|
|
1
CCNP-高级路由
Chapter 9 BGP 扩展
路由反射器(Route Reflector)
类似与 OSPF 的 DR/BDR 的东西,当自治系统包含了成百上千的BGP 路由器时,如果配置
为全网状互联,工作量巨大,RR 提供一个IBGP 会话的集中点,多台BGP路由器可以与一
个集中点建立对等关系,而不需要与所有路由器建立全网状互联,不过网络允许的情况下,
最好还是逻辑全网状。指定一台路由反射器,它就会作为一个集中点或路由反射服务器
(router reflector server),其他路由器就成为路由反射客户(route reflector client) 。配置
路由反射技术只需在路由反射服务器做一些配置,对客户和非客户是透明的:
RTA(config-router)#neighbor IP-address route-reflector-client
实例:RTB(config)#router bgp 100
RTB(config-router)#neighbor 1.1.1.1 remote-as 100
RTB(config-router)#neighbor 1.1.1.1 route-reflector-client
RTB(config-router)#neighbor 2.2.2.2 remote-as 100
RTB(config-router)#neighbor 2.2.2.2 router-reflector-client
RTB(config-router)#neighbor 4.4.4.4 remote-as 100
RTB(config-router)#neighbor 7.7.7.7 remote-as 100
RTB(config-router)#neighbor 8.8.8.8 remote-as 200
配置一个路由反射客户
RTA(config)#router bgp 100
RTA(config-router)#neighbor 3.3.3.3 remote-as 100
BGP 路由过滤
路由过滤使一台 BGP 路由器能选择与其任何一个BGP 对等体交换哪些路由。
1.用过滤器实施路由策略
1)标识想要应用的网络号码和子网掩码(NLRI),NLRI称网络层可达信息
2)实施该策略
2.用发布控制列表过滤 BGP 路由
使用“distribute-list”命令来过滤 BGP 路由更新:
RTA(config)#router bgp 3
RTA(config-router)#neighbor 172.16.1.2 remote-as 3
RTA(config-router)#neighbor 172.16.20.1 remote-as 1
RTA(config-router)#neighbor 172.16.20.1 distribute-list 1 out
RTA(config-router)#exit
RTA(config)#access-list 1 deny 192.69.10.0 0.0.0.255
RTA(config)#access-list 1 permit any
配置一个扩展访问控制列表匹配网络地址和前缀的16比特掩码,使用该配置,路由器在路
由更新中不发送子网路由(如172.16.0.0/17或172.16.10.0/24)
RTA(config)#router bgp 3
RTA(config-router)#neighbor 172.16.1.2 remote-as 3
RTA(config-router)#neighbor 172.16.20.1 remote-as 1
RTA(config-router)#neighbor 172.16.20.1 distribute-list 101 out
RTA(config-router)#neighbor exit
RTA(config)#access-list 101 permit ip 172.16.0.0 0.0.255.255 255.255.0.0
0.0.0.0
Ip prefix-list命令
使用前缀控制列表:RTA(config)#ip prefix-list list-name[seq
seq-value]deny|permit network/len [ge ge-value][le le-value]
实例:RTA(config)#ip prefix-list ELMO permit 172.16.0.0/16
RTA(config)#ip prefix-list ELMO permit 192.168.2.0/24
RTA(config)#router bgp 100
RTA(config-router)#neighbor 192.168.1.1 remote-as 200
RTA(config-router)#neighbor 192.168.1.1 prefix-list ELMO out
用 le和 ge配置前缀控制列表
RTA(config)#ip prefix-list GROVER permit 192.0.0.0/8 le 24
RTA(config)#ip prefix-list GROVER deny 192.0.0.0/8 ge 25
同时使用
RTA(config)#ip prefix-list oscar permit 10.0.0.0/8 ge 16 le 24
在prefix-list 和 deny|permit 之间加参数
1. NOSUBNETS-拒绝所有地址空间中的掩码长度大于 25比特的路由前缀;
2. NO10NET-(如ip prefix-list NO10NET deny 10.0.0.0/8 le 32)匹配并拒绝地址空
间10.0.0.0/8的任何路由
3. NODEFAULT-前缀控制列表将拒绝全0缺省路由 0.0.0/0
使用 show ip prefix-list命令查看信息
前缀控制列表的规则
1) 空的前缀控制列表将允许一切路由前缀;
2) 如果一个路由前缀不能与一个前缀控制列表中的任何条目相匹配,它会因最后的隐
含拒绝条目而被拒绝;
3) 当一个路由前缀能与一个前缀控制列表中的多个条目相匹配时,只有序号最小的条
目起作用。
可以手工指定前缀控制列表的条目序号
RTA(config)#ip prefix-list ELMO seq 12 deny 192.168.1.0/24
COMMUNITIES 属性
公认的团体属性包括:
1. NO_EXPORT---带有该团体属性值的路由不应当被通告给联盟(confederation) 之外
的对等体;
2. NO_ADVERTISE---带有该值的路由在被收到后,不应该被通告给任何BGP 对等体;
3. Internet――带有该值的路由在被收到后,应该被通告给所有其他路由器;
4. Local-as――带有该值的路由在被收到后,应该被通告给本地AS域内的对等体,但
不应该被通告给外部系统中的对等体
为阻止 AS2从AS1学到路由172.16.65.0/24(来自 AS3中的RTA),可以如下配置:
RTA(config)#router bgp 3
RTA(config-router)#no auto-summary
RTA(config-router)#network 172.16.1.0 mask 255.255.255.0
RTA(config-router)#network 172.16.10.0 mask 255.255.255.0
RTA(config-router)#network 172.16.65.0 mask 255.255.255.192
RTA(config-router)#network 172.16.220.0 mask 255.255.255.0
RTA(config-router)#network 172.16.1.2 remote-as 3
RTA(config-router)#neighbor 172.16.1.2 update-source 1o0
RTA(config-router)#neighbor 172.16.20.1 remote-as 1
RTA(config-router)#neighbor 172.16.20.1 send-community
RTA(config-router)#neighbor 172.16.20.1 route-map SETCOMMUNITY out
RTA(config-router)#exit
RTA(config)#route-map SETCOMMUNITY permit 10
RTA(config-router-map)#match ip address 1
RTA(config-router-map)#set community no-export
RTA(config-router-map)#route-map SETCOMMUNITY permit 20
RTA(config-router-map)#exit
RTA(config)access-list 1 permit 172.16.65.0 0.0.0.255
配置一个私有团体属性值
RTX(config)#router bgp 100
RTX(config-router)#neighbor 1.1.1.3 remote-as 200
RTX(config-router)#neighbor 1.1.1.2 send-community
RTX(config-router)#neighbor 1.1.1.2 route-map MYCOMM out
RTX(config-router)#exit
RTX(config)#access-list 1 permit 150.100.0.0 0.0.255.255
RTX(config-route-map)#match ip address 1
RTX(config-route-map)#set community 50 additive
RTX(config-route-map)#route-map MYCOMM permit 20
使用一个私有团体属性值来实施路由策略
RTZ(config)#router bgp 200
RTZ(config-router)#neighbor 1.1.1.1 remote-as 100
RTZ(config-router)#neighbor 1.1.1.1 route-map FIVE-o in
RTZ(config-router)#exit
RTZ(config)#route-map FIVE-0 permit 10
RTZ(config-route-map)#match community 50
RTZ(config-route-map)#set local-preference 400
RTZ(config-route-map)#permit 20
对等体组
BGP 对等体组是一组共享相同路由更新策略的 BGP 邻居(相当于 WIN2000的组策略)。
实例:RTC与RTD,RTE,TRH有 IBGP 对等会话,并对它们有相似路由策略,则可以定义包
含这些策略的一个对等体组,并将路由器 RTC的IBGP 对等体放到该对等体组中:
RTC(config)#router bgp 1
RTC(config-router)#neighbor INTERNALMAP peer-group
RTC(config-router)#neighbor INTERNALMAP remote-as 1
RTC(config-router)#neighbor INTERNALMAP router-map INTERNAL out
RTC(config-router)#neighbor INTERNALMAP filter-list 1 out
RTC(config-router)#neighbor INTERNALMAP filter-list 2 in
RTC(config-router)#neighbor 172.16.11.1 peer-group INTERNALMAP
RTC(config-router)#neighbor 172.16.12.1 peer-group INTERNALMAP
RTC(config-router)#neighbor 172.16.13.1 peer-group INTERNALMAP
RTC(config-router)#neighbor 172.16.12.1 filter-list 3 in
配置一个 EBGP 对等体组
RTC(config)#router bgp 1
RTC(config-router)#neighbor EXTERNALMAP peer-group
RTC(config-router)#neighbor EXTERNALMAP route-map SETMED out
RTC(config-router)#neighbor EXTERNALMAP filter-list 1 out
RTC(config-router)#neighbor EXTERNALMAP filter-list 2 in
RTC(config-router)#neighbor 172.16.20.2 remote-as 3
RTC(config-router)#neighbor 172.16.20.2 peer-group EXTERNALMAP
RTC(config-router)#neighbor 172.16.20.3 remote-as 2
RTC(config-router)#neighbor 172.16.20.3 peer-group EXTERNALMAP
RTC(config-router)#neighbor 172.16.20.2 filter-list 3 in
冗余、对称和负载均衡
冗余:通过对数据流提供多条替选路径来实现
对称:指从某个出口点离开AS 的数据流能能从这同一个出口点返回
负载均衡:指可以在多条链路上最优化地分配数据流
缺省路由:通过发布缺省路由可以提供冗余能力
为 BGP(特定邻居)配置动态缺省路由
RTC(config)#router bgp 3
RTC(config-router)#neighbor 172.16.20.1 remote-as 1
RTC(config-router)#neighbor 172.16.20.1 default-originate
为 BGP(所有对等体)配置动态缺省路由
RTC(config)#router bgp 3
RTC(config-router)#neighbor 172.16.20.1 remote-as 1
RTC(config-router)#neighbor 172.17.1.1 remote-as 2
RTC(config-router)#network 0.0.0.0
负载均衡
RTC(config-router)#maximum-paths number
在单宿主(数据只有一个进出口)AS中不存在冗余、对称和负载均衡
配置多宿主 BGP 连接
一条主数据通道,一条做备份通路,对于外出的数据流,自治系统不提供负载均衡,管理距
离较低的缺省路由将成为主路由。
RTA(config)#router bgp 3
RTA(config-router)#no auto-summary
RTA(config-router)#neighbor 172.16.20.1 remote-as 1
RTA(config-router)#neighbor 172.16.20.1 route-map BLOCK in
RTA(config-router)#neighbor 172.16.20.1 route-map SETMETRIC1 out
RTA(config-router)#neighbor 192.168.9.2 remote-as 1
RTA(config-router)#neighbor 192.168.9.2 route-map BLOCK in
RTA(config-router)#neighbor 192.168.9.2 route-map SETMETRIC2 out
RTA(config-router)#exit
RTA(config)#route-map SETMETRIC1 permit 10
RTA(config-route-map)#set metric 100
RTA(config-route-map)#route-map SETMETRIC2 permit 10
RTA(config-route-map)#set metric 50
RTA(config-route-map)#route-map BLOCK deny 10
RTA(config-route-map)#exit
RTA(config)#ip route 0.0.0.0 0.0.0.0 172.16.20.1 50
RTA(config)#ip route 0.0.0.0 0.0.0.0 192.168.9.2 40
BGP 再发布
纯动态再发布:使用redistribute 命令将所有的IGP 路由都注入到BGP 中
半动态再发布:用BGP“network”只将某些 IGP路由注入 BGP ,network命令提供了较强的
控制能力,但同时增加了管理负担
配置动态 IGP 到 BGP 再发布
RTB(config)#router bgp 200
RTB(config-router)#neighbor 10.1.1.2 remote-as 100
RTB(config-router)#neighbor 10.1.1.2 route-map BLOCK-BAD-ADDRESSES out
RTB(config-router)#redistribute ospf 1 match internal metric 50
RTB(config-router)#redistribute static
配置半动态 IGP 到 BGP 再发布
RTB(config)#router bgp 200
RTB(config-router)#neighbor 10.1.1.2 remote-as 100
RTB(config-router)#neighbor 10.1.1.2 route-map BLOCK-BAD-ADDRESSES out
RTB(config-router)#network 192.168.1.0
RTB(config-router)#network 192.168.2.0
Chapter 10 安全
Cisco IOS 访问控制列表号码
访问控制列表号码 描 述
1~99 IP标准访问控制列表
100~199 IP扩展访问控制列表
200~299 协议类型代码访问控制列表
300~399 DECnet访问控制列表
400~499 XNS标准访问控制列表
500~599 XNS扩展访问控制列表
600~699 AppleTalk访问控制列表
700~799 48比特 MAC地址访问控制列表
800~899 IPX标准访问控制列表
900~999 IPX扩展访问控制列表
1000~1099 IPS SAP 访问控制列表
1100~1199 扩展 48比特 MAC地址访问控制列表
1200~1299 IPX汇总地址访问控制列表
1300~1999 IP标准访问控制列表(扩充范围)
2000~2699 IP扩展访问控制列表(扩充范围)
标准访问控制列表
RTA(config)#access-list access-list-number {permit|deny} source
[source-wildcard] [log]
扩展访问控制列表
RTA(config)#access-list access-list-number {permit|deny}protocol source
source-wildcard destination destination-wildcard [precedence
precedence][tos tos]established [log][time-range time-range-name]
由名字索引的访问控制列表句法(11.2版本前不支持)
标准
1.RTA(config)#ip access-list standard name //用名字定义
2.RTA(config-std-nacl)#permit|deny {source [source-wildcard]|any}[log]//指
定一个或多个允许或拒绝条件
3.RTA(config-std-nacl)#exit //退出
扩展(实例)
RTA(config)#ip access-list extended WEBONLY
RTA(config-ext-nacl)#permit tcp any 10.0.0.0 0.255.255.255 eq 80
RTA(config-ext-nacl)#deny ip any 10.0.0.0 0.255.255.255
RTA(config-ext-nacl)#permit ip any any
RTA(config-ext-nacl)#^Z
可以通过 show access-lists 查看
基于时间的扩展访问控制列表(12.0.1(T)开始支持)
RTA(config)#time-range NO-HTTP
RTA(config-time-range)#periodic weekdays 8:00 to 18:00
RTA(config-time-range)#exit
RTA(config)#time-range UDP-YES
RTA(config-time-range)#periodic weekend 12:00 to 20:00
RTA(config-time-range)#exit
RTA(config)#ip access-list extended STRICT
RTA(config-ext-nacl)#deny tcp any any eq http time-range NO-HTTP
RTA(config-ext-nacl)#permit udp any any time-range UDP-YES
RTA(config-ext-nacl)#deny udp any any range netbios-ns netbios-ss
RTA(config-ext-nacl)#permit ip any any
可以使用 remark命令来描述访问控制列表(12.0.2之后)
应用访问控制列表到接口
RTA(config-if)#ip access-group access-list-number|access-list-name in|out
对路由器的 VTY 线路施加访问控制列表
RTA(config)#access-list 5 permit 200.100.50.0 0.0.0.255
RTA(config)#access-list 5 permit 192.168.1.1
RTA(config)#line vty 0 4
RTA(config-line)#access-class 5 in
对路由器WEB端口施加访问控制列表
RTA(config)#access-list 17 permit 202.206.100.0 0.0.0.255
RTA(config)#ip http server
RTA(config)#ip http access-class 17
动态访问控制列表:LOCK-and-KEY
lock-and-key 使指定用户能获得对受保护资源的临时访问权
操作步骤:
1. 用户向一台配置了lock-and-key特性的防火墙路由器发起一个 Telnet 会话。
2. Cisco 收到 Telnet数据包,打开一个 Telnet会话,提示输入密码认证
3. 用户通过防火墙中的临时通道交换数据
4. 当达到一个预先配置好的超时限制后,或管理员手工清除后,IOS将删除该临时性
访问控制列表条目。
RTA(config)#access-list access-list-number dynamic dynamic-name[timeout
minutes]{deny|permit}protocol source-address source-wildcard
destination-address destination-wildcard
配置一个动态访问控制列表
RTA(config)#access-list 101 permit tcp any host 192.168.1.1 eq telnet
RTA(config)#access-list 101 dynamic UNLOCK timeout 120 permit ip any any
RTA(config)#int s0
RTA(config)#ip access-group 101 in
Lock-and-Key 需要用到认证,因此需要配置一台安全服务器
其中TACACS+通过 TCP 提供认证、授权和审计服务,而RADIUS 使用不太可靠的UDP 协
议
RTA(config)#tacacs-server host 10.0.0.2
RTA(config)#tacacs-server host itsasecret
RTA(config)#aaa new-model
RTA(config)#aaa authentication login default tacacs+ enable
配置路由器用本地数据库来认证 VTY 用户
RTA(config)#username ernie password bert
RTA(config)#line vty 0 4
RTA(config)#login local
配置LOCK-AND-KEY 特性的最后步骤是在动态访问控制列表中创建一个临时性的访问控制
列表条目:RTA#access-enable [host][time-out minutes]
使用HOST关键字将只为用户所用的单个IP 地址源创建。
为了设置 LOCK-AND-KEY特性, 我们可以配置VTY线路让路由器自动发布“access-enable”
命令然后切断用户的TELNET 会话。
RTA(config)#line vty 0 4
RTA(config-line)#autocommand access-enable host timeout 20
使用带“established”参数的扩展访问控制列表
六个TCP 代码比特:URG(Urgent,紧急) 、ACK(Acknowledgement,确认) 、PSH(Push,
推送)、RST(Reset,复位)、SYN(Synchronization,同步)和FIN(Finish,结束)
三次握手过程所发送的第一个数据包的SYN比特被设置为1,ACK比特和RST比特被设置
为0,从第二个数据包起,会话流中所有包的TCP 头标中的 ACK或RST 比特都被设置为 1,
因此被邀请进入网络的数据流总会有其中一个比特被设置为1, 这种数据流被认为是已建立
(established)会话的一部分。使用Cisco IOS我们可以配置一个扩展访问控制列表根据数
据包是否是一个已建立连接的一部分来匹配它。
RTA(config)#access-list 101 permit tcp any 192.168.1.0 0.0.0.255 established
RTA(config)#access-list 101 permit icmp any any
RTA(config)#access-list 101 deny ip any 192.168.1.0 0.0.0.255
RTA(config)#access-list 101 permit ip any any
Established 参数仅限于TCP 数据流
自反访问控制列表(Reflexive access list)
我们可以利用自反访问控制列来允许发自网络内部会话的 IP数据流,而拒绝发自网络外部
会话的 IP 数据流,因此它可以防止大多数地址欺骗攻击和拒绝服务攻击
自反访问控制列表工作原理
只含临时性条目,没有“拒绝一切”语句
临时性条目的特点:
1.总是允许语句;
2.指定与最初的外出数据包相同的协议(TCP);
3.指定与最初外出数据包相同的源地址和目的地址,但这两个地址的位置被互换;
4.指定与最初外出数据包相同的源和目的端口号码(对 TCP/UDP),但这两个地址的位置被
互换;
5.对于不含端口号码的协议,如 ICMP 和IGMP,它会指定其他准则;
6.入数据流将根据自反条目被评判,直到该条目过期被删除;
7.在会话最后一个数据包通过接口后,该条目过期;
8.如果在一个可配置的时间长度(超时限制)中没有属于该会话的数据包被检测到,该条
目就会过期。
如果应用程序使用变化端口,则自反访问控制列表不能运用。如 FTP,发起 FTP 会话时通
常用TCP 端口21发送控制信息,包括三次握手和用户名/口令协商。连接建立后,通过20
端口进行数据发送。
配置步骤
1.定义运用于外出接口上的由名字索引的扩展访问控制列表
RTA(config)#ip access-list extended extended-list-name
2.配置该由名字索引的扩展访问控制列表来包含一个反射数据流的条目
RTA(config-ext-nacl)#permit ip-protocol any any reflect name[timeout
seconds]
3.将该外出方向的访问控制列表应用到外出接口上
RTA(config-if)#ip access-group extended-list-name out
4.定义将过滤入数据流的由名字索引的扩展访问控制列表
RTA(config)#ip access-list extended extended-list-name
5.配置该由名字索引的扩展访问控制列表, 包含一个根据所命名的自反访问控制列表来评判
入数据流的条目
RTA(config-ext-nacl)#evaluate name
配置一个外出方向的访问控制列表来反射数据流
RTA(config)#ip access-list extended OUTBOUND
RTA(config-ext-nacl)#permit ip any any reflect INVITED-TRAFFIC
RTA(config-ext-nacl)#exit
RTA(config)#interface s0
RTA(config-if)#ip access-group OUTBOUND out
将一个自反访问控制列表嵌套到一个扩展访问控制列表
RTA(config)#ip access-list extended INBOUND
RTA(config-ext-nacl)#evaluate INVITED-TRAFFIC
RTA(config-ext-nacl)#exit
RTA(config)#interface s0
RTA(config-if)#ip access-group INBOUND in
为自反访问控制列表条目配置全局超时值
RTA(config)#ip reflexive-list timeout 200
基于上下文的访问控制(CBAC)
CBAC不仅仅是一个改进了的访问控制列表,它还是一个包括数据流过滤、JAVA 拦阻、数据
流审查、告警和涉及跟踪以及入侵检测功能的安全工具集。
入方向访问控制列表先于 CBAC 应用,如果入访问控制列表拒绝了,则丢弃,CBAC不会被
审查。只有控制信道才被审查和监视,数据信道不被审查。
配置 CBAC
1.选择一个接口
“内部”是指会话必须主动发起以让其数据流被允许通过防火墙的一侧;“外部”是指会话
不能主动发起的一侧(从外部发起的会话被禁止)
技术注释:基本防火墙配置技巧
1)配置一个包含允许来自不受保护网络的某些ICMP 数据流条目的访问控制列表
RTA(config)#access-list 101 permit icmp any any echo-reply
RTA(config)#access-list 101 permit icmp any any time-exceeded
RTA(config)#access-list 101 permit icmp any any packet-too-big
RTA(config)#access-list 101 permit icmp any any traceroute
RTA(config)#access-list 101 permit icmp any any unreachable
2)防欺骗保护,增加一条拒绝所有冒用受保护网络中地址的外来数据流条目
3)防止广播攻击,增加一个拒绝源地址为广播地址(255.255.255.255)数据包的条目
4)最好配置“enable secret”
5)在控制台端口设置一个口令。至少应配置“login”和“password”命令
6)对所有的虚拟终端端口应用访问控制列表及口令保护,用“access-list”命令来限制谁可
以telnet 到我们的路由器上
7)不要启用我们用不到的任何本地服务(如SNMP和NTP)还有CDP 和NTP 缺省打开,如
果不用就关闭
8)关闭低端口服务,对于IP,可以输入“No service tcp-small-servers”和“no service
udp-small-servers”全局配置命令
9)通过在任何异步 telnet 端口上配置的访问控制列表来防止防火墙被用作中继跳板
10)关闭对任何可应用协议的定向广播功能,对于 IP,使用“no ip directed-broadcast”
11)配置“no proxy-arp”来防止内部地址暴露
12)将防火墙放在一个安全的(上锁)的屋子里
配置外部接口的技巧
1) 如果我们在外部接口有一个对外出方向的 IP访问控制列表,该访问控制列表可以是一
个标准的或是扩展的访问控制列表。
2) 在外部接口上的入方向访问控制列表必须是一个扩展的访问控制列表。
配置内部接口的技巧
1)如果内部接口有一个入方向的IP 访问控制列表,或在外部接口上有对外出方向的IP访
问控制列表,则访问控制列表可以是标准的或扩展的;
2) 如果内部接口上的外出方向的IP访问控制列表和在外部接口上的入方向的访问控制列表
必须是扩展的访问控制列表
定义 CBAC检查规则
每个方向一个
1)配置应用层协议检查
RTA(config)#ip inspect name inspection-name protocol [timeout seconds]
实例:RTA(config)#ip inspect name FIREWALL http
RTA(config)#ip inspect name FIREWALL ftp
RTA(config)#ip inspect name FIREWALL udp
RTA(config)#interface s0
RTA(config-if)#ip inspect FIREWALL out
配置 JAVA 过滤
RTA(config)#access-list 24 deny 200.100.50.0 0.0.0.255
RTA(config)#access-list 24 deny 169.199.0.0 0.0.255.255
RTA(config)#access-list 24 permit any
RTA(config)#ip inspect name FIREWALL http java-list 24
RTA(config)#ip inspect name FIREWALL tcp
RTA(config)#interface s0
RTA(config-if)#ip inspect FIREWALL out
配置一般性的 TCP 和 UDP 审查
RTA(config)#ip inspect name FIREWALL tcp
RTA(config)#ip inspect name FIREWALL udp
在接口应用检查规则
要将一条检查规则应用于某个接口,可以使用下面的接口配置命令:
ip inspect inspection-name {in|out}
实例:RTA(config)#in e0
RTA(config-if)#ip inspect FIREWALL out
配置全局超时值
CBAC使用超时值和门限来确定为会话管理多长时间的状态信息,并确定何时切断还没有完
全建立起来的会话。
核验 CBAC
命 令 目 的
Show ip inspect name inspection-name 显示一个已配置了的检查规则
Show ip inspect config 显示完整的 CBAC 审查配置
Show ip inspect interfaces 显示与所应用的检查规则和访问控制列表
有关的接口配置
Show ip inspect session 显示当前被 CBAC 跟踪和审查的现存会话
Show ip inspect all 显示所有的CBAC配置和所有当前被CBAC
跟踪和审查的现存会话
访问控制列表的替代选择
通过配置一条到空接口“null0”的静态路由,限制到某个目的地的所有数据流
RTA(config)#ip route 10.0.0.0 0.0.0.255 null0 |
|
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
发表于 2009-11-12 17:53:44
置顶卡
喧嚣卡
变色卡
千斤顶
