Cisco IP访问表
前 言本书集中阐述Cisco IP访问表,主要讲述访问表的操作和使用,并提供100多个示例,以便读者能够参考本书以满足自己特殊操作的需要。
访问表是网络防御外来攻击的第一关。另外,访问表还是一种控制信息流通过路由器接口的机制。这样,读者可以使用访问表设计网络操作和控制网络数据流。反过来,通过使用路由器的访问表,读者也可以建立特定的网络规划策略。
本书是Cisco专业技术丛书中的一本,本系列丛书沿用先介绍相关知识,而后给出应用的具体实例的方法。我们将回顾一下不同类型的访问表,进而介绍其格式、关键字的使用、创建方法以及如何应用到接口上。另外,每章集中讨论一种特定的访问表,并给出大量的标准应用实例。这种组织形式先概述网络应用或需求,而后借助于访问表、网络方案图解以及必要的Cisco Internet online service(IOS)语句来实现网络应用或需求,最后提供IOS语句的应用实例。作者力图给读者提供一些现实生活中的实例,以便使读者能够轻松地对其进行改造以满足特定的需求。
作为职业作家,我们很期望读者能够给出反馈意见。如果读者愿意与我们分享自己对本书中所涉及领域的见解,或者在本书未来版本中希望了解哪些专题,或者希望作者在某个更专业的领域中介绍有关Cisco的其他专题,那么读者可以通过出版社与我们联系,或者通过电子邮件直接与我们联系。
Gilbert Held
Macon, Georgia
[email=gil_held@yahoo.com]gil_held@yahoo.com[/email] Kent Hundley
Stanford, Kentucky
[email=kent.hundley@prodigy.net]kent.hundley@prodigy.net[/email]
译 者 序
译 者 序
近几年来,网络的发展非常快。网络底层的带宽正在快速增加。与此同时,网络软环境(网络管理和网络安全)的发展却相对落后于带宽的发展,就如同计算机软件的发展落后于硬件的发展一样。
政府上网工程以来,国内对网络安全的呼声越来越高。译者认为,对于进行网络安全方面工作的工程人员和研究人员而言,首先要了解现有网络设备的安全情况,才能够对网络的漏洞进行补救。译者很幸运地参加了网络安全方面的一些研究工作,近两年的时间里,也花费了很多时间研究Cisco和3COM网络设备的安全结构,对网络安全有一定的认识和见解。对于用户(网络管理员)而言,熟练掌握所使用设备的安全特征是必要的,只有这样才能较好地保护自己所在单位的网络安全。
目前,我国使用得最多的路由器是Cisco公司生产的,大量的随机文档虽然对管理员有一定的帮助,但阅读英文毕竟是一件让人心烦的事情,我们希望本书能满足用户对网络安全的需要。
本书全面地介绍了Cisco在访问表方面的思想,以及这些思想在Cisco设备中的应用。作者首先简单明了地说明了对Cisco路由器的操作和使用,然后对各种访问表进行了分别介绍,并介绍了一些非访问表的安全控制方法。书中还包含了大量现实生活中的示例,以便读者可以参照进行设备配置。书中还提到了一些可以用来增强网络安全的要点和技术。
本书由前导工作室的胡平、李化组织翻译,前导工作室的全体人员共同完成了本书的录入、校对等工作。本书的出版是集体智慧的结晶。
译者在翻译的过程中,对原书存在的一些明显错误进行了修改,以便进行正确的翻译。
如果书中仍然存在疏忽与错误之处,恳请读者批评指正。
译 者
2000年6月
目 录
译者序
前言
第1章 引言 1
1.1 Cisco专业参考指南 1
1.2 路由器的任务 1
1.3 全书预览 2
1.3.1 路由器的软硬件 2
1.3.2 Cisco访问表基础 2
1.3.3 动态访问表 2
1.3.4 基于时间的访问表 3
1.3.5 自反访问表 3
1.3.6 基于上下文的访问控制 3
1.3.7 TCP拦截和网络地址转换 3
1.3.8 IPSec 3
1.3.9 流量整形 4
第2章 路由器软硬件概述 5
2.1 硬部件 5
2.1.1 中央处理单元 5
2.1.2 闪存 6
2.1.3 只读存储器 6
2.1.4 随机存取存储器 6
2.1.5 非易失的RAM 6
2.1.6 输入/输出端口和特定介质转换器
6
2.1.7 路由器的初始化过程 8
2.2 基本的软部件 10
2.2.1 操作系统映像 10
2.2.2 配置文件 11
2.2.3 数据流 11
2.3 路由器配置过程 12
2.3.1 线缆的考虑 12
2.3.2 控制台访问 12
2.3.3 设置考虑 14
2.3.4 命令解释器 16
2.3.5 用户模式的操作 16
2.3.6 特权模式的操作 17
2.3.7 配置命令的种类 19
2.4 安全管理的考虑 22
2.4.1 口令管理 22
2.4.2 访问表 23
第3章 Cisco访问表基础 24
3.1 概述 24
3.1.1 目的 24
3.1.2 应用 24
3.2 访问表类型 25
3.2.1 标准IP访问表 25
3.2.2 扩展的IP访问表 28
3.3 IP访问表的表项注解 30
3.4 创建和使用访问表 31
3.4.1 指定接口 31
3.4.2 使用IP访问组命令 31
3.5 命名的访问表 32
3.5.1 概述 32
3.5.2 标准的命名IP访问表 32
3.5.3 标准的命名IP访问表应用 32
3.5.4 扩展的命名IP访问表 33
3.5.5 扩展的命名IP访问表应用 33
3.5.6 编辑 34
3.5.7 编辑处理过程 35
3.6 需要考虑的规则 36
3.6.1 自上而下的处理过程 36
3.6.2 添加表项 36
3.6.3 标准的访问表过滤 36
3.6.4 访问表位置 36
3.6.5 语句的位置 37
3.6.6 访问表应用 37
3.6.7 过滤方向 37
3.6.8 路由器产生的报文 37
第4章 动态访问表 38
4.1 概述 38
4.2 使用指南 40
4.3 动态访问表应用:示例1 41
4.3.1 概述 41
4.3.2 解决方案 42
4.3.3 分析 42
4.4 动态访问表应用:示例2 43
4.4.1 概述 43
4.4.2 解决方案 44
4.4.3 分析 44
4.5 动态访问表应用:示例3 45
4.5.1 概述 45
4.5.2 解决方案 45
4.5.3 分析 46
4.6 动态访问表应用:示例4 46
4.6.1 概述 46
4.6.2 解决方案 46
4.6.3 分析 47
第5章 基于时间的访问表 48
5.1 理论基础 48
5.2 概述 48
5.2.1 定义时间范围 48
5.2.2 time-range命令 49
5.2.3 absolute语句 49
5.2.4 规则 49
5.2.5 periodic语句 50
5.2.6 示例 50
5.3 注意事项 51
5.4 时间范围应用:示例1 51
5.4.1 概述 51
5.4.2 解决方案 52
5.4.3 分析 52
5.5 时间范围应用:示例2 52
5.5.1 概述 52
5.5.2 解决方案 53
5.5.3 分析 53
5.6 时间范围应用:示例3 54
5.6.1 概述 54
5.6.2 解决方案 55
5.6.3 分析 55
5.7 时间范围应用:示例4 55
5.7.1 概述 55
5.7.2 解决方案 56
5.7.3 分析 57
第6章 自反访问表 58
6.1 概述 58
6.2 操作 58
6.2.1 术语来源 58
6.2.2 特征 59
6.2.3 数据流 59
6.3 创建访问表 60
6.3.1 permit语句 60
6.3.2 evaluate语句 61
6.3.3 ip reflexive-list timeout命令 61
6.3.4 接口选择过程 61
6.3.5 观察自反访问表的操作 63
6.4 局限性 63
6.4.1 语句位置 63
6.4.2 应用支持 64
6.5 自反访问表应用:示例1 64
6.5.1 概述 64
6.5.2 解决方案 64
6.5.3 分析 65
6.6 自反访问表应用:示例2 66
6.6.1 概述 66
6.6.2 解决方案 66
6.6.3 分析 67
6.7 自反访问表应用:示例3 67
6.7.1 概述 67
6.7.2 解决方案 68
6.7.3 分析 68
6.8 自反访问表应用:示例4 68
6.8.1 概述 68
6.8.2 解决方案 69
6.8.3 分析 69
6.9 自反访问表应用:示例5 69
6.9.1 概述 69
6.9.2 解决方案 70
6.9.3 分析 70
第7章 基于上下文的访问控制 71
7.1 概述 71
7.2 特征 72
7.3 操作 72
7.4 配置 73
7.4.1 第1步—选择接口 74
7.4.2 第2步—配置访问表 74
7.4.3 第3步—定义超时和门槛值 75
7.4.4 第4步—定义检测规则 75
7.4.5 第5步—应用检测规则 76
7.4.6 其他命令 76
7.5 日志 78
7.6 CBAC示例 79
7.6.1 CBAC应用:示例1 79
7.6.2 解决方案 80
7.6.3 分析 81
7.6.4 CBAC应用:示例2 83
7.6.5 解决方案 83
7.6.6 分析 84
7.6.7 CBAC应用:示例3 86
7.6.8 解决方案 86
7.6.9 分析 87
7.6.10 CBAC应用:示例4 87
7.6.11 解决方案 88
7.6.12 分析 89
第8章 TCP拦截和网络地址转换 91
8.1 TCP拦截概述 91
8.1.1 开启TCP拦截 92
8.1.2 设置模式 93
8.1.3 主动门槛值 93
8.1.4 其他命令 93
8.2 TCP拦截应用:示例1 94
8.2.1 解决方案 94
8.2.2 分析 94
8.3 TCP拦截应用:示例2 95
8.3.1 解决方案 95
8.3.2 分析 95
8.4 网络地址转换概述 95
8.4.1 特征 96
8.4.2 局限性 96
8.5 NAT的术语 97
8.6 启用NAT 97
8.7 其他命令 99
8.8 NAT应用:示例1 100
8.8.1 解决方案 101
8.8.2 分析 101
8.9 NAT应用:示例2 102
8.9.1 解决方案1 102
8.9.2 解决方案2 102
8.9.3 分析 103
8.10 NAT应用:示例3 104
8.10.1 解决方案 104
8.10.2 分析 105
8.11 NAT应用:示例4 105
8.11.1 解决方案 106
8.11.2 分析 107
8.12 NAT应用:示例5 107
8.12.1 解决方案 108
8.12.2 分析 108
8.13 NAT应用:示例6 109
8.13.1 解决方案 109
8.13.2 分析 110
第9章 Cisco加密技术与IPSec 111
9.1 概述 111
9.2 基本的密码学 111
9.2.1 理论上的加密 111
9.2.2 实际中的加密 112
9.2.3 加密范例 112
9.2.4 优秀密钥的重要性 113
9.3 加密学定义 114
9.3.1 基础知识 114
9.3.2 对称密钥加密 114
9.3.3 非对称密钥加密 115
9.3.4 Hash函数 116
9.3.5 数字签名 116
9.3.6 授权认证 117
9.3.7 数据加密标准 117
9.3.8 数字签名标准 117
9.3.9 互连网安全联盟及密钥
管理协议 117
9.3.10 互连网密钥交换 118
9.3.11 RSA算法 118
9.3.12 Diffie-Hellman 118
9.3.13 MD5 118
9.3.14 SHA 118
9.4 CET概述 118
9.4.1 定义 118
9.4.2 实现 119
9.5 IPSec概述 121
9.5.1 IPSec的目标 121
9.5.2 IPSec基本特征 122
9.5.3 IPSec实现 125
9.6 加密应用:示例1 128
9.6.1 解决方案 128
9.6.2 分析 129
9.7 加密应用:示例2 129
9.7.1 解决方案 129
9.7.2 分析 130
9.8 加密应用:示例3 131
9.8.1 解决方案 132
9.8.2 分析 133
9.9 加密应用:示例4 133
9.9.1 解决方案 134
9.9.2 分析 135
第10章 流量整形与排队 136
10.1 排队技术 136
10.2 排队方法 136
10.3 排队应用:示例1 141
10.3.1 解决方案 141
10.3.2 分析 142
10.4 排队应用:示例2 142
10.4.1 解决方案 142
10.4.2 分析 142
10.5 流量修正 143
10.6 CAR应用示例 144
10.6.1 解决方案 144
10.6.2 分析 144
10.7 流量整形 145
10.7.1 配置GTS 145
10.7.2 配置FRTS 146
10.8 流量整形应用:示例1 147
10.8.1 解决方案 148
10.8.2 分析 148
10.9 流量整形应用:示例2 148
10.9.1 解决方案 148
10.9.2 分析 149
附录A 决定通配符屏蔽码的范围 150
附录B 建立访问表 158
附录C 标准的访问表 160
附录D 扩展的访问表 161
附录E 术语 162
附录F 缩写词 170
**** Hidden Message ***** 看一下下!!!!!!!!!!!!!!!!!!!!! 谢谢 支持 看看 强力推顶,超值回复!!! 感谢楼主分享了,主持 好东西,讲解ACL非常详细,多谢楼主发这么好的东西给大家 谢谢楼主分享! 好东西就需要顶 顶 顶!!!!x41 好东西x23 东西还不错~!~!! 好东西一定要顶的 dddddddddddddd 感谢楼主分享了,主持 费了不少银子,但值得! 可惜china-pub再也不出电子书了,现在只能去它买纸质的了。唉! kanyixiaxia ...... 這個正需要呢,多謝樓主。學習中y091 本帖附件需要回复才可下载或查看 感谢。。看看x44 dddddddddddddddddddddddddd 哥们,下了也会给你回复的 我好像有了,怎么一下子找不到了呢 好书呀,先收藏了,谢谢楼主 好东西,多谢楼主分享,收下了! Push Push Push
回复 1# 的帖子
好東西阿!感謝一下! 好东西好东西y106 谢谢 支持 看看 好书自然要顶了 貌似是对于流量控制方面的东西。想学安全的还是趁早下吧!!!!! 繼續Ding~~x24 强烈顶。太好了书了。谢谢y106 牛啊,这本书,楼主也很牛,谢谢 真的是这样吗?那可太谢谢了。 好东西顶一下 这个文档我找了好久了,今天总算看到了,十分感谢 uppupuuppuupuppu 学习学习y133 thanks share sdfsdgdgsgsdggewgeewtgsdddddddddddddd
ddddddddddddddddddddddddddddddddddddddddddddd kankan 谢谢楼主分享 vb 好东西顶 谢谢分享!
2111111111111
12112222222222222222 顶...感恩 hao aaaaaaaaaaaaaaaaaaaaaaaaaaaaa 这本书好啊谢谢分享 昨天还在找这本书,没想到这里有 支持
看看什么好东东 y045 y045 y045 y045 y045 y045 y045 访问列表是很常用的一个东西,要多多研究啊。 小漏的论坛还真不错哈 ddddddddddddddddddddddddd 强力推顶,感谢分享。 這個正需要呢,多謝樓主。學習中