用路由器實現(xiàn)分類互聯(lián)網(wǎng)訪問（圖）

2019-11-05 00:35:17

字體：大中小

供稿：網(wǎng)友

什么是路由器的訪問控制列表功能？

路由器提供了基本的通信流量過濾的能力——這就是訪問控制列表，它是路由器一系列的答應(yīng)和拒絕陳述語句集合的命令行，這些陳述語句對用戶的數(shù)據(jù)包中包含的地址（ip地址）和上層協(xié)議（TCP、UDP、FTP等）進(jìn)行控制。訪問控制列表（ACL）是應(yīng)用到路由器接口的指令列表，這些指令列表用來告訴路由器哪些數(shù)據(jù)包可以接收，哪些數(shù)據(jù)包需要拒絕，也就是可以轉(zhuǎn)發(fā)和被丟棄。至于數(shù)據(jù)包是被拒絕還是被接收，可以由源地址、目的地址、協(xié)議、端口號等的指示條件來決定。

網(wǎng)友提出的網(wǎng)絡(luò)結(jié)構(gòu)的廣域網(wǎng)連接有兩條線，一條是通往教育網(wǎng)（CERNET）的專線，一條是通往其他電信營運(yùn)商的廣域網(wǎng)（如：中國網(wǎng)通的CNCNET）的ADSL。按照網(wǎng)友所提出的“假如用戶訪問教育網(wǎng)，還是通過本地的寬帶接入”的要求，那么最簡便的辦法就是控制所有從教育網(wǎng)端口出去的流量的目的地IP都指定成為教育網(wǎng)的IP網(wǎng)段（我想網(wǎng)友應(yīng)可以從CERNET的網(wǎng)絡(luò)中心那獲得教育網(wǎng)的網(wǎng)段IP），而通往ADSL的訪問流量的目的地IP則不作任何限制。

需要的設(shè)備
　　

正如我們已經(jīng)知道的“訪問控制列表”是所有路由器都具有的基本功能。所以只要上檔次的路由器都可以選擇。在本案例中小酷給這位網(wǎng)友推薦思科公司的Cisco2600系列路由器（見圖1）。產(chǎn)口代碼為Cisco 2611XM的這款產(chǎn)品應(yīng)能滿足這位網(wǎng)友的方案要求。Cisco 2600 系列是一個屢獲大獎的模塊化多服務(wù)產(chǎn)品家族，它提供靈活的LAN 到 WAN配置，多樣化的安全選項，綜合語音、數(shù)據(jù)服務(wù)，一系列高性能CPU，廣范圍的功能和接口，能靈活選擇超過50個模塊來添加進(jìn)路由器中以滿足各種線路類型需要，使Cisco 2600 家族能適應(yīng)從現(xiàn)在到將來的應(yīng)用需求。

Cisco 2611XM支持的功能包括：
•多服務(wù)語音/數(shù)據(jù)綜合服務(wù)
•帶有防火墻和加密選項的VPN訪問
•慮擬拔號訪問服務(wù)Analog dial access services
•具有帶寬治理的路由選擇
•內(nèi)部局域網(wǎng)VLAN路由
•高速商務(wù)級DSL訪問傳輸
•低成本 ATM訪問
•低密度交換

　　

　　　　Cisco 2611XM 多服務(wù)路由器提供一個網(wǎng)絡(luò)模塊插槽，兩個10/100BaseT 以太網(wǎng)接口，兩個綜合廣域網(wǎng)接口卡插槽，一個高級綜合模塊插槽（見圖2）。我們最常用的是前面三個，在本案例中我要配套選購兩個廣域網(wǎng)接口卡模塊：
　　　

　　　　（1）WIC-1T（見圖3）這塊高速串行廣域網(wǎng)接口卡將安裝在CISCO2611XM的廣域網(wǎng)接口卡插槽1，通過串行電纜連接到基帶MODEM等通信終端設(shè)備，然后連往教育網(wǎng)專線。
　　　

　　　　（2）WIC-1ADSL（見圖4）這塊ADSL廣域網(wǎng)接口卡含有ADSL信道通信單元，所以不必另外購置ADSL MODEM，把它安裝在CISCO2611XM的廣域網(wǎng)接口卡插槽2。可直接通過它的RJ11接口連入用戶申請的ADSL電話線路。
　　　

參考的ACL配置命令
　　

下面是在CISCO2611XM上可能的訪問控制列表配置命令行：（僅作為參考）
Router>
Router>enable 進(jìn)入特權(quán)模式
Router#

Router#config terminal 進(jìn)入配置模式
Router(config)#

Router(config)#hostname Cisco2611XM 修改路由器的名字為Cisco2611XM
Cisco2611XM(config)#

Cisco2611XN(config)#access-list 1 deny any any 創(chuàng)建訪問控制列表號為1，并禁止任何流量通過
Cisco2611XM(config)#access-list 1 permit 192.168.0.0 0.0.255.255 218.192.0.0 0.0.255.255 假設(shè)網(wǎng)友的內(nèi)網(wǎng)IP網(wǎng)段設(shè)192.168.0.0--192.168.255.255,教育網(wǎng)的網(wǎng)段為218.192.0.0—218.192.255.255。答應(yīng)來自內(nèi)網(wǎng)的用戶能訪問教育網(wǎng)上的所有IP

Cisco2611XM(config)#
Cisco2611XM(config-if)# interface s0                  進(jìn)入接口s0配置模式
Cisco2611XM(config-if)#ip address 192.168.1.1 255.255.255.0 給s0端口配置的IP地址為192.168.0.1 子網(wǎng)掩碼為255.255.255.0
Cisco2611Xm(config-if)#no shutdown                 激活該端口
Cisco2611XM(config-if)#ip access-group 1 out          將訪問控制列表1寫入端口s0

Cisco2611XM(config-if)#exit                        退出接口配置模式
Cisco2611XM(config)#router rip                     啟用RIP路由選擇協(xié)議
Cisco2611XM(config-router)#network 192.168.1.0       直接與路由器連接的網(wǎng)絡(luò)地址，內(nèi)網(wǎng)網(wǎng)絡(luò)號
Cisco2611XM(config-router)#network 218.192.19.0       教育網(wǎng)網(wǎng)絡(luò)號
Cisco2611XM(config-router)#network 202.112.15.0     ADSL網(wǎng)絡(luò)號

Cisco2611XM(config-router)#exit 退出路由選擇配置模式
Cisco2611XM(config)#exit
Cisco2611XM #copy running-config startup-config 保存以上配置

網(wǎng)絡(luò)拓樸圖
　　

本案例的網(wǎng)絡(luò)拓樸圖如下：
　　