什么是路由器的訪問控制列表功能?
路由器提供了基本的通信流量過濾的能力——這就是訪問控制列表,它是路由器一系列的允許和拒絕陳述語句集合的命令行,這些陳述語句對用戶的數據包中包含的地址(IP地址)和上層協議(TCP、UDP、FTP等)進行控制。訪問控制列表(ACL)是應用到路由器接口的指令列表,這些指令列表用來告訴路由器哪些數據包可以接收,哪些數據包需要拒絕,也就是可以轉發和被丟棄。至于數據包是被拒絕還是被接收,可以由源地址、目的地址、協議、端口號等的指示條件來決定。
網友提出的網絡結構的廣域網連接有兩條線,一條是通往教育網(CERNET)的專線,一條是通往其他電信營運商的廣域網(如:中國網通的CNCNET)的ADSL。按照網友所提出的“如果用戶訪問教育網,還是通過本地的寬帶接入”的要求,那么最簡便的辦法就是控制所有從教育網端口出去的流量的目的地IP都指定成為教育網的IP網段(我想網友應可以從CERNET的網絡中心那獲得教育網的網段IP),而通往ADSL的訪問流量的目的地IP則不作任何限制。
需要的設備
正如我們已經知道的“訪問控制列表”是所有路由器都具有的基本功能。所以只要上檔次的路由器都可以選擇。在本案例中小酷給這位網友推薦思科公司的Cisco2600系列路由器(見圖1)。 產口代碼為Cisco 2611XM的這款產品應能滿足這位網友的方案要求。Cisco 2600 系列是一個屢獲大獎的模塊化多服務產品家族,它提供靈活的LAN 到 WAN配置,多樣化的安全選項,綜合語音、數據服務,一系列高性能CPU,廣范圍的功能和接口,能靈活選擇超過50個模塊來添加進路由器中以滿足各種線路類型需要,使Cisco 2600 家族能適應從現在到將來的應用需求。
Cisco 2611XM支持的功能包括:
•多服務語音/數據綜合服務
•帶有防火墻和加密選項的VPN訪問
•慮擬拔號訪問服務Analog dial access services
•具有帶寬管理的路由選擇
•內部局域網VLAN路由
•高速商務級DSL訪問傳輸
•低成本 ATM訪問
•低密度交換
![]("http://cisco.chinaitlab.com/imgfiles/2003.10.31.12.16.4.111111111111.jpg")
Cisco 2611XM 多服務路由器提供一個網絡模塊插槽,兩個10/100BaseT 以太網接口,兩個綜合廣域網接口卡插槽,一個高級綜合模塊插槽(見圖2)。我們最常用的是前面三個,在本案例中我要配套選購兩個廣域網接口卡模塊:
![]("http://cisco.chinaitlab.com/imgfiles/2003.10.31.12.16.25.222222222222222.gif")
(1)WIC-1T(見圖3)這塊高速串行廣域網接口卡將安裝在CISCO2611XM的廣域網接口卡插槽1,通過串行電纜連接到基帶MODEM等通信終端設備,然后連往教育網專線。
![]("http://cisco.chinaitlab.com/imgfiles/2003.10.31.12.16.39.3333333333333333.gif")
(2)WIC-1ADSL(見圖4)這塊ADSL廣域網接口卡含有ADSL信道通信單元,所以不必另外購置ADSL MODEM,把它安裝在CISCO2611XM的廣域網接口卡插槽2。可直接通過它的RJ11接口連入用戶申請的ADSL電話線路。
![]("http://cisco.chinaitlab.com/imgfiles/2003.10.31.12.16.54.44444444.jpg")
參考的ACL配置命令
下面是在CISCO2611XM上可能的訪問控制列表配置命令行:(僅作為參考)
Router>
Router>enable 進入特權模式
Router#
Router#config terminal 進入配置模式
Router(config)#
Router(config)#hostname Cisco2611XM 修改路由器的名字為Cisco2611XM
Cisco2611XM(config)#
Cisco2611XN(config)#access-list 1 deny any any 創建訪問控制列表號為1,并禁止任何流量通過
Cisco2611XM(config)#access-list 1 permit 192.168.0.0 0.0.255.255 218.192.0.0 0.0.255.255 假設網友的內網IP網段設192.168.0.0--192.168.255.255,教育網的網段為218.192.0.0—218.192.255.255。允許來自內網的用戶能訪問教育網上的所有IP
Cisco2611XM(config)#
Cisco2611XM(config-if)# interface s0 進入接口s0配置模式
Cisco2611XM(config-if)#ip address 192.168.1.1 255.255.255.0 給s0端口配置的IP地址為192.168.0.1 子網掩碼為255.255.255.0
Cisco2611Xm(config-if)#no shutdown 激活該端口
Cisco2611XM(config-if)#ip access-group 1 out 將訪問控制列表1寫入端口s0
Cisco2611XM(config-if)#exit 退出接口配置模式
Cisco2611XM(config)#router rip 啟用RIP路由選擇協議
Cisco2611XM(config-router)#network 192.168.1.0 直接與路由器連接的網絡地址,內網網絡號
Cisco2611XM(config-router)#network 218.192.19.0 教育網網絡號
Cisco2611XM(config-router)#network 202.112.15.0 ADSL網絡號
Cisco2611XM(config-router)#exit 退出路由選擇配置模式
Cisco2611XM(config)#exit
Cisco2611XM #copy running-config startup-config 保存以上配置
網絡拓樸圖
本案例的網絡拓樸圖如下:
![]("http://cisco.chinaitlab.com/imgfiles/2003.10.31.12.20.13.5555.gif")
