ACL教案

ACL基本配置、光纤技术技术引入：通过讲述企业如何屏蔽员工在上班时间进行与工作无关的事，如聊QQ等，将课堂引入到ACL基本配置中来。新授：一、ACL基本配置访问控制列表（AccessControlList，ACL）是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。ACL的作用：ACL可以限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定数据包的优先级。ACL提供对通信流量的控制手段。例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络，而拒绝主机B访问。ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。例如：某部门要求只能使用这个功能，就可以通过ACL实现；又例如，为了某部门的保密性，不允许其访问外网，也不允许外网访问它，就可以通过ACL实现。执行过程：一个端口执行哪条ACL，这需要按照列表中的条件语句执行顺序来判断。如果一个数据包的报头跟表中某个条件判断语句相匹配，那么后面的语句就将被忽略，不再进行检查。数据包只有在跟第一个判断条件不匹配时，它才被交给ACL中的下一个条件判断语句进行比较。如果匹配（假设为允许发送），则不管是第一条还是最后一条语句，数据都会立即发送到目的接口。如果所有的ACL判断语句都检测完毕，仍没有匹配的语句出口，则该数据包将视为被拒绝而被丢弃。这里要注意，ACL不能对本路由器产生的数据包进行控制。如果设备使用了TCAM，比如auteU3052交换机，那么所有的ACL是并行执行的。举例来说，如果一个端口设定了多条ACL规则，并不是逐条匹配，而是一次执行所有ACL语句。分类：目前有三种主要的ACL:标准ACL、扩展ACL及命名ACL。其他的还有标准MACACL、时间控制ACL、以太协议ACL、IPv6ACL等。标准的ACL使用1~99以及1300~1999之间的数字作为表号，扩展的ACL使用100~199以及2000~2699之间的数字作为表号。标准ACL可以阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如IP）的所有通信流量。扩展ACL比标准ACL提供了更广泛的控制范围。例如，网络管理员如果希望做到“允许外来的Web通信流量通过，拒绝外来的FTP和Telnet等通信流量”，那么，他可以使用扩展ACL来达到目的，标准ACL不能控制这么精确。在标准与扩展访问控制列表中均要使用表号，而在命名访问控制列表中使用一个字母或数字组合的字符串来代替前面所使用的数字。使用命名访问控制列表可以用来删除某一条特定的控制条目，这样可以让我们在使用过程中方便地进行修改。在使用命名访问控制列表时，要求路由器的IOS在11.2以上的版本，并且不能以同一名字命名多个ACL，不同类型的ACL也不能使用相同的名字。随着网络的发展和用户要求的变化，从IOS12.0开始，思科（CISCO）路由器新增加了一种基于时间的访问列表。通过它，可以根据一天中的不同时间，或者根据一星期中的不同日期，或二者相结合来控制网络数据包的转发。这种基于时间的访问列表，就是在原来的标准访问列表和扩展访问列表中，加入有效的时间范围来更合理有效地控制网络。首先定义一个时间范围，然后在原来的各种访问列表的基础上应用它。基于时间访问列表的设计中，用time-range命令来指定时间范围的名称，然后用absolute命令，或者一个或多个periodic命令来具体定义时间范围。位置选择：ACL通过过滤数据包并且丢弃不希望抵达目的地的数据包来控制通信流量。然而，网络能否有效地减少不必要的通信流量，这还要取决于网络管理员把ACL放置在哪个地方。假设在的一个运行TCP/IP协议的网络环境中，网络只想拒绝从RouterA的T0接口连接的网络到RouterD的E1接口连接的网络的访问，即禁止从网络1到网络2的访问。根据减少不必要通信流量的通行准则，网管员应该尽可能地把ACL放置在靠近被拒绝的通信流量的来源处，即RouterA上。如果网管员使用标准ACL来进行网络流量限制，因为标准ACL只能检查源IP地址，所以实际执行情况为：凡是检查到源IP地址和网络1匹配的数据包将会被丢掉，即网络1到网络2、网络3和网络4的访问都将被禁止。由此可见，这个ACL控制方法不能达到网管员的目的。同理，将ACL放在RouterB和RouterC上也存在同样的问题。只有将ACL放在连接目标网络的RouterD上（E0接口），网络才能准确实现网管员的目标。由此可以得出一个结论:标准ACL要尽量靠近目的端。网管员如果使用扩展ACL来进行上述控制，则完全可以把ACL放在RouterA上，因为扩展ACL能控制源地址（网络1），也能控制目的地址（网络2），这样从网络1到网络2访问的数据包在RouterA上就被丢弃，不会传到RouterB、RouterC和RouterD上，从而减少不必要的网络流量。因此，我们可以得出另一个结论：扩展ACL要尽量靠近源端。ACL的主要的命令命令描述access-list定义访问控制列表参数ipaccess-group指派一个访问控制列表到一个接口ipaccess-listextended定义一个扩展访问控制列表Remark注释一个访问控制列表showipaccess-list显示已配置的访问控制列表。相关命令：access-list命令（1）标准访问列表access-listaccess-list-number{permit|deny}{source[source-wildcard]|any}命令解释如下。access-list：访问列表命令。access-list-number：访问列表号码，值为1~99.permit：允许。deny：拒绝。source：源IP地址。source-wildcard：源IP地址的通配符。（2）扩展访问列表access-listaccess-list-number{permit|deny}{protocol\protocol-keyword}{source[source-wildcard]|any}{destinationdestination-wildcard}|any}[protocol-specificoptions][log]命令解释如下。access-list-number：访问列表号码，值为100~199.protocol\protocol-keyword：可使用的协议，包括IP、ICMP、IGRP、EIGRP、OSPF等。destinationdestination-wild：目的IP地址，格式与源IP地址相同。protocol-specificoptions：协议制定的选项。log：记录有关数据报进入访问列表的信息。实例：标准ACL配置，请按如下拓扑图绘制，其中IP地址及ACL规则如下所示：IP地址：PC0192.168.1.2255.255.255.0192.168.1.1PC1192.168.2.2255.255.255.0192.168.2.1PC2192.168.3.2255.255.255.0192.168.3.1ACL规则：PC0所在的网段不能访问PC2所在的网段。二、光纤接入技术光纤接入技术是面向未来的光纤到路边（FTTC）和光纤到户（FTTH）的宽带网络接入技术。光纤接入网（OAN）是目前电信网中发展最为快速的接入网技术，除了重点解决电话等窄带业务的有效接入问题外，还可以同时解决调整数据业务、多媒体图像等宽带业务的接入问题。OAN泛指从交换机到用户之间的馈线段、配线段及引入线段的部分或全部以光纤实现接入的系统。除了hfc外,光纤接入的方法还有以下几种:(1)光纤数字环路载波系统ldlc系统以光纤传输方式代替馈线、配线,然后再以双绞线连接到用户。以传送窄带业务为主时采用pdh准同步时分复用技术体制,以传送宽带业务为主时可采用异步转移模式(atm)加sdh同步时分复用技术体制。网络结构以点到点、链型或环型网结构为常见。传输速率34mbps-155mbps不等。传输距离可由几千米到上百千米。采用dlc技术可以将光纤到路边(fttc)和光纤到户(ftth)分期实现。该系统技术成熟,可靠性高,易于推广应用。国内已有多家厂商推出成熟产品,网上实际应用也最多。(2)基于atm的无源光网络无源光网络(pon)是采用光纤分支的方法实现点对多点通信的接入技术,可以支持isdn基群或同等速率的各类业务。每个光网络单元(onu)一般可以连接几个到几十个用户。apon是采用atm信元传送方式的pon,可以是上、下行速率相等的对称系统,也可以是上、下行速率不相等的非对称系统,支持isdn及b一isdn业务的带宽需求,可以满足各类电信业务和全业务网(fsn)的共同要求。apon代表了宽带接入技术的最新发展方向,目前在英国、德国等已有实际应用,被认为是实现fttc和ftth的一种较好方法。apon的优点是可以节省光纤和光设备的费用,并可以实现宽带数据业务与catv业务的共网传送。缺点是成本较高,如何经济地实现双向高质量传输仍是一个有待研究的问题。(3)交换式数字视像技术sdv是在catv网上采用波分复用(wdm)或分光纤技术共享光缆线路的网络接入技术。sdv技术与hfc技术比较,sdv是采用数字传输技术的系统,hfc是采用模拟技术体制的系统。因此,sdv具有较好的传输质量,便于升级,具有长远的发展前景。sdv采用光纤接入系统和atm技术,采用分层面的方式提供电话、数据和视像信号的传输。第一个层面采用传统的光纤接入系统传输电话和数据业务。第二个层面采用基于sdh的atm信元方式,支持交互式的数字视像等宽带业务。什么是波分复用技术?在同一根光纤中同时让两个或两个以上的光波长信号通过不同光信道各自传输信息,称为光波分复用技术,简称wdm。光波分复用包括频分复用和波分复用。光频分复用(fdm)技术和光波分复用(wdm)技术无明显区别,因为光波是电磁波的一部分,光的频率与波长具有单一对应关系。通常也可以这样理解,光频分复用指光频率的细分,光信道非常密集。光波分复用指光频率的粗分,光倍道相隔较远,甚至处于光纤不同窗口。光波分复用一般应用波长分割复用器和解复用器(也称合波/分波器)分别置于光纤两端,实现不同光波的耦合与分离。这两个器件的原理是相同的。光波分复用器的主要类型有熔融拉锥型,介质膜型,光栅型和平面型四种。其主要特性指标为插入损耗和隔离度。通常,由于光链路中使用波分复用设备后,光链路损耗的增加量称为波分复用的插入损耗。当波长11,l2通过同一光纤传送时,在与分波器中输入端l2的功率与11输出端光纤中混入的功率之间的差值称为隔离度。光波分复用的技术特点与优势如下:(1)充分利用光纤的低损耗波段,增加光纤的传输容量,使一根光纤传送信息的物理限度增加一倍至数倍。目前我们只是利用了光纤低损耗谱(1310nm-1550nm)极少一部分,波分复用可以充分利用单模光纤的巨大带宽约25thz,传输带宽充足。(2)具有在同一根光纤中,传送2个或数个非同步信号的能力,有利于数字信号和模拟信号的兼容,与数据速率和调制方式无关,在线路中间可以灵活取出或加入信道。(3)对已建光纤系统,尤其早期铺设的芯数不多的光缆,只要原系统有功率余量,可进一步增容,实现多个单向信号或双向信号的传送而不用对原系统作大改动,具有较强的灵活性。(4)由于大量减少了光纤的使用量,大大降低了建设成本、由于光纤数量少,当出现故障时,恢复起来也迅速方便。(5)有源光设备的共享性,对多个信号的传送或新业务的增加降低了成本。(6)系统中有源设备得到大幅减少,这样就提高了系统的可靠性。目前,由