DDN接入一笔道尽

发表于:2007-07-02来源:作者:点击数: 标签:
DDN是英文Digital Data Network的缩写形式,意思是数字数据网。这种接入方式是随着数据通信业务的发展而发展起来的一种新兴网络,是利用数字信道提供永久或半永久性电路,以传输数据信号为主的数字传输网络,其中包含了数据通信、数字通信、数字传输、数字交
   DDN是英文Digital Data Network的缩写形式,意思是数字数据网。这种接入方式是随着数据通信业务的发展而发展起来的一种新兴网络,是利用数字信道提供永久或半永久性电路,以传输数据信号为主的数字传输网络,其中包含了数据通信、数字通信、数字传输、数字交叉连接、计算机、带宽管理等技术,可以为客户提供专用的数字数据传输通道,为客户建立自己的专用数据网提供条件。
DDN的基本业务是向客户提供多种速率的数字数据专线服务,可以提供2.4、4.8、9.6、19.2、N×84(N=1~31)及2048kb/s速率的全透明的专用电路,在某些限定情况下,还可提供其他速率,例如:8、16、32、48、56kb/s 等。这种业务在数据通信领域的应用是非常广泛的,可以替代模拟专线网或电话网上开放的数据业务,广泛应用于银行、证券、气象、文化教育、电子商务等需要做专线业务的行业,适用于LAN/WAN(局域网/广域网)的互联、不同类型网络的互联以及会议电视等图像业务的传输,同时,为分组交换网用户提供接入分组交换网的数据传输通路。
企、事业单位通过DDN专线接入Internet,可享受64kb/s-2Mb/s的上网速度;一天24小时不间断停留于网上;可建立自己的Web服务器、邮件服务器;构筑企业Internet/Intranet系统;建立自己的域名网站,面向全世界的商贸伙伴发布企业信息,与各地分支机构实时交换数据信息;实现视频会议,节省长话及传真费用。
本专题的作者是一个多年从事DDN接入建网、维护的一线网管员,他结合自己的工作经历从方案的规划、硬件的联接、设备的配置等几个大的方面对DDN接入进行了详细的讲解,具有非常高的实用价值。当然,在我们实际工作的DDN网络具体实施中,还可能遇到很多预想不到的问题,例如,我们的网络中选用的不是Cisco的路由器,我们可能用到路由器是华为、3Com等其他品牌的,我们可能会用某个单独的防火墙等等,这就需要我们在了解原理的基础上,具体问题具体分析了。
“一笔道尽”未必尽,我们的目的是为了大家对DDN接入有一个基本系统全面的了解。希望大家在今后的工作中,智者见智,多多交流!

DDN接入方案的规划

郑刚
连接Internet是企业信息化不可缺少的一部分。那么面对现在各种各样的Internet接入方式,我们如何选择最适合自己企业的接入方式,如何进行具体规划,如何进行方案的实施呢?现在我们就带着问题,以大多数企业所选择的DDN接入方式为例,给大家详细讲一下Internet接入的具体实施。
接入方式的选择
每个企业应该根据自己公司的经济实力、业务需求、公司计算机网络规模、数据流量需求以及公司未来发展需求来选择适合自己企业的接入方式。
目前电信部门为广大用户提供了多种Internet接入方式。如普通的拨号接入、ISDN接入、ADSL接入、分组网接入、帧中继网接入、DDN接入等等。一般的大中型企业大都采用DDN接入方式。
DDN是由光纤、数字微波或卫星等数字传输设备和数字交叉复用设备组成的高质量的数据传输通道,主要传送各种数据业务。DDN的运用对象主要是固定传输数据的客户。
DDN接入具有以下特点:
1.DDN可满足客户对不同通信速率的要求。
DDN接入根据用户速率要求和终端的距离差异可提供64Kb/s~2Mb/s的通信速率。而且DDN的传输延时比较短,平均小于0.45ms。
2.实现高质量、低误码率的透明传输。
DDN网络采用高质量、大容量的光纤、数字微波线路,并且有路由迂回功能,安全可靠,且极便于组网扩容。
3.通信容量大。
采用数字传输方式,可综合传输话音(传真)、数据、图象信息,方便各种局域网的联网。
4.DDN能够提供高可用率的稳定保障。
由于DDN采用的网络设备能够实时收集网络内的故障并进行分析和定位,而且当遇到电路故障时可以自动进行路由迂回。所以DDN的线路十分流畅,具有高可用率。
对于大多数计算机数量在15台以上或者网络通信流量需求很大的企业,DDN不失为一个很好的选择。除了以上几个特点外,对于大多数企业来说,更为重要的是DDN的性价比。就目前大多数企业采用的256kb/s的DDN为例,本地网营业区内的月租费用为2500元,本地网营业区间的月租费用是3200元,长途月租费用是5500元。
企业网络拓扑结构的确定
企业网络拓扑结构大致可分为总线型、环型、星型、树型、分布式、网状、蜂窝状、混和型结构等等。最常用的是总线型、星型和混合型结构。现代大中型企业的网络主要由服务器、磁盘阵列、交换机、路由器、集线器、基带猫、客户计算机等组成。
选用DDN接入的企业,其网络拓扑结构图一般如图1所示:

网络类型的确定
在各种大中型规模的局域网中,大部分企业采用的是千兆/百兆以太网。这种网络能够满足企业网对带宽、性能等方面的要求。而在局域网中,主要采用5类双绞线进行各种设备的连接。当然,这只是在距离不超过100米的情况下的选择。如果超过这个距离,信息传输效果将会很不尽人意。这时我们可以采用网络中继器进行信号放大或者采用光纤等传输介质进行信号传输。特别需要注意的是双绞线又分为非屏蔽双绞线(UTP)和屏蔽双绞线(STP)。在一般情况下使用非屏蔽双绞线即可,但是在某些特殊场合,如受电磁辐射严重、对传输质量要求较高时就得采用屏蔽双绞线。这样才能取得较好的传输效果。
网络设备的选择
就网络设备来说不外乎路由器、交换机、磁盘阵列、Modem、集线器等设备。对于DDN专线接入来说,路由器、交换机和Modem(专指基带猫)的选择是十分重要的。在这里我推荐采用思科公司生产的Cisco 3600。这是一款是目前市场上比较高档的路由器,其功能十分强大,而且十分稳定。对于一般的企业,Cisco 3600的功能已经是足够用了。交换机推荐使用思科公司生产的Cisco 2900或者3Com公司生产的3C16954,这两款产品在性价比上都比较适合一般企业使用。至于DDN专用的基带猫,这一般是由您的接入商提供给您使用的,但是所有权还是归接入商所有。
网络安全的规划
网络的安全性是现在企业上网不可忽视的一环。在网络安全的规划上我提出几点自己的看法。
1.网络的配置
在网络的配置上,主要通过三方面进行安全防护。一是采用路由技术。采用路由技术,可以防止入侵者直接访问数据库等内部资源。二是采用虚拟局域网(VLAN)方案。把网络上相互间没有直接关系的系统分布在不同的网段上,由于各网段间不能直接互访,从而减少各系统被正面攻击的机会。三是购置防火墙。虽然,Cisco、Bay等公司的路由器通常都具有过滤型防火墙功能(过滤掉非正常IP包,把大量的非法访问隔离在路由器之外),但仅仅这样还是不够的,我们最好还是购置代理类型的防火墙。
2.系统配置
根据调查显示,80%以上的网络入侵都是内部作案。因此,对于系统的安全配置也是不可忽视的。这里所说的系统指的是主机的操作系统、数据库操作系统、路由器和交换机等的操作系统。我们尽量要做到减少没有必要运行的服务程序,设置比较安全的加密口令,避免使用超级用户或者系统默认项目,关闭不必要的端口。
3.完整的日志记录和分析
完整的日志不仅要包括用户的各项操作,而且还要包括网络中数据接收的正确性、有效性及合法性的检查结果,为以后网络安全分析提供依据。对日志的分析还可用于预防入侵,提高网络安全。例如,如果分析结果表明某用户某日失败注册次数高达20次,就可能是入侵者正在尝试该用户的口令。
以上,仅仅是对一般企业DDN接入方案的规划,当我们遇到一些具体问题时,还要具体分析,不能一概而论。

DDN接入中硬件的联接
郑刚
在DDN接入中,路由器、交换机等硬件的联接也是重要的一环,下面,我们就介绍如何实施各种硬件之间的联接。
局域网的硬件连接
我们要完成把整个局域网接入DDN的工作,那首先要组建一个局域网。
局域网首先要确定采用的网络结构。在这里我们主要介绍,多数公司采用的是混合型网络结构。 其示意图见图1。

构建局域网时,每台电脑最少都得安装一个网卡,而做服务器的计算机最好安装两个网卡。现在市场上最常见的是10M/100M自适应网卡。一般计算机的网卡价格在40~70元之间,服务器网卡要贵很多,其价格大概在1000~3000元之间。服务器之所以安装两块网卡,主要是因为,一块网卡用于设置内部IP地址,连接局域网;另外一块设置外部公用IP地址,连接外网。
在构建局域网时,与交换机直接相连的设备其网线的线头都采用表1所示连接法,而在集线器和集线器之间的网线则采用表2所示连接法。简单地说,就是相同设备之间联接采用交叉线,不同设备之间采用直连线。表3是百兆集线器之间的连接方法。
需要注意的一点是,从交换机或集线器连接到另外一台集线器时,网线必须接在集线器的UP-Link口上,而且在与UP-Link口用一条横线连接在一起的端口(八口的集线器一般是第一端口或者第八端口,十六口的集线器一般是第一端口或者第十六端口)不能再连接客户机。
路由器的联接
Cisco 3600路由器要做DDN专线接入必须要安装DDN模块。DDN模块上有两个串行口(Serial),我们用其中之一来连接基带猫。串行口和基带猫之间是用V.35串口线进行连接。而路由器上的10M/100M/1000M Ethernet口则是用来连接交换机的;Console口用来连接控制计算机的,我们可以通过Console口对路由器进行配置。

表1

表2

表3
DDN接入中路由器的配置
郑刚
要对路由器进行配置,我们需要准备一台终端计算机,用路由器中所配的Console电缆及Terminal连接器,将终端机连接到路由器的Console口。
连接好电源线,检查无误后,先将终端电源打开,再将路由器电源打开,显示信息如下(一些信息省略,在省略的信息中若系统让您选择,直接回车就可):
Enter host name [Router]: Router
(路由器取名为Router)
Enter enable secret: cisco
(设置路由器高级口令为cisco)
Enter enable password: user
(设置路由器低级口令为user)
Enter virtual terminal password: cisco
(设置路由器虚终端口令为cisco )
Configure IGRP routing? [yes]: no
(不采用IGRP协议路由)
Number of bits in subnet field [0]:16
Class A network is 86.0.0.0, 16 subnet bits; mask is 255.255.255.0  
IP address for this interface: 86.101.254.3
(输入本路由器广域网口 IP地址)
Number of bits in subnet field [0]:16
Class A network is 86.0.0.0, 16 subnet bits; mask is 255.255.255.0   
Is this interface in use? [yes]: no
(不使用本广域网口)  
Router>
Router>enable
(进入路由器超级用户)
Password:
(输入路由器高级口令,但不会显示)
Router#config
(进入设置状态)
Configuring from terminal, memory, or network [terminal]? 回车
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#int e0
(初始化路由器局域网口)
Router(config-if)#ip add 86.101.3.20 255.255.255.0 (路由器局域网口地址 及子网掩码)
Router(config-if)#int s0
(初始化路由器广域网口)
Router(config-if)#ip add 86.101.254.3 255.255.255.0
(路由器广域网口地 址及子网掩码)
Router(config-if)#encap ppp
(采用ppp)
Router(config-if)#exit
(退出接口设置状态)
Router(config-if)#ip route 86.101.4.0 255.255.255.0 S0
(对方局域网络、子网掩码及与本地相连的广域网口)
Router(config)#exit
(退出设置状态)
Router#write
(保存设置信息)
Building configuration...
[OK]

DDN接入中服务器的配置
郑刚
DDN接入是一种非常稳定的接入方式,它为我们自己架设广域网上的各种应用服务奠定了非常好的物理基础。下面就双网卡、DHCP、Web、邮件等几个问题介绍服务器的配置,希望能起到抛砖引玉的作用。
双网卡的配置
服务器一般都安装的是双网卡。其中之一用来联接企业的局域网。这块网卡配置的IP地址是企业自己内部设定的。作为我们访问Internet必不可少的服务,我们还要配置ISP服务商所给的DNS地址和本地网的网关。另外一块网卡是用来联接广域网的。这块网卡要配置ISP服务商所提供的公用IP地址和子网掩码、网关、DNS服务器。
在这部分的配置过程中,之所以要安装两块网卡,主要是考虑到大多数企业在服务器上建立了自己的对外网站,而网站所联接的数据库为了保证安全,则需要建立在另外一台处于局域网的服务器上。这样,互联网的用户可以从Internet上问公司的网页,而我们可以在局域网中安全地管理数据信息。
DHCP的配置
为了能让DHCP服务器自动给局域网中的各个客户端分配IP地址,子网掩码,我们需要配置一台DHCP服务器。而用DHCP服务器自动分配IP地址就必须设置地址租约。所谓的地址租约就是IP地址的有效期。当租约到期时,该IP 地址就不再属于原来分配给的那台计算机,除非续租。
设置DHCP服务器,可以根据客户端计算机的MAC地址来给其分配一个固定的IP地址,也可以采取随机分配。采取随机分配这种方式,每台计算机的IP地址就不是固定的。当某一台客户机一关机,其所用的IP地址就可能分配给别的计算机。
当采用的DHCP分配IP地址,客户端计算机的网络属性里就必须选择自动获取IP地址的属性。
Web服务器的设置
 在企业做了DDN接入后,建立企业自己的网站就必然成了企业信息化的一个重要组成部分。现在有很多软件都可以帮助企业很轻松地建立起自己的Web服务器。下面就以Windows 2000为例讲一下如何运用其自带的IIS建立Web服务器。
IIS是Internet信息服务(Internet Infomation Server)的缩写。它是一种Web服务,主要包括WWW服务器、FTP服务器等。
1.打开IIS管理器:选“开始菜单→程序→管理工具→Internet信息服务”。
2.配置“Web”站点:点击该服务器,选择“新建Web站点”,依照提示进行下一步操作。依次输入,网站名称,该网站IP地址(注意该网站IP地址就是本服务器的公用IP地址),此Web站点所用到的TCP端口(Web站点所用的都是80端口),网页文件所在的主目录等即可。
3.在做完这些设置后,可根据需要修改该网站的属性。
需要提出一点的是,建立企业自己的Web服务器,最好去电信部门申请一个域名。否则在进行浏览企业网站时,就只能输入企业公用IP地址才可以访问。
邮件服务器的配置
 由于企业采用了DDN专线接入,它具有良好的稳定性和安全性,所以也可以配制一台服务器做邮件服务器。
 如果采用的Windows 2000操作系统,最好使用Exchange 2000 Server来作为企业邮件服务器。Exchange 2000可以让前端和后端服务器隔离。这个功能,可以有效实现优化计算机和灾难恢复。由于Exchange 2000的使用比较复杂,所以就不详细介绍如何进行配置了。大家可以参考一下Exchange 2000的使用手册。

DDN接入中交换机的配置
郑刚
交换机的基本配置和路由器差不多,在这里主要讲一下在交换机上进行VLAN(虚拟局域网)的划分和配置。
VLAN是在整个网络中通过网络交换设备建立的虚拟工作组。VLAN在逻辑上等于OSI模型的第二层的广播域,与具体的物理网及地理位置无关。虚拟工作组可以包含不同位置的部门和工作组,不必在物理上重新配置任何端口,真正实现了网络用户与它们的物理位置无关。VLAN技术把传统的广播域按需要分割成各个独立的子广播域,将广播限制在虚拟工作组中,由于广播域的缩小,网络中广播包消耗带宽所占的比例大大降低,网络的性能得到显著的提高。图1所表示的是一个大公司中的不同性质的部门划分到不同的VLAN中。运营部的若干台电脑划在VLAN1中,财务部的若干台电脑划在VLAN2中。这样,财务部的数据就不会向运营部的的机器上广播,也不会和运营部的机器发生数据冲突。所以VLAN有效地分割了冲突域和广播域。
VLAN通过建立网络防火墙使不必要的数据流量减至最少,隔离各个VLAN间的传输和可能出现的问题,使网络吞吐量大大增加,减少了网络延迟。在虚拟网络环境中,可以通过划分不同的虚拟网络来控制处于同一物理网段中的用户之间的通信。这样一来有效地实现了数据的保密工作,而且配置起来并不麻烦,网络管理员可以逻辑上重新配置网络,迅速、简单、有效地平衡负载流量,轻松自如地增加、删除和修改用户,而不必从物理上调整网络配置。
VLAN的划分可以有三种方式:基于端口的VLAN、基于MAC地址的VLAN和基于IP地址的VLAN。
基于端口的VLAN
基于端口的VLAN就是将交换机中的若干个端口定义为一个VLAN,同一个VLAN中的客户端处于同一个网段,不同的VLAN之间进行通信需要通过路由器。采用这种方式的VLAN其不足之处是灵活性不好,例如当一个客户端从一个端口移动到另外一个新的端口时,如果新端口与旧端口不属于同一个VLAN,则用户必须对该客户端重新进行配置,加入到新的VLAN中。否则,该节点将无法进行网络通信。
基于MAC地址的VLAN
在基于MAC地址的VLAN中,交换机对客户端的MAC地址和交换机端口进行跟踪,在新客户端入网时根据需要将其划归至某一个VLAN,而无论该客户端在网络中怎样移动,由于其MAC地址保持不变,因此所处的VLAN保持不变。这种VLAN技术的不足之处是在客户端入网时,需要对交换机进行比较复杂的手工配置,以确定该客户端属于哪一个VLAN。
基于IP地址的VLAN
在基于IP地址的VLAN中,新客户端在入网时无需进行太多配置,交换机则根据各客户端网络地址自动将其划分成不同的VLAN。在三种VLAN的实现技术中,基于IP地址的VLAN智能化程度最高,实现起来也最复杂。
基于端口的VLAN实例
下面就以最常用的基于端口的VLAN划分为例。讲解一下在交换机上如何进行VLAN的配置。
VLAN的配置分以下2步: 设置VLAN名称; 应用到端口。
首先设置VLAN的名称。设置格式为“vlan  VLAN号  name  VLAN名称”。 在特权配置模式下进行配置:
Switch (config)#vlan 2 name accounting
Switch (config)#vlan 3 name marketing
新配置了两个VLAN,为什么VLAN号从2开始呢?这是因为默认情况下,所有的端口都放在VLAN 1上,所以要从2开始配置。配置好了VLAN名称后,就要进入每一个交换机的端口来设置VLAN。在交换机中,要进入某个端口,比如说第4个端口,要用 interface Ethernet 0/4。假设让端口2、3、4和5属于VLAN2 ,端口17—22属于VLAN3 。命令格式为“vlan-membership  static/ dynamic  VLAN号” 。 静态的或者动态的两者必须选择一个,后面是刚才配置的VLAN号。我们看看具体步骤:
Switch(config)#interface ethernet 0/2
Switch(config-if)#vlan-membership static 2
Switch(config-if)#int e0/3
Switch(config-if)#vlan-membership static 2
Switch(config-if)#int e0/4
Switch(config-if)#vlan-membership static 2
Switch(config-if)#int e0/5
Switch(config-if)#vlan-membership static 2
Switch(config-if)#int e0/17
Switch(config-if)#vlan-membership static 3
Switch(config-if)#int e0/22
Switch(config-if)#vlan-membership static 3
Switch(config-if)#
好的,现在已经把VLAN都定义到了交换机的端口上了。以上所配置的,只是静态的,关于动态的,我们会在下面提到。到现在为止,已经把交换机的VLAN配置好了。为了验证我们的配置,在特权模式使用“show vlan”命令。输出如下:
Switch(config)#show vlan
VLAN Name Status Ports
--------------------------------------
1 default Enabled 1,6-16,22-24,AUI,A,B
2 acconting Enabled 2-5
3 marketing Enabled 17-22
以下显示,略。
这是一个24口的交换机,并且带有AUI和两个100M端口(A、B),可以看出来,设置已经在正常工作了。也可以使用“show vlan VLAN号”的命令来查看某个VLAN,比如“show vlan 2”,“show vlan 3”。 还可以使用“show vlan-membership”,改命令主要是为了显示交换机上的每一个端口静态或动态的,并明确是属于哪个VLAN。
以上是给交换机配置静态VLAN的过程,下面看看动态的VLAN。动态的VLAN形成很简单,由端口自己决定各节点属于哪个VLAN 。不过,这并不意味着这种所属是一成不变的,它只是一个简单的映射,这个映射取决于网络管理员创建的数据库。分配给动态VLAN的端口被激活后,交换机就缓存初始帧的源MAC地址,随后,交换机便向一个称为VMPS(VLAN 管理策略服务器)的外部服务器发出请求,VMPS 中包含一个文本文件,文件中存有进行VLAN 映射的MAC地址。交换机对这个文件进行下载,然后对文件中的MAC地址进行校验。如果在文件列表中找到MAC 地址,交换机就将端口分配给列表中的VLAN。如果列表中没有MAC 地址,交换机就将端口分配给默认的VLAN(假设已经定义默认了VLAN)。如果在列表中没有MAC地址,而且也没有定义默认的VLAN,端口不会被激活。这是维护网络安全一种非常好的的方法。从表面上看,动态VLAN的优势很大,但它也有致命的缺点,即创建数据库是一项非常艰苦而且非常繁琐的工作。如果网络上有数千个工作站,则有大量的输入工作要做。即使有人能胜任这项工作,也还会出现与动态的VLAN有关的很多问题。另外,保持数据库为最新也是要随时进行的非常费时的工作。所以我们并不经常用到它,有兴趣的朋友可以参考相关的Cisco的文档资料。
这样VLAN就全配置完了。但是在配置VLAN之前必须做好对网络的前期规划。就是说,哪些计算机在一个VLAN中,各自的IP地址、子网掩码如何分配,以及VLAN之间互相通 信的问题。只有做好规划,我们才能够在配置和以后的使用维护过程中得心应手。


DDN接入中路由器防火墙的配置
郑刚
在做完DDN接入的路由器,服务器,交换机的配置之后,这只是完成了最基本的联接互联网的配置。这样的配置只能完成互联网和局域网的互通,对于局域网内的网络安全,却并没有保障。下面,我们就需要做一些基本的网络安全设置。
现在,许多企业都购置了防火墙,然而对于做DDN接入并采用了Cisco公司生产的Cisco系列路由器的企业,就没有必要再投入大量的资金购买其他各种防火墙了,因为Cisco系列路由器的操作平台Cisco IOS集成了一系列构建防火墙和入侵检测系统的功能。利用这些功能,您就可以不必选购单独的防火墙设备(Firewall Box),而使用已有的Cisco路由器帮助您构建自己的防火墙了。
那么,该如何配置自己的路由器防火墙呢?
首先,需要您获取适合自己企业Cisco路由器的IOS。如果只是对最基本的防火墙感兴趣(对IP地址和端口进行过滤),那么您可以通过Cisco路由器中已有的扩展访问控制列表来实现过滤。但如果您想要防火墙具备更强大的功能,那么您还需要加入防火墙/入侵检测系统(FW/IDS)。由于篇幅有限,在这里我就不讲述如何配置防火墙/入侵检测系统(FW/IDS),主要讲解一下配置最基本防火墙的常用命令。有兴趣的朋友可以根据以下命令尝试配置一下。

1. ccess-list 用于创建访问规则。
(1)创建标准访问列表
access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ]
(2)创建扩展访问列表
access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]
(3)删除访问列表
no access-list { normal | special } { all | listnumber [ subitem ] }
参数说明如下:
normal 指定规则加入普通时间段。
special 指定规则加入特殊时间段。
listnumber1 是1到99之间的一个数值,表示规则是标准访问列表规则。
listnumber2 是100到199之间的一个数值,表示规则是扩展访问列表规则。
permit 表明允许满足条件的报文通过。
deny 表明禁止满足条件的报文通过。
protocol 为协议类型,支持ICMP、TCP、UDP等,其他的协议也支持,此时没有端口比较的概念;为IP时有特殊含义,代表所有的IP协议。
source-addr 为源地址。
source-mask 为源地址通配位,在标准访问列表中是可选项,不输入则代表通配位为0.0.0.0。
dest-addr 为目的地址。
dest-mask 为目的地址通配位。
operator[可选] 端口操作符,在协议类型为TCP或UDP时支持端口比较,支持的比较操作有:等于(eq)、大于(gt)、小于(lt)、不等于(neq)或介于(range);如果操作符为range,则后面需要跟两个端口。
port1 在协议类型为TCP或UDP时出现,可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。
port2 在协议类型为TCP或UDP且操作类型为range时出现;可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。
icmp-type[可选] 在协议为ICMP时出现,代表ICMP报文类型;可以是关键字所设定的预设值(如echo-reply)或者是0~255之间的一个数值。
icmp-code在协议为ICMP且没有选择所设定的预设值时出现;代表ICMP码,是0~255之间的一个数值。
log [可选] 表示如果报文符合条件,需要做日志。
listnumber 为删除的规则序号,是1~199之间的一个数值。
subitem[可选] 指定删除序号为listnumber的访问列表中规则的序号。
例:允许源地址为86.101.1.0 网络、目的地址为86.101.2.0网络的WWW访问,但不允许使用FTP。
Router(config)#access-list 100 permit tcp 86.101.1.0 255.255.255.0 86.101.2.0 255.255.255.0 eq www
Router(config)#access-list 100 deny tcp 86.101.1.0 255.255.255.0 86.101.2.0 255.255.255.0 eq ftp
2. clear access-list counters清除访问列表规则的统计信息。
具体格式为:clear access-list counters [ listnumber ]
参数说明如下:
listnumber [可选] 要清除统计信息的规则的序号,如不指定,则清除所有的规则的统计信息。
例:清除当前所使用的序号为60的规则的统计信息。
Router #clear access-list counters 60
3. firewall 启用或禁止防火墙。
具体格式为:firewall { enable | disable }
参数说明如下:
enable 表示启用防火墙。
disable 表示禁止防火墙。
例:启用防火墙。
Router (config)#firewall enable
4. firewall default 配置防火墙在没有相应的访问规则匹配时,缺省的过滤方式。
具体格式为:firewall default { permit | deny }
参数说明如下:
permit 表示缺省过滤属性设置为“允许”。
deny 表示缺省过滤属性设置为“禁止”。
例:设置缺省过滤属性为“允许”。
Router (config)#firewall default permit
5. ip access-group 使用此命令将规则应用于接口上。使用此命令的no形式来删除相应的设置。
具体格式为:ip access-group listnumber { in | out }
[ no ] ip access-group listnumber { in | out }
参数说明如下:
listnumber 为规则序号,是1~199之间的一个数值。
in 表示规则用于过滤从接口收上来的报文。
out 表示规则用于过滤从接口转发的报文。
例:将规则101应用于过滤从以太网口收上来的报文。
Router (config-if-Ethernet0)#ip access-group 101 in
6. settr 设定或取消特殊时间段。
具体格式为:settr begin-time end-time
            no settr
参数说明如下:
begin-time 为一个时间段的开始时间。
end-time 为一个时间段的结束时间,应该大于开始时间。
例:设置时间段为9:30~12:00,13:00~17:00。
Router (config)#settr 9:30 12:00 13:00 17:00
7. show access-list 显示包过滤规则及在接口上的应用。
具体格式为:
show access-list [ all | listnumber | interface interface-name ]
参数说明如下:
all 表示所有的规则,包括普通时间段内及特殊时间段内的规则。
listnumber 为显示当前所使用的规则中序号为listnumber的规则。
interface 表示要显示在指定接口上应用的规则序号。
interface-name 为接口的名称。
例1:显示当前所使用的序号为100的规则。
Router #show access-list 100
Using normal packet-filtering access rules now.
100 deny icmp 86.101.1.0 255.255.255.0 any host-redirect (3 matches,252 bytes -- rule 1)
100 permit icmp 86.101.1.0 255.255.255.0 any echo (no matches -- rule 2)100 deny udp any any eq rip (no matches -- rule 3)
例2:显示接口Serial0上应用规则的情况。
Router #show access-list interface serial 0
Serial0:access-list filtering In-bound packets : 120
access-list filtering Out-bound packets: None
8.其他常用的命令。
show firewall:显示防火墙状态。
show isintr:显示当前时间是否在时间段之内。
show timerange:显示时间段包过滤的信息。
timerange { enable | disable }:启用或禁止时间段包过滤功能。
以上的这些命令只是用来配置最基本的Cisco IOS防火墙。其实,Cisco公司已经推出了比Cisco IOS防火墙更为高端的PIX防火墙产品,但由于其价格昂贵,目前中小型企业购置的还不是很多。

,

原文转自:http://www.ltesting.net