第一篇:CCNA:IP訪問控制列表(ACL)知識總結(jié)
訪問控制列表
建立訪問控制列表,可對數(shù)據(jù)流量進(jìn)行簡單的控制,以及通過這種控制達(dá)到一定程度的安全性,允許或拒絕數(shù)據(jù)包通過路由器,從而達(dá)到對數(shù)據(jù)包進(jìn)行過濾的目的。
另外,也可以在VTY線路接口上使用訪問控制列表,來保證telnet的連接的安全性。因?yàn)榻涌诘臄?shù)據(jù)流是有進(jìn)口和出口兩個(gè)方向的,所以在接口上使用訪問控制列表也有進(jìn)和出兩個(gè)方向。
進(jìn)方向的工作流程
進(jìn)入接口的數(shù)據(jù)包——進(jìn)方向的訪問控制列表——判斷是否匹配——不匹配,丟棄,匹配,進(jìn)入路由表——判斷是否有相應(yīng)的路由條目——無,丟棄,有從相應(yīng)接口轉(zhuǎn)發(fā)出去
出口方向的工作流程
進(jìn)入接口數(shù)據(jù)包——進(jìn)入路由表,判斷是否是相應(yīng)的路由條目——無,丟棄,有,數(shù)據(jù)包往相應(yīng)接口——判斷出口是否有訪問控制列表——無,數(shù)據(jù)被轉(zhuǎn)發(fā),有,判斷條件是否匹配——不匹配,丟棄,匹配,轉(zhuǎn)發(fā)。
比較看,盡可能使用進(jìn)方向的訪問控制列表,但是使用哪個(gè)方向的應(yīng)根據(jù)實(shí)際情況來定。類型
標(biāo)準(zhǔn)訪問控制列表
所依據(jù)的條件的判斷條件是數(shù)據(jù)包的源IP地址,只能過濾某個(gè)網(wǎng)絡(luò)或主機(jī)的數(shù)據(jù)包,功能有限,但方便使用。
命令格式
先在全局模式下創(chuàng)建訪問控制列表
Router(config)#access-list access-list-number {permit or deny} soure {soure-wildcard} log 注:access-list-number 是訪問控制列表號,標(biāo)準(zhǔn)的訪問控制列表號為0~99;permit是語句匹配時(shí)允許通過,deny是語句不匹配時(shí),拒絕通過。soure是源IP地址,soure-wildcard是通配符,log是可選項(xiàng),生成有關(guān)分組匹配情況的日志消息,發(fā)到控制臺
補(bǔ):當(dāng)表示某一特定主機(jī)時(shí),soure {soure-wildcard}這項(xiàng)例如:192.168.1.1 0.0.0.255 可表示為host 192.168.1.1 創(chuàng)建了訪問控制列表后,在接口上應(yīng)用
Router(config-if)#ip access-group access-list-number {in or out} 擴(kuò)展訪問控制列表
擴(kuò)展訪問控制列表所依據(jù)的判斷條件是目標(biāo)、源ip地址、協(xié)議及數(shù)據(jù)所要訪問的端口。由此可得出,在判斷條件上,擴(kuò)展訪問控制列表具有比標(biāo)準(zhǔn)的訪問控制列表更加靈活的優(yōu)勢,能夠完成很多標(biāo)準(zhǔn)訪問不能完成的工作。
命令格式
同樣在全局模式下創(chuàng)建列表
Router(config)#access-list access-list-number {dynamic dynamic-name}{timeout mintes}{permit or deny}protocol soure soure-wildcard destination destination-wildcard {precdence precedence} {tos tos} {time-range time-range-name}
命名訪問控制列表
cisco ios 軟件11.2版本中引入了IP命名ACL,其允許在標(biāo)準(zhǔn)和擴(kuò)展訪問控制列表中使用名字代替數(shù)字來表示ACL編號。
創(chuàng)建命名ACL語法格式:
router(config)#ip access-list {extend or standard} name router(config-ext-nacl)#{permit or deny } protocols soure soure-wildcard {operator}destination destination-wildcard {operator}{established}
注:established 是可選項(xiàng),只針對于tcp 協(xié)議
還有vty的限制,其ACL的建立與在端口上建立ACL一樣,只是應(yīng)用在vty ACL 到虛擬連接時(shí),用命令access-class 代替命令access-group 放置ACL
一般原則:盡可能把擴(kuò)展acl 放置在距離要被拒絕的通信流量近的地方。標(biāo)準(zhǔn)ACL由于不能指定目的地址,所以它們應(yīng)該盡可能放置在距離目的地最近的地主。
第二篇:access-list(訪問控制列表)總結(jié)
access-list(訪問控制列表)總結(jié)
ACL的作用
ACL可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能。例如,ACL可以根據(jù)數(shù)據(jù)包的協(xié)議,指定數(shù)據(jù)包的優(yōu)先級。
ACL提供對通信流量的控制手段。例如,ACL可以限定或簡化路由更新信息的長度,從而限制通過路由器某一網(wǎng)段的通信流量。
ACL是提供網(wǎng)絡(luò)安全訪問的基本手段。如圖1所示,ACL允許主機(jī)A訪問人力資源網(wǎng)絡(luò),而拒絕主機(jī)B訪問。
ACL可以在路由器端口處決定哪種類型的通信流量被轉(zhuǎn)發(fā)或被阻塞。例如,用戶可以允許E-mail通信流量被路由,拒絕所有的Telnet通信流量。ACL的配置
ACL的配置分為兩個(gè)步驟:
第一步:在全局配置模式下,使用下列命令創(chuàng)建ACL:
Router(config)# access-list access-list-number {permit | deny } {test-conditions}
其中,access-list-number為ACL的表號。人們使用較頻繁的表號是標(biāo)準(zhǔn)的IP ACL(1—99)和擴(kuò)展的IP ACL(100-199)。
第二步:在接口配置模式下,使用access-group命令A(yù)CL應(yīng)用到某一接口上:
Router(config-if)# {protocol} access-group access-list-number {in | out }
其中,in和out參數(shù)可以控制接口中不同方向的數(shù)據(jù)包,如果不配置該參數(shù),缺省為out。ACL在一個(gè)接口可以進(jìn)行雙向控制,即配置兩條命令,一條為in,一條為out,兩條命令執(zhí)行的ACL表號可以相同,也可以不同。但是,在一個(gè)接口的一個(gè)方向上,只能有一個(gè)ACL控制。
值得注意的是,在進(jìn)行ACL配置時(shí),網(wǎng)管員一定要先在全局狀態(tài)配置ACL表,再在具體接口上進(jìn)行配置,否則會造成網(wǎng)絡(luò)的安全隱患。訪問控制列表使用目的:
1、限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能。例如隊(duì)列技術(shù),不僅限制了網(wǎng)絡(luò)流量,而且減少了擁塞
2、提供對通信流量的控制手段。例如可以用其控制通過某臺路由器的某個(gè)網(wǎng)絡(luò)的流量
3、提供了網(wǎng)絡(luò)訪問的一種基本安全手段。例如在公司中,允許財(cái)務(wù)部的員工計(jì)算機(jī)可以訪問財(cái)務(wù)服務(wù)器而拒絕其他部門訪問財(cái)務(wù)服務(wù)器
4、在路由器接口上,決定某些流量允許或拒絕被轉(zhuǎn)發(fā)。例如,可以允許FTP的通信流量,而拒絕TELNET的通信流量。
工作原理:
ACL中規(guī)定了兩種操作,所有的應(yīng)用都是圍繞這兩種操作來完成的:允許、拒絕
注意:ACL是CISCO IOS中的一段程序,對于管理員輸入的指令,有其自己的執(zhí)行順序,它執(zhí)行指令的順序是從上至下,一行行的執(zhí)行,尋找匹配,一旦匹配則停止繼續(xù)查找,如果到末尾還未找到匹配項(xiàng),則執(zhí)行一段隱含代碼——丟棄DENY.所以在寫ACL時(shí),一定要注意先后順序。ACL是一組判斷語句的集合,它主要用于對如下數(shù)據(jù)進(jìn)行控制:
1、入站數(shù)據(jù);
2、出站數(shù)據(jù);
3、被路由器中繼的數(shù)據(jù)
因?yàn)闃?biāo)準(zhǔn)的ACL只能針對源進(jìn)行控制,如果把它放在離源最近的地方,那么就會造成不必要的數(shù)據(jù)包丟失的情況,一般將標(biāo)準(zhǔn)ACL放在離目標(biāo)最近的位置.簡單比較以下標(biāo)準(zhǔn)和擴(kuò)展ACL
標(biāo)準(zhǔn)ACL僅僅只針對源進(jìn)行控制
擴(kuò)展ACL可以針對某種協(xié)議、源、目標(biāo)、端口號來進(jìn)行控制
從命令行就可看出
標(biāo)準(zhǔn):
Router(config)#access-list list-number
擴(kuò)展:
Router(config)#access-list list-number protocol source {source-mask destination destination-mask} [operator operand] [established] [log]
Protocol—用來指定協(xié)議類型,如IP、TCP、UDP、ICMP以及IGRP等
Source and destination—源和目的,分別用來標(biāo)示源地址及目的地址
Source-mask and destination-mask—源和目的的通配符掩碼
Operator operand—It,gt,eq,neq(分別是小于、大于、等于、不等于)和一個(gè)端口號
Established—如果數(shù)據(jù)包使用一個(gè)已建連接(例如,具有ACK位組),就允許TCP信息通過 ACL不能對穿越路由器的廣播流量作出有效控制。
ACL的另一個(gè)作用,那就是過濾穿越路由器的流量。這里要注意了,是“穿越”路由器的流量才能被ACL來作用,但是路由器本身產(chǎn)生的流量,比如路由更新報(bào)文等,ACL是不會對它起任何作用的:因?yàn)锳CL不能過濾由路由器本身產(chǎn)生的流量.為了避免過多的查表,所以擴(kuò)展ACL一般放置在離源最近的地方 PING使用的是ICMP協(xié)議
路由器常用命令大全 Access-enable允許路由器在動態(tài)訪問列表中創(chuàng)建臨時(shí)訪問列表入口 Access-group把訪問控制列表(ACL)應(yīng)用到接口上 Access-list定義一個(gè)標(biāo)準(zhǔn)的IP ACL Access-template在連接的路由器上手動替換臨時(shí)訪問列表入口 Appn向APPN子系統(tǒng)發(fā)送命令 Atmsig 執(zhí)行ATM信令命令 B 手動引導(dǎo)操作系統(tǒng) Bandwidth 設(shè)置接口的帶寬 Banner motd 指定日期信息標(biāo)語 Bfe 設(shè)置突發(fā)事件手冊模式
Boot system 指定路由器啟動時(shí)加載的系統(tǒng)映像 Calendar 設(shè)置硬件日歷 Cd 更改路徑
Cdp enable 允許接口運(yùn)行CDP協(xié)議 Clear 復(fù)位功能
Clear counters 清除接口計(jì)數(shù)器
Clear interface 重新啟動接口上的件邏輯
Clockrate 設(shè)置串口硬件連接的時(shí)鐘速率,如網(wǎng)絡(luò)接口模塊和接口處理器能接受的速率 Cmt 開啟/關(guān)閉FDDI連接管理功能 Config-register 修改配置寄存器設(shè)置
Configure 允許進(jìn)入存在的配置模式,在中心站點(diǎn)上維護(hù)并保存配置信息 Configure memory 從NVRAM加載配置信息 Configure terminal 從終端進(jìn)行手動配置 Connect 打開一個(gè)終端連接 Copy 復(fù)制配置或映像數(shù)據(jù)
Copy flash tftp 備份系統(tǒng)映像文件到TFTP服務(wù)器
Copy running-config startup-config 將RAM中的當(dāng)前配置存儲到NVRAM Copy running-config tftp 將RAM中的當(dāng)前配置存儲到網(wǎng)絡(luò)TFTP服務(wù)器上 Copy tftp flash 從TFTP服務(wù)器上下載新映像到Flash Copy tftp running-config 從TFTP服務(wù)器上下載配置文件 Debug 使用調(diào)試功能
Debug dialer 顯示接口在撥什么號及諸如此類的信息 Debug ip rip 顯示RIP路由選擇更新數(shù)據(jù)
Debug ipx routing activity 顯示關(guān)于路由選擇協(xié)議(RIP)更新數(shù)據(jù)包的信息 Debug ipx sap 顯示關(guān)于SAP(業(yè)務(wù)通告協(xié)議)更新數(shù)據(jù)包信息
Debug isdn q921 顯示在路由器D通道ISDN接口上發(fā)生的數(shù)據(jù)鏈路層(第2層)的訪問過程 Debug ppp 顯示在實(shí)施PPP中發(fā)生的業(yè)務(wù)和交換信息 Delete 刪除文件
Deny 為一個(gè)已命名的IP ACL設(shè)置條件
Dialer idle-timeout 規(guī)定線路斷開前的空閑時(shí)間的長度 Dialer map 設(shè)置一個(gè)串行接口來呼叫一個(gè)或多個(gè)地點(diǎn)
Dialer wait-for-carrier-time 規(guī)定花多長時(shí)間等待一個(gè)載體 Dialer-group 通過對屬于一個(gè)特定撥號組的接口進(jìn)行配置來訪問控制
Dialer-list protocol 定義一個(gè)數(shù)字?jǐn)?shù)據(jù)接受器(DDR)撥號表以通過協(xié)議或ACL與協(xié)議的組合來控制控制撥號
Dir 顯示給定設(shè)備上的文件 Disable 關(guān)閉特許模式 Disconnect 斷開已建立的連接 Enable 打開特許模式
Enable password 確定一個(gè)密碼以防止對路由器非授權(quán)的訪問
Enable password 設(shè)置本地口令控制不同特權(quán)級別的訪問
Enable secret 為enable password命令定義額外一層安全性(強(qiáng)制安全,密碼非明文顯示)Encapsulation frame-relay 啟動幀中繼封裝
Encapsulation novell-ether 規(guī)定在網(wǎng)絡(luò)段上使用的Novell獨(dú)一無二的格式 Encapsulation PPP 把PPP設(shè)置為由串口或ISDN接口使用的封裝方法
Encapsulation sap 規(guī)定在網(wǎng)絡(luò)段上使用的以太網(wǎng)802.2格式Cisco的密碼是sap End 退出配置模式
Erase 刪除閃存或配置緩存
Erase startup-config 刪除NVRAM中的內(nèi)容
Exec-timeout 配置EXEC命令解釋器在檢測到用戶輸入前所等待的時(shí)間 Exit 退出所有配置模式或者關(guān)閉一個(gè)激活的終端會話和終止一個(gè)EXEC Exit 終止任何配置模式或關(guān)閉一個(gè)活動的對話和結(jié)束EXEC format 格式化設(shè)備
Frame-relay local-dlci 為使用幀中繼封裝的串行線路啟動本地管理接口(LMI)Help 獲得交互式幫助系統(tǒng) History 查看歷史記錄
Hostname 使用一個(gè)主機(jī)名來配置路由器,該主機(jī)名以提示符或者缺省文件名的方式使用 Interface 設(shè)置接口類型并且輸入接口配置模式 Interface 配置接口類型和進(jìn)入接口配置模式 Interface serial 選擇接口并且輸入接口配置模式 Ip access-group 控制對一個(gè)接口的訪問 Ip address 設(shè)定接口的網(wǎng)絡(luò)邏輯地址
Ip address 設(shè)置一個(gè)接口地址和子網(wǎng)掩碼并開始IP處理 Ip default-network 建立一條缺省路由 Ip domain-lookup 允許路由器缺省使用DNS Ip host 定義靜態(tài)主機(jī)名到IP地址映射
Ip name-server 指定至多6個(gè)進(jìn)行名字-地址解析的服務(wù)器地址 Ip route 建立一條靜態(tài)路由
Ip unnumbered 在為給一個(gè)接口分配一個(gè)明確的IP地址情況下,在串口上啟動互聯(lián)網(wǎng)協(xié)議(IP)的處理過程
Ipx delay 設(shè)置點(diǎn)計(jì)數(shù)
Ipx ipxwan 在串口上啟動IPXWAN協(xié)議
Ipx maximum-paths 當(dāng)轉(zhuǎn)發(fā)數(shù)據(jù)包時(shí)設(shè)置Cisco IOS軟件使用的等價(jià)路徑數(shù)量
Ipx network 在一個(gè)特定接口上啟動互聯(lián)網(wǎng)數(shù)據(jù)包交換(IPX)的路由選擇并且選擇封裝的類型(用幀封裝)Ipx router 規(guī)定使用的路由選擇協(xié)議 Ipx routing 啟動IPX路由選擇
Ipx sap-interval 在較慢的鏈路上設(shè)置較不頻繁的SAP(業(yè)務(wù)廣告協(xié)議)更新 Ipx type-20-input-checks 限制對IPX20類數(shù)據(jù)包廣播的傳播的接受
Isdn spid1 在路由器上規(guī)定已經(jīng)由ISDN業(yè)務(wù)供應(yīng)商為B1信道分配的業(yè)務(wù)簡介號(SPID)Isdn spid2 在路由器上規(guī)定已經(jīng)由ISDN業(yè)務(wù)供應(yīng)商為B2信道分配的業(yè)務(wù)簡介號(SPID)Isdntch-type 規(guī)定了在ISDN接口上的中央辦公區(qū)的交換機(jī)的類型 Keeplive 為使用幀中繼封裝的串行線路LMI(本地管理接口)機(jī)制 Lat 打開LAT連接
Line 確定一個(gè)特定的線路和開始線路配置 Line concole 設(shè)置控制臺端口線路
Line vty 為遠(yuǎn)程控制臺訪問規(guī)定了一個(gè)虛擬終端 Lock 鎖住終端控制臺
Login 在終端會話登錄過程中啟動了密碼檢查 Login 以某用戶身份登錄,登錄時(shí)允許口令驗(yàn)證 Logout 退出EXEC模式
Mbranch 向下跟蹤組播地址路由至終端 Media-type 定義介質(zhì)類型
Metric holddown 把新的IGRP路由選擇信息與正在使用的IGRP路由選擇信息隔離一段時(shí)間 Mrbranch 向上解析組播地址路由至枝端 Mrinfo 從組播路由器上獲取鄰居和版本信息 Mstat 對組播地址多次路由跟蹤后顯示統(tǒng)計(jì)數(shù)字 Mtrace 由源向目標(biāo)跟蹤解析組播地址路徑 Name-connection 命名已存在的網(wǎng)絡(luò)連接 Ncia 開啟/關(guān)閉NCIA服務(wù)器
Network 把一個(gè)基于NIC的地址分配給一個(gè)與它直接相連的路由器把網(wǎng)絡(luò)與一個(gè)IGRP的路由選擇的過程聯(lián)系起來在IPX路由器配置模式下,在網(wǎng)絡(luò)上啟動加強(qiáng)的IGRP Network 指定一個(gè)和路由器直接相連的網(wǎng)絡(luò)地址段 Network-number 對一個(gè)直接連接的網(wǎng)絡(luò)進(jìn)行規(guī)定 No shutdown 打開一個(gè)關(guān)閉的接口 Pad 開啟一個(gè)X.29 PAD連接
Permit 為一個(gè)已命名的IP ACL設(shè)置條件
Ping 把ICMP響應(yīng)請求的數(shù)據(jù)包發(fā)送網(wǎng)絡(luò)上的另一個(gè)節(jié)點(diǎn)檢查主機(jī)的可達(dá)性和網(wǎng)絡(luò)的連通性對網(wǎng)絡(luò)的基本連通性進(jìn)行診斷
Ping 發(fā)送回聲請求,診斷基本的網(wǎng)絡(luò)連通性 Ppp 開始IETF點(diǎn)到點(diǎn)協(xié)議
Ppp authentication 啟動Challenge握手鑒權(quán)協(xié)議(CHAP)或者密碼驗(yàn)證協(xié)議(PAP)或者將兩者都啟動,并且對在接口上選擇的CHAP和PAP驗(yàn)證的順序進(jìn)行規(guī)定
Ppp chap hostname 當(dāng)用CHAP進(jìn)行身份驗(yàn)證時(shí),創(chuàng)建一批好像是同一臺主機(jī)的撥號路由器
Ppp chap password 設(shè)置一個(gè)密碼,該密碼被發(fā)送到對路由器進(jìn)行身份驗(yàn)證的主機(jī)命令對進(jìn)入路由器的用戶名/密碼的數(shù)量進(jìn)行了限制
Ppp pap sent-username 對一個(gè)接口啟動遠(yuǎn)程PAP支持,并且在PAP對同等層請求數(shù)據(jù)包驗(yàn)證過程中使用sent-username和password Protocol 對一個(gè)IP路由選擇協(xié)議進(jìn)行定義,該協(xié)議可以是RIP,內(nèi)部網(wǎng)關(guān)路由選擇協(xié)議(IGRP),開放最短路徑優(yōu)先(OSPF),還可以是加強(qiáng)的IGRP Pwd 顯示當(dāng)前設(shè)備名
Reload 關(guān)閉并執(zhí)行冷啟動;重啟操作系統(tǒng) Rlogin 打開一個(gè)活動的網(wǎng)絡(luò)連接
Router 由第一項(xiàng)定義的IP路由協(xié)議作為路由進(jìn)程,例如:router rip 選擇RIP作為路由協(xié)議 Router igrp 啟動一個(gè)IGRP的路由選擇過程 Router rip 選擇RIP作為路由選擇協(xié)議 Rsh 執(zhí)行一個(gè)遠(yuǎn)程命令 Sdlc 發(fā)送SDLC測試幀 Send 在tty線路上發(fā)送消息
Service password-encryption 對口令進(jìn)行加密 Setup 運(yùn)行Setup命令 Show 顯示運(yùn)行系統(tǒng)信息
Show access-lists 顯示當(dāng)前所有ACL的內(nèi)容 Show buffers 顯示緩存器統(tǒng)計(jì)信息 Show cdp entry 顯示CDP表中所列相鄰設(shè)備的信息 Show cdp interface 顯示打開的CDP接口信息 Show cdp neighbors 顯示CDP查找進(jìn)程的結(jié)果
Show dialer 顯示為DDR(數(shù)字?jǐn)?shù)據(jù)接受器)設(shè)置的串行接口的一般診斷信息 Show flash 顯示閃存的布局和內(nèi)容信息
Show frame-relay lmi 顯示關(guān)于本地管理接口(LMI)的統(tǒng)計(jì)信息 Show frame-relay map 顯示關(guān)于連接的當(dāng)前映射入口和信息
Show frame-relay pvc 顯示關(guān)于幀中繼接口的永久虛電路(pvc)的統(tǒng)計(jì)信息 Show hosts 顯示主機(jī)名和地址的緩存列表
Show interfaces 顯示設(shè)置在路由器和訪問服務(wù)器上所有接口的統(tǒng)計(jì)信息 Show interfaces 顯示路由器上配置的所有接口的狀態(tài) Show interfaces serial 顯示關(guān)于一個(gè)串口的信息 Show ip interface 列出一個(gè)接口的IP信息和狀態(tài)的小結(jié) Show ip interface 列出接口的狀態(tài)和全局參數(shù)
Show ip protocols 顯示活動路由協(xié)議進(jìn)程的參數(shù)和當(dāng)前狀態(tài) Show ip route 顯示路由選擇表的當(dāng)前狀態(tài) Show ip router 顯示IP路由表信息
Show ipx interface 顯示Cisco IOS軟件設(shè)置的IPX接口的狀態(tài)以及每個(gè)接口中的參數(shù) Show ipx route 顯示IPX路由選擇表的內(nèi)容 Show ipx servers 顯示IPX服務(wù)器列表 Show ipx traffic 顯示數(shù)據(jù)包的數(shù)量和類型
Show isdn active 顯示當(dāng)前呼叫的信息,包括被叫號碼、建立連接前所花費(fèi)的時(shí)間、在呼叫期間使用的自動化操作控制(AOC)收費(fèi)單元以及是否在呼叫期間和呼叫結(jié)束時(shí)提供AOC信息
Show isdn ststus 顯示所有isdn接口的狀態(tài)、或者一個(gè)特定的數(shù)字信號鏈路(DSL)的狀態(tài)或者一個(gè)特定isdn接口的狀態(tài)
Show memory 顯示路由器內(nèi)存的大小,包括空閑內(nèi)存的大小 Show processes 顯示路由器的進(jìn)程 Show protocols 顯示設(shè)置的協(xié)議
Show protocols 顯示配置的協(xié)議。這條命令顯示任何配置了的第3層協(xié)議的狀態(tài) Show running-config 顯示RAM中的當(dāng)前配置信息
Show spantree 顯示關(guān)于虛擬局域網(wǎng)(VLAN)的生成樹信息
Show stacks 監(jiān)控和中斷程序?qū)Χ褩5氖褂茫@示系統(tǒng)上一次重啟的原因 Show startup-config 顯示NVRAM中的啟動配置文件 Show ststus 顯示ISDN線路和兩個(gè)B信道的當(dāng)前狀態(tài)
Show version 顯示系統(tǒng)硬件的配置,軟件的版本,配置文件的名稱和來源及引導(dǎo)映像 Shutdown 關(guān)閉一個(gè)接口 Telnet 開啟一個(gè)telect連接
Term ip 指定當(dāng)前會話的網(wǎng)絡(luò)掩碼的格式
Term ip netmask-format 規(guī)定了在show命令輸出中網(wǎng)絡(luò)掩碼顯示的格式 Timers basic 控制著IGRP以多少時(shí)間間隔發(fā)送更新信息 Trace 跟蹤IP路由
Username password 規(guī)定了在CHAP和PAP呼叫者身份驗(yàn)證過程中使用的密碼 Verify 檢驗(yàn)flash文件 Where 顯示活動連接
Which-route OSI路由表查找和顯示結(jié)果 Write 運(yùn)行的配置信息寫入內(nèi)存,網(wǎng)絡(luò)或終端 Write erase 現(xiàn)在由copy startup-config命令替換 X3 在PAD上設(shè)置X.3參數(shù) Xremote 進(jìn)入XRemote模式
第三篇:訪問列表3p原則總結(jié)
訪問控制列表(Access Control List,ACL)是路由器和交換機(jī)接口的指令列表,用來控制端口進(jìn)出的數(shù)據(jù)包。ACL適用于所有的被路由協(xié)議,如IP、IPX、AppleTalk等。這張表中包含了匹配關(guān)系、條件和查詢語句,表只是一個(gè)框架結(jié)構(gòu),其目的是為了對某種訪問進(jìn)行控制。ACL介紹
信息點(diǎn)間通信和內(nèi)外網(wǎng)絡(luò)的通信都是企業(yè)網(wǎng)絡(luò)中必不可少的業(yè)務(wù)需求,但是為了保證內(nèi)網(wǎng)的安全性,需要通過安全策略來保障非授權(quán)用戶只能訪問特定的網(wǎng)絡(luò)資源,從而達(dá)到對訪問進(jìn)行控制的目的。簡而言之,ACL可以過濾網(wǎng)絡(luò)中的流量,是控制訪問的一種網(wǎng)絡(luò)技術(shù)手段。
ACL的定義也是基于每一種協(xié)議的。如果路由器接口配置成為支持三種協(xié)議(IP、AppleTalk以及IPX)的情況,那么,用戶必須定義三種ACL來分別控制這三種協(xié)議的數(shù)據(jù)包。ACL的作用
ACL可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能。例如,ACL可以根據(jù)數(shù)據(jù)包的協(xié)議,指定數(shù)據(jù)包的優(yōu)先級。
ACL提供對通信流量的控制手段。例如,ACL可以限定或簡化路由更新信息的長度,從而限制通過路由器某一網(wǎng)段的通信流量。
ACL是提供網(wǎng)絡(luò)安全訪問的基本手段。ACL允許主機(jī)A訪問人力資源網(wǎng)絡(luò),而拒絕主機(jī)B訪問。
ACL可以在路由器端口處決定哪種類型的通信流量被轉(zhuǎn)發(fā)或被阻塞。例如,用戶可以允許E-mail通信流量被路由,拒絕所有的Telnet通信流量。
例如:某部門要求只能使用 WWW 這個(gè)功能,就可以通過ACL實(shí)現(xiàn);又例如,為了某部門的保密性,不允許其訪問外網(wǎng),也不允許外網(wǎng)訪問它,就可以通過ACL實(shí)現(xiàn)。ACL 3p原則
記住 3P 原則,您便記住了在路由器上應(yīng)用 ACL 的一般規(guī)則。您可以為每種協(xié)議(per protocol)、每個(gè)方向(per direction)、每個(gè)接口(per interface)配置一個(gè) ACL:
每種協(xié)議一個(gè) ACL 要控制接口上的流量,必須為接口上啟用的每種協(xié)議定義相應(yīng)的 ACL。
每個(gè)方向一個(gè) ACL 一個(gè) ACL 只能控制接口上一個(gè)方向的流量。要控制入站流量和出站流量,必須分別定義兩個(gè) ACL。
每個(gè)接口一個(gè) ACL 一個(gè) ACL 只能控制一個(gè)接口(例如快速以太網(wǎng) 0/0)上的流量。
ACL 的編寫可能相當(dāng)復(fù)雜而且極具挑戰(zhàn)性。每個(gè)接口上都可以針對多種協(xié)議和各個(gè)方向進(jìn)行定義。示例中的路由器有兩個(gè)接口配置了 IP、AppleTalk 和 IPX。該路由器可能需要 12 個(gè)不同的 ACL — 協(xié)議數(shù)(3)乘以方向數(shù)(2),再乘以端口數(shù)(2)。ACL的執(zhí)行過程
一個(gè)端口執(zhí)行哪條ACL,這需要按照列表中的條件語句執(zhí)行順序來判斷。如果一個(gè)數(shù)據(jù)包的報(bào)頭跟表中某個(gè)條件判斷語句相匹配,那么后面的語句就將被忽略,不再進(jìn)行檢查。
數(shù)據(jù)包只有在跟第一個(gè)判斷條件不匹配時(shí),它才被交給ACL中的下一個(gè)條件判斷語句進(jìn)行比較。如果匹配(假設(shè)為允許發(fā)送),則不管是第一條還是最后一條語句,數(shù)據(jù)都會立即發(fā)送到目的接口。如果所有的ACL判斷語句都檢測完畢,仍沒有匹配的語句出口,則該數(shù)據(jù)包將視為被拒絕而被丟棄。這里要注意,ACL不能對本路由器產(chǎn)生的數(shù)據(jù)包進(jìn)行控制。ACL的分類
目前有兩種主要的ACL:標(biāo)準(zhǔn)ACL和擴(kuò)展ACL。其他的還有標(biāo)準(zhǔn)MAC ACL、時(shí)間控制ACL、以太協(xié)議 ACL、IPv6 ACL等。
標(biāo)準(zhǔn)的ACL使用 1 ~ 99 以及1300~1999之間的數(shù)字作為表號,擴(kuò)展的ACL使用 100 ~ 199以及2000~2699之間的數(shù)字作為表號。
標(biāo)準(zhǔn)ACL可以阻止來自某一網(wǎng)絡(luò)的所有通信流量,或者允許來自某一特定網(wǎng)絡(luò)的所有通信流量,或者拒絕某一協(xié)議簇(比如IP)的所有通信流量。
擴(kuò)展ACL比標(biāo)準(zhǔn)ACL提供了更廣泛的控制范圍。例如,網(wǎng)絡(luò)管理員如果希望做到“允許外來的Web通信流量通過,拒絕外來的FTP和Telnet等通信流量”,那么,他可以使用擴(kuò)展ACL來達(dá)到目的,標(biāo)準(zhǔn)ACL不能控制這么精確。
在標(biāo)準(zhǔn)與擴(kuò)展訪問控制列表中均要使用表號,而在命名訪問控制列表中使用一個(gè)字母或數(shù)字組合的字符串來代替前面所使用的數(shù)字。使用命名訪問控制列表可以用來刪除某一條特定的控制條目,這樣可以讓我們在使用過程中方便地進(jìn)行修改。在使用命名訪問控制列表時(shí),要求路由器的IOS在11.2以上的版本,并且不能以同一名字命名多個(gè)ACL,不同類型的ACL也不能使用相同的名字。
隨著網(wǎng)絡(luò)的發(fā)展和用戶要求的變化,從IOS 12.0開始,思科(CISCO)路由器新增加了一種基于時(shí)間的訪問列表。通過它,可以根據(jù)一天中的不同時(shí)間,或者根據(jù)一星期中的不同日期,或二者相結(jié)合來控制網(wǎng)絡(luò)數(shù)據(jù)包的轉(zhuǎn)發(fā)。這種基于時(shí)間的訪問列表,就是在原來的標(biāo)準(zhǔn)訪問列表和擴(kuò)展訪問列表中,加入有效的時(shí)間范圍來更合理有效地控制網(wǎng)絡(luò)。首先定義一個(gè)時(shí)間范圍,然后在原來的各種訪問列表的基礎(chǔ)上應(yīng)用它。
基于時(shí)間訪問列表的設(shè)計(jì)中,用time-range 命令來指定時(shí)間范圍的名稱,然后用absolute命令,或者一個(gè)或多個(gè)periodic命令來具體定義時(shí)間范圍。ACL 常見問題
1)“ACL 的最后一條語句都是隱式拒絕語句” 是什么意思?
每個(gè) ACL 的末尾都會自動插入一條隱含的 deny 語句,雖然ACL中看不到這條語句,它仍起作用。隱含的 deny 語句會阻止所有流量,以防不受歡迎的流量意外進(jìn)入網(wǎng)絡(luò)。
2)配置ACL后為什么沒有生效?
在創(chuàng)建訪問控制列表之后,必須將其應(yīng)用到某個(gè)接口才可開始生效。ACL 控制的對象是進(jìn)出接口的流量。
第四篇:網(wǎng)絡(luò)層(IP層)知識總結(jié)
網(wǎng)絡(luò)層
1.網(wǎng)絡(luò)層提供的兩種服務(wù)
虛電路(VC):面向鏈接的,由網(wǎng)絡(luò)確保提供可靠的服務(wù)。借鑒與電信網(wǎng)絡(luò)。兩個(gè)計(jì)算機(jī)通信前先建立鏈接。
數(shù)據(jù)報(bào)服務(wù):網(wǎng)絡(luò)層向上只提供簡單靈活的,無連接的,盡最大努力交付數(shù)據(jù)報(bào)服務(wù)。網(wǎng)絡(luò)層不提供服務(wù)質(zhì)量承諾。
依據(jù):計(jì)算機(jī)比電話機(jī)智能,有很強(qiáng)的差錯(cuò)處理能力。由于傳輸網(wǎng)絡(luò)不提供端到端的可靠服務(wù),因此路由器可以設(shè)計(jì)的簡單,價(jià)格低廉。
2.網(wǎng)際協(xié)議IP 網(wǎng)際協(xié)議IP是TCP/IP體系中最主要的協(xié)議之一。IP協(xié)議配套使用的有: ? 地址解析協(xié)議ARP(Address Resolution Protocol)? 逆地址解析協(xié)議RARP(Reverse Address Resolution Protocol)? 網(wǎng)際控制報(bào)文協(xié)議ICMP(Internet Control Message Protocol)? 網(wǎng)際組織管理協(xié)議IGMP(Internet Group Management Protocol)ICMP和IGMP使用IP協(xié)議 IP協(xié)議使用ARP和RARP協(xié)議
IP協(xié)議實(shí)現(xiàn)網(wǎng)絡(luò)互連,使參與互連的性能各異的網(wǎng)絡(luò)從用戶看起來好像是一個(gè)統(tǒng)一的網(wǎng)絡(luò)
3.什么是虛擬互聯(lián)網(wǎng)絡(luò)(邏輯互聯(lián)網(wǎng)絡(luò))互連起來的物理網(wǎng)絡(luò)的異構(gòu)性本來是客觀存在的,但利用IP協(xié)議可以使這些性能各異的網(wǎng)絡(luò)在網(wǎng)絡(luò)層看起來好像是一個(gè)統(tǒng)一的網(wǎng)絡(luò)。
網(wǎng)絡(luò)的異構(gòu)性:由于用戶需求不同,網(wǎng)絡(luò)技術(shù)發(fā)展,導(dǎo)致網(wǎng)絡(luò)體系中存在不同性能,不同網(wǎng)絡(luò)協(xié)議的網(wǎng)絡(luò)。(那么如何使這種存在差別的網(wǎng)絡(luò)連接到一起,感覺像是一種網(wǎng)絡(luò)沒有障礙的通信——>使用相同的網(wǎng)際協(xié)議IP,構(gòu)成一個(gè)虛擬互聯(lián)的網(wǎng)絡(luò)。比如我們通信的過程中,有段網(wǎng)絡(luò)使用了衛(wèi)星鏈路,有的使用了無限局域網(wǎng),但是IP協(xié)議可以使信息在這些網(wǎng)絡(luò)傳輸)。
用來連接異構(gòu)網(wǎng)絡(luò)的設(shè)備:路由器。
4.將網(wǎng)絡(luò)互連起來要使用一些中間設(shè)備,根據(jù)中間設(shè)備所在層次不同分為:
(1)物理層使用的中間設(shè)備轉(zhuǎn)發(fā)器(repeater)(2)數(shù)據(jù)鏈路層使用的中間設(shè)備網(wǎng)橋或橋接器(bridge)(3)網(wǎng)絡(luò)層使用的中間設(shè)備路由器(router)(4)網(wǎng)絡(luò)層以上使用的中間設(shè)備網(wǎng)關(guān)(gateway)
轉(zhuǎn)發(fā)器和網(wǎng)橋只是把網(wǎng)路擴(kuò)大(因此,由轉(zhuǎn)發(fā)器和網(wǎng)橋連接起來的若干個(gè)局域網(wǎng)仍屬于一個(gè)網(wǎng)路,只能有一個(gè)網(wǎng)路號(主機(jī)號不同))路由器實(shí)現(xiàn)網(wǎng)絡(luò)互連(路由器的每一個(gè)接口都有不同的網(wǎng)絡(luò)號IP地址)5.IP地址和物理地址
物理地址:數(shù)據(jù)鏈路層和物理層使用的地址
IP地址:網(wǎng)絡(luò)層和以上各層使用的地址,是一種邏輯地址(因?yàn)镮P使用軟件實(shí)現(xiàn)的)1.IP地址放在IP數(shù)據(jù)報(bào)首部,硬件地址則放在MAC幀首部
2.在局域網(wǎng)中,只能看見MAC幀。MAC幀在不同的網(wǎng)絡(luò)上傳送時(shí),其MAC幀首部的源地址和目的地址是要發(fā)生變化的。
3.在IP層抽象的互聯(lián)網(wǎng)上只能看到IP數(shù)據(jù)報(bào)。4.IP地址有32位,局域網(wǎng)的硬件地址是48位
6.物理地址與IP地址的匹配<——>ARP與RARP(由物理地址怎樣找到對應(yīng)的IP地址/由IP地址怎樣找到對應(yīng)的物理地址)由于DHCP已經(jīng)包含RARP現(xiàn)在很少單獨(dú)使用RARP ARP:在主機(jī)ARP高速緩沖中存放一個(gè)由IP地址到硬件地址的映射表,并且這個(gè)表還動態(tài)更新(新增和超時(shí)刪除)。映射表中存放本局域網(wǎng)各主機(jī)和路由器IP地址到硬件地址的映射表。
同一局域網(wǎng)中,ARP解決IP地址到硬件地址映射問題:
當(dāng)主機(jī)A向本局域網(wǎng)內(nèi)某主機(jī)B發(fā)送IP報(bào),先在自己的ARP高速緩沖中查看有無主機(jī)B的IP地址。如果有,根據(jù)IP地址找到對應(yīng)的硬件地址,將硬件地址寫入MAC幀中,然后把該MAC幀發(fā)往此硬件地址。
當(dāng)B剛?cè)刖W(wǎng),或A剛開機(jī)ARP高速緩沖中是空的,則A自動運(yùn)行ARP,找出B的硬件地址。
1)ARP進(jìn)程在本局域網(wǎng)廣播發(fā)送一個(gè)ARP請求分組,主要內(nèi)容是“我的IP地址是209.0.0.5,硬件地址是00-00-C0-15-AD-18,我想知道IP地址為209.0.0.6主機(jī)的硬件地址”。
2)本局域網(wǎng)所有主機(jī)都收到此分組,但是只有目的IP會寫入自己的硬件地址,以普通的單播ARP響應(yīng)分組響應(yīng)。同時(shí),B也會把A的IP地址與硬件地址寫入自己的ARP高速緩沖中。
3)A收到后,將B的IP和硬件地址寫入ARP高速緩沖中。
不同局域網(wǎng)中,ARP解決IP地址到硬件地址映射問題:
A無法直接找到遠(yuǎn)程主機(jī)B的硬件地址。A首先將A所在局域網(wǎng)的路由器IP解析為硬件地址,將IP數(shù)據(jù)報(bào)傳送到路由器。路由器從轉(zhuǎn)發(fā)表中找到下一跳路由,同時(shí)用ARP解析出下一跳路由的硬件地址…直至最后。ARP是解決同一個(gè)局域網(wǎng)上的主機(jī)或路由器的IP地址和硬件地址的映射問題。為什么這樣說?當(dāng)主機(jī)A要與另一個(gè)網(wǎng)絡(luò)主機(jī)B通信時(shí),首先A是通過ARP找到路由器R1,這是一次ARP的使用,即在A和R1的局域網(wǎng)中使用,由R1找B或與B相連的路由器R2,是在R1和B或R1和R2的局域網(wǎng)中使用的ARP,這是又一次使用ARP,所以說ARP是解決同一個(gè)局域網(wǎng)上的IP地址和硬件地址的映射問題。
7.ARP高速緩沖每一個(gè)映射項(xiàng)目都設(shè)置了生存時(shí)間。超過生存時(shí)間的項(xiàng)目就刪除掉。B的網(wǎng)絡(luò)適配器(網(wǎng)卡)壞掉等都會造成B的硬件地址變化。8.既然在網(wǎng)絡(luò)鏈路上傳遞的幀最終是按照硬件地址找到目的主機(jī)的,那么為什么不直接使用硬件地址進(jìn)行通信,而是使用抽象的IP地址并調(diào)用ARP來尋找相應(yīng)的硬件地址?(IP地址的意義)
因?yàn)槿澜绱嬖诟鞣N各樣的網(wǎng)絡(luò),使用不同的硬件地址。要使這些異構(gòu)的網(wǎng)絡(luò)能夠相互通信需要非常復(fù)雜的硬件地址轉(zhuǎn)換工作,這由用戶主機(jī)來完成幾乎是不可能的,有了統(tǒng)一的IP地址,通信就像連在一個(gè)網(wǎng)絡(luò)上,并且ARP工作過程是由軟件自動完成的。
9.網(wǎng)際控制報(bào)文協(xié)議ICMP
為了更有效地轉(zhuǎn)發(fā)IP數(shù)據(jù)報(bào)和提高交付成功機(jī)會,使用ICMP(Intetnet Control Message Protocol),ICMP不是高層協(xié)議,而是IP層協(xié)議。
ICMP分為兩種:ICMP差錯(cuò)報(bào)告報(bào)文和 ICMP詢問報(bào)文
ICMP詢問報(bào)文請求報(bào)文的應(yīng)用ping應(yīng)用層直接使用網(wǎng)絡(luò)層ICMP的一個(gè)例子,沒有通過TCP或UDP ICMP差錯(cuò)報(bào)告報(bào)文時(shí)間超時(shí)的應(yīng)用traceroute IP數(shù)據(jù)報(bào)中包含不可交付的UDP
10.路由選擇協(xié)議(核心:路由算法):使用何種方式獲得路由表中各項(xiàng)目
由算法能否隨網(wǎng)絡(luò)的通信量或拓?fù)渥赃m應(yīng)進(jìn)行調(diào)整分為
靜態(tài)路由選擇策略:非自適應(yīng)路由選擇,簡單,開銷小,不能適應(yīng)網(wǎng)絡(luò)變化,適合簡單小網(wǎng)絡(luò)
動態(tài)路由選擇策略:自適應(yīng)、復(fù)雜,開銷大,能適應(yīng)網(wǎng)絡(luò)變化
因特網(wǎng)采用的路由選擇協(xié)議:自適應(yīng)(動態(tài)的)、分布式路由選擇協(xié)議
11.自治系統(tǒng)(AS):單一技術(shù)管理下的一組路由器
即一個(gè)自治系統(tǒng)內(nèi)使用的是相同的路由選擇策略。由路由選擇協(xié)議是在自治系統(tǒng)內(nèi)使用還是系統(tǒng)外使用分為:內(nèi)部網(wǎng)關(guān)協(xié)議和外部網(wǎng)關(guān)協(xié)議。(由歷史原因稱為網(wǎng)關(guān)協(xié)議其實(shí)是路由器協(xié)議)
內(nèi)部網(wǎng)關(guān)協(xié)議(IGP):RIP和OSPF(力求最佳路由)
外部網(wǎng)關(guān)協(xié)議(EGP):BGP-4(力求較好路由,不兜圈)
12.路由信息協(xié)議RIP(Routing Information Protocol)RIP協(xié)議讓一個(gè)自治系統(tǒng)內(nèi)所有路由器(交換信息時(shí)只和相鄰路由器交換)都和自己相鄰的路由器定期交換信息,并不斷更新其路由表,使得每一個(gè)路由器到每一個(gè)目的網(wǎng)絡(luò)的路由器都是最短的。
基于距離向量路由選擇協(xié)議最大特點(diǎn)簡單 缺點(diǎn):限制網(wǎng)絡(luò)規(guī)模,最大距離為15 每次交換完整路由表,隨網(wǎng)絡(luò)擴(kuò)大,開銷增大
“壞消息傳的慢”
跳數(shù):即到目的網(wǎng)絡(luò)的距離(與路由器直接相連的網(wǎng)絡(luò)距離為1,RIP允許一條路徑最多包含15個(gè)路由器,因此跳數(shù)為16表示不可達(dá))
RIP協(xié)議特點(diǎn)(與哪些路由器交換信息,交換什么信息,什么時(shí)候交換)
1)僅與相鄰路由器交換信息
2)交換信息為當(dāng)前本路由器所知道的全部信息。包括,我到本自治系統(tǒng)所有網(wǎng)絡(luò)的距離,到每個(gè)網(wǎng)絡(luò)的下一跳路由(只知道下一跳路由,不知道整個(gè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu))3)按固定時(shí)間交換:30秒
距離向量算法:
首先,對每一個(gè)相鄰路由器發(fā)送RIP報(bào)文(使用了UDP,即RIP報(bào)文+UDP首部+IP首部構(gòu)成IP數(shù)據(jù)報(bào)),報(bào)文包括“目的網(wǎng)絡(luò)N,距離d,下一跳路由是R”
然后,接受到的路由器進(jìn)行分析: 1)對地址為X的路由器發(fā)來的報(bào)文,先將所有報(bào)文的下一跳路由改為X,并將所有距離+1。(對于本網(wǎng)絡(luò)來說,如果準(zhǔn)備按X發(fā)來的報(bào)文項(xiàng)目通信目的網(wǎng)絡(luò),則須經(jīng)過X,即下一跳路由為X,而與目的網(wǎng)絡(luò)的距離為X到目的網(wǎng)絡(luò)的距離+1)。2)對修改后的報(bào)文,與自己原路由表對比:
a.原路由表中,沒有此目的網(wǎng)絡(luò)N,直接添加
b.原路由表有目的網(wǎng)絡(luò)N,比較下一跳路由地址,若原來下一跳路由地址也是X,直接更新(網(wǎng)絡(luò)狀態(tài)可能發(fā)生變化,因此以此次新信息為準(zhǔn))c.若下一跳地址不是X,則比較距離d,以小的為準(zhǔn) d.否則什么也不做
3)若3分鐘沒有收到相鄰路由器的更新路由表,則把此相鄰路由器距離標(biāo)為16(不可達(dá))4)返回
一個(gè)RIP報(bào)文最多包括25個(gè)路由,RIP報(bào)文最大長度4(首部)+25*20(一個(gè)路由器信息20字節(jié))= 504字節(jié)
13.開放最短路徑優(yōu)先OSPF(Open Shortest Path First)最主要特征:使用分布式鏈路狀態(tài)協(xié)議
OSPF協(xié)議特點(diǎn)(與RIP比較)1)向本自治系統(tǒng)所有路由器發(fā)送信息,但是使用洪泛法發(fā)送,路由器向所有相鄰的路由器發(fā)送信息,而每一個(gè)相鄰路由器也會把此信息發(fā)送給其相鄰的路由器(不發(fā)給剛剛發(fā)來信息的路由器),這樣,整個(gè)系統(tǒng)都能收到。(RIP只給相鄰發(fā)送)2)發(fā)送信息:相鄰所有路由器鏈路狀態(tài)。包括本路由器和哪些路由器相鄰,以及該鏈路的“度量”(費(fèi)用,距離,時(shí)延,帶寬),可以知道整個(gè)網(wǎng)絡(luò)拓?fù)洹#≧IP只發(fā)送到所有網(wǎng)絡(luò)距離和下一跳路由)
3)只有鏈路狀態(tài)發(fā)生變化,才以洪泛法再次發(fā)送信息。(RIP定期)
OSPF將自治系統(tǒng)劃分為更小范圍,區(qū)域。OSPF只在自己區(qū)域交換信息,而不再是整個(gè)自治系統(tǒng)。減少整個(gè)網(wǎng)絡(luò)上通信量,此時(shí)只知道本區(qū)域網(wǎng)絡(luò)拓?fù)洹?/p>
OSPF報(bào)文直接使用IP數(shù)據(jù)報(bào)(OSPF+IP首部)
OSPF五種分組類型
1)類型1,問候分組,確定鄰站可達(dá)性(10秒交換一次)2)類型2,數(shù)據(jù)庫描述分組,向鄰站發(fā)送自己的鏈路狀態(tài)數(shù)據(jù)庫摘要信息 3)類型3,鏈路狀態(tài)請求分組,向?qū)Ψ秸埱蟀l(fā)送某些鏈路狀態(tài)詳細(xì)信息 4)類型4,鏈路狀態(tài)更新分組,用洪泛法全網(wǎng)更新鏈路狀態(tài)協(xié)議核心部分 5)類型5,鏈路狀態(tài)確認(rèn),對更新的確認(rèn)
14.外部網(wǎng)關(guān)協(xié)議——BGP(邊界網(wǎng)管協(xié)議)BGP是不同AS的路由器之間交換路由信息的協(xié)議
不同的AS為什么不能使用內(nèi)部網(wǎng)關(guān)協(xié)議:
1)英特網(wǎng)規(guī)模太大,使得AS之間路由選擇非常困難。主干網(wǎng)已超過5萬路由前綴,使用鏈路狀態(tài)數(shù)據(jù)庫(OSPF方法),用Dijkstra計(jì)算花費(fèi)時(shí)間也很長。不同的AS中,度量的量度也不一樣,不能通用。
2)AS之間的路由選擇協(xié)議必須考慮相關(guān)策略。不同的網(wǎng)絡(luò)性能差距較大,根據(jù)最短路徑找出的路徑,可能并不是最快的(在同一個(gè)AS中,網(wǎng)絡(luò)相差不大,最短路徑基本實(shí)現(xiàn)最快速度)。并且AS間路由選擇也應(yīng)考慮到政治,安全和經(jīng)濟(jì),允許使用多種路由選擇策略,如我國國內(nèi)傳送數(shù)據(jù),盡量不要經(jīng)過其他國家,尤其是可能造成威脅的國家。
BGP只是力求尋找一條能夠到達(dá)目的網(wǎng)絡(luò)比較好的路由,而非一條最佳采用路徑向量路由選擇協(xié)議
BGP發(fā)言人:每一個(gè)AS至少選擇一個(gè)作為本AS的BGP Speaker,一般是邊界路由器,該路由器代表整個(gè)AS與其他AS交換信息。一個(gè)BGP Speaker與其他AS的BGP Speaker交換路由信息,首先建立TCP連接(端口號179),然后交換報(bào)文建立會話,使用TCP為了提供可靠的服務(wù)。相鄰的兩個(gè)Speaker成為鄰站會對等站。
每一個(gè)Speaker除了運(yùn)行BGP,還要運(yùn)行RIP或OSPF
BGP的路由表(與RIP相似)包含
目的網(wǎng)絡(luò)前綴下一跳路由到達(dá)目的網(wǎng)絡(luò)所要經(jīng)過AS序列(RIP是跳數(shù))BGP在路由反生變化時(shí)更新路由表有變化的部分 BGP4種報(bào)文(TCP報(bào)文)1)OPEN(打開)報(bào)文,與鄰站建立關(guān)系,通信初始化
2)UPDATE(更新)報(bào)文,通告某一路由的信息,更新路由信息核心內(nèi)容
每個(gè)報(bào)文只能宣布增加1個(gè)新路由,但可以宣布撤銷多個(gè)。
3)KEEPALIVE(?;?報(bào)文,周期性保持與鄰站的連同 4)NOTIFICATION(通知)報(bào)文,發(fā)送檢測差錯(cuò)
兩個(gè)鄰站屬于不同AS,交換信息前先建立鏈接(某個(gè)路由器可能因?yàn)樨?fù)荷過高而不愿通信),先發(fā)送OPEN,建立連接,發(fā)送KEEPALIVE(30秒一個(gè),防止開銷過大,只用BGP的首部19字節(jié)),保持連接,在用UPDATE更新信息。
15.路由器的結(jié)構(gòu)
路由器:一種具有多個(gè)輸入端口和多個(gè)輸出端口的專用計(jì)算機(jī),其任務(wù)就是轉(zhuǎn)發(fā)分組(轉(zhuǎn)發(fā)分組正是網(wǎng)絡(luò)層的主要工作)
路由器結(jié)構(gòu)可劃分兩大部分:路由選擇+
分組轉(zhuǎn)發(fā)
路由選擇:控制部分,核心部件為路由選擇處理機(jī)任務(wù)是根據(jù)所選定的路由選擇協(xié)議構(gòu)造出路由表,并不斷維護(hù)路由表。
分組轉(zhuǎn)發(fā):三部分交換結(jié)構(gòu)、一組輸入端口和一組輸出端口(此處為硬件端口,與運(yùn)輸層端口不同)
交換結(jié)構(gòu)的作用就是根據(jù)轉(zhuǎn)發(fā)表對分組進(jìn)行處理,將某個(gè)輸入端進(jìn)入的分組從一個(gè)合適的端口轉(zhuǎn)發(fā)出去,交換結(jié)構(gòu)本身就是一種網(wǎng)絡(luò)。
交換的方式:通過存儲器、通過總線、通過互聯(lián)網(wǎng)絡(luò)
16.IP多播
單播(一對一)
多播(也稱組播,實(shí)現(xiàn)一對多,但是是對選擇好的多個(gè)用戶播送)
廣播(一對多,無法選擇特定用戶,對所有用戶都播送,DHCP獲取IP使用了廣播,ARP尋找目的主機(jī)硬件地址也使用了廣播)
多播可以節(jié)約網(wǎng)絡(luò)資源,能夠運(yùn)行多播協(xié)議的路由器稱為多播路由器 多播組的標(biāo)識符就是IP地址中的D類地址(與廣播的差異)。前四位1110 D類地址的范圍
224.0.0.0——239.255.255.255,共可標(biāo)識228個(gè)多播組 多播數(shù)據(jù)報(bào)與一般數(shù)據(jù)報(bào)的區(qū)別使用D類地址作為目的地址,并且首部協(xié)議字段值為2,表明使用IGMP協(xié)議(多播地址只用用于目的地址,不能用于源地址,對多播不產(chǎn)生ICMP差錯(cuò)報(bào)文,PING多播地址,不會受到響應(yīng))
17.IP多播的種類
a)只在本局域網(wǎng)上進(jìn)行硬件多播,b)在因特網(wǎng)范圍內(nèi)進(jìn)行多播
在硬件多播中,以太網(wǎng)多播地址范圍01-00-5E-00-00-00到01-00-5E-7F-FF-FF只由低23位用于多播,與IPD類地址低23位對映,因此多播IP地址與以太網(wǎng)硬件地址的映射不是唯一的。當(dāng)主機(jī)收到多播數(shù)據(jù),還要在IP層利用軟件進(jìn)行過濾,把不是本機(jī)接受的數(shù)據(jù)丟棄。
IP多播需要兩種協(xié)議:IGMP(網(wǎng)際組管理協(xié)議)和多播路由選擇協(xié)議
IGMP是讓連接在本地局域網(wǎng)上的多播路由器知道本局域網(wǎng)上是否有主機(jī)參加或退出可某個(gè)多播組。IGMP使用IP數(shù)據(jù)報(bào)傳送報(bào)文。
IGMP工作階段:
1)有主機(jī)新加入多播組,向多播組地址發(fā)送IGMP報(bào)文。
2)本地多播路由器周期性檢測本地局域網(wǎng)是否有主機(jī)處于多播組。多播數(shù)據(jù)報(bào)的發(fā)送者和接受者都不知道一個(gè)多播組有多少成員
只有IGMP協(xié)議,無法把多播數(shù)據(jù)報(bào)以最小代價(jià)傳送給組成員,此時(shí)需要多播路由選擇協(xié)議。
多播路由選擇協(xié)議的特點(diǎn):
1)多播轉(zhuǎn)發(fā)必須動態(tài)適應(yīng)組成員變化。只要有成員增加或退出及應(yīng)更新,而普通的單播路由選擇協(xié)議只在網(wǎng)絡(luò)拓?fù)浒l(fā)生變化時(shí)才更新。2)多播路由轉(zhuǎn)發(fā)協(xié)議轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)不僅僅要考慮目的地址。3)多播數(shù)據(jù)報(bào)的發(fā)送者可以使組成員,也可以不是。多播路由選擇協(xié)議轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)使用的方法
1)洪泛法與減除(最小生成樹,最短路徑),適于較小多播組
2)隧道技術(shù),對于多播組位置地理上分散情況使用,遠(yuǎn)距離傳送在數(shù)據(jù)報(bào)外 再加普通數(shù)據(jù)報(bào)首部單播。
3)核心發(fā)現(xiàn)技術(shù)。多播組在較大的范圍內(nèi)變化也適用。
18.19.VPN(虛擬專用網(wǎng))與NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)由于IP地址短缺,一個(gè)機(jī)構(gòu)能申請到的IP地址小于本機(jī)構(gòu)主機(jī)數(shù),而且也不是所有主機(jī)都需連如因特網(wǎng)。但是這些主機(jī)還需要內(nèi)部通信,從原則上講,內(nèi)部通信的主機(jī)可以由本機(jī)構(gòu)自行分配IP地址(本地地址),但如果自行分配的地址與因特網(wǎng)上實(shí)際分配的有沖突,出現(xiàn)地址二義性問題。
因此,可以指明一些專用地址,這些地址只能機(jī)構(gòu)內(nèi)部通信,因特網(wǎng)上所有路由器,對目的地址是專用地址的數(shù)據(jù)報(bào)不轉(zhuǎn)發(fā)。
全世界有很多專用互聯(lián)網(wǎng)絡(luò)具有相同IP地址,但這些地址只在本地內(nèi)部使用,不會引起麻煩,專用IP地址也叫可重用地址。
對于很大的機(jī)構(gòu)相距比較遠(yuǎn),可以利用公用的因特網(wǎng)作為本機(jī)構(gòu)專用網(wǎng)之間的通信載體,這樣的專用網(wǎng)成為虛擬專用網(wǎng)VPN(相比但購買一條通信線路作為專用簡單,節(jié)?。?/p>
VPN不同網(wǎng)點(diǎn)之間通過互聯(lián)網(wǎng)通信,所以對這些數(shù)據(jù)加密,需要專門軟硬件。VPN通信:每個(gè)網(wǎng)點(diǎn)至少有一個(gè)路由器有合法IP地址,這樣一個(gè)內(nèi)部主機(jī)向另一個(gè)主機(jī)通信時(shí),開始使用專用地址,到達(dá)這個(gè)路由器時(shí)轉(zhuǎn)換為合法到的IP(將原數(shù)據(jù)報(bào)加密,變?yōu)閮?nèi)部數(shù)據(jù)報(bào),在外面再加一層數(shù)據(jù)報(bào)首部),到達(dá)另一個(gè)網(wǎng)點(diǎn),由其路由器將合法IP轉(zhuǎn)換為這個(gè)網(wǎng)點(diǎn)的本地IP。
NAT:解決VPN上多個(gè)主機(jī)想同時(shí)訪問互聯(lián)網(wǎng)。
在專用網(wǎng)鏈接因特網(wǎng)的路由器上安裝NAT軟件,這樣的路由器叫做NAT路由器。一個(gè)NAT路由器至少有1個(gè)合法IP地址。這樣有n個(gè)合法地址的NAT路由器即可滿足n個(gè)主機(jī)同時(shí)訪問互聯(lián)網(wǎng)(轉(zhuǎn)換地址)。
NAPT,將IP地址與端口號一起轉(zhuǎn)換,這樣當(dāng)本地地址中通信具有兩個(gè)相同端口號時(shí),可以轉(zhuǎn)換為同一個(gè)合法的IP,但是端口號不同。這樣兩個(gè)主機(jī)可以使用同一個(gè)合法的IP
20.IP數(shù)據(jù)報(bào)格式
1)版本(4位):目前是v4,以后可能IPv6
2)首部長度(4位):可表示十進(jìn)制15,但是這個(gè)字段單位是32位(4字節(jié)),即當(dāng)首部長度為15時(shí),表示此首部長度為15*4字節(jié)最常用的首部20字節(jié)(0101)。數(shù)據(jù)部分總是從4字節(jié)整數(shù)倍開始。固定首部最大值是希望用戶節(jié)省開銷,缺點(diǎn),容易不夠用。
3)區(qū)分服務(wù)(8位):一般不使用
4)總長度(16位):字段單位字節(jié),即數(shù)據(jù)報(bào)最大長度為216-1=65535字節(jié)。
由于數(shù)據(jù)鏈路層都有自己的最大傳輸單元MTU,所以IP數(shù)據(jù)報(bào)封裝鏈路層幀時(shí),數(shù)據(jù)報(bào)最大長度不能超過MTU。一般IP數(shù)據(jù)報(bào)長度不長于1500字節(jié),但為了效率,所有主機(jī)和路由器處理的IP報(bào)不小于576(512+60?)字節(jié)。當(dāng)IP報(bào)長度超過MTU,就需要分片,這時(shí)首部總長度字段指的是分片后總長度。
5)標(biāo)識(16位):每產(chǎn)生一個(gè)IP報(bào),標(biāo)識加1。為了分片后區(qū)分到底哪幾個(gè)片在以后組裝時(shí)成為一個(gè)。(IP報(bào)是無連接的,接收也不存在順序,所以此標(biāo)識不是為了標(biāo)識接受順序)
6)標(biāo)志(3位):只有兩個(gè)有意義
MF: =1表示此分片后還有分片,=0表示此分片后無分片 DF:此報(bào)不能分片。DF=0允許分片
7)片偏移(13位):分片后,此片相對原片位移。此字段單位8字節(jié),所以片偏移以8字節(jié)為單位。也就是說每個(gè)分片一定是8字節(jié)整數(shù)倍。
8)生存時(shí)間(8位):TTL,9)協(xié)議(8位):使目的主機(jī)知道此報(bào)上交給誰
10)首部檢驗(yàn)和(16位):
11)源地址(32位)
12)目的地址(32位)
21.關(guān)于IP首部檢驗(yàn)和
IP/ICMP/IGMP/TCP/UDP 等協(xié)議檢驗(yàn)和算法一樣,但I(xiàn)P只檢驗(yàn)首部,TCP/UDP會檢驗(yàn)首部+數(shù)據(jù)。
檢驗(yàn)方式:二進(jìn)制反碼求和(若最高位產(chǎn)生進(jìn)位,則進(jìn)位和結(jié)果相加)此處以UDP首部檢驗(yàn)和為例(考慮數(shù)據(jù)部分)
16~1列每列1的個(gè)數(shù) 2 4 1 3 5 4 4 5 0 4 2 4 7 7 7 9 1)首先是第1列9個(gè)1相加得1001(9),低位1保留,其余三位分別向上進(jìn)位,即0向第二列進(jìn)位,0向第3列進(jìn)位,1向第4列進(jìn)位。
2)然后是第2列7個(gè)1和第1列進(jìn)位的0相加,為7(0111),同理低位1保留,其余三位向上進(jìn)位。
3)第3列7個(gè)1和第1列進(jìn)位0,第2列進(jìn)位1相加得8(1000),低位0保留,高位進(jìn)位 ……
4)最后第15列結(jié)果為0110,16列結(jié)果為0011,兩個(gè)進(jìn)位1的和(10)會與結(jié)果相加 5)計(jì)算結(jié)果為10010110 11101011與15、16列進(jìn)位和10相加結(jié)果為10010110 11101101 然后求反碼。
22.23.