1、使用CDP協(xié)議管理CISCO設(shè)備，使用TELNET遠(yuǎn)程管理設(shè)備。 用ACL控制網(wǎng)絡(luò)流量管理。 第八章網(wǎng)絡(luò)設(shè)備管理和流量管理，8.1網(wǎng)絡(luò)設(shè)備管理，案例：一家公司想利用Telnet遠(yuǎn)程登錄鄰近的路由器和交換機(jī)，并對(duì)其進(jìn)行配置和管理。 同時(shí)，用上述方法逐步繪制網(wǎng)絡(luò)整體拓?fù)鋱D。8.1.1 cdp、cisco發(fā)現(xiàn)協(xié)議(cdp、ciscodiscoveryprotocol )提供Cisco網(wǎng)絡(luò)設(shè)備之間的聯(lián)系方法，通過(guò)CDP提供相鄰設(shè)備的主機(jī)名、IP地址、MAC地址另外，如果在180秒內(nèi)沒(méi)有接收到CDP消息，則從緩存中刪除CDP條目。 CDP消息僅通過(guò)VLAN1傳輸，交換機(jī)所連接的鄰居設(shè)備的接口必須是VLA

2、N1的成員。1、CDP概述、圖8-1、CDP消息傳遞、2、CDP配置和初始配置的Cisco設(shè)備在默認(rèn)情況下啟用CDP協(xié)議功能。 在全局配置模式下設(shè)置CDP啟用或禁用圖8-2cdp！ 在串行0/0接口上啟用CDP協(xié)議。 在Fastethernet 0/0接口上，禁用CDP協(xié)議，第三，顯示CDP信息，以及顯示CDP鄰居信息的摘要。 showcdpneighborsfastethernet0/1顯示連接到設(shè)備接口fastethernet0/1的鄰近設(shè)備的信息。 show CDP neighbors詳細(xì)信息顯示相鄰設(shè)備的詳細(xì)信息。 show CDP接口顯示本地設(shè)備上每個(gè)接口的狀態(tài)、接口封裝格式、CDP

3、包的循環(huán)發(fā)送時(shí)間和CDP保留時(shí)間。 顯示CDP條目顯示有關(guān)指定鄰近設(shè)備的信息。 show CDP條目路由器等用于顯示有關(guān)相鄰路由器的信息。 使用show cdp entry *顯示所有相鄰設(shè)備信息，就像顯示show CDP neighbors詳細(xì)信息輸出一樣。 showcdptraffic :關(guān)于cdp的業(yè)務(wù)統(tǒng)一校正信息(收發(fā)cdp數(shù)據(jù)包的數(shù)量、報(bào)頭檢查、檢查錯(cuò)誤、包錯(cuò)誤等錯(cuò)誤數(shù))、4、cdp部署、 cdp run命令no cdp run命令show cdp命令cdp timer 100命令cdp holdtime 200命令Show cdp neighbor命令和8.1.2管理Telnet會(huì)

4、話(huà)可以使用CDP協(xié)議來(lái)訪問(wèn)當(dāng)前路由器在發(fā)現(xiàn)交換機(jī)的外圍設(shè)備的信息之后，還能夠通過(guò)上述方法逐步產(chǎn)生整個(gè)網(wǎng)絡(luò)的拓?fù)鋱D。 圖8-1-12 CDP角色，1telnet會(huì)話(huà)管理調(diào)用使用交換機(jī)遠(yuǎn)程登錄到RouterA的過(guò)程：圖8-1-13遠(yuǎn)程登錄，telnet:使用交換機(jī)中的主機(jī)名遠(yuǎn)程登錄到RouterA show sessions顯示從當(dāng)前設(shè)備發(fā)出的所有調(diào)用Telnet會(huì)話(huà)。 enter鍵Disconnect :斷開(kāi)本地和目標(biāo)主機(jī)的Telnet連接。 Resume Telnet連接號(hào)或連接名指定返回telnet會(huì)話(huà)的過(guò)程。2傳入Telnet會(huì)話(huà)管理、show users :顯示遠(yuǎn)程Telnet傳入主交換

5、機(jī)或路由器的狀況。 clear line :切斷從遠(yuǎn)程Telnet到本交換機(jī)或路由器的來(lái)電。8.2流量管理： acl訪問(wèn)控制列表，情況：一家公司希望允許或拒絕從互聯(lián)網(wǎng)訪問(wèn)內(nèi)部Web服務(wù)器，或者希望內(nèi)部LAN上的一個(gè)或多個(gè)工作站能夠?qū)?shù)據(jù)流發(fā)送到廣域網(wǎng)。 這些情況和其他功能可以通過(guò)訪問(wèn)表來(lái)達(dá)到目的?，F(xiàn)場(chǎng)示例、網(wǎng)絡(luò)結(jié)構(gòu)圖：圖8-3、ACL方案串聯(lián)網(wǎng)絡(luò)拓?fù)?、一、現(xiàn)場(chǎng)示例(續(xù)1 )、網(wǎng)絡(luò)結(jié)構(gòu)說(shuō)明：路由器具有兩個(gè)以太網(wǎng)接口E0和E1，并分別與202.111.170.0相連接問(wèn)題1 :假設(shè)在服務(wù)器WEB2(IP: 202.222.100.100 )上放置了新年賀歲版的企業(yè)主頁(yè)，在2007年12月31日24

6、:00之前，互聯(lián)網(wǎng)用戶(hù)想訪問(wèn)的是服務(wù)器WEB2。在之后的新年里q2:192.168.1.0只允許主機(jī)過(guò)程登錄到網(wǎng)絡(luò)中的路由器，一是現(xiàn)場(chǎng)樣本(續(xù)2 )，一是在Telnet使用的虛擬端口上設(shè)置ACL，并創(chuàng)建標(biāo)準(zhǔn)ACL， 只有希望的主機(jī)才允許登錄路由器使用CISCO路由器的基于時(shí)間的訪問(wèn)列表：可以通過(guò)一天的不同時(shí)間，或者通過(guò)一周的不同日期，當(dāng)然兩者的組合可以控制網(wǎng)絡(luò)分組的傳送。 二、處理思路、三、預(yù)備知識(shí)、1 .訪問(wèn)控制列表的概念2 .訪問(wèn)控制列表的分類(lèi)3 .訪問(wèn)控制列表的命令4 .訪問(wèn)控制列表的執(zhí)行過(guò)程5 .訪問(wèn)控制列表的配置、172.16為什么要使用訪問(wèn)控制列表1 .訪問(wèn)控制列表概念訪問(wèn)控制列表

7、(ACL )是用于路由器接口控制端口輸入/輸出分組的命令列表。 訪問(wèn)列表(access-list )是一系列授權(quán)和拒絕條件的集合，過(guò)濾通過(guò)訪問(wèn)列表發(fā)送和接收的分組的請(qǐng)求，并實(shí)現(xiàn)路由器和網(wǎng)絡(luò)的安全控制。 路徑選擇器可以逐個(gè)地檢測(cè)分組和接入列表中的條件，并且在滿(mǎn)足初始匹配條件之后確定路徑選擇器是否接收到該分組。 訪問(wèn)控制列表(ACL )。 當(dāng)外部包進(jìn)入或離開(kāi)路由器所在的端口時(shí)，路由器首先檢查包是否可以轉(zhuǎn)發(fā)。 此端口定義了數(shù)據(jù)包過(guò)濾規(guī)則；否則，數(shù)據(jù)包將通過(guò)路由器。 包過(guò)濾規(guī)則稱(chēng)為訪問(wèn)列表。 因?yàn)锳CL對(duì)流入、流出路由器數(shù)據(jù)包進(jìn)行過(guò)濾，所以也被稱(chēng)為分組過(guò)濾器。 他通過(guò)在數(shù)據(jù)包流入路由器或從路由器流出時(shí)

8、進(jìn)行檢查、過(guò)濾，達(dá)到了通信管理的目的。 外聯(lián)網(wǎng)是進(jìn)入企業(yè)網(wǎng)絡(luò)的第一級(jí)，路由器上的訪問(wèn)控制列表成為保護(hù)內(nèi)聯(lián)網(wǎng)安全的有效手段。訪問(wèn)控制列表概述、2、ACL應(yīng)用、虛擬會(huì)話(huà)(IP )、端口上的數(shù)據(jù)轉(zhuǎn)發(fā)、授權(quán)、拒絕包如果沒(méi)有訪問(wèn)列表來(lái)通過(guò)路由器授權(quán)、拒絕建立Telnet會(huì)話(huà)，則所有的包都將通過(guò)網(wǎng)絡(luò)轉(zhuǎn)發(fā)訪問(wèn)控制列表的3.ACL分類(lèi)ACL根據(jù)兩種類(lèi)型： (1)標(biāo)準(zhǔn)訪問(wèn)列表(2)擴(kuò)展訪問(wèn)列表、標(biāo)準(zhǔn)、擴(kuò)展和源地址，根據(jù)源地址和目的地址，授權(quán)并拒絕完整的TCP/IP協(xié)議指定IP的特定協(xié)議和端口號(hào)的標(biāo)準(zhǔn)檢驗(yàn)源地址通常許可，拒絕的是完整的協(xié)議擴(kuò)展檢驗(yàn)源地址和目標(biāo)地址通常許可，拒絕的是特定的協(xié)議，Outgoing Pa

9、cket、E0、S0、Incoming Packet、 Access List Processes、Protocol、訪問(wèn)控制列表的執(zhí)行過(guò)程、4、ACL的執(zhí)行過(guò)程的哪個(gè)端口執(zhí)行哪個(gè)ACL，需要按照列表中的條件語(yǔ)句的執(zhí)行順序來(lái)判斷。 如果一個(gè)數(shù)據(jù)包的標(biāo)頭與表中的條件判定語(yǔ)句匹配，則忽略后續(xù)語(yǔ)句，不再進(jìn)行檢查。 數(shù)據(jù)包僅在與第一個(gè)判定條件不一致時(shí)，才傳遞給ACL的下一個(gè)條件判定語(yǔ)句進(jìn)行比較。 如果匹配(假設(shè)允許發(fā)送)，則無(wú)論是第一個(gè)語(yǔ)句還是最后一個(gè)語(yǔ)句，數(shù)據(jù)都會(huì)立即發(fā)送到目標(biāo)接口。 如果檢測(cè)到所有ACL判定語(yǔ)句，并且沒(méi)有匹配的語(yǔ)句出口，則認(rèn)為該數(shù)據(jù)包被拒絕并丟棄。此外，在訪問(wèn)控制列表的可能值范圍、

10、5、ACL的可能值范圍-路由器部署中，標(biāo)準(zhǔn)ACL和擴(kuò)展ACL的差異用ACL的表號(hào)來(lái)表示，下表指示在各個(gè)協(xié)議上允許的合法表號(hào)的可能值范圍。通過(guò)將訪問(wèn)控制列表可能的值的范圍、訪問(wèn)控制列表正確放置、正確放置ACL ACL、過(guò)濾分組以及丟棄不希望到達(dá)目的地的分組來(lái)控制通信量。 但是，網(wǎng)絡(luò)管理員能否有效地減少不需要的通信量取決于他們將ACL放在哪里。 1 )標(biāo)準(zhǔn)ACL盡可能接近目的地。 2 )擴(kuò)展ACL應(yīng)盡可能接近源。 訪問(wèn)列表配置指南訪問(wèn)列表的編號(hào)顯示了使用哪些協(xié)議的訪問(wèn)列表的每個(gè)端口、每個(gè)方向和每個(gè)協(xié)議只能支持一個(gè)訪問(wèn)列表訪問(wèn)列表的內(nèi)容。 對(duì)數(shù)據(jù)的控制順序有嚴(yán)格限制的語(yǔ)句，應(yīng)該放在訪問(wèn)列表中所有語(yǔ)句

11、的最上面。 訪問(wèn)列表的末尾有隱式聲明，然后應(yīng)用于端口的訪問(wèn)列表不能過(guò)濾路由器自身生成的數(shù)據(jù)。 標(biāo)準(zhǔn)訪問(wèn)控制列表、標(biāo)準(zhǔn)訪問(wèn)控制列表只允許使用源地址描述數(shù)據(jù)，或者部署標(biāo)準(zhǔn)訪問(wèn)控制列表、部署標(biāo)準(zhǔn)訪問(wèn)控制列表的命令格式如下： access-listlistnumberpermit|d anysourceaddresswildcard -掩碼日志(1) lis klog (2) permit/deny-允許或拒絕，permit表示消息可以通過(guò)接口，deny表示標(biāo)準(zhǔn)IP訪問(wèn)表的源代碼(3)源地址- -源地址、標(biāo)準(zhǔn)的IP訪問(wèn)表的源地址為主機(jī)的點(diǎn)十進(jìn)制表示，例如為：192.168.6.18。 (4)主機(jī)/an

12、y-主機(jī)匹配，主機(jī)和any分別用于指定單一主機(jī)和所有主機(jī)。 host表示精確匹配，掩碼為0.0.0.0。 使用access-list1permit 192.168.6.180.0.0主機(jī)時(shí)，可以使用以下語(yǔ)句代替： access-list1permit主機(jī)192.168 : (6)Log訪問(wèn)列表記錄。 如何使用反掩碼，反掩碼和子網(wǎng)掩碼相似，但寫(xiě)法不同： 0表示需要比較，表示忽略比較反掩碼和IP地址的組合來(lái)使用，能夠記述地址范圍。 如何使用IP地址和反掩碼wildcard-mask來(lái)表示網(wǎng)段？ 建立標(biāo)準(zhǔn)訪問(wèn)控制列表以禁止來(lái)自外部網(wǎng)絡(luò)的數(shù)據(jù)流通過(guò)(該內(nèi)部主機(jī)允許訪問(wèn)外部網(wǎng)絡(luò))，例題：禁止來(lái)自一個(gè)主機(jī)

13、的數(shù)據(jù)流通過(guò)(主機(jī)172.16.4.13接入網(wǎng)172.16 ) 放置標(biāo)準(zhǔn)訪問(wèn)控制列表的標(biāo)準(zhǔn)ACL語(yǔ)句示例：允許在172.168.2.0網(wǎng)絡(luò)上進(jìn)行主行訪問(wèn)： switch # access-list1permit 172.168.2.0.0.0.255示例2 : 接入列表2 deny 172.166.0.0.0.255.255示例3 :允許所有IP訪問(wèn)：交換機(jī)#接入列表1權(quán)限0.0。 訪問(wèn)列表3 deny 172.168.2.68.0.0.0、實(shí)例和實(shí)例1 :拒絕具有特定主地址為172.168.2.5的業(yè)務(wù)能夠通過(guò)E0訪問(wèn)172.162。 (拓?fù)鋱D如圖8-4所示，具體的構(gòu)成命令如下。 路由(配置) #接入列表2從屬主機(jī)172.168.1.0路由(配置) #接入列表2端口0路由(配置) # IP接入(拓?fù)鋱D如圖8-4所示，具體的構(gòu)成命令如下。 路由器(配置) #接入列表1權(quán)限172.168.1.0.0.255路由器(配置) #接口、路由器、擴(kuò)展訪問(wèn)控制列表，擴(kuò)展的IP訪問(wèn)表檢查包的源地址和目標(biāo)地址，并檢查包的特定協(xié)議類(lèi)型、端口號(hào)等。 擴(kuò)展訪問(wèn)控制列表具有更大的靈活性和可擴(kuò)展性，允許使用特定協(xié)議通過(guò)同一地址的通信，而拒絕使用其他協(xié)議的通信，從而靈活地修改ACL