案要求。Cisco 2600 系列是一个屡获大奖的模块化多服务产品家族,它提供灵活的LAN 到 WAN配置,多样化的安全选项,综合语音、数据服务,一系列高性能CPU,广范围的功能和接口,能灵活选择超过50个模块来添加进路由器中以满足各种线路类型需要,使Cisco 2600 家族能适应从现在到将来的应用需求。
Cisco 2611XM支持的功能包括:
•多服务语音/数据综合服务
•带有防火墙和加密选项的VPN访问
•虑拟拔号访问服务Analog dial access services
•具有带宽治理的路由选择
•内部局域网VLAN路由
•高速商务级DSL访问传输
•低成本 ATM访问
•低密度交换
Cisco 2611XM 多服务路由器提供一个网络模块插槽,两个10/100BaseT 以太网接口,两个综合广域网接口卡插槽,一个高级综合模块插槽(见图2)。我们最常用的是前面三个,在本案例中我要配套选购两个广域网接口卡模块:
(1)WIC-1T(见图3)这块高速串行广域网接口卡将安装在CISCO2611XM的广域网接口卡插槽1,通过串行电缆连接到基带MODEM等通信终端设备,然后连往教育网专线。
(2)WIC-1ADSL(见图4)这块ADSL广域网接口卡含有ADSL信道通信单元,所以不必另外购置ADSL MODEM,把它安装在CISCO2611XM的广域网接口卡插槽2。可直接通过它的RJ11接口连入用户申请的ADSL电话线路。
参考的ACL配置命令
下面是在CISCO2611XM上可能的访问控制列表配置命令行:(仅作为参考)
Router
Routerenable 进入特权模式
Router#
Router#config terminal 进入配置模式
Router(config)#
Router(config)#hostname Cisco2611XM 修改路由器的名字为Cisco2611XM
Cisco2611XM(config)#
Cisco2611XN(config)#access-list 1 deny any any 创建访问控制列表号为1,并禁止任何流量通过
Cisco2611XM(config)#access-list 1 permit 192.168.0.0 0.0.255.255 218.192.0.0 0.0.255.255 假设网友的内网IP网段设192.168.0.0--192.168.255.255,教育网的网段为218.192.0.0—218.192.255.255。答应来自内网的用户能访问教育网上的所有IP
Cisco2611XM(config)#
Cisco2611XM(config-if)# interface s0 进入接口s0配置模式
Cisco2611XM(config-if)#ip address 192.168.1.1 255.255.255.0 给s0端口配置的IP地址为192.168.0.1 子网掩码为255.255.255.0
Cisco2611Xm(config-if)#no shutdown 激活该端口
Cisco2611XM(config-if)#ip access-group 1 out 将访问控制列表1写入端口s0
Cisco2611XM(config-if)#exit 退出接口配置模式
Cisco2611XM(config)#router rip 启用RIP路由选择协议
Cisco2611XM(config-router)#network 192.168.1.0 直接与路由器连接的网络地址,内网网络号
Cisco2611XM(config-router)#network 218.192.19.0 教育网网络号
Cisco2611XM(config-router)#network 202.112.15.0 ADSL网络号
Cisco2611XM(config-router)#exit 退出路由选择配置模式
Cisco2611XM(config)#exit
Cisco2611XM #copy running-config startup-config 保存以上配置
网络拓朴图
本案例的网络拓朴图如下:
