CISCO访问表配置指南(全).pdf

近几年来，网络的发展非常快。网络底层的带宽正在快速增加。与此同时，网络软环境（网 络管理和网络安全）的发展却相对落后于带宽的发展，就如同计算机软件的发展落后于硬件的 发展一样。 政府上网工程以来，国内对网络安全的呼声越来越高。译者认为，对于进行网络安全方面 工作的工程人员和研究人员而言，首先要了解现有网络设备的安全情况，才能够对网络的漏洞 进行补救。译者很幸运地参加了网络安全方面的一些研究工作，近两年的时间里，也花费了很 多时间研究Cisco和3COM网络设备的安全结构，对网络安全有一定的认识和见解。对于用户（网 络管理员）而言，熟练掌握所使用设备的安全特征是必要的，只有这样才能较好地保护自己所 在单位的网络安全。 目前，我国使用得最多的路由器是Cisco公司生产的，大量的随机文档虽然对管理员有一定 的帮助，但阅读英文毕竟是一件让人心烦的事情，我们希望本书能满足用户对网络安全的需要。 本书全面地介绍了Cisco在访问表方面的思想，以及这些思想在Cisco设备中的应用。作者 首先简单明了地说明了对Cisco路由器的操作和使用，然后对各种访问表进行了分别介绍，并介 绍了一些非访问表的安全控制方法。书中还包含了大量现实生活中的示例，以便读者可以参照 进行设备配置。书中还提到了一些可以用来增强网络安全的要点和技术。 本书由前导工作室的胡平、李化组织翻译，前导工作室的全体人员共同完成了本书的录入、 校对等工作。本书的出版是集体智慧的结晶。 译者在翻译的过程中，对原书存在的一些明显错误进行了修改，以便进行正确的翻译。 如果书中仍然存在疏忽与错误之处，恳请读者批评指正。 译 者 2000年6月 下载 第1章 引 言 我们在序言中讲过，路由器的访问表是网络防御的前沿阵地。我们还讲过，访问表提供 了一种机制，可以控制通过路由器的不同接口的信息流。这种机制允许用户使用访问表来管 理信息流，以制定公司内网络相关策略。这些策略可以描述安全功能，并且反映流量的优先 级别。例如，某个组织可能希望允许或拒绝 I n t e r n e t对内部We b服务器的访问，或者允许内部 局域网（Local Area Network ，L A N ）上一个或多个工作站能够将流量发到广域网（ Wi d e Area Network ，WA N ）的AT M骨干网络上。这些情形，以及其他的一些功能，都可以通过访 问表来达到目的。 本章的目标是让读者了解全书的内容。首先，向读者介绍 C i s c o专业领域的一些概念，先 简要描述路由器的功能，以及 C i s c o访问表的一些基本知识。然后，对全书提供一个概括性的 描述，主要是讲述后续章节中将介绍的知识内容。 1.1 Cisco专业参考指南 C i s c o专业参考指南系列提供了操作 C i s c o设备的一些信息和一系列的实践实例，读者可以 使用这些知识来满足自己单位的特别需要。参考指南系列的第一本书集中阐述访问表，并提 供了各种类型的访问表的使用方法、访问表的创建和格式，以及应用到接口和进行操作的详 细信息。我们为各种截然不同的访问表类型提供了一系列的实例，在实例中，先给出一个通 用的格式，包括应用场景或问题的一个概括性描述，用来说明路由器 L A N或WA N接口的网络 示意图。然后，再讲述访问表的 I O S语句，这些I O S语句可以用来解决应用或问题。每一个访 问表实例都包括用来实现的访问表的基本原理。 1.2 路由器的任务 从操作的观点上看来，路由器的作用是将报文（P a c k e t ）从一个网络传输到另外一个网络。 路由器工作于网络层，根据开放式系统互连（ Open Systems Interconnection ，O S I ）参考模型， 它实现的是第三层的功能。通过检测报文的网络地址，路由器可以用来决定报文流的去向， 并且创建和维护路由表。在过去的 2 0年中，人们开发