免费智能真题库 > 历年试卷 > 网络工程师 > 2009年上半年 网络工程师 上午试卷 综合知识
  第63题      
  知识点:   访问控制列表   访问控制   访问控制列表
  关键词:   AC   访问控制列表   访问控制        章/节:   网络互联       

 
访问控制列表(ACL)分为标准和扩展两种。下面关于ACL的描述中,错误的是 (63).
 
 
  A.  标准ACL可以根据分组中的IP源地址进行过滤
 
  B.  扩展ACL可以根据分组中的IP目标地址进行过滤
 
  C.  标准ACL可以根据分组中的IP目标地址进行过滤
 
  D.  扩展ACL可以根据不同的上层协议信息进行过滤
 
 
 

 
  第58题    2020年下半年  
   63%
OSPF协议中DR的作用范围是( )。
  第57题    2015年上半年  
   25%
运营商指定本地路由器接口的地址是200.15.10.6/29,路由器连接的默认网关的地址是200.15.10.7,这样配置后发现路由器无法ping通任..
  第21题    2011年上半年  
   26%
下面关于边界网关协议BGP4的描述中,不正确的是(21)。
   知识点讲解    
   · 访问控制列表    · 访问控制    · 访问控制列表
 
       访问控制列表
               ACL的基本概念
               IP访问控制列表的过滤功能,提供了基于源地址、目的地址、各种协议和端口号的过滤准则。设定不同的过滤准则,不但能够实现拒绝接收或允许接收某些源IP地址的数据包进入路由器,也可以拒绝接收或允许接收到达某些目的IP地址的数据包通过路由器,还可以拒绝接收或允许接收某些协议的数据包通过路由器,拒绝接收或允许接收某些协议的某些端口号的数据包通过路由器。
               IP访问控制列表主要有两种类型:一类是标准访问控制列表(IP Standard Access Control List);另一类是扩展访问控制列表(IP Extended Access Control List)。
               (1)标准访问控制列表只对数据包中的源地址进行检查,而不考虑目的地址及端口号等过滤选项,表号为1~99。
               (2)扩展访问控制列表除了检查源地址和目的地址外,还可以检查指定的协议,根据数据包头中的协议类型进行过滤;可以检查端口号,根据端口号对数据包进行过滤。扩展访问控制列表的表号范围是100~199,后来又进行了扩展,扩展的表号是2000~2699。
               ACL配置命令
               使用编号(2000~2999)创建一个数字型的基本ACL,并进入基本ACL视图,操作命令如下:
               
               或者使用名称创建一个命名型的基本ACL,并进入基本ACL视图操作命令为:
               
               如果创建ACL时未指定match-order参数,则该ACL默认的规则匹配顺序为config;创建ACL后,ACL的默认步长为5。如果该值不能满足管理员部署ACL规则的需求,则可以对ACL步长值进行调整;(可选)执行命令description text,配置ACL的描述信息。
               配置基本ACL规则的操作命令如下:
               
               以上步骤仅是一条permit/deny规则的配置步骤。实际配置ACL规则时,需根据具体的业务需求,决定配置多少条规则以及规则的先后匹配顺序。
               1)ACL语句的删除
               删除ACL,系统视图下执行命令:
               
               一般可以直接删除ACL,不受引用ACL的业务模块影响(简化流策略中引用ACL指定rule的情况除外),即无须先删除引用ACL的业务配置。
               2)调整ACL步长
               在网络维护过程中,需要管理员为原ACL添加新的规则。由于ACL的默认步长是5,在系统分配的相邻编号的规则之间,最多只能插入4条规则。调整步长,在ACL视图下执行step step,配置ACL步长。
               3)查看与清除ACL信息
               确认设备ACL资源的分配情况,在任意视图下查看ACL资源信息的命令如下。
               
               若显示信息中的计数非零,表示设备仍存在空余的ACL资源。
               确认需要清除ACL的运行信息后,在用户视图下清除ACL统计信息的命令如下。
               
               4)通配符掩码
               ACL规定使用通配符掩码来说明子网地址,通配符掩码就是子网掩码按位取反的结果。通配符掩码0.0.0.0表示ACL语句中的32位地址要求全部匹配,因而叫作主机掩码。例如:192.168.1.1 0.0.0.0表示主机192.168.1.1的IP地址,实际上路由器把这个地址转换为host 192.168.1.1,注意这里的关键字host。
               通配符掩码255.255.255.255表示任意地址都是匹配的,通常与地址0.0.0.0一起使用,例如:0.0.0.0 255.255.255.255,路由器将把这个地址转换为关键字any。下表给出了几个使用通配符掩码的例子。
               
               通配符掩码的例子
 
       访问控制
        网络设备的访问可以分为带外(out-of-band)访问和带内(in-band)访问。带外(out-of-band)访问不依赖其他网络,而带内(in-band)访问则要求提供网络支持。网络设备的访问方法主要有控制端口(Console Port)、辅助端口(AUX Port)、VTY、HTTP、TFTP、SNMP。Console、AUX和VTY称为line。每种访问方法都有不同的特征。Console Port属于默认设置访问,要求物理上访问网络设备。AUX Port提供带外访问,可通过终端服务器或调制解调器Modem连接到网络设备,管理员可远程访问。VTY提供终端模式通过网络访问网络设备,通常协议是Telnet或SSH2。VTY的数量一般设置为5个,编号是从0到4。网络设备也支持使用HTTP协议进行Web访问。网络设备使用TFTP(Trivial File Transfer Protocol)上传配置文件。SNMP提供读或读写访问几乎所有的网络设备。
               CON端口访问
               为了进一步严格控制CON端口的访问,限制特定的主机才能访问路由器,可做如下配置,其指定X.Y.Z.1可以访问路由器:
               
               VTY访问控制
               为保护VTY的访问安全,网络设备配置可以指定固定的IP地址才能访问,并且增加时间约束。例如,X.Y.Z.12、X.Y.Z.5可以通过VTY访问路由器,则可以配置如下:
               
               超时限制配置如下:
               
               HTTP访问控制
               限制指定IP地址可以访问网络设备。例如,只允许X.Y.Z.15路由器,则可配置如下:
               
               除此之外,强化HTTP认证配置信息如下:
               
               其中,type可以设为enable、local、tacacs或aaa。
               SNMP访问控制
               为避免攻击者利用Read-only SNMP或Read/Write SNMP对网络设备进行危害操作,网络设备提供了SNMP访问安全控制措施,具体如下:
               一是SNMP访问认证。当通过SNMP访问网络设备时,网络设备要求访问者提供社区字符串(community strings)认证,类似口令密码。如下所示,路由器设置SNMP访问社区字符串。
               (1)设置只读SNMP访问模式的社区字符串。
               
               (2)设置读/写SNMP访问模式的社区字符串。
               
               二是限制SNMP访问的IP地址。如下所示,只有X.Y.Z.8和X.Y.Z.7的IP地址对路由器进行SNMP只读访问。
               
               三是关闭SNMP访问。如下所示,网络设备配置no snmp-server community命令关闭SNMP访问。
               
               设置管理专网
               远程访问路由器一般是通过路由器自身提供的网络服务来实现的,例如Telnet、SNMP、Web服务或拨号服务。虽然远程访问路由器有利于网络管理,但是在远程访问的过程中,远程通信时的信息是明文,因而,攻击者能够监听到远程访问路由器的信息,如路由器的口令。为增强远程访问的安全性,应建立一个专用的网络用于管理设备,如下图所示。
               
               建立专用的网络用于管理路由器示意图
               同时,网络设备配置支持SSH访问,并且指定管理机器的IP地址才可以访问网络设备,从而降低网络设备的管理风险,具体方法如下:
               (1)将管理主机和路由器之间的全部通信进行加密,使用SSH替换Telnet。
               (2)在路由器设置包过滤规则,只允许管理主机远程访问路由器。例如以下路由器配置可以做到:只允许IP地址是X.Y.Z.6的主机有权访问路由器的Telnet服务。
               
               特权分级
               针对交换机、路由器潜在的操作安全风险,交换机、路由器提供权限分级机制,每种权限级别对应不同的操作能力。在Cisco网络设备中,将权限分为0~15共16个等级,0为最低等级,15为最高等级。等级越高,操作权限就越多,具体配置如下:
               
 
       访问控制列表
               基本概念
               (1)IP包过滤技术。路由器在转发数据包时,先获取包头信息(包括IP层所承载的上层协议的协议号及数据包的源地址、目的地址、源端口号和目的端口号等),然后与设定的规则进行比较,再根据比较的结果对数据包进行转发或者丢弃。
               (2)IP访问控制列表是实现包过滤的核心技术。访问控制列表就是一系列允许和拒绝条件的集合,通过访问控制列表可以过滤发进和发出的信息包的请求,实现对路由器和网络的安全控制。路由器逐个地检测包与访问列表的条件,在满足第一个匹配条件后就可以决定是接收还是拒收该包。
               访问控制列表的分类和配置
               1)IP访问控制列表的分类
               (1)标准访问控制列表。只对数据包中的源地址进行检查,而不考虑目的地址及端口号等过滤选项,表号为1~99。
               (2)扩展访问控制列表。既检查包的源地址,也检查包的目的地址,还可以检查特殊的协议类型、端口以及其他参数,具有更大的自由度,表号为100~199。
               2)IP访问控制列表的配置
               (1)配置步骤。
               ① 在全局配置模式下创建ACL:
               
               ②在接口配置模式下,使用access-group命令将ACL应用到某一接口上:
               
               其中,in和out参数可以控制接口中不同方向的数据包,如果不配置该参数,默认为out。
               (2)创建访问控制列表。
               .通配符掩码。在创建访问控制列表,表示一定范围的IP地址时,不使用子网掩码而使用通配符掩码。通配符掩码可用255.255.255.255减去子网掩码求出。
               .在通配符掩码中,可以用255.255.255.255表示所有IP地址,也可以用any来取代。而0.0.0.0的通配符掩码则表示所有32位都要进行匹配,这样只表示一个IP地址,可以用host来表示。
               ①创建标准访问控制列表:
               
               参数说明:access-list-number是定义访问列表的编号,取值范围为1~99;deny或permit指定了允许还是拒绝数据包;source是发送数据包的主机地址;source-wildcard是发送数据包的主机的通配符掩码。
               ②创建扩展访问控制列表:
               
               参数说明如下。
               .access-list-number:定义访问列表的编号,取值范围为100~199。
               .deny或permit:指定了允许还是拒绝数据包。
               .protocol:协议,如IP、TCP、UPD、ICMP、OSPF等。
               .source、destination、destination-wildcard:源地址和目标地址。
               .source-wildcard:通配符掩码。
               .protocol-specific options:指定协议选项,用lt、eq、gt、neq(小于、等于、大于、不等于)加端口号来指定,如eq 80。
   题号导航      2009年上半年 网络工程师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第63题    在手机中做本题