CCNA_Sem2_思科網(wǎng)絡(luò)學(xué)院理事會(huì)中文建議版

1、廣域網(wǎng)和路由器廣域網(wǎng)和路由器WANs and Routers 2WAN設(shè)備設(shè)備 廣域網(wǎng)連接相隔較遠(yuǎn)的設(shè)備，這些設(shè)備有：路由器(routers)提供諸如網(wǎng)絡(luò)互連、與廣域網(wǎng)接口等多種服務(wù)交換機(jī)(switches)連接到廣域網(wǎng)的帶寬上，進(jìn)行聲音，數(shù)據(jù)，視頻等信息的傳輸調(diào)制解調(diào)器(modems)連系分級(jí)話音服務(wù)。包括用于連系ISDN服務(wù)的CSU/DSU(信道服務(wù)單元/數(shù)據(jù)服務(wù)單元)和TA/NT1。通訊服務(wù)器(communication server)將用戶(hù)撥入，撥出信息集中起來(lái)。3WAN中的路由器中的路由器 路由器是實(shí)現(xiàn)網(wǎng)絡(luò)服務(wù)的設(shè)備。它為各種不同速率的鏈路和子網(wǎng)提供接口。路由器是能動(dòng)的、智能的網(wǎng)絡(luò)設(shè)

2、備，也正因?yàn)槿绱怂鼌⑴c網(wǎng)絡(luò)管理。路由器可通過(guò)支持網(wǎng)絡(luò)的任務(wù)和目標(biāo)并且提供網(wǎng)絡(luò)資源的動(dòng)態(tài)控制，來(lái)管理網(wǎng)絡(luò)的，使網(wǎng)絡(luò)達(dá)到可連接性、可靠性能、管理控制和靈活性。 路由器既有局域網(wǎng)接口又有廣域網(wǎng)接口。盡管可被用作分段局域網(wǎng)設(shè)備，但其主要用途是作為廣域網(wǎng)設(shè)備。路由器通過(guò)廣域網(wǎng)連接來(lái)彼此通信，組成自治系統(tǒng)和Internet的主干。4WAN中的路由器中的路由器 路由器是大型企業(yè)網(wǎng)和Internet的主干設(shè)備，工作在OSI模型的第三層，基于網(wǎng)絡(luò)地址進(jìn)行路由決策。 路由器的主要功能有：為到達(dá)的數(shù)據(jù)分組選擇最佳路徑；將分組切換到正確的出口。 路由器通過(guò)建立路由表和與其他路由器交換網(wǎng)絡(luò)信息來(lái)完成這些功能。可以手工配

3、置路由表，但是通常是通過(guò)使用routing protocol與其他路由器交換路由信息，動(dòng)態(tài)維護(hù)路由表。5WAN中的路由器中的路由器 為了使任何機(jī)器之間能夠互相通信，必須在系統(tǒng)中有路由特性來(lái)控制信息流，冗余的路徑來(lái)保證可靠性，許多網(wǎng)絡(luò)的設(shè)計(jì)思想和技術(shù)都可追溯到這種初衷。任何互連網(wǎng)絡(luò)都應(yīng)包含下列部分：一致的端到端的編址機(jī)制能夠表示網(wǎng)絡(luò)拓?fù)涞木幹纷顑?yōu)路徑選擇動(dòng)態(tài)路由分組轉(zhuǎn)發(fā)6WAN交換機(jī)交換機(jī) WAN交換機(jī)是一種多口網(wǎng)絡(luò)設(shè)備，一般對(duì)幀中繼、X.25和SMDS（可交換多兆位數(shù)據(jù)業(yè)務(wù)）通信業(yè)務(wù)量進(jìn)行交換。 WAN交換機(jī)一般運(yùn)行在OSI參考模型的數(shù)據(jù)鏈路層。 WAN中相距很遠(yuǎn)的兩個(gè)路由器通過(guò)WAN交換機(jī)進(jìn)

4、行連接的。7WAN中的調(diào)制解調(diào)器中的調(diào)制解調(diào)器 調(diào)制解調(diào)器通過(guò)調(diào)制解調(diào)信號(hào)，可以對(duì)數(shù)字和模擬信號(hào)進(jìn)行轉(zhuǎn)換，如此可以將數(shù)據(jù)在具有話音等級(jí)的電話線上傳輸。 在源端，數(shù)字信號(hào)被轉(zhuǎn)換成合適的格式在模擬通信設(shè)備上傳送。 在目的端這些模擬信號(hào)被轉(zhuǎn)換回?cái)?shù)字形式。8WAN中的中的CSU/DSU CSU/DSU是數(shù)字接口設(shè)備或者有時(shí)是兩個(gè)分立的數(shù)字設(shè)備以適應(yīng)DTE和DCE之間的接口。 下圖顯示出在一個(gè)具體WAN網(wǎng)中CSU/DSU的放置位置。有時(shí)CSU/DSU集成在路由器的機(jī)箱中。9DTE和和DCE DTE（ Data Terminal Equipment）數(shù)據(jù)終端設(shè)備 DCE（ Data-Circuit Ter

5、minating Equipment）數(shù)據(jù)終接設(shè)備 一個(gè)重要的接口存在于DTE和DCE之間。DTE是路由器，DCE是指用來(lái)將DTE來(lái)的用戶(hù)數(shù)據(jù)格式轉(zhuǎn)換成WAN設(shè)備認(rèn)可格式的設(shè)備。DCE可以是附加的modem、CSU/DSU（信道業(yè)務(wù)單元/數(shù)據(jù)業(yè)務(wù)單元）或者終端適配器/網(wǎng)絡(luò)接口點(diǎn)1（TA/NT1）。10DTE和和DCE DTE/DCE之間的接口就象WAN客戶(hù)和WAN提供商的責(zé)任分界線一樣。11DTE和和DCE 在DTE之間的WAN路徑被稱(chēng)為鏈路、電路、通道或線路。DCE最重要的一點(diǎn)是為DTE接入WAN通信鏈路提供一個(gè)接口。 DTE/DCE之間的接口使用各種協(xié)議（例如HSSI和V.35），這些協(xié)議

6、建立設(shè)備之間用于通信的編碼。而這個(gè)通信將決定著呼叫如何建立和用戶(hù)的業(yè)務(wù)量如何通過(guò)WAN。12WAN中的中的ISDN終端適配器終端適配器 ISDN終端適配器（TA）是一種被用來(lái)與其它接口建立ISDN基本速率連接的設(shè)備。13WAN標(biāo)準(zhǔn)的制定機(jī)構(gòu)標(biāo)準(zhǔn)的制定機(jī)構(gòu) WAN使用OSI分層參考模型來(lái)進(jìn)行封裝，關(guān)注點(diǎn)在物理層和數(shù)據(jù)鏈路層。一般來(lái)說(shuō)WAN標(biāo)準(zhǔn)不但描述物理層的傳送方法而且還提出數(shù)據(jù)鏈路層的要求，包括地址、流量控制和封裝。 廣域網(wǎng)的標(biāo)準(zhǔn)由下列的權(quán)威機(jī)構(gòu)制定和管理：ITU-T：國(guó)際電信同盟-電信標(biāo)準(zhǔn)部門(mén)（原先的CCITT）ISO：國(guó)際標(biāo)準(zhǔn)化組織IETF：Internet工程任務(wù)組EIA：電子工業(yè)聯(lián)合會(huì)

7、14廣域網(wǎng)的封裝廣域網(wǎng)的封裝廣域網(wǎng)的封裝不同于局域網(wǎng)，廣域網(wǎng)規(guī)定了幀是如何在兩個(gè)由單數(shù)據(jù)鏈路連接的系統(tǒng)中傳輸?shù)?5WAN常用的數(shù)據(jù)封裝格式常用的數(shù)據(jù)封裝格式 WAN的數(shù)據(jù)鏈路層定義了數(shù)據(jù)如何被封裝，以便傳送到遠(yuǎn)端。WAN的數(shù)據(jù)鏈路協(xié)議描述了在系統(tǒng)之間唯一一條數(shù)據(jù)路徑上，幀是如何被傳送的。 常用的有以下幾種數(shù)據(jù)封裝格式： High-Level Data Link Control (HDLC)一個(gè)IEEE標(biāo)準(zhǔn)，既支持點(diǎn)到點(diǎn)配置又支持多點(diǎn)配置。高級(jí)數(shù)據(jù)鏈路控制（HDLC）是ISO標(biāo)準(zhǔn)，HDLC可能在不同的廠家之間不兼容，因?yàn)槊總€(gè)廠家實(shí)現(xiàn)HDLC的方式不同。HDLC支持點(diǎn)到點(diǎn)和多點(diǎn)結(jié)構(gòu)。16WAN常用

8、的數(shù)據(jù)封裝格式常用的數(shù)據(jù)封裝格式 Frame Relay（幀中繼）使用高質(zhì)量的數(shù)字設(shè)備，使用簡(jiǎn)化的成幀技術(shù)，沒(méi)有糾錯(cuò)機(jī)制，這意味著它比其它廣域網(wǎng)協(xié)議更快地傳送第二層的信息，簡(jiǎn)化其封裝，正因?yàn)槿绱?，幀中繼比其它WAN協(xié)議具有更高的傳輸速率。 ISDN：一系列數(shù)字業(yè)務(wù)，通過(guò)現(xiàn)有的電話線路來(lái)傳送語(yǔ)音和數(shù)據(jù)。17常用的廣域網(wǎng)協(xié)議常用的廣域網(wǎng)協(xié)議 Point-to-Point Protocol (PPP)由IETF制定，在RFC1661中有所介紹。PPP包含一個(gè)協(xié)議域，以標(biāo)識(shí)網(wǎng)絡(luò)層所使用的協(xié)議。是由IETF提出的兩個(gè)標(biāo)準(zhǔn)，包含一個(gè)protocol field來(lái)指明網(wǎng)絡(luò)層協(xié)議。 Simple Data L

9、ink Control Protocol (SDLC)由IBM設(shè)計(jì)的廣域網(wǎng)數(shù)據(jù)鏈路層協(xié)議，大部分已被HDLC所取代。18RRRRR廣域網(wǎng)廣域網(wǎng)1廣域網(wǎng)廣域網(wǎng)2廣域網(wǎng)廣域網(wǎng)3廣域網(wǎng)廣域網(wǎng)4互聯(lián)網(wǎng)互聯(lián)網(wǎng) 將若干廣域網(wǎng)互連起來(lái)就構(gòu)成了互聯(lián)網(wǎng)。19路由器路由器路由器是工業(yè)型計(jì)算機(jī)，符合馮諾依曼體系結(jié)構(gòu)20Router的組成的組成 RAM（DRAM）- 保存ARP、Routing Table等信息，掉電消失 NVRAM（非易失RAM）- 備份啟動(dòng)配置文件，掉電不消失 Flash - IOS更新（增量） ROM POST、BOOT、OS Interface21路由器分段路由器分段由路由器分段的網(wǎng)絡(luò)，廣播得

10、到有效控制，網(wǎng)絡(luò)利用率提升22路由器使用廣域網(wǎng)技術(shù)路由器使用廣域網(wǎng)技術(shù)23廣域網(wǎng)技術(shù)廣域網(wǎng)技術(shù)數(shù)字專(zhuān)線業(yè)務(wù)數(shù)字專(zhuān)線業(yè)務(wù) T11.544MBit/s T344.736MBit/s E12.048MBit/s E334.368MBit/s DSL Sonet美國(guó)采用美國(guó)采用T T系列，歐洲采用系列，歐洲采用E E系列系列24廣域網(wǎng)技術(shù)廣域網(wǎng)技術(shù)數(shù)字專(zhuān)線業(yè)務(wù)數(shù)字專(zhuān)線業(yè)務(wù) xDSL (DSL for Digital Subscriber Line and x for a family of technologies)一種新發(fā)展起來(lái)的針對(duì)家庭使用的廣域網(wǎng)技術(shù)，寬帶隨距電話公司設(shè)備距離的增加而減少，最大速

11、度為51.84 Mbps，大多數(shù)情況下帶寬較低，從幾百kbps到幾Mbps，使用范圍較小，但發(fā)展較快，費(fèi)用中等偏低，x表示DSL技術(shù)的全部系列，包括：HDSL-high-bit-rate DSL SDSL-single-line DSLADSL-asymmetric DSL（非對(duì)稱(chēng)DSL）VDSL- very-high-bit-rate DSLRADSL-rate adaptive DSL25各各DSL的技術(shù)特性的技術(shù)特性項(xiàng)項(xiàng) 目目ADSLRADSLG.LITEVDSLHDSLSDSLMDSLIDSLG.SHDSL最高上行輸速最高上行輸速率率1.0MBPS1.0MBPS512KBPS2.3MB

12、PS2MBPS2MBPS2.3MBPS128KBPS2.36MBPS最高下行輸速最高下行輸速率率8MBPS8MBPS1.5MBPS52MBPS2MBPS2MBPS2.3MBPS128KBPS2.36MBPS最大傳輸距離最大傳輸距離(米）米）550055007000150037006000*940050007600所需銅質(zhì)雙絞所需銅質(zhì)雙絞線數(shù)目（對(duì)）線數(shù)目（對(duì)）111121111或2是否對(duì)稱(chēng)傳輸是否對(duì)稱(chēng)傳輸否否否否是是是是是26廣域網(wǎng)技術(shù)廣域網(wǎng)技術(shù)電路交換服務(wù)電路交換服務(wù) POTS(Plain Old Telephone Service)POTS實(shí)際就是Public Switched Telep

13、hone Network.的另一種叫法。POTS不是計(jì)算機(jī)數(shù)據(jù)服務(wù)，將它包括在廣域網(wǎng)技術(shù)中是出于兩點(diǎn)考慮：它的許多技術(shù)是數(shù)據(jù)基礎(chǔ)設(shè)施的一部分；它是一種可靠，易于使用，廣域的通信網(wǎng)絡(luò)模型。介質(zhì)是雙絞線。 Narrowband ISDN一種通用普遍的技術(shù)，是第一個(gè)全數(shù)字撥號(hào)服務(wù)，在各個(gè)國(guó)家的使用大不相同，費(fèi)用中等，最大帶寬對(duì)費(fèi)用較低的BRI (Basic Rate Interface)來(lái)說(shuō)是144 kbps，對(duì)PRI (Primary Rate Interface)來(lái)說(shuō)是2048 Mbps，典型介質(zhì)為雙絞線。27廣域網(wǎng)技術(shù)廣域網(wǎng)技術(shù)分組交換服務(wù)分組交換服務(wù) X.25一種較老的技術(shù)，但仍然廣泛使用；

14、具有很強(qiáng)的檢錯(cuò)能力，這使得它很可靠，但是限制了它的帶寬，帶寬有2 Mbps，費(fèi)用中等，典型的介質(zhì)為雙絞線。 Frame Relay窄帶ISDN的分組交換版本，已成為非常流行的廣域網(wǎng)技術(shù)，和X.25有類(lèi)似的服務(wù)，但是更有效，最大帶寬為44.736 Mbps，56kbps and 384kbps在美國(guó)非常流行，應(yīng)用廣泛，費(fèi)用中等偏低，典型介質(zhì)包括雙絞線和光纖。28廣域網(wǎng)技術(shù)廣域網(wǎng)技術(shù)信元交換服務(wù)信元交換服務(wù) ATM (Asynchronous Transfer Mode)與寬帶ISDN密切相關(guān)，日益成為重要的廣域網(wǎng)技術(shù)，使用較小的、固定長(zhǎng)度的幀來(lái)傳送數(shù)據(jù)，最大帶寬為622 Mbps。典型介質(zhì)為雙絞

15、線和光纖，使用愈來(lái)愈廣泛，價(jià)格較高。 SMDS (Switched Multimegabit Data Service)與ATM密切相關(guān)，通常使用在MAN中，最大帶寬為44.736 Mbps，典型介質(zhì)為雙絞線和光纖，應(yīng)用不是很廣，費(fèi)用相對(duì)較高。29廣域網(wǎng)的連接廣域網(wǎng)的連接廣域網(wǎng)的連接我們可以看成是連接在一個(gè)網(wǎng)云上30廣域網(wǎng)的連接廣域網(wǎng)的連接在實(shí)驗(yàn)環(huán)境下，一般不能接到真正的廣域網(wǎng)，我們可以使用背靠背（或稱(chēng)點(diǎn)對(duì)點(diǎn)）連接來(lái)代替路由器介紹路由器介紹Introduction to Routers32使用使用X-modem連接連接 配置Xmodem CCNAv3.1 Semester2-5-2-6IOSI

16、OSInternetwork Operating System34Cisco IOS 路由器是計(jì)算機(jī)，需要操作系統(tǒng)，Cisco IOS就是路由器的操作系統(tǒng) 實(shí)現(xiàn)路由器和交換機(jī)的功能 可靠安全的連接網(wǎng)絡(luò) 提供網(wǎng)絡(luò)的一些測(cè)試功能 使用CLI - Command-Line Interface 分兩種主要模式： 用戶(hù)模式：Router 特權(quán)模式：Router#35Show version 通過(guò)show version 得到的信息： IOS版本以及注釋信息 Bootstrap 的信息 Boot Rom的信息 上一次啟動(dòng)的方式 系統(tǒng)鏡像文件的位置 路由器型號(hào) 寄存器地址 接口信息等36查看查看Flash狀

17、態(tài)狀態(tài)37路由器上的路由器上的LED指示指示指示燈一般在接口的側(cè)面，數(shù)據(jù)發(fā)送的時(shí)候閃爍，通過(guò)看指示燈可以知道接口是否正常38不同系統(tǒng)的超級(jí)終端不同系統(tǒng)的超級(jí)終端39編輯功能編輯功能和使用等鍵功能一樣路由器配置路由器配置Configuring a Router41路由器的模式路由器的模式42路由器的模式路由器的模式 無(wú)論何種方式配置路由器，路由器都能處于幾種模式。每種模式提供不同的功能：setup模式：這種模式提供控制臺(tái)上的交互式的對(duì)話，以幫助新用戶(hù)創(chuàng)建第一次的基本配置。用戶(hù)EXEC模式：這是只能看模式，用戶(hù)只能查看一些路由器的信息，不能更改。特權(quán)EXEC模式：這種模式支持調(diào)試和測(cè)試命令，詳細(xì)檢

18、查路由器，配置文件操作和訪問(wèn)配置模式。全局配置模式：這種模式實(shí)現(xiàn)強(qiáng)大的執(zhí)行簡(jiǎn)單配置任務(wù)的單行命令。其他的配置模式：這些模式提供更多詳細(xì)的多行配置。1.RXBOOT模式：維持模式，可以恢復(fù)丟失的口令。43修改主機(jī)名修改主機(jī)名Router#config tRouter(config)#hostname Lab_ALab_A(config)#修改主機(jī)名的命令需在全局配置模式下修改主機(jī)名的命令需在全局配置模式下使用使用44路由器的密碼配置路由器的密碼配置 Console password:Router(config)# line console 0Router(config-line)#passwor

19、d *Router(config-line)#login說(shuō)明:設(shè)置Console口密碼,可理解為用戶(hù)級(jí)權(quán)限密碼,login一定要敲,不然不能生效45路由器的密碼配置路由器的密碼配置 Virtual Terminal Password:Router(config)#line vty 0 4 Router(config-line)#loginRouter(config-line)#password *說(shuō)明:設(shè)置虛擬終端的密碼,或者稱(chēng)telnet的密碼,login一定要敲46路由器的密碼配置路由器的密碼配置 Enable password:Router(config)#enable password

20、 *說(shuō)明:設(shè)置特權(quán)模式密碼,以明文方式保存,可采用其他參數(shù)進(jìn)行加密47路由器的密碼配置（路由器的密碼配置（2） Enable secret:Router(config)# enable secret *說(shuō)明:在enable password的基礎(chǔ)上增加安全。建議不要和enable password設(shè)置的密碼一樣。啟動(dòng)secret后enable password設(shè)定的密碼失效,除非關(guān)閉enable secret或運(yùn)行低版本IOS（如運(yùn)行舊的rxboot映像）。不能恢復(fù)丟失后的加密口令48路由器的密碼配置路由器的密碼配置 Perform password Encryption:Router(con

21、fig)# service password-encryption(*)Router(config)# no service password-encryption說(shuō)明:口令加密用于加密所有的口令,該命令對(duì)于防止未經(jīng)授權(quán)用戶(hù)查看配置文件中的口令相當(dāng)有效。該命令不提高網(wǎng)絡(luò)安全,不能恢復(fù)丟失的口令49常用常用show命令命令 show interfaces show clock show hosts show users show history show flash show version show ARP show protocol show startup-configuration sh

22、ow running-configuration 50接口的配置接口的配置 進(jìn)入接口配置模式Router(config)# interface type portRouter(config)# interface type slot/port 為接口配置地址Router(config-if)# ip address ip_address network_maskRouter(config-if)# exit51接口的配置接口的配置 為接口時(shí)鐘Router(config-if)# clock rate 64000 （這個(gè)命令用于DCE設(shè)備） 開(kāi)啟一個(gè)接口Router(config-if)# no

23、 shutdown 關(guān)閉一個(gè)接口Router(config-if)# shutdown 退出接口配置模式Router(config-if)# exit52配置接口說(shuō)明配置接口說(shuō)明P350 方法Router(config-if)# description * 用途 可以為一些接口設(shè)置說(shuō)明，方便在大型網(wǎng)絡(luò)中的線纜標(biāo)識(shí)，可以為查找錯(cuò)誤提供方便53Login Banner 方法Router(config)# banner motd # * # 說(shuō)明Motd message on the day 此命令在所有終端都生效 作用可以用于遠(yuǎn)程登錄路由器時(shí)，路由器的標(biāo)識(shí) 效果54主機(jī)名的識(shí)別主機(jī)名的識(shí)別P353

24、 方法Router(config)# ip host name ip_address 說(shuō)明 和DNS功能不同，只在本路由器上保留對(duì)照表，以便管理員使用主機(jī)名來(lái)訪問(wèn)其他的路由器 效果55Flash Lab 路由器各種配置模式3-1-3 路由器密碼的配置3-1-3 端口配置IP地址3-1-7 配置靜態(tài)路由6-1-4 配置RIP路由6-3-2 配置debug功能7-2-9其他設(shè)備其他設(shè)備Learning about Other Devices 57CDPCDP-Cisco Discovery Protocol思科發(fā)現(xiàn)協(xié)議，第二層協(xié)議，用來(lái)獲得網(wǎng)絡(luò)中其他Cisco設(shè)備信息58CDP的相關(guān)命令的相關(guān)命令

25、 cdp run cdp enable clear cdp counters show cdp show cdp entry *|device-name*protocol | version show cdp interface type number show cdp neighbors type number detail 59TelnetTelnet可以測(cè)試OSI模型中的所有層，同時(shí)也是一種遠(yuǎn)程登錄路由器的方式，不過(guò)安全性方面很弱60Telnet的操作的操作例子中，我們通過(guò)console登錄到Denver，想通過(guò)Telnet方式登錄遠(yuǎn)程路由器Paris，使用下列任何一個(gè)命令：Denver

26、connect parisDenverparisDenver52Denvertelnet paris61Telnet的操作的操作62Ping63traceroute64排除排除IP尋址錯(cuò)誤尋址錯(cuò)誤65檢測(cè)工具檢測(cè)工具 show cdp neighbors traceroute show ip protocols show ip route show controllers serial debugFlash Lab 9-3-6 管理管理IOSIOSManaging Cisco IOS Software 67IOS的正常啟動(dòng)過(guò)程的正常啟動(dòng)過(guò)程CCNA2_act_5_1_

27、1.swf68更改啟動(dòng)順序更改啟動(dòng)順序使用boot system命令更改啟動(dòng)順序Flash Lab 5-1-369修改寄存器地址修改寄存器地址 常用寄存器地址： 0 x2102 正常工作狀態(tài) 0 x2142 Flash 0 x2101 Boot RAM 啟動(dòng)加載NVRAM 0 x2141 Boot RAM 啟動(dòng)不加載NVRAM 0 x141 Boot RAM 啟動(dòng)關(guān)閉Break 不加載NVRAM 0 x0040 讀取NVRAM70IOS的命名約定的命名約定版本號(hào)（12.13）文件格式（可重定位沒(méi)有壓縮）IOS描述（企業(yè)版+NAT、IBM）等設(shè)備類(lèi)型描述（26系列路由器）71管理配置文件管理配置

28、文件 開(kāi)啟超級(jí)終端并和路由器建立連接 選擇菜單 傳送傳送 選擇選項(xiàng) 捕獲文本捕獲文本 選擇開(kāi)始開(kāi)始 輸入命令 show running-config 使用空格鍵，得到完整的信息 選擇菜單 傳送傳送 選擇選項(xiàng)捕獲文本捕獲文本 選擇停止停止72從從TFTP拷貝拷貝IOS鏡像文件到鏡像文件到Flash73Show flash通過(guò)使用show flash命令來(lái)了解flash中的存儲(chǔ)情況路由和路由協(xié)議路由和路由協(xié)議Routing and Routing Protocols 75路由的分類(lèi)路由的分類(lèi) 靜態(tài)路由： 一般使用在末節(jié)網(wǎng)絡(luò)（stub network），由管理員設(shè)置并維護(hù) 動(dòng)態(tài)路由： 一般放置在大型

29、網(wǎng)絡(luò)中，通過(guò)路由器間的更新信息自動(dòng)修改自己的路由表，是一種動(dòng)態(tài)的、智能的路由協(xié)議76路由協(xié)議的配置（靜態(tài)路由）路由協(xié)議的配置（靜態(tài)路由） ip route 命令用于設(shè)置靜態(tài)路由。 靜態(tài)路由通過(guò)手工配置路由表得到。只要該路徑是有效地，路由表內(nèi)的條目就不會(huì)變化。 靜態(tài)路由反映了網(wǎng)絡(luò)管理員對(duì)于網(wǎng)絡(luò)狀況的某些特定知識(shí)。手工輸入的靜態(tài)路由的管理距離通常值很?。ㄈ笔∈?）。77靜態(tài)路由總結(jié)靜態(tài)路由總結(jié) 靜態(tài)路由：ip route network mask next_hop_address|interface進(jìn)入末節(jié)網(wǎng)絡(luò)使用，可以保護(hù)末節(jié)網(wǎng)絡(luò)信息不暴露在外網(wǎng)中，節(jié)省資源 默認(rèn)靜態(tài)路由：ip route 0.

30、0.0.0 ip_address|interface靜態(tài)路由的一個(gè)特例，功能類(lèi)似于缺省路由，優(yōu)先于缺省路由使用Flash Lab78靜態(tài)路由總結(jié)靜態(tài)路由總結(jié) 檢測(cè)靜態(tài)路由的方法：show running-config 靜態(tài)路由的排錯(cuò)：show ip routeping ip_address79動(dòng)態(tài)路由動(dòng)態(tài)路由路由器之間通過(guò)交換路由信息來(lái)更新路由表80路由協(xié)議的分類(lèi)路由協(xié)議的分類(lèi)81距離矢量路由的更新距離矢量路由的更新距離矢量路由定期更新路由信息路由器會(huì)將自己的整個(gè)路由表向鄰居發(fā)送。收到更新的路由器將自己的路由表（包括更新信息）同時(shí)發(fā)送給鄰居路由器，這樣更新信息擴(kuò)散到整個(gè)網(wǎng)路。8

31、2鏈路狀況路由鏈路狀況路由鏈路狀況路由定期更新路由信息當(dāng)鏈路狀況發(fā)生變化時(shí)，路由器將更新自己的拓?fù)鋽?shù)據(jù)庫(kù)，使用SPF（最短路徑優(yōu)先）算出網(wǎng)絡(luò)結(jié)構(gòu)并選擇最良好的路經(jīng)，將其寫(xiě)入自己的路由表。最后通過(guò)LSA（鏈路狀況通告）將更新的條目發(fā)送給鄰居路由器，鄰居路由器使用同樣的方式計(jì)算路由表。83鏈路狀況路由的相關(guān)知識(shí)鏈路狀況路由的相關(guān)知識(shí) SPF-Shortest Path First algorithm也稱(chēng)為Dijkstra algorithm，此算法反復(fù)計(jì)算路徑長(zhǎng)度以確定最短路徑生成樹(shù)的路由選擇算法 LSA-Link-state Advertisement也稱(chēng)為L(zhǎng)SP（鏈路狀態(tài)分組），使用廣播分組，

32、它包含鄰居節(jié)點(diǎn)和路徑開(kāi)銷(xiāo)的信息84路由協(xié)議的配置路由協(xié)議的配置 RIPRouter(config)# router rip 啟動(dòng)RIP進(jìn)程，進(jìn)入路由配置模式，如果沒(méi)有指派網(wǎng)絡(luò)，RIP也不啟動(dòng)Router(config-router)# network network_number 將要進(jìn)行廣播的分類(lèi)網(wǎng)絡(luò)與路由進(jìn)程關(guān)聯(lián)起來(lái)，RIPv1只能支持有類(lèi)網(wǎng)絡(luò) IGRPRouter(config)# router igrp autonomous-system 啟動(dòng)IGRP進(jìn)程，以相同AS號(hào)運(yùn)行IGRP的路由器能交換路由信息Router(config-router)# network network_num

33、ber 把網(wǎng)絡(luò)和IGRP AS關(guān)聯(lián)起來(lái)，網(wǎng)絡(luò)號(hào)在配置中被簡(jiǎn)化成分類(lèi)網(wǎng)絡(luò)Flash Lab85IGP與與EGP比較比較距離矢量路由距離矢量路由Distance Vector Routing Protocols 87距離矢量路由的更新距離矢量路由的更新88路由協(xié)議的度量值路由協(xié)議的度量值網(wǎng)絡(luò)延遲帶寬可靠性負(fù)載跳數(shù)最大傳輸單元89路由環(huán)路的產(chǎn)生路由環(huán)路的產(chǎn)生在網(wǎng)絡(luò)1沒(méi)有出現(xiàn)故障前，C有兩條到達(dá)1網(wǎng)絡(luò)的路徑，通過(guò)B或者D到A，最后到達(dá)E所相連的網(wǎng)絡(luò)1當(dāng)網(wǎng)絡(luò)1斷開(kāi)時(shí)，A將1網(wǎng)絡(luò)不可達(dá)擴(kuò)散到網(wǎng)絡(luò)中BD收到，此時(shí)C還不知道網(wǎng)絡(luò)1出現(xiàn)故障不可以到達(dá)，就在這個(gè)時(shí)候C發(fā)出了更新信息給D通過(guò)B可以達(dá)到網(wǎng)絡(luò)1D收到網(wǎng)

34、絡(luò)1又可以達(dá)到的信息（通過(guò)C可以到達(dá)）D更新自己的路由表并將網(wǎng)絡(luò)1可到達(dá)的更新信息發(fā)送給AA更新自己的路由表并發(fā)送給BB更新自己的路由表并發(fā)送給C，此時(shí)路由環(huán)路產(chǎn)生90路由環(huán)路的產(chǎn)生路由環(huán)路的產(chǎn)生91環(huán)路產(chǎn)生的原因環(huán)路產(chǎn)生的原因收斂收斂convergence 收斂運(yùn)行特定路由協(xié)議的一組網(wǎng)絡(luò)互聯(lián)設(shè)備在拓?fù)涓淖兒?，就互?lián)網(wǎng)的拓?fù)溥_(dá)成一致的反映和能力 環(huán)路產(chǎn)生網(wǎng)絡(luò)拓?fù)淇焖俚淖儞Q和慢速收斂之間的不平衡導(dǎo)致 影響收斂速度的因素：使用的路由協(xié)議、條數(shù)、網(wǎng)絡(luò)中使用動(dòng)態(tài)路由協(xié)議的路由器數(shù)量、鏈路上的帶寬和數(shù)據(jù)流負(fù)載、路由器的負(fù)荷、與拓?fù)渥兓嘘P(guān)的數(shù)據(jù)流模式 路由器處于收斂過(guò)程中時(shí)，網(wǎng)絡(luò)最容易發(fā)生路由環(huán)路92定

35、義最大值定義最大值 Defining a maximum count此方法不能完全解決路由環(huán)路，是一種讓環(huán)路自生自滅的方法，使用路由協(xié)議的一個(gè)特性最大跳數(shù)93水平分割水平分割 Split-horizon阻止路由信息從最初的發(fā)送方向返回。在上圖中，關(guān)于網(wǎng)絡(luò)1的更新由A發(fā)出，BD不能將與網(wǎng)絡(luò)1有關(guān)的更新信息返送回A，水平分割減少了不正確的路由信息，同時(shí)也減少了路由的開(kāi)銷(xiāo)94路由毒化路由毒化 Route poisoning路由毒化表明一個(gè)網(wǎng)絡(luò)或者子網(wǎng)不可達(dá)到（最大跳數(shù)為加1），而不是在更新中不包含該網(wǎng)絡(luò)信息，暗示不可到達(dá)。當(dāng)網(wǎng)絡(luò)5斷開(kāi)時(shí)，E向其他路由器通告到達(dá)網(wǎng)絡(luò)5的跳數(shù)超過(guò)運(yùn)行路由協(xié)議最大跳數(shù)95

36、觸發(fā)更新是一種事件驅(qū)動(dòng)的機(jī)制，當(dāng)網(wǎng)絡(luò)中有任何變化的時(shí)候立刻更新，而不必等到一定時(shí)間后觸發(fā)更新加快了收斂速度，因而有效避免路由環(huán)路96抑制定時(shí)器抑制定時(shí)器 Holddown Timers P422抑制（holddown）為路由器的狀態(tài)，處于這個(gè)狀態(tài)的路由器，在抑制階段將不通告路由也不接受關(guān)于該路由的較以前Metric更差的通告97設(shè)置設(shè)置Holddown TimerP431Holddown timer 路由器數(shù)量 更新時(shí)間98RIP 距離矢量路由 只以跳數(shù)為唯一的度量值 當(dāng)跳數(shù)大于15時(shí)，認(rèn)為不可達(dá) 默認(rèn)情況下每30秒廣播一次路由通告99RIP配置實(shí)例配置實(shí)例100配置無(wú)類(lèi)別路由配置無(wú)類(lèi)別路由P

37、430 Router(config)# ip classless 例如：一個(gè)ISP被分配256個(gè)C類(lèi)網(wǎng)絡(luò)，從到， ISP給每個(gè)用戶(hù)分配一個(gè)C類(lèi)網(wǎng)絡(luò)地址，但I(xiàn)SP外部的路由表只通過(guò)一個(gè)表項(xiàng)掩碼為的網(wǎng)絡(luò)來(lái)分辨這些路由。 The ip classless command is enabled by default in Cisco IOS Software Release 11.3 and later. 101RIP的相關(guān)配置的相關(guān)配置P423Router(config)#? 被動(dòng)接口（passive interf

38、ace）Router(config-router)# passive-interface slot/port設(shè)置某個(gè)接口只用來(lái)發(fā)送路由更新信息102RIP的相關(guān)配置的相關(guān)配置P432 發(fā)送和接收更新的類(lèi)型：Router(config-router)# version 1|2接收和發(fā)送的RIP版本 配置某接口接收更新的類(lèi)型：Router(config-if)# ip rip sendversion 1|version 2|version 1 2配置某個(gè)接口發(fā)送的RIP版本信息Router(config-if)# ip rip receive version 1|2|1 2配置一個(gè)接口接收的RIP

39、版本信息103用用Debug動(dòng)態(tài)監(jiān)測(cè)動(dòng)態(tài)監(jiān)測(cè)RIP104使用使用RIP做負(fù)載均衡做負(fù)載均衡P418&435有多條鏈路到達(dá)目的地的時(shí)候，可以使用負(fù)載均衡，將所有的數(shù)據(jù)分組通過(guò)不同的鏈路發(fā)送到目的地105浮動(dòng)靜態(tài)路由浮動(dòng)靜態(tài)路由P436由于優(yōu)先選用管理距離小的路由使用，我們可以配置一條備用的路由條目浮動(dòng)靜態(tài)路由，只要將管理距離設(shè)定大于使用的路由協(xié)議106IGRP 屬于距離矢量IGP 每90s更新一次 自動(dòng)歸納不確定或大型的網(wǎng)絡(luò) 根據(jù)網(wǎng)段中不同的帶寬和延時(shí)自動(dòng)調(diào)整 默認(rèn)情況下IGRP的參考值帶寬- Bandwidth 延遲- Delay 負(fù)載- Load 可靠性- Reliability10

40、7IGRP stability features IGRP stability features Holddowns Split horizons Poison reverse updates108IGRP排錯(cuò)排錯(cuò) show ip protocols show ip route debug ip igrp events debug ip igrp transactions ping traceroute TCP/IPTCP/IP協(xié)議組錯(cuò)誤與控制信息協(xié)議組錯(cuò)誤與控制信息TCP/IP Suite Error and Control Messages 110ICMP（Internet Control

41、 Messages Protocol） ICMP用于傳遞網(wǎng)絡(luò)層的控制信息，提供差錯(cuò)報(bào)告。 將ICMP報(bào)文加上IP報(bào)頭，就封裝成IP數(shù)據(jù)報(bào)，其中的協(xié)議域取值為1。 ICMP實(shí)現(xiàn)的主要功能有：向源主機(jī)發(fā)送目的主機(jī)不可到達(dá)信息請(qǐng)求/應(yīng)答對(duì)(ping)111目標(biāo)不可達(dá)目標(biāo)不可達(dá) 出現(xiàn)情況： 當(dāng)目的地網(wǎng)絡(luò)不可達(dá)時(shí) 當(dāng)目標(biāo)主機(jī)或者端口不可達(dá)時(shí) 例如：112重定向請(qǐng)求重定向請(qǐng)求 從網(wǎng)關(guān)出發(fā)送 使用條件： 1、入口和出口是同一個(gè)接口 2、Packet的下一跳IP地址和源IP地址的子網(wǎng)/網(wǎng)絡(luò)相同 3、路由器被配置為發(fā)送重定向 4、Packet不進(jìn)行源路由 關(guān)閉ICMP重定向： Router(config-if)

42、# no ip redirects 113時(shí)間戳請(qǐng)求和時(shí)間戳回復(fù)格式時(shí)間戳請(qǐng)求和時(shí)間戳回復(fù)格式P460路由器的排錯(cuò)路由器的排錯(cuò)Basic Router Troubleshooting 115通過(guò)通過(guò)show檢測(cè)路由表檢測(cè)路由表P423 show ip route connected show ip route network show ip route rip show ip route igrp show ip route static 116配置缺省路由配置缺省路由P424 缺省路由配置方法： ip default-network 到外部網(wǎng)絡(luò)的最后保證，當(dāng)路由表中無(wú)到達(dá)目的地的下一跳路由時(shí)

43、使用 命令的意義將指定網(wǎng)絡(luò)標(biāo)記為默認(rèn)路由的一個(gè)候選117配置缺省路由配置缺省路由 ip default-network 命令在使用動(dòng)態(tài)路由協(xié)議的網(wǎng)絡(luò)中指定缺省路由 缺省路由減小了路由表大?。划?dāng)路由表中不存在到某一目的網(wǎng)絡(luò)的條目時(shí)，數(shù)據(jù)報(bào)發(fā)送給缺省網(wǎng)絡(luò)（default network）。因?yàn)槁酚善鳑](méi)有關(guān)于所有目的網(wǎng)絡(luò)的全部信息，它可利用缺省網(wǎng)絡(luò)號(hào)表明對(duì)于未知的網(wǎng)絡(luò)號(hào)應(yīng)采用的路由指向。在需要確定一條路由，但只知道關(guān)于目的網(wǎng)絡(luò)部分信息的情況下，采用缺省網(wǎng)絡(luò)號(hào)。ip default-network命令必須在網(wǎng)絡(luò)上所有路由器中配置，并使用redistribute static 命令，使得所有網(wǎng)絡(luò)都具有備

44、選缺省網(wǎng)絡(luò)的信息。118配置缺省路由配置缺省路由119第二層與第三層地址第二層與第三層地址P425第二層地址在數(shù)據(jù)包的路由中被修改多次，而第三層的地址沒(méi)有被修改過(guò)120缺省的管理距離缺省的管理距離P425Flash Lab 9-1-5121網(wǎng)絡(luò)的排錯(cuò)網(wǎng)絡(luò)的排錯(cuò)P468w對(duì)問(wèn)題進(jìn)行定義。故障的特征以及潛在的原因是什么？w收集相關(guān)信息，并明確可能的問(wèn)題w考慮這些可能性，對(duì)問(wèn)題限定范圍w創(chuàng)建一個(gè)行動(dòng)計(jì)劃w實(shí)施計(jì)劃w仔細(xì)觀察這些結(jié)果，并決定問(wèn)題是否被解決w重復(fù)該過(guò)程，如果問(wèn)題沒(méi)有解決返回第三步122通過(guò)通過(guò)OSI模型排錯(cuò)模型排錯(cuò)第一層的錯(cuò)誤有： 電纜損壞、電源是否連接正常、電纜連接受否正確、轉(zhuǎn)發(fā)器是否

45、正常、DCE/DTE電纜正常第二層的錯(cuò)誤有：對(duì)串口不恰當(dāng)?shù)呐渲?、?duì)以太網(wǎng)口不恰當(dāng)?shù)呐渲谩⒋谏蠒r(shí)鐘設(shè)置是否正確、串口的封裝方式、NIC故障第三層的錯(cuò)誤有： 沒(méi)有啟動(dòng)路由選擇協(xié)議、啟動(dòng)了錯(cuò)誤的路由選擇協(xié)議、不正確的網(wǎng)絡(luò)/IP地址、不正確的掩碼、DNS和IP是否綁定、IGRP使用了錯(cuò)誤的AS號(hào)碼 其他層的錯(cuò)誤通過(guò)訪問(wèn)CCO網(wǎng)站獲取123通過(guò)通過(guò)OSI模型排錯(cuò)模型排錯(cuò)124Layer 檢測(cè)工具檢測(cè)工具 應(yīng)用層糾錯(cuò)的工具有： Telnet 是遠(yuǎn)程終端訪問(wèn)協(xié)議，它可以是用戶(hù)遠(yuǎn)程鏈接到路由器執(zhí)行配置命令。 PING 是診斷工具，可以檢查計(jì)算機(jī)是否連接到了網(wǎng)絡(luò)上。 Traceroute 的功能和PING很類(lèi)

46、似，但它提供的信息要比PING多。Traceroute可以追蹤數(shù)據(jù)報(bào)到達(dá)目的地地路線，調(diào)試路由問(wèn)題。 NBTSTAT是一種用來(lái)解決NetBIOS名字解析問(wèn)題的一種方法；通過(guò)它，可以查看和刪除 cache中的內(nèi)容。 NETSTAT是一種用來(lái)提供有關(guān)TCP/IP信息的工具；可以查看TCP/IP鏈接信息和ICMP，TCP，UDP的信息。 ipconfig/winipcfg可以用來(lái)查看當(dāng)前網(wǎng)絡(luò)的配置，包括MAC地址，IP地址和網(wǎng)關(guān)。糾錯(cuò)的工具125CDP的排錯(cuò)命令的排錯(cuò)命令P475Flash Lab 9-3-3 Flash Lab 4-1-6ACLsACLs訪問(wèn)控制列表訪問(wèn)控制列表Access Con

47、trol Lists 127What are ACLs? 是一系列運(yùn)用到網(wǎng)絡(luò)地址或者上層協(xié)議上的允許或拒絕指令的集合。128訪問(wèn)控制列表訪問(wèn)控制列表ACL 網(wǎng)絡(luò)管理者需要了解怎樣控制非法的網(wǎng)絡(luò)訪問(wèn)，允許正常的網(wǎng)絡(luò)訪問(wèn)。ACL具有靈活的基本數(shù)據(jù)流過(guò)濾能力和特定的控制能力。例如，網(wǎng)絡(luò)管理者可能允許用戶(hù)訪問(wèn)Internet，而不允許外部的用戶(hù)登錄到局域網(wǎng)中。 路由器提供了基本的數(shù)據(jù)流過(guò)濾能力。如使用訪問(wèn)控制列表（ACL），可以有條件地阻止Internet數(shù)據(jù)流。ACL，是一系列的允許或拒絕指令的集合，這些指令將運(yùn)用到網(wǎng)絡(luò)地址或者上層協(xié)議上。129ACL需求需求 P501 有多種原因需要?jiǎng)?chuàng)建ACL：

48、限制網(wǎng)絡(luò)數(shù)據(jù)流，增加網(wǎng)絡(luò)性能。例如：根據(jù)不同的協(xié)議，ACL可以指定路由器優(yōu)先處理哪些數(shù)據(jù)報(bào)。這叫做隊(duì)列管理，路由器可以不處理不需要的數(shù)據(jù)報(bào)。隊(duì)列管理限制了網(wǎng)絡(luò)數(shù)據(jù)流，減少了網(wǎng)絡(luò)擁塞。 提供數(shù)據(jù)流控制。例如：ACL可以限定或者減少路由更新的內(nèi)容。這些限定，可以用于限制關(guān)于某個(gè)特定網(wǎng)絡(luò)的信息傳播到整個(gè)網(wǎng)絡(luò)。130ACL需求需求P501 有多種原因需要?jiǎng)?chuàng)建ACL： 為網(wǎng)絡(luò)訪問(wèn)提供基本的安全層。ACL可以允許某個(gè)主機(jī)訪問(wèn)網(wǎng)絡(luò)的某一部分，而阻止另一臺(tái)主機(jī)訪問(wèn)網(wǎng)絡(luò)的這個(gè)部分。 決定轉(zhuǎn)發(fā)或者阻止哪些類(lèi)型的數(shù)據(jù)流。例如：可以允許路由email數(shù)據(jù)流，而阻止telnet數(shù)據(jù)流。131ACL的定義的定義 訪問(wèn)控制

49、列表（ACL）是運(yùn)用到路由器接口的指令列表。這些指令告訴路由器接受哪些數(shù)據(jù)報(bào)而拒絕哪些數(shù)據(jù)報(bào)。 接受或者拒絕根據(jù)一定的規(guī)則進(jìn)行，如源地址，目標(biāo)地址，端口號(hào)等。ACL使得用戶(hù)能夠管理數(shù)據(jù)流，檢測(cè)特定的數(shù)據(jù)報(bào)。 路由器將根據(jù)ACL中指定的條件，對(duì)經(jīng)過(guò)路由器端口的數(shù)據(jù)報(bào)進(jìn)行檢查。 ACL可以基于所有的Routed Protocols，如IP，IPX，對(duì)經(jīng)過(guò)路由器的數(shù)據(jù)報(bào)進(jìn)行過(guò)濾。132ACL的定義的定義 ACL在路由器的端口過(guò)濾網(wǎng)絡(luò)數(shù)據(jù)流，決定是否轉(zhuǎn)發(fā)或者阻止數(shù)據(jù)報(bào)。 ACL應(yīng)該根據(jù)路由器的端口所允許的每個(gè)協(xié)議來(lái)制定。如果需要控制流經(jīng)某個(gè)端口的所有數(shù)據(jù)流，就需要為該端口允許的每一個(gè)協(xié)議分別創(chuàng)建ACL

50、。例如，如果端口配置成允許IP,Appletalk和IPX協(xié)議的數(shù)據(jù)流，那么就需要?jiǎng)?chuàng)建至少三個(gè)ACL。 ACL可以用作控制和過(guò)濾流經(jīng)路由器端口的數(shù)據(jù)報(bào)的工具。133ACL指令指令 ACL指令的放置順序是很重要的。當(dāng)路由器在決定是否轉(zhuǎn)發(fā)或者阻止數(shù)據(jù)報(bào)的時(shí)候，Cisco的IOS軟件，按照ACL中指令的順序依次檢查數(shù)據(jù)報(bào)是否滿足某一個(gè)指令條件。當(dāng)檢測(cè)到某個(gè)指令條件滿足的時(shí)候，就不會(huì)再檢測(cè)后面的指令條件。 在每一個(gè)路由器的端口，可以為每一個(gè)支持的Routed Protocols創(chuàng)建ACL。對(duì)于某些協(xié)議，可以創(chuàng)建多個(gè)ACL：一個(gè)用于過(guò)濾進(jìn)入端口的數(shù)據(jù)流inbound，一個(gè)用于過(guò)濾流出端口的數(shù)據(jù)流outb

51、ound。134Inbound or Outbound Inbound or Outbound 進(jìn)入路由器的Inbound，離開(kāi)路由器的outboundOutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit?Sourceand DestinationProtocol135ACL指令指令 一個(gè)ACL就是一組指令，規(guī)定數(shù)據(jù)報(bào)如何： 進(jìn)入路由器的某個(gè)端口 在路由器內(nèi)的轉(zhuǎn)送 離開(kāi)路由器的某個(gè)端口 ACL允許控制哪些客戶(hù)端可以訪問(wèn)的網(wǎng)絡(luò)。在ACL中的條件可以是： 篩選某些主機(jī)允許或者禁止訪問(wèn)的部分網(wǎng)絡(luò) 允許或者禁止用戶(hù)訪問(wèn)某一類(lèi)協(xié)議，如FT

52、P，HTTP等。136ACL的工作流程的工作流程 無(wú)論是否使用ACL，開(kāi)始的通信過(guò)程是相同的。 當(dāng)一個(gè)數(shù)據(jù)報(bào)進(jìn)入一個(gè)端口，路由器檢查這個(gè)數(shù)據(jù)報(bào)是否可路由。如果是可以路由的，路由器檢查這個(gè)端口是否有ACL控制進(jìn)入數(shù)據(jù)報(bào)。如果有，根據(jù)ACL中的條件指令，檢查這個(gè)數(shù)據(jù)報(bào)。如果數(shù)據(jù)報(bào)是被允許的，就查詢(xún)路由表，決定數(shù)據(jù)報(bào)的目標(biāo)端口。 路由器檢查目標(biāo)端口是否存在ACL控制流出的數(shù)據(jù)報(bào)不存在，這個(gè)數(shù)據(jù)報(bào)就直接發(fā)送到目標(biāo)端口。如果存在，就再根據(jù)ACL進(jìn)行取舍。137ACL的工作流程的工作流程138ACL的配置的配置P509 創(chuàng)建一個(gè)ACL訪問(wèn)控制Router(config)# access-list acce

53、ss_list_number permit|deny test_conditions 將訪問(wèn)控制綁定到接口上Router(config-if)# protocol access-group access_list_number in|out 關(guān)閉訪問(wèn)控制列表Router(config)# no access-list access_list_number139為每個(gè)為每個(gè)ACL分配一個(gè)唯一標(biāo)識(shí)分配一個(gè)唯一標(biāo)識(shí)P506 配置ACL的時(shí)候需要為每一個(gè)協(xié)議的ACL指定一個(gè)唯一的數(shù)字，用以標(biāo)識(shí)這個(gè)ACL。這個(gè)數(shù)字必須在有效范圍之內(nèi)。 為一個(gè)ACL指定了數(shù)字后，需要把它關(guān)聯(lián)到一個(gè)端口。假如需要修改，只需

54、要利用命令：no access-list list-number，就可以刪除這個(gè)ACL的指令。 140ACL綁定到接口綁定到接口 ACL可以指定到一個(gè)或者多個(gè)端口。根據(jù)配置，可以過(guò)濾進(jìn)入或流出的數(shù)據(jù)流。 對(duì)流出的數(shù)據(jù)流使用ACL更有效，因此也更常使用。 如果是針對(duì)進(jìn)入數(shù)據(jù)流的ACL，路由器將檢查每一個(gè)數(shù)據(jù)報(bào)，看是否滿足ACL的條件，然后才將允許的數(shù)據(jù)報(bào)發(fā)送到送出端口。141標(biāo)準(zhǔn)標(biāo)準(zhǔn)ACL和擴(kuò)展和擴(kuò)展ACL 標(biāo)準(zhǔn)ACL檢查源地址可以允許或者拒絕整套協(xié)議棧標(biāo)準(zhǔn)ACL（數(shù)字1到99），可以提供數(shù)據(jù)流過(guò)濾控制。它是基于源地址和通配掩碼。標(biāo)準(zhǔn)ACL可以允許或禁止整套IP協(xié)議。 擴(kuò)展ACL檢查源地址和目的

55、地址可以允許或者拒絕指定協(xié)議為了更加精確的數(shù)據(jù)流過(guò)濾，需要擴(kuò)展ACL。擴(kuò)展ACL檢查源地址和目標(biāo)地址，以及TCP或UDP端口號(hào)。還可以指定擴(kuò)展ACL針對(duì)特定的協(xié)議的進(jìn)行操作。擴(kuò)展ACL使用的數(shù)字范圍是：100-199。142標(biāo)準(zhǔn)的標(biāo)準(zhǔn)的ACL 如果想允許或者禁止來(lái)自于某各個(gè)網(wǎng)絡(luò)的所有數(shù)據(jù)流，或者禁止某一套協(xié)議的數(shù)據(jù)流，可以使用標(biāo)準(zhǔn)ACL。 標(biāo)準(zhǔn)ACL檢查數(shù)據(jù)報(bào)的源地址，即根據(jù)地址中的網(wǎng)絡(luò)、子網(wǎng)和主機(jī)位，來(lái)允許或者拒絕來(lái)自于整套協(xié)議的數(shù)據(jù)報(bào)。 例如，來(lái)自于E0端口的數(shù)據(jù)報(bào)，將檢查它的源地址和協(xié)議，如果被允許，將輸出到相應(yīng)的端口。如果被禁止，數(shù)據(jù)報(bào)將被丟棄。143標(biāo)準(zhǔn)標(biāo)準(zhǔn)ACL指令指令 使用標(biāo)準(zhǔn)版

56、本的access-list全局配置命令來(lái)定義一個(gè)帶有數(shù)字的標(biāo)準(zhǔn)ACL。這個(gè)命令用在全局配置模式下Router(config)# access-list access-list-number deny | permit source source-wildcard log例如：access-list 1 permit 55 使用這個(gè)命令的no形式，可以刪除一個(gè)標(biāo)準(zhǔn)ACL。語(yǔ)法是：Router(config)# no access-list access-list-number 例如：no access-list 1144標(biāo)準(zhǔn)標(biāo)準(zhǔn)ACL舉例舉例 以下圖的結(jié)構(gòu)

57、為例，介紹標(biāo)準(zhǔn)ACL的使用。實(shí)例1：E0和E1端口只允許來(lái)自于網(wǎng)絡(luò)的數(shù)據(jù)報(bào)被轉(zhuǎn)發(fā)，其余的將被阻止。實(shí)例2：E0端口不允許來(lái)自于特定地址3的數(shù)據(jù)流，其它的數(shù)據(jù)流將被轉(zhuǎn)發(fā)。實(shí)例3：E0端口不允許來(lái)自于特定子網(wǎng)的數(shù)據(jù)，而轉(zhuǎn)發(fā)其它的數(shù)據(jù)。3E0S0E1Non-145實(shí)例實(shí)例1：只允許指定的網(wǎng)絡(luò)數(shù)據(jù)：只允許指定的網(wǎng)絡(luò)數(shù)據(jù) E0和E1端口只允許來(lái)自于網(wǎng)絡(luò)的數(shù)據(jù)報(bào)被轉(zhuǎn)發(fā)，其余的將被阻止。第一個(gè)ACL命令用“permit”允許來(lái)自于此指定網(wǎng)絡(luò)的數(shù)據(jù)流，

58、通配掩碼55表明要檢查匹配IP地址中的網(wǎng)絡(luò)位（前16位）。最后將ACL關(guān)聯(lián)到端口E0和E1。access-list 1 permit 55(implicit deny all - not visible in the list)(access-list 1 deny 55)interface ethernet 0ip access-group 1 outinterface ethernet 1ip access-group 1 out146實(shí)例實(shí)例2：禁止來(lái)自特定地址的數(shù)據(jù)：禁止來(lái)自特定地址的數(shù)

59、據(jù) E0端口不允許來(lái)自于特定地址3的數(shù)據(jù)流，其它的數(shù)據(jù)流將被轉(zhuǎn)發(fā)。第一個(gè)ACL命令用“deny”禁止來(lái)自于此指定主機(jī)的數(shù)據(jù)流，通配掩碼表明要檢查匹配地址中的所有的位。第二個(gè)ACL命令中，“ 55”IP地址和通配掩碼組合，表示允許來(lái)自于任何源的數(shù)據(jù)流。這個(gè)組合，也可以用關(guān)鍵字“any”替代。最后將ACL關(guān)聯(lián)到端口E0。access-list 1 deny 3 access-list 1 permit 55(implicit deny all)(a

60、ccess-list 1 deny 55)interface ethernet 0ip access-group 1 out147實(shí)例實(shí)例3：禁止來(lái)自特定子網(wǎng)的數(shù)據(jù)：禁止來(lái)自特定子網(wǎng)的數(shù)據(jù) E0端口不允許來(lái)自于特定的子網(wǎng)的數(shù)據(jù)，而轉(zhuǎn)發(fā)其它的數(shù)據(jù)。第一個(gè)ACL命令用“deny”禁止來(lái)自子網(wǎng)的數(shù)據(jù)流，通配掩碼55，前三個(gè)字節(jié)表示IP地址中的前三個(gè)字節(jié)將被檢測(cè)。而最后一個(gè)字節(jié)全1，表明將不關(guān)心IP地址的主機(jī)部分。第二個(gè)ACL命令表示在之前沒(méi)有匹配的時(shí)候允許任何的源IP地址。最后將ACL關(guān)聯(lián)到端口E0。access