【正文】 標(biāo)準(zhǔn) ACL不能指定目標(biāo)地址，所以需要把標(biāo)準(zhǔn) ACL放置在盡量靠近目標(biāo)的地方。如在遠(yuǎn)離目的端，禁止某些數(shù)據(jù)流，可以減少使用到達(dá)目的端的網(wǎng)絡(luò)資源。 ? Router(config) accesslist 1 permit ? 等價(jià)于 ? Router(config) accesslist 1 permit host 驗(yàn)證 ACL ? 使用 show interface ? 可以顯示在某個(gè)接口上綁定了那些 ACL ? 使用 show runningconfig ? 顯示 ACL詳細(xì)信息和綁定位置 ? 使用 show accesslist ? 顯示所有的 ACL列表內(nèi)容 ACL的放置 ? ACL可以用于控制數(shù)據(jù)流，消除不需要的數(shù)據(jù)流。然后，為了指明 ACL將檢查地址中的所有的位，相應(yīng)的通配掩碼的各位將設(shè)置成 0（即 ）。 ? 假如希望一個(gè)特定的 IP地址，在 ACL的檢查中獲得允許。可以使用縮寫形式，來(lái)指定相同的測(cè)試條件。 Network .host 0 0 0 1 0 0 0 0 Wildcard mask: 0 0 0 0 1 1 1 1 | match | don’t care | 0 0 0 1 0 0 0 0 = 16 0 0 0 1 0 0 0 1 = 17 0 0 0 1 0 0 1 0 = 18 : : 0 0 0 1 1 1 1 1 = 31 any命令 ? 假如想允許任何目標(biāo)地址都被允許，為了檢查任何地址，需要輸入 。通配掩碼中的前四位為 0，告訴路由器要匹配 IP地址的前四位 (0001)。 ? 與之相應(yīng)的通配掩碼是 ，將匹配子網(wǎng) IP地址。由于沒有興趣檢查主機(jī)地址，通配掩碼的最后一個(gè)字節(jié)位全為 1。想使用通配掩碼，允許所有來(lái)自于網(wǎng)絡(luò)～ 。想使用通配掩碼，允許所有來(lái)自于網(wǎng)絡(luò) ～ 。在通配掩碼中， 0/1決定 ACL是否檢查或者忽略 IP地址中的相應(yīng)位。 通配掩碼 vs. 子網(wǎng)掩碼 ? 盡管都是 32位，通配掩碼與子網(wǎng)掩碼不同。 ? 通配掩碼某位是 0，表示檢查相應(yīng) bit位的值； ? 通配掩碼某位是 1，表示不檢查 (忽略 )相應(yīng)位的值。 accesslist 101 deny tcp any eq 23 accesslist 101 permit ip any any (implicit deny all) interface ether 0 ip accessgroup 101 out 通配掩碼 ? 通配掩碼（ wildcard mask）是分成 4字節(jié)的 32bit數(shù)。 ? 第二個(gè) ACL命令表示允許任何的數(shù)據(jù)流。 accesslist 101 deny tcp eq 21 accesslist 101 deny tcp eq 20 accesslist 101 permit ip any any (implicit deny all) (accesslist 101 deny ip ) interface ether 0 ip accessgroup 101 out 實(shí)例 2：禁止轉(zhuǎn)出 Tel 數(shù)據(jù) ? 在 E0端口，禁止轉(zhuǎn)出來(lái)自 Tel 數(shù)據(jù)流，其它的數(shù)據(jù)流將被轉(zhuǎn)發(fā)。 ? 第三個(gè) ACL命令表示允許任何的數(shù)據(jù)流。 ? 第一個(gè) ACL命令用“ deny‖禁止來(lái)自 FTPDATA（ port=20）數(shù)據(jù)流到 。 ? 實(shí)例 2：在 E0端口，禁止轉(zhuǎn)出來(lái)自 Tel 數(shù)據(jù)流，其它的數(shù)據(jù)流將被轉(zhuǎn)發(fā)。 擴(kuò)展 ACL舉例 ? 以下圖的結(jié)構(gòu)為例，介紹擴(kuò)展 ACL的使用。還可以指定擴(kuò)展 ACL針對(duì)特定的協(xié)議的進(jìn)行操作。 accesslist 1 deny accesslist 1 permit any (implicit deny all) (accesslist 1 deny ) interface ether 0 ip accessgroup 1 out 擴(kuò)展 ACL ? 擴(kuò)展 ACL ? 檢查源地址和目的地址 ? 可以允許或者拒絕指定協(xié)議 ? 為了更加精確的數(shù)據(jù)流過濾，需要擴(kuò)展 ACL。 ? 第二個(gè) ACL命令表示在之前沒有匹配的時(shí)候允許任何的源 IP地址。 ? 第一個(gè) ACL命令用“ deny‖禁止來(lái)自 ，通配掩碼 ，前三個(gè)字節(jié)表示 IP地址中的前三個(gè)字節(jié)將被檢測(cè)。 ? 最后將 ACL關(guān)聯(lián)到端口 E0。 ? 第二個(gè) ACL命令中，“ ‖IP地址和通配掩碼組合，表示允許來(lái)自于任何源的數(shù)據(jù)流。 accesslist 1 permit (implicit deny all not visible in the list) (accesslist 1 deny ) interface ether 0 ip accessgroup 1 out interface ether 1 ip accessgroup 1 out 實(shí)例 2:禁止來(lái)自特定地址的數(shù)據(jù) ? E0端口不允許來(lái)自于特定地址 ，其它的數(shù)據(jù)流將被轉(zhuǎn)發(fā)。 ? 第一個(gè) ACL命令用“ permit‖允許來(lái)自于此指定網(wǎng)絡(luò)的數(shù)據(jù)流，通配掩碼 IP地址中的網(wǎng)絡(luò)位（前 16位）。 ? 實(shí)例 3： E0端口不允許來(lái)自于特定子網(wǎng) ，而轉(zhuǎn)發(fā)其它的數(shù)據(jù)。 ? 實(shí)例 1： E0和 E1端口只允許來(lái)自于網(wǎng)絡(luò) 發(fā)，其余的將被阻止。 ? Router(config) accesslist accesslistnumber {deny | permit} source [sourcewildcard ] ? 例如： accesslist 1 permit ? 使用這個(gè)命令的 no形式，可以刪除一個(gè)標(biāo)準(zhǔn) ACL。 標(biāo)準(zhǔn) ACL指令 ? 使用標(biāo)準(zhǔn)版本的 accesslist全局配置命令來(lái)定義一個(gè)帶有數(shù)字的標(biāo)準(zhǔn) ACL。它是基于源地址和通配掩碼。 ? 如果是針對(duì)進(jìn)入數(shù)據(jù)流的 ACL，路由器將檢查每一個(gè)數(shù)據(jù)報(bào)，看是否滿足 ACL的條件，然后才將允許的數(shù)據(jù)報(bào)發(fā)送到送出端口。根據(jù)配置，可以過濾進(jìn)入或流出的數(shù)據(jù)流。對(duì)于某些協(xié)議，可以創(chuàng)建多個(gè) ACL：一個(gè)用于過濾進(jìn)入端口的數(shù)據(jù)流 inbound，一個(gè)用于過濾流出端口的數(shù)據(jù)流 outbound。 當(dāng)檢測(cè)到某個(gè)指令條件滿足的時(shí)候，就不會(huì)再檢測(cè)后面的指令條件。 ACL指令 ? ACL指令的放置順序是很重要的。 ACL指令 ? 一個(gè) ACL就是一組指令，規(guī)定數(shù)據(jù)報(bào)如何： ? 進(jìn)入路由器的某個(gè)端口 ? 在路由器內(nèi)的轉(zhuǎn)送 ? 離開路由器的某個(gè)端口 ? ACL允許控制哪些客戶端可以訪問的網(wǎng)絡(luò)。 ? ICMP不會(huì)生成自己的差錯(cuò)消息。 數(shù)據(jù)在路由器中傳輸?shù)倪^程 ? 到達(dá)路由器前的幀格式 數(shù)據(jù)在路由器中傳輸?shù)倪^程 ? 源端的路由器解封裝數(shù)據(jù)包，察看源、目的地的 IP地址 數(shù)據(jù)在路由器中傳輸?shù)倪^程 ? 查詢路由表得到下一跳地址 Routing Table S C C 數(shù)據(jù)在路由器中傳輸?shù)倪^程 ? 再封裝成 PPP的幀，通過串行口發(fā)往下一跳路由器 數(shù)據(jù)在路由器中傳輸?shù)倪^程 ? 經(jīng)過下一跳路由器的解封裝、查詢路由表，將數(shù)據(jù)再進(jìn)行封裝發(fā)往目的地。 ? 外部網(wǎng)關(guān)協(xié)議 — 在自治系統(tǒng)（ AS）之間進(jìn)行路由，包括邊界網(wǎng)關(guān)協(xié)議 BGP（ Border Gateway Protocol ）。 TCP/IP 地址轉(zhuǎn)換 Domain Name System Query 域名查詢 IP Address IP地址 Network Address Host Address Host Name Network Name Amanders . Domain Name 域名 Address Resolution Protocol Query 地址解析查詢 00C017 850022 MAC Address 物理地址 VariableLength Sub Mask 可變長(zhǎng)子網(wǎng)掩碼 ? Sub : ? Sub with one mask (/27) ? Then further sub one of the unused /27 subs into multiple /30 subs VLSM中網(wǎng)絡(luò)號(hào)的計(jì)算 VLSM Example Route Summarization路由匯聚 ? Routing protocols can summarize addresses of several works into one address ? CIDR(Classless InterDomain Routing) 無(wú)類域間路由 Summarizing Within an Octet VLSM掩碼表示舉例 ? Supports hostspecific routes, blocks of works, default routes ? Routers use the longest match /32 Host /27 Sub /24 Network /16 Block of Networks /0 Default ?為轉(zhuǎn)發(fā)數(shù)據(jù)包，路由器需要： ? 發(fā)現(xiàn)可能的路由 ? 選擇最優(yōu)路由 ? 維護(hù)路由信息 路由 ? Routers must learn destinations that are not directly connected. 路由表 ?Static Route靜態(tài)路由 ? 網(wǎng)絡(luò)管理員手工配置 ?Dynamic Route動(dòng)態(tài)路由 ?由路由協(xié)議依據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和流量變化情況自動(dòng)生成 靜態(tài)路由 vs. 動(dòng)態(tài)路由 Static Route Example ? This is a unidirectional route. You must have a route configured in the opposite direction. Default Routes 缺省路由 ? This route allows the stub work to reach all unknown works beyond router A. ? 交換路由信息 ? 維護(hù)路由表 路由協(xié)議 Routing Protocols ? 路由器使用路由協(xié)議交互路由信息。 劃分子網(wǎng) Sub Addressing Sub Mask 子網(wǎng)掩碼 Decimal Equivalents of Bit Patterns ?Subs not in use—the default 網(wǎng)絡(luò)號(hào)的計(jì)算 ? Network number extended by eight bits 網(wǎng)絡(luò)號(hào)的計(jì)算 網(wǎng)絡(luò)號(hào)的計(jì)算 ? Network number extended by ten bits ARP（ Address Resolve Protocol）地址解析協(xié)議 ? 作用：查找目的主機(jī)的 MAC地址 ? 源站點(diǎn)在網(wǎng)絡(luò)中廣播 ARP請(qǐng)求，目的站點(diǎn)收到請(qǐng)求后發(fā)送單播的 ARP應(yīng)答，告訴源站點(diǎn)自己的 MAC地址，源站點(diǎn)將所得到的目的站點(diǎn)的 IP地址與 MAC地址對(duì)存入本機(jī) ARP表，之后將待發(fā)送 IP包封裝在以太幀中發(fā)給目的站點(diǎn)。 II. 當(dāng)一個(gè)主機(jī)同時(shí)連接到兩個(gè)網(wǎng)絡(luò)上時(shí)（作路由器用的主機(jī)即為這種情況），該主機(jī)就必須同時(shí)具有兩個(gè)相應(yīng)的 IP地址，其網(wǎng)絡(luò)號(hào)碼 id是不同的，這種主機(jī)成為多地址主機(jī)（ multihomed host） . III. 按照 Inter的觀點(diǎn)，用集線器或交換機(jī)連接起來(lái)的若干個(gè)局域網(wǎng)仍為一個(gè)網(wǎng)絡(luò)，因此這些局域網(wǎng)都具有同樣的網(wǎng)絡(luò)號(hào)碼 id. IV. 在 IP地址中，所有分配到網(wǎng)絡(luò)號(hào)碼 id的網(wǎng)絡(luò)（不管是小的局域網(wǎng)還是很大的廣域網(wǎng)）都是平等的。 8. 私有地址： IP地址重要特點(diǎn) I. IP地址是一種非等級(jí)的地址結(jié)構(gòu)。 7. 全 1地址 ，這表示“向我的網(wǎng)絡(luò)上的所有主機(jī)廣播”。 6. 網(wǎng)絡(luò)號(hào)碼為 .，這里 。 4. 全 1的主機(jī)號(hào)碼，表示廣播地址，即對(duì)該網(wǎng)絡(luò)上所有的主機(jī)進(jìn)行廣播。 2. 全 1的網(wǎng)絡(luò)號(hào)碼。 frame is not flooded. Filtering Frames (Cont.) ?