網(wǎng)絡構建第七章路由技術

第7幸第由班木

7.1廣域網(wǎng)技術概述

7.2IP子網(wǎng)間的路由技術

7.3訪問控制列表

7.4網(wǎng)絡地址轉(zhuǎn)換（NAT）技術

企業(yè)網(wǎng)絡拓撲結構

□□00|

□□□□n□

□□

□□

□□□□□□

□□□□□□

3口口

服務供應商Z

□□□□□

□□□□□

□□□□□

R□□□口

□□□□

7.L2廣域網(wǎng)接入技術分類

1點對點鏈路

數(shù)據(jù)報

數(shù)據(jù)流

2電路交換

每次會話建立一

條專用物理電路

3虛擬電路

SVCPVC

4包交換

采用統(tǒng)計利用技術實現(xiàn)電路共享ATM/幀中繼/X.25

7.1.3廣域網(wǎng)歿備

1廣域網(wǎng)交換機

工作在osi的，

。對^進行操作

交換式多兆位數(shù)據(jù)服務（SDMS）是基于數(shù)據(jù)報的高速

分組交換WAN技術，主要用于公用數(shù)據(jù)網(wǎng)絡的通信。

SMDS可以采用光纖介質(zhì)或銅介質(zhì)，另外，SMDS的數(shù)

據(jù)單元比較大，可以包容IEEE802.3、IEEE802.5和

FDDI的幀。

7.1.3廣域網(wǎng)期

2接入服務器

E.--------WAN)

i------*--J

接入服務器一

__/

7.1.3廣域網(wǎng)歿備

3調(diào)制解調(diào)器

4CSU/DSU

?信道服務單元（CSU）/數(shù)據(jù)服務單元（DSU）

?數(shù)據(jù)終端設備到數(shù)據(jù)通信設備的復用器

功能：信號再生，線路調(diào)節(jié)，誤碼糾正，信號

管理，同步和電路測試等

5ISDN終端適配器

6路由器（Router）

廣域網(wǎng)接入

DTE常見的DTE與DCE之間的連接標準

（數(shù)據(jù)終端設備）

★EIA/TL4-232

#V.35

；嬴通訊設備）

7.1.4廣域網(wǎng)中的數(shù)據(jù)鏈路層協(xié)議

定義數(shù)據(jù)如何封裝和傳輸

包括點對點,多點和多路訪問交換服務所

設計的協(xié)議

點到點協(xié)議(PPP)

高級數(shù)據(jù)鏈路控制(HDLC)協(xié)議

幀中繼(FrameRelay)

7.L4廣域網(wǎng)中的數(shù)據(jù)篋路層體議

專線

電路交換

分組交換

F.R網(wǎng)絡的組成

FRS網(wǎng)橋

FRS

7.L4廣域網(wǎng)中的數(shù)據(jù)鏈路層協(xié)議

TCP/IP口

IPX/SPXS

?PPP協(xié)議

AppleTalk

-支持同異步傳輸方式

Q—采用NCP協(xié)議（如IPCP、IPXCP）,

?HDLC,SLIP協(xié)議支持更多的網(wǎng)絡層協(xié)議

-只支持異步傳輸方式-具有驗證協(xié)議CHAP、PAP,

-只支持IP協(xié)議更好了保證了網(wǎng)絡的安全性

-沒有驗證機制

7.1.5點對支快衩(PPP)

PPP是SLIP(SerialLineInterfaceprotocol)

的繼承者

同步和異步電路實現(xiàn)路由器到路由器和主機到網(wǎng)

絡(host-to-network)的連接。

PPP能支持差錯檢測，支持各種協(xié)議，在連接時IP

地址可復制，具有身份驗證功能，可以以各種方

式壓縮數(shù)據(jù)、支持動態(tài)地址協(xié)商、支持多鏈路捆

綁

PPP協(xié)議是目前使用最廣泛的廣域網(wǎng)協(xié)議

ppp的騎楸

(1)能夠控制數(shù)據(jù)鏈路的建立；

(2)能夠?qū)P地址進行分配和使用；

(3)允許同時采用多種網(wǎng)絡層協(xié)議；

(4)能夠配置和測試數(shù)據(jù)鏈路；

(5)能夠進行錯誤檢測；

(6)有協(xié)商選項，能夠?qū)W(wǎng)絡層的地址和

數(shù)據(jù)壓縮等進行協(xié)商。

ppp的現(xiàn)俄

(1)PPP采用高級數(shù)據(jù)鏈路控制(HDLC)作為在點

對點的鏈路上封裝數(shù)據(jù)報的基本方法。

(2)鏈路控制協(xié)議LCP(LinkControlProtocol)

用于啟動線路、測試、任選功能的協(xié)商及關閉連

接。

(3)網(wǎng)絡控制協(xié)議NCP(NetworkControl

Protocol)用來建立和配置不同的網(wǎng)絡層協(xié)議。

PPP協(xié)議允許同時采用多種網(wǎng)絡層協(xié)議，如IP協(xié)議、

IPX協(xié)議和DECnet協(xié)議。PPP協(xié)議使用NCP對多種協(xié)

議進行封裝。

ppp協(xié)議結構

OSI

3,PPP含話毫堂的過世

鏈路的建立和配置協(xié)調(diào)

通信的發(fā)起方發(fā)送來配置和檢測數(shù)據(jù)鏈路，主要

用于協(xié)商選擇將要采用的ppp參數(shù)，包括身份驗證、壓縮、

回叫、多鏈路等。

鏈路質(zhì)量檢測：

在鏈路建立、協(xié)調(diào)之后，這一階段是可選的

網(wǎng)絡層協(xié)議配置協(xié)調(diào)

通信的發(fā)起方發(fā)送以選擇并配置網(wǎng)絡層協(xié)議。配

置完成后，通信雙方可以發(fā)送各自的網(wǎng)絡層協(xié)議數(shù)據(jù)報。

關閉鏈路

通信鏈路將一直保持到LCP或NCP幀關閉鏈路

鏈路的建立和配置協(xié)調(diào)階段中的

PPPLCP選項

PAPorCHAP

認證PSTN/ISDN

Authentication

回撥

Callback

壓縮

多鏈路捆綁一yt—

Multilink_|_

包Bundle

實例/PC終端首先通過調(diào)制解調(diào)器呼叫遠程訪問服務器

PC終端首先通過調(diào)制解調(diào)器呼叫ISP的路由器。當路由器上的遠程

訪問模塊應答了這個呼叫后，就建立起一個初始的物理連接

兩端開始傳送一系列經(jīng)過PPP封裝的LCP分組。如果有一方要求認證,

接下來就開始認證過程

如果認證失敗，如錯誤的用戶名、密碼，則鏈路被終止，雙方負責

通信的設備或模塊（如用戶端的調(diào)制解調(diào)器或服務器端的遠程訪問

模塊）將關閉物理鏈路回到空閑狀態(tài)。如果認證成功，通信雙方開

始交換一系列的NCP分組來配置網(wǎng)絡層

如果網(wǎng)絡層使用的是IP協(xié)議，此過程是由IPCP完成的。當NCP配置

完成后，雙方的邏輯通信鏈路就建立好了，雙方可以開始在此鏈路

上交換上層數(shù)據(jù)。

當數(shù)據(jù)傳送完成后，一方會發(fā)起斷開連接的請求。這時，首先使用

NCP來釋放網(wǎng)絡層的連接，歸還IP地址，然后利用LCP來關閉數(shù)據(jù)鏈

路層連接，最后，雙方的通信設備或模塊關閉物理鏈路回到空閑狀

O

4,PAP和CHAP原理

PPP提供了兩種可選的身份認證方法:

口令驗證協(xié)議(Password

AuthenticationProtocol,PAP)

挑戰(zhàn)握手協(xié)議(ChallengeHandshake

AuthenticationProtocol,CHAP)

身份認證；PAP

PAP是一個簡單的、實用的身份驗證協(xié)議，PAP認

證進程只在雙方的通信鏈路建立初期進行。如果

認證成功，在通信過程中不再進行認證。如果認

證失敗，則直接釋放鏈路。

當雙方都封裝了PPP協(xié)議且要求進行PAP身份認證,

同時它們之間的鏈路在物理層己激活后，認證客

戶端（被認證一端）會不停地發(fā)送身份認證請求,

直到身份認證成功。當認證客戶端路由器發(fā)送了

用戶名或口令后，認證服務器會將收到的用戶名

和口令與本地數(shù)據(jù)庫中的口令信息比較，如果正

確則身份認證成功，否則認證失敗。

身份認證/PAP（二次握手）

PPPPAP驗證

ClientServer

Request(username,password)

Hostname:wzusernamewz

Password:hyper!23passwordhyper!23

?兩次握手協(xié)議

■明文方式進行驗證

身份認證；CHAP

CHAP認證比PAP認證更安全，因為CHAP不在

線路上發(fā)送明文密碼，而是發(fā)送經(jīng)過摘要

算法加工過的隨機序列，也被稱為“挑戰(zhàn)

字符串”。同時，身份認證可以隨時進行,

包括在雙方正常通信過程中。因此，非法

用戶就算截獲并成功破解了一次密碼，此

密碼也將在一段時間內(nèi)失效。

CHAP對系統(tǒng)要求很高，因為需要多次進行

身份質(zhì)詢、響應。這需要耗費較多的CPU資

源，因此只用在對安全要求很高的場合。

身份認證；CHAP（三次握手）

階段L當被驗證方（遠端路由器）向驗證方（中

心路由器）發(fā)送用戶名做請求連接后，驗證方向

被驗證方發(fā)送一串隨機字符（“挑戰(zhàn)”階段）

階段2：被驗證方利用口令和MD5算法，對隨機字

符串進行加密產(chǎn)生密文，并將密文發(fā)送給驗證方

（“回應”階段）

階段3：驗證方利用同樣的方式對隨機字符串進行

加密產(chǎn)生密文，并將它與接收到的密文進行比較,

然后根據(jù)比較結果接受或拒絕連接請求，若比較

結果一致則接受，否則拒絕。

PPPCHAP驗證

ClientServer

Success

Hostname:wzFailureusernamewz

Password:hyperi23passwordhyperi23

?CHAP為三次握手協(xié)議

?只在網(wǎng)絡上傳輸用戶名，而并不傳輸口令

?安全性要比PAP高，但認證報文浪費帶寬

ppp認證配置

第一步

定義接口封裝類型：

Router(config-if)#encapsulationppp

第二步

定義本地數(shù)據(jù)庫：

Router(config)#usernameusernamepasswordpassword

ppp認證配置

第三步

定義PAP認證：

Router(config-if)#pppauthenticationpap<callin>

Router(config-if)#ppppapsent-usernameusername

passwordpassword

定義CHAP認證：

Router(config-if)#pppauthenticationchap<callin>

Router(config-if)#pppchaphostnameusername

Router(config-if)#pppchappasswordpassword

PPPPAP認證配置實例

PPPCHAP認證配置實例

ppp認證的調(diào)試

Router#showinterfacesserial<interfacenumber>

Router#debugpppauthentication

7.2IP3網(wǎng)間的路由技術

7.2.1什么是路由

7.2.2路由算法

7.2.3設計目標

7.2.4路由協(xié)議

725靜態(tài)路由

7.2.6缺省路由

7.2.7動態(tài)路由

7.2.8RIP路由信息協(xié)議

CERNET費才卜畫

中國教育和科研計算機網(wǎng)CERNET

ChinaEducationandResearchNetwork

ShenYian|

TQU.SA

____A

至日本

ToJapan

西安

Xi'Ah

WuHrni^

叁SI■■中心

MA楸口

廣州

GUDPQZI

iiigKoftg

網(wǎng)絡實訓室通過校園網(wǎng)訪問陳瑞球樓通過沙灣電信訪問

&做

恒剛INNT梆tem32Mdexe的兇art

C：\>tracert百F口I胭?噩刈歹

Tracingrouteto[166,111.8.238]Tracingrouteto1166.111.8,2381

overamaximumof30hops：overaRaxiiinof30hops:

ArCA

1■HM

UbJ7

一

4fCas1009RS61M.21.58

I(10RS(10RS<10RS2t

vJ

41IARS95ns61M21?

2<10RS<10ns(10IDS61,144.42.293-U

4Ld7RS

—1109ns61.1U,10.49

?/

3<10RS<10RS<10ns61,144.15.91二3u

X.-1

A/AIS186RS61.1U,0.5

MM

4<10RS<10ns<10FIS61,144.0.695yDy

411nIS%nsGE7-2-RH-GMI.161.U8.1.U

5(10RS(10RS15舲GE8-0-R2-C-GZ-B.[61,140.1.13]6￡1d7

AAIS98msGE7-0-R2-C-GZ-R.I282.1K,1.K61

M

7z7

6(10ns<10RS(10ns61,140.0.5Q

0TARS99usP0Sl-H2-C-GZ-8.[282,105,1.1$8I

U

?31ns32ins15R$P-2~0"r2~c~$lish-i.13]87O7

C1AIS109is61.U0,9.13

.H

J1?

816ns31ns31ns49一

CISU9ns181

,fn

Jo7

m-V

915ns32ns31R$202.97.44,174CfrARS

J139Hs[202,97.37,971

/lhy

"Uuv7

10406ns438ms43?ms02Afn1RS199ms[282,97.34.11

7lu

UuRS

口超

11390ns40?RS406ns?C71289ns202g.37

I1

O—

12*390ns438nsnjsl)4,[202,112.46,77]r7znIS569ns202.9?,18>

Msh

u(v7

13*422ns421ms25e?41ARS559ns

!i^M

4/

1?71ARS158ns202J,123.17

RS”

1439840?RS421ns33^^^11M

.—y■

7AK施.112.61股

*n?

15438RS406ns[2024I2T3L20]^(0

■

74RS159ns2修112.53,1(

口66i1%吐_，

16422ns406RS406nsf1

一IS岫

、ns1202.112,301

17422ns43?RS438RS11^.111.92.82]/T*?■

為Requestfinedout.

*?

18*406ns1]％■Requestfined吵//

194KRS*453ns[166,111.8.238]?

*

hl1

7.2.1什么是路由

?路由:是把信息從源穿過網(wǎng)絡傳遞到目的地行為

?路由的兩個動作:確定最佳路徑和數(shù)據(jù)轉(zhuǎn)發(fā)

1.路徑選擇

度量值(Metric)下一跳目的網(wǎng)絡

2.數(shù)據(jù)轉(zhuǎn)發(fā)

不是同一網(wǎng)絡的數(shù)據(jù)包總是發(fā)送給路由器

根據(jù)兩個地址轉(zhuǎn)發(fā).下一跳路由器的MAC地；

端系統(tǒng)(ES--endsystem)

中介系統(tǒng)(IS“intermediatesystem)

域內(nèi)IS(intradomainIS)和域間IS(interdomainIS)

722路由「法

路由算法使用許多不同的以確定最佳路

徑

常用的metric如下：

1

2可靠性

3延遲

4帶寬

5負載

6通信代價

7.2.3微計目標

路由算法通常具有下列設計目標的一個或多個:

1優(yōu)化

2簡單、低耗

3健壯、穩(wěn)定

4快速聚合

5靈活性

7.2.4路由協(xié)衩

路由協(xié)議(RoutingProtocol)：用于路

由器動態(tài)尋找網(wǎng)絡最佳路徑，保證所有路

由器擁有相同的路由表，一般路由協(xié)議決

定數(shù)據(jù)包在網(wǎng)絡上的行走路徑。

RIP、IGRP、EIGRP、OSPF、ISTS、EGP、BGP

路由協(xié)議通過提供共享路由選擇信息的機

制來支持可路由協(xié)議

路由協(xié)議消息在路由器之間傳送，路由協(xié)

議允許路由器與其他路由器通信來修改和

維護路由選擇表。

7.2.4路由林衩

1RoutedProtocol()

IP、DECnet>AppleTalksNovellNetWare

2路由動作包括：尋址和轉(zhuǎn)發(fā)

3路由表

在路由器的內(nèi)部都有一個路由表，這

個路由表中包含有該路由器知道的目的網(wǎng)

絡地址以及通過此路由器到達這些網(wǎng)絡的

最佳路筱，如某個接口或下一跳的地址，

正是由于路由袤的存在，路由器可以依據(jù)

它進行需發(fā)。

7.2.4路由4辦衩

4路由選擇算法

必須啟動并維護包含路由信息的路由表,

其中路由信息依賴于所用的路由選擇算法

卻不盡相同。路由選擇算法將收集到的不

同信息埴八路由表中，并根據(jù)路由表可將

司的網(wǎng)絡與下一站（nexthopj的關系告

訴路由器。

5路由器就是互聯(lián)網(wǎng)中的中轉(zhuǎn)站

7.2.4路由協(xié)衩

6Router（路由器）可以路由數(shù)據(jù)包，必須至

少知道以下狀況：

1）目標地址（destinationaddressj

2）可以學習到遠端網(wǎng)絡狀態(tài)的鄰居router

3）到達遠端網(wǎng)絡的所有路徑

4）到達遠端網(wǎng)絡的最佳路徑

5）如何保持和驗證路由信息

7.2.4路由協(xié)衩

7典型的路由選擇方式有兩種:

1）動態(tài)路由與靜態(tài)路由發(fā)生沖突時,以靜態(tài)

路由為準

2）路由器中進行尋徑時,路由器首先查找靜

態(tài)路由,如果查到則根據(jù)相應的靜態(tài)路由

轉(zhuǎn)發(fā)分組;否則再查找動態(tài)路由。

725靜態(tài)路由

?靜態(tài)路由是指由網(wǎng)絡管理員手工配置

靜態(tài)路由的路由器之間沒有必要進行路由

信息的交換

動態(tài)路由因為需要路由器之間頻繁地交換

各自的路由表,而對路由表的分析可以揭

示網(wǎng)絡的拓撲結構和網(wǎng)絡地址等信息,因

此存在一定的不安全性,而靜態(tài)路由不存

在這樣的問題,故出于安全方面的考慮也

可以采用靜態(tài)路由。

大型和復雜的網(wǎng)絡環(huán)境通常不宜采用靜態(tài)

腦由

725靜態(tài)路由

點對點或

電路交換連接

只有一個網(wǎng)絡

連接沒有必要

進行路由信息

的更改

Network1

配置靜忠路由

iproute

router（config）#iproute［網(wǎng)絡編號］［子網(wǎng)掩碼］

［轉(zhuǎn)發(fā)路由器的IP地址/本地接口］

靜態(tài)路由的一般配置步驟

L為每條鏈路確定地址（包括子網(wǎng)地址和網(wǎng)絡地

址）

2.為每個路由器,標識非直連的鏈路地址

3.為每個路由器寫出未直連的地址的路由語句（

寫出直連地址的語句是沒必要的）

管忠路由配置實例

ro,uter(config)#iproute

或

router(config)#iprouteserial0

刪除靜態(tài)路由用命令noiproute

router(config)#noiproute［網(wǎng)絡編號］［子網(wǎng)掩碼］

72.6缺選（默認）路由

所有未明確指明目標網(wǎng)絡的數(shù)據(jù)；版&杭源顰笨

包都按缺省路由講行轉(zhuǎn)發(fā)。/省路由J______

router(config)#iproute

缺省路由一般使用在stub網(wǎng)絡中（稱末端或存根網(wǎng)

絡），stub網(wǎng)絡是只有1條出口路徑的網(wǎng)絡。

727劭態(tài)路由

動態(tài)路由是指路由器能夠自動地建立自B

的路由表，并且能夠根據(jù)實際情況的變化

適時地進行調(diào)整。

727劭態(tài)路由

動態(tài)路由機制的運作依賴路由器的兩個基

本功能：對路由表的維護，路由器之間適

時的路

路由器1路由器2

劭態(tài)路由例衩的今類

鏈路狀態(tài)協(xié)議(OSPF,IS?IS)

距離矢量協(xié)議(RIPvl,RIPv2,IGRP,

EIGRP)

EGP(外部網(wǎng)關協(xié)議)

BGP(邊界網(wǎng)關協(xié)議)

外部網(wǎng)關協(xié)議：在自治系統(tǒng)之間交換路由選擇

信息的互聯(lián)網(wǎng)絡協(xié)議，如BGP。

內(nèi)部網(wǎng)關協(xié)議：在自治系統(tǒng)內(nèi)交換路由選擇信

息的路由協(xié)議，常用的因特網(wǎng)內(nèi)部網(wǎng)關協(xié)議有

OSPF、RIPO

劭態(tài)路由例衩的今類

施離矢量路由協(xié)議—

2,鏈路狀態(tài)路由協(xié)議

OSPF：開放式最短路徑優(yōu)先(OpenShortest

PathFirst)是一種鏈路狀態(tài)路由協(xié)議。每一個

OSPF路由器都維護一個相同的網(wǎng)絡拓撲數(shù)據(jù)庫，

從這個數(shù)據(jù)庫中，可以構造一個最短路徑樹來計

算路由表。OSPF的收斂速度比RIP要快，而且在

更新路由信息時，產(chǎn)生的流量也較少。為了管理

大規(guī)模的網(wǎng)絡，OSPF采用分層的連接結構，修自

治系統(tǒng)分為不同的區(qū)域，以減少路由重計算的時

間。

728RIP

RIP（RoutingInformationProtocols,路由

信息協(xié)議）

是典型的距離矢量協(xié)議，通過計算抵達目

的地的最少跳數(shù)（hop）來選取最佳路徑

路由器每30秒相互發(fā)送廣播信息

RIP協(xié)議的跳數(shù)最多計算到15跳

網(wǎng)絡上的路由器在一條路徑不能用時必須

經(jīng)歷決定替代路徑的過程，這個過程稱為

收斂

RTPlKr點TH#同K

728RIP

RIP協(xié)議的原始版本（版本1,即RIPvl）不能應用

VLSM,因此不能分割地址空間以最大效率地應用

有限的IP地址。RIP協(xié)議的后來版本（版本2,即

RIPv2）通過引入子網(wǎng)屏蔽與每一路由廣播信息一

起使用實現(xiàn)了這個功能。

路由協(xié)議還應該能防止數(shù)據(jù)包進入循環(huán)，或落入

路由選擇循環(huán)，這是由于多余連接影響網(wǎng)絡的問

題。RIP協(xié)議假定如果從網(wǎng)絡的一個終端到另一個

終端的路由跳數(shù)超過15個，那么一定牽涉到了循

環(huán)，因此當一個路徑達到16跳，將被認為是達不

到的。顯然，這限制了RIP協(xié)議在網(wǎng)絡上的使用。

728RIP

?RIP協(xié)議設計用于使用同種技術的中小型網(wǎng)

絡，適用于大多數(shù)的校園網(wǎng)和使用速率變

化不是很大的連續(xù)性的地區(qū)性網(wǎng)絡

?RIP的路由信息都封裝在UDP的數(shù)據(jù)報中，

RIP在UDP的520端口上

728RIP

路由更新

早期的RIP路由協(xié)議中路由的更新是通過定時廣播實現(xiàn)

的。缺省情況下，路由器每隔向與它相連的網(wǎng)絡

,接到廣播的路由器將收到的信

息添加至自身的路由表中。每個路由器都如此廣播，最

終網(wǎng)絡上所有的路由器都會得知全部的路由信息。正常

情況下，每30秒路由器就可以收到一次路由信息確認，

如果經(jīng)過180秒，即6個更新周期，一個路由項還沒有

得到確認，路由器就認為它已了。如果經(jīng)過40

,即8個更新周期，路由項仍沒有得到確認，它就被

o上面的30秒，180秒和240秒的延

時都是由計時器控制的，它們分別是更新計時器

(UpdateTimer)、無效計時器(InvalidTimer)和

刷薪計時器(FlushTimer)。

配置RIP

啟用媼進程/

router(config)#routerrip

router(config-router)#

2.配置network命令

router(config-router)#network〈主類網(wǎng)絡號〉

含義：L公布屬于該主類的子網(wǎng)

2.包含在該主類內(nèi)的接口發(fā)送接收路由信息

3.指^RIP版本

router(config-router)#VERSION{112}

配置舉例

在路由器Router1上的RIP配置如下:

1.啟用RIP進程

router(config)ttrouterrip

2.配置network命令

-v?11A-z-x■xi-p-I-lz-?z-x11-4-nz?\"H"-v"i-4-TTT-?/"?1r-1,7

172.16.1.0/24172.16.2.0/24172.16.3.0/24

RonterlRoutei'2

RIP的調(diào)試

驗證RIP的配置

router#showipprotocols

顯示路由表的信息

router#showiproute

清除IP路由表的信息

router#cleariproute*

在控制臺顯示RIP的工作狀態(tài)

router#debugiprip

RIP的秋陷

1.過于簡單，以跳數(shù)為依據(jù)計算度量值，經(jīng)

常得出非最優(yōu)路由；

2.度量值以16為限，不適合大的網(wǎng)絡；

3.性能差，接受來自任何設備的路由更新；

4.支持無類IP地址和VLSM（VariableLength

SubnetMask,變長子網(wǎng)掩碼）；

5.收斂緩慢，時間經(jīng)常大于5分鐘；

6.帶寬很大。

7.3揚同控制列表

訪問控制列表(accesscontrollists),

也稱為訪問列表(accesslists),在有

的文檔中還稱之為包過濾，是通過定義一

些準則對經(jīng)過路由器接口上的數(shù)據(jù)報文進

行控制：轉(zhuǎn)發(fā)或丟棄。

基本訪問控制列表

高級訪問控制列表(動態(tài)訪問控制列表)

7.3彳方冏按制列表

?為什么要配置訪問列表

限制路由更新

限制網(wǎng)絡訪問

?什么時候配置訪問列表

?訪問列表編號

列表要指定一個唯一的名稱或編號，以便在協(xié)議

內(nèi)部能夠唯一標識每個訪問列表

標準編號為：L99

獷展編號為：100-199

7.3基本彷冏按喇列袤配置雍則

1基本準則

典型準則主要有以下：

源地址

6林地址

上層協(xié)議

標準IP訪問列表(1-99)主要是根據(jù)源地

址來進行轉(zhuǎn)發(fā)或阻斷分組的，擴展IP訪問

列表(100-199)使用以上三種組合來進

行轉(zhuǎn)發(fā)或阻斷分組的。

7.3基本彷冏按喇列袤配置雍則

2隱含“拒絕所有數(shù)據(jù)流”準則語句典型準則

在每個訪問列表的末尾隱含著一條“拒絕所有數(shù)據(jù)

流”準則語句，因此如果分組與任何準則都不匹配，將被

拒絕。

3.輸入準則語句的順序

加入的每條準則都被追加到訪問列表的最后,語句被創(chuàng)建

以后，就無法單獨刪除它，而只能刪除整個訪問列表。所

以訪問列表語句的次序非常重要。路由器在決定轉(zhuǎn)發(fā)還是

阻斷分組時，路由器按語句創(chuàng)建的次序?qū)⒎纸M與語句進行

比較，找到匹配的語句后，便不再檢查其他準則語句。

假設創(chuàng)建了一條語句，它允許所有的數(shù)據(jù)流通過，則后面

的語句將不被檢查。

7.4網(wǎng)絡地址浩換（NAT）

?NAT最初的目的也是通過允許較少的

公用IP地址代表多數(shù)的專有IP地址來

減緩IP地址空間枯竭的速度

在RFC3022中描述的IP地址轉(zhuǎn)換操作

擴展了RFC1631介紹的地址轉(zhuǎn)換，包

括了一類的網(wǎng)絡地址和TCP/UDP端口

轉(zhuǎn)換。

內(nèi)部網(wǎng)絡a外部網(wǎng)絡空

PacketI*3Packet

源地址：00〃源地址：202.123”

目標地址：192.16250)目標地址：04-'

00/24^0/24^

Packet2'Packet2，,

源地址：19216.2.50+，源地址：192.16.2處

目標地址:00“目標地址：202.123/

圖7-11NAT路由器用一個公網(wǎng)地址2021.2.3替