第一篇:CCNA:IP訪問控制列表(ACL)知識總結(jié)
訪問控制列表
建立訪問控制列表,可對數(shù)據(jù)流量進行簡單的控制,以及通過這種控制達到一定程度的安全性,允許或拒絕數(shù)據(jù)包通過路由器,從而達到對數(shù)據(jù)包進行過濾的目的。
另外,也可以在VTY線路接口上使用訪問控制列表,來保證telnet的連接的安全性。因為接口的數(shù)據(jù)流是有進口和出口兩個方向的,所以在接口上使用訪問控制列表也有進和出兩個方向。
進方向的工作流程
進入接口的數(shù)據(jù)包——進方向的訪問控制列表——判斷是否匹配——不匹配,丟棄,匹配,進入路由表——判斷是否有相應(yīng)的路由條目——無,丟棄,有從相應(yīng)接口轉(zhuǎn)發(fā)出去
出口方向的工作流程
進入接口數(shù)據(jù)包——進入路由表,判斷是否是相應(yīng)的路由條目——無,丟棄,有,數(shù)據(jù)包往相應(yīng)接口——判斷出口是否有訪問控制列表——無,數(shù)據(jù)被轉(zhuǎn)發(fā),有,判斷條件是否匹配——不匹配,丟棄,匹配,轉(zhuǎn)發(fā)。
比較看,盡可能使用進方向的訪問控制列表,但是使用哪個方向的應(yīng)根據(jù)實際情況來定。類型
標準訪問控制列表
所依據(jù)的條件的判斷條件是數(shù)據(jù)包的源IP地址,只能過濾某個網(wǎng)絡(luò)或主機的數(shù)據(jù)包,功能有限,但方便使用。
命令格式
先在全局模式下創(chuàng)建訪問控制列表
Router(config)#access-list access-list-number {permit or deny} soure {soure-wildcard} log 注:access-list-number 是訪問控制列表號,標準的訪問控制列表號為0~99;permit是語句匹配時允許通過,deny是語句不匹配時,拒絕通過。soure是源IP地址,soure-wildcard是通配符,log是可選項,生成有關(guān)分組匹配情況的日志消息,發(fā)到控制臺
補:當(dāng)表示某一特定主機時,soure {soure-wildcard}這項例如:192.168.1.1 0.0.0.255 可表示為host 192.168.1.1 創(chuàng)建了訪問控制列表后,在接口上應(yīng)用
Router(config-if)#ip access-group access-list-number {in or out} 擴展訪問控制列表
擴展訪問控制列表所依據(jù)的判斷條件是目標、源ip地址、協(xié)議及數(shù)據(jù)所要訪問的端口。由此可得出,在判斷條件上,擴展訪問控制列表具有比標準的訪問控制列表更加靈活的優(yōu)勢,能夠完成很多標準訪問不能完成的工作。
命令格式
同樣在全局模式下創(chuàng)建列表
Router(config)#access-list access-list-number {dynamic dynamic-name}{timeout mintes}{permit or deny}protocol soure soure-wildcard destination destination-wildcard {precdence precedence} {tos tos} {time-range time-range-name}
命名訪問控制列表
cisco ios 軟件11.2版本中引入了IP命名ACL,其允許在標準和擴展訪問控制列表中使用名字代替數(shù)字來表示ACL編號。
創(chuàng)建命名ACL語法格式:
router(config)#ip access-list {extend or standard} name router(config-ext-nacl)#{permit or deny } protocols soure soure-wildcard {operator}destination destination-wildcard {operator}{established}
注:established 是可選項,只針對于tcp 協(xié)議
還有vty的限制,其ACL的建立與在端口上建立ACL一樣,只是應(yīng)用在vty ACL 到虛擬連接時,用命令access-class 代替命令access-group 放置ACL
一般原則:盡可能把擴展acl 放置在距離要被拒絕的通信流量近的地方。標準ACL由于不能指定目的地址,所以它們應(yīng)該盡可能放置在距離目的地最近的地主。
第二篇:access-list(訪問控制列表)總結(jié)
access-list(訪問控制列表)總結(jié)
ACL的作用
ACL可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能。例如,ACL可以根據(jù)數(shù)據(jù)包的協(xié)議,指定數(shù)據(jù)包的優(yōu)先級。
ACL提供對通信流量的控制手段。例如,ACL可以限定或簡化路由更新信息的長度,從而限制通過路由器某一網(wǎng)段的通信流量。
ACL是提供網(wǎng)絡(luò)安全訪問的基本手段。如圖1所示,ACL允許主機A訪問人力資源網(wǎng)絡(luò),而拒絕主機B訪問。
ACL可以在路由器端口處決定哪種類型的通信流量被轉(zhuǎn)發(fā)或被阻塞。例如,用戶可以允許E-mail通信流量被路由,拒絕所有的Telnet通信流量。ACL的配置
ACL的配置分為兩個步驟:
第一步:在全局配置模式下,使用下列命令創(chuàng)建ACL:
Router(config)# access-list access-list-number {permit | deny } {test-conditions}
其中,access-list-number為ACL的表號。人們使用較頻繁的表號是標準的IP ACL(1—99)和擴展的IP ACL(100-199)。
第二步:在接口配置模式下,使用access-group命令A(yù)CL應(yīng)用到某一接口上:
Router(config-if)# {protocol} access-group access-list-number {in | out }
其中,in和out參數(shù)可以控制接口中不同方向的數(shù)據(jù)包,如果不配置該參數(shù),缺省為out。ACL在一個接口可以進行雙向控制,即配置兩條命令,一條為in,一條為out,兩條命令執(zhí)行的ACL表號可以相同,也可以不同。但是,在一個接口的一個方向上,只能有一個ACL控制。
值得注意的是,在進行ACL配置時,網(wǎng)管員一定要先在全局狀態(tài)配置ACL表,再在具體接口上進行配置,否則會造成網(wǎng)絡(luò)的安全隱患。訪問控制列表使用目的:
1、限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能。例如隊列技術(shù),不僅限制了網(wǎng)絡(luò)流量,而且減少了擁塞
2、提供對通信流量的控制手段。例如可以用其控制通過某臺路由器的某個網(wǎng)絡(luò)的流量
3、提供了網(wǎng)絡(luò)訪問的一種基本安全手段。例如在公司中,允許財務(wù)部的員工計算機可以訪問財務(wù)服務(wù)器而拒絕其他部門訪問財務(wù)服務(wù)器
4、在路由器接口上,決定某些流量允許或拒絕被轉(zhuǎn)發(fā)。例如,可以允許FTP的通信流量,而拒絕TELNET的通信流量。
工作原理:
ACL中規(guī)定了兩種操作,所有的應(yīng)用都是圍繞這兩種操作來完成的:允許、拒絕
注意:ACL是CISCO IOS中的一段程序,對于管理員輸入的指令,有其自己的執(zhí)行順序,它執(zhí)行指令的順序是從上至下,一行行的執(zhí)行,尋找匹配,一旦匹配則停止繼續(xù)查找,如果到末尾還未找到匹配項,則執(zhí)行一段隱含代碼——丟棄DENY.所以在寫ACL時,一定要注意先后順序。ACL是一組判斷語句的集合,它主要用于對如下數(shù)據(jù)進行控制:
1、入站數(shù)據(jù);
2、出站數(shù)據(jù);
3、被路由器中繼的數(shù)據(jù)
因為標準的ACL只能針對源進行控制,如果把它放在離源最近的地方,那么就會造成不必要的數(shù)據(jù)包丟失的情況,一般將標準ACL放在離目標最近的位置.簡單比較以下標準和擴展ACL
標準ACL僅僅只針對源進行控制
擴展ACL可以針對某種協(xié)議、源、目標、端口號來進行控制
從命令行就可看出
標準:
Router(config)#access-list list-number
擴展:
Router(config)#access-list list-number protocol source {source-mask destination destination-mask} [operator operand] [established] [log]
Protocol—用來指定協(xié)議類型,如IP、TCP、UDP、ICMP以及IGRP等
Source and destination—源和目的,分別用來標示源地址及目的地址
Source-mask and destination-mask—源和目的的通配符掩碼
Operator operand—It,gt,eq,neq(分別是小于、大于、等于、不等于)和一個端口號
Established—如果數(shù)據(jù)包使用一個已建連接(例如,具有ACK位組),就允許TCP信息通過 ACL不能對穿越路由器的廣播流量作出有效控制。
ACL的另一個作用,那就是過濾穿越路由器的流量。這里要注意了,是“穿越”路由器的流量才能被ACL來作用,但是路由器本身產(chǎn)生的流量,比如路由更新報文等,ACL是不會對它起任何作用的:因為ACL不能過濾由路由器本身產(chǎn)生的流量.為了避免過多的查表,所以擴展ACL一般放置在離源最近的地方 PING使用的是ICMP協(xié)議
路由器常用命令大全 Access-enable允許路由器在動態(tài)訪問列表中創(chuàng)建臨時訪問列表入口 Access-group把訪問控制列表(ACL)應(yīng)用到接口上 Access-list定義一個標準的IP ACL Access-template在連接的路由器上手動替換臨時訪問列表入口 Appn向APPN子系統(tǒng)發(fā)送命令 Atmsig 執(zhí)行ATM信令命令 B 手動引導(dǎo)操作系統(tǒng) Bandwidth 設(shè)置接口的帶寬 Banner motd 指定日期信息標語 Bfe 設(shè)置突發(fā)事件手冊模式
Boot system 指定路由器啟動時加載的系統(tǒng)映像 Calendar 設(shè)置硬件日歷 Cd 更改路徑
Cdp enable 允許接口運行CDP協(xié)議 Clear 復(fù)位功能
Clear counters 清除接口計數(shù)器
Clear interface 重新啟動接口上的件邏輯
Clockrate 設(shè)置串口硬件連接的時鐘速率,如網(wǎng)絡(luò)接口模塊和接口處理器能接受的速率 Cmt 開啟/關(guān)閉FDDI連接管理功能 Config-register 修改配置寄存器設(shè)置
Configure 允許進入存在的配置模式,在中心站點上維護并保存配置信息 Configure memory 從NVRAM加載配置信息 Configure terminal 從終端進行手動配置 Connect 打開一個終端連接 Copy 復(fù)制配置或映像數(shù)據(jù)
Copy flash tftp 備份系統(tǒng)映像文件到TFTP服務(wù)器
Copy running-config startup-config 將RAM中的當(dāng)前配置存儲到NVRAM Copy running-config tftp 將RAM中的當(dāng)前配置存儲到網(wǎng)絡(luò)TFTP服務(wù)器上 Copy tftp flash 從TFTP服務(wù)器上下載新映像到Flash Copy tftp running-config 從TFTP服務(wù)器上下載配置文件 Debug 使用調(diào)試功能
Debug dialer 顯示接口在撥什么號及諸如此類的信息 Debug ip rip 顯示RIP路由選擇更新數(shù)據(jù)
Debug ipx routing activity 顯示關(guān)于路由選擇協(xié)議(RIP)更新數(shù)據(jù)包的信息 Debug ipx sap 顯示關(guān)于SAP(業(yè)務(wù)通告協(xié)議)更新數(shù)據(jù)包信息
Debug isdn q921 顯示在路由器D通道ISDN接口上發(fā)生的數(shù)據(jù)鏈路層(第2層)的訪問過程 Debug ppp 顯示在實施PPP中發(fā)生的業(yè)務(wù)和交換信息 Delete 刪除文件
Deny 為一個已命名的IP ACL設(shè)置條件
Dialer idle-timeout 規(guī)定線路斷開前的空閑時間的長度 Dialer map 設(shè)置一個串行接口來呼叫一個或多個地點
Dialer wait-for-carrier-time 規(guī)定花多長時間等待一個載體 Dialer-group 通過對屬于一個特定撥號組的接口進行配置來訪問控制
Dialer-list protocol 定義一個數(shù)字數(shù)據(jù)接受器(DDR)撥號表以通過協(xié)議或ACL與協(xié)議的組合來控制控制撥號
Dir 顯示給定設(shè)備上的文件 Disable 關(guān)閉特許模式 Disconnect 斷開已建立的連接 Enable 打開特許模式
Enable password 確定一個密碼以防止對路由器非授權(quán)的訪問
Enable password 設(shè)置本地口令控制不同特權(quán)級別的訪問
Enable secret 為enable password命令定義額外一層安全性(強制安全,密碼非明文顯示)Encapsulation frame-relay 啟動幀中繼封裝
Encapsulation novell-ether 規(guī)定在網(wǎng)絡(luò)段上使用的Novell獨一無二的格式 Encapsulation PPP 把PPP設(shè)置為由串口或ISDN接口使用的封裝方法
Encapsulation sap 規(guī)定在網(wǎng)絡(luò)段上使用的以太網(wǎng)802.2格式Cisco的密碼是sap End 退出配置模式
Erase 刪除閃存或配置緩存
Erase startup-config 刪除NVRAM中的內(nèi)容
Exec-timeout 配置EXEC命令解釋器在檢測到用戶輸入前所等待的時間 Exit 退出所有配置模式或者關(guān)閉一個激活的終端會話和終止一個EXEC Exit 終止任何配置模式或關(guān)閉一個活動的對話和結(jié)束EXEC format 格式化設(shè)備
Frame-relay local-dlci 為使用幀中繼封裝的串行線路啟動本地管理接口(LMI)Help 獲得交互式幫助系統(tǒng) History 查看歷史記錄
Hostname 使用一個主機名來配置路由器,該主機名以提示符或者缺省文件名的方式使用 Interface 設(shè)置接口類型并且輸入接口配置模式 Interface 配置接口類型和進入接口配置模式 Interface serial 選擇接口并且輸入接口配置模式 Ip access-group 控制對一個接口的訪問 Ip address 設(shè)定接口的網(wǎng)絡(luò)邏輯地址
Ip address 設(shè)置一個接口地址和子網(wǎng)掩碼并開始IP處理 Ip default-network 建立一條缺省路由 Ip domain-lookup 允許路由器缺省使用DNS Ip host 定義靜態(tài)主機名到IP地址映射
Ip name-server 指定至多6個進行名字-地址解析的服務(wù)器地址 Ip route 建立一條靜態(tài)路由
Ip unnumbered 在為給一個接口分配一個明確的IP地址情況下,在串口上啟動互聯(lián)網(wǎng)協(xié)議(IP)的處理過程
Ipx delay 設(shè)置點計數(shù)
Ipx ipxwan 在串口上啟動IPXWAN協(xié)議
Ipx maximum-paths 當(dāng)轉(zhuǎn)發(fā)數(shù)據(jù)包時設(shè)置Cisco IOS軟件使用的等價路徑數(shù)量
Ipx network 在一個特定接口上啟動互聯(lián)網(wǎng)數(shù)據(jù)包交換(IPX)的路由選擇并且選擇封裝的類型(用幀封裝)Ipx router 規(guī)定使用的路由選擇協(xié)議 Ipx routing 啟動IPX路由選擇
Ipx sap-interval 在較慢的鏈路上設(shè)置較不頻繁的SAP(業(yè)務(wù)廣告協(xié)議)更新 Ipx type-20-input-checks 限制對IPX20類數(shù)據(jù)包廣播的傳播的接受
Isdn spid1 在路由器上規(guī)定已經(jīng)由ISDN業(yè)務(wù)供應(yīng)商為B1信道分配的業(yè)務(wù)簡介號(SPID)Isdn spid2 在路由器上規(guī)定已經(jīng)由ISDN業(yè)務(wù)供應(yīng)商為B2信道分配的業(yè)務(wù)簡介號(SPID)Isdntch-type 規(guī)定了在ISDN接口上的中央辦公區(qū)的交換機的類型 Keeplive 為使用幀中繼封裝的串行線路LMI(本地管理接口)機制 Lat 打開LAT連接
Line 確定一個特定的線路和開始線路配置 Line concole 設(shè)置控制臺端口線路
Line vty 為遠程控制臺訪問規(guī)定了一個虛擬終端 Lock 鎖住終端控制臺
Login 在終端會話登錄過程中啟動了密碼檢查 Login 以某用戶身份登錄,登錄時允許口令驗證 Logout 退出EXEC模式
Mbranch 向下跟蹤組播地址路由至終端 Media-type 定義介質(zhì)類型
Metric holddown 把新的IGRP路由選擇信息與正在使用的IGRP路由選擇信息隔離一段時間 Mrbranch 向上解析組播地址路由至枝端 Mrinfo 從組播路由器上獲取鄰居和版本信息 Mstat 對組播地址多次路由跟蹤后顯示統(tǒng)計數(shù)字 Mtrace 由源向目標跟蹤解析組播地址路徑 Name-connection 命名已存在的網(wǎng)絡(luò)連接 Ncia 開啟/關(guān)閉NCIA服務(wù)器
Network 把一個基于NIC的地址分配給一個與它直接相連的路由器把網(wǎng)絡(luò)與一個IGRP的路由選擇的過程聯(lián)系起來在IPX路由器配置模式下,在網(wǎng)絡(luò)上啟動加強的IGRP Network 指定一個和路由器直接相連的網(wǎng)絡(luò)地址段 Network-number 對一個直接連接的網(wǎng)絡(luò)進行規(guī)定 No shutdown 打開一個關(guān)閉的接口 Pad 開啟一個X.29 PAD連接
Permit 為一個已命名的IP ACL設(shè)置條件
Ping 把ICMP響應(yīng)請求的數(shù)據(jù)包發(fā)送網(wǎng)絡(luò)上的另一個節(jié)點檢查主機的可達性和網(wǎng)絡(luò)的連通性對網(wǎng)絡(luò)的基本連通性進行診斷
Ping 發(fā)送回聲請求,診斷基本的網(wǎng)絡(luò)連通性 Ppp 開始IETF點到點協(xié)議
Ppp authentication 啟動Challenge握手鑒權(quán)協(xié)議(CHAP)或者密碼驗證協(xié)議(PAP)或者將兩者都啟動,并且對在接口上選擇的CHAP和PAP驗證的順序進行規(guī)定
Ppp chap hostname 當(dāng)用CHAP進行身份驗證時,創(chuàng)建一批好像是同一臺主機的撥號路由器
Ppp chap password 設(shè)置一個密碼,該密碼被發(fā)送到對路由器進行身份驗證的主機命令對進入路由器的用戶名/密碼的數(shù)量進行了限制
Ppp pap sent-username 對一個接口啟動遠程PAP支持,并且在PAP對同等層請求數(shù)據(jù)包驗證過程中使用sent-username和password Protocol 對一個IP路由選擇協(xié)議進行定義,該協(xié)議可以是RIP,內(nèi)部網(wǎng)關(guān)路由選擇協(xié)議(IGRP),開放最短路徑優(yōu)先(OSPF),還可以是加強的IGRP Pwd 顯示當(dāng)前設(shè)備名
Reload 關(guān)閉并執(zhí)行冷啟動;重啟操作系統(tǒng) Rlogin 打開一個活動的網(wǎng)絡(luò)連接
Router 由第一項定義的IP路由協(xié)議作為路由進程,例如:router rip 選擇RIP作為路由協(xié)議 Router igrp 啟動一個IGRP的路由選擇過程 Router rip 選擇RIP作為路由選擇協(xié)議 Rsh 執(zhí)行一個遠程命令 Sdlc 發(fā)送SDLC測試幀 Send 在tty線路上發(fā)送消息
Service password-encryption 對口令進行加密 Setup 運行Setup命令 Show 顯示運行系統(tǒng)信息
Show access-lists 顯示當(dāng)前所有ACL的內(nèi)容 Show buffers 顯示緩存器統(tǒng)計信息 Show cdp entry 顯示CDP表中所列相鄰設(shè)備的信息 Show cdp interface 顯示打開的CDP接口信息 Show cdp neighbors 顯示CDP查找進程的結(jié)果
Show dialer 顯示為DDR(數(shù)字數(shù)據(jù)接受器)設(shè)置的串行接口的一般診斷信息 Show flash 顯示閃存的布局和內(nèi)容信息
Show frame-relay lmi 顯示關(guān)于本地管理接口(LMI)的統(tǒng)計信息 Show frame-relay map 顯示關(guān)于連接的當(dāng)前映射入口和信息
Show frame-relay pvc 顯示關(guān)于幀中繼接口的永久虛電路(pvc)的統(tǒng)計信息 Show hosts 顯示主機名和地址的緩存列表
Show interfaces 顯示設(shè)置在路由器和訪問服務(wù)器上所有接口的統(tǒng)計信息 Show interfaces 顯示路由器上配置的所有接口的狀態(tài) Show interfaces serial 顯示關(guān)于一個串口的信息 Show ip interface 列出一個接口的IP信息和狀態(tài)的小結(jié) Show ip interface 列出接口的狀態(tài)和全局參數(shù)
Show ip protocols 顯示活動路由協(xié)議進程的參數(shù)和當(dāng)前狀態(tài) Show ip route 顯示路由選擇表的當(dāng)前狀態(tài) Show ip router 顯示IP路由表信息
Show ipx interface 顯示Cisco IOS軟件設(shè)置的IPX接口的狀態(tài)以及每個接口中的參數(shù) Show ipx route 顯示IPX路由選擇表的內(nèi)容 Show ipx servers 顯示IPX服務(wù)器列表 Show ipx traffic 顯示數(shù)據(jù)包的數(shù)量和類型
Show isdn active 顯示當(dāng)前呼叫的信息,包括被叫號碼、建立連接前所花費的時間、在呼叫期間使用的自動化操作控制(AOC)收費單元以及是否在呼叫期間和呼叫結(jié)束時提供AOC信息
Show isdn ststus 顯示所有isdn接口的狀態(tài)、或者一個特定的數(shù)字信號鏈路(DSL)的狀態(tài)或者一個特定isdn接口的狀態(tài)
Show memory 顯示路由器內(nèi)存的大小,包括空閑內(nèi)存的大小 Show processes 顯示路由器的進程 Show protocols 顯示設(shè)置的協(xié)議
Show protocols 顯示配置的協(xié)議。這條命令顯示任何配置了的第3層協(xié)議的狀態(tài) Show running-config 顯示RAM中的當(dāng)前配置信息
Show spantree 顯示關(guān)于虛擬局域網(wǎng)(VLAN)的生成樹信息
Show stacks 監(jiān)控和中斷程序?qū)Χ褩5氖褂?,并顯示系統(tǒng)上一次重啟的原因 Show startup-config 顯示NVRAM中的啟動配置文件 Show ststus 顯示ISDN線路和兩個B信道的當(dāng)前狀態(tài)
Show version 顯示系統(tǒng)硬件的配置,軟件的版本,配置文件的名稱和來源及引導(dǎo)映像 Shutdown 關(guān)閉一個接口 Telnet 開啟一個telect連接
Term ip 指定當(dāng)前會話的網(wǎng)絡(luò)掩碼的格式
Term ip netmask-format 規(guī)定了在show命令輸出中網(wǎng)絡(luò)掩碼顯示的格式 Timers basic 控制著IGRP以多少時間間隔發(fā)送更新信息 Trace 跟蹤IP路由
Username password 規(guī)定了在CHAP和PAP呼叫者身份驗證過程中使用的密碼 Verify 檢驗flash文件 Where 顯示活動連接
Which-route OSI路由表查找和顯示結(jié)果 Write 運行的配置信息寫入內(nèi)存,網(wǎng)絡(luò)或終端 Write erase 現(xiàn)在由copy startup-config命令替換 X3 在PAD上設(shè)置X.3參數(shù) Xremote 進入XRemote模式
第三篇:訪問列表3p原則總結(jié)
訪問控制列表(Access Control List,ACL)是路由器和交換機接口的指令列表,用來控制端口進出的數(shù)據(jù)包。ACL適用于所有的被路由協(xié)議,如IP、IPX、AppleTalk等。這張表中包含了匹配關(guān)系、條件和查詢語句,表只是一個框架結(jié)構(gòu),其目的是為了對某種訪問進行控制。ACL介紹
信息點間通信和內(nèi)外網(wǎng)絡(luò)的通信都是企業(yè)網(wǎng)絡(luò)中必不可少的業(yè)務(wù)需求,但是為了保證內(nèi)網(wǎng)的安全性,需要通過安全策略來保障非授權(quán)用戶只能訪問特定的網(wǎng)絡(luò)資源,從而達到對訪問進行控制的目的。簡而言之,ACL可以過濾網(wǎng)絡(luò)中的流量,是控制訪問的一種網(wǎng)絡(luò)技術(shù)手段。
ACL的定義也是基于每一種協(xié)議的。如果路由器接口配置成為支持三種協(xié)議(IP、AppleTalk以及IPX)的情況,那么,用戶必須定義三種ACL來分別控制這三種協(xié)議的數(shù)據(jù)包。ACL的作用
ACL可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能。例如,ACL可以根據(jù)數(shù)據(jù)包的協(xié)議,指定數(shù)據(jù)包的優(yōu)先級。
ACL提供對通信流量的控制手段。例如,ACL可以限定或簡化路由更新信息的長度,從而限制通過路由器某一網(wǎng)段的通信流量。
ACL是提供網(wǎng)絡(luò)安全訪問的基本手段。ACL允許主機A訪問人力資源網(wǎng)絡(luò),而拒絕主機B訪問。
ACL可以在路由器端口處決定哪種類型的通信流量被轉(zhuǎn)發(fā)或被阻塞。例如,用戶可以允許E-mail通信流量被路由,拒絕所有的Telnet通信流量。
例如:某部門要求只能使用 WWW 這個功能,就可以通過ACL實現(xiàn);又例如,為了某部門的保密性,不允許其訪問外網(wǎng),也不允許外網(wǎng)訪問它,就可以通過ACL實現(xiàn)。ACL 3p原則
記住 3P 原則,您便記住了在路由器上應(yīng)用 ACL 的一般規(guī)則。您可以為每種協(xié)議(per protocol)、每個方向(per direction)、每個接口(per interface)配置一個 ACL:
每種協(xié)議一個 ACL 要控制接口上的流量,必須為接口上啟用的每種協(xié)議定義相應(yīng)的 ACL。
每個方向一個 ACL 一個 ACL 只能控制接口上一個方向的流量。要控制入站流量和出站流量,必須分別定義兩個 ACL。
每個接口一個 ACL 一個 ACL 只能控制一個接口(例如快速以太網(wǎng) 0/0)上的流量。
ACL 的編寫可能相當(dāng)復(fù)雜而且極具挑戰(zhàn)性。每個接口上都可以針對多種協(xié)議和各個方向進行定義。示例中的路由器有兩個接口配置了 IP、AppleTalk 和 IPX。該路由器可能需要 12 個不同的 ACL — 協(xié)議數(shù)(3)乘以方向數(shù)(2),再乘以端口數(shù)(2)。ACL的執(zhí)行過程
一個端口執(zhí)行哪條ACL,這需要按照列表中的條件語句執(zhí)行順序來判斷。如果一個數(shù)據(jù)包的報頭跟表中某個條件判斷語句相匹配,那么后面的語句就將被忽略,不再進行檢查。
數(shù)據(jù)包只有在跟第一個判斷條件不匹配時,它才被交給ACL中的下一個條件判斷語句進行比較。如果匹配(假設(shè)為允許發(fā)送),則不管是第一條還是最后一條語句,數(shù)據(jù)都會立即發(fā)送到目的接口。如果所有的ACL判斷語句都檢測完畢,仍沒有匹配的語句出口,則該數(shù)據(jù)包將視為被拒絕而被丟棄。這里要注意,ACL不能對本路由器產(chǎn)生的數(shù)據(jù)包進行控制。ACL的分類
目前有兩種主要的ACL:標準ACL和擴展ACL。其他的還有標準MAC ACL、時間控制ACL、以太協(xié)議 ACL、IPv6 ACL等。
標準的ACL使用 1 ~ 99 以及1300~1999之間的數(shù)字作為表號,擴展的ACL使用 100 ~ 199以及2000~2699之間的數(shù)字作為表號。
標準ACL可以阻止來自某一網(wǎng)絡(luò)的所有通信流量,或者允許來自某一特定網(wǎng)絡(luò)的所有通信流量,或者拒絕某一協(xié)議簇(比如IP)的所有通信流量。
擴展ACL比標準ACL提供了更廣泛的控制范圍。例如,網(wǎng)絡(luò)管理員如果希望做到“允許外來的Web通信流量通過,拒絕外來的FTP和Telnet等通信流量”,那么,他可以使用擴展ACL來達到目的,標準ACL不能控制這么精確。
在標準與擴展訪問控制列表中均要使用表號,而在命名訪問控制列表中使用一個字母或數(shù)字組合的字符串來代替前面所使用的數(shù)字。使用命名訪問控制列表可以用來刪除某一條特定的控制條目,這樣可以讓我們在使用過程中方便地進行修改。在使用命名訪問控制列表時,要求路由器的IOS在11.2以上的版本,并且不能以同一名字命名多個ACL,不同類型的ACL也不能使用相同的名字。
隨著網(wǎng)絡(luò)的發(fā)展和用戶要求的變化,從IOS 12.0開始,思科(CISCO)路由器新增加了一種基于時間的訪問列表。通過它,可以根據(jù)一天中的不同時間,或者根據(jù)一星期中的不同日期,或二者相結(jié)合來控制網(wǎng)絡(luò)數(shù)據(jù)包的轉(zhuǎn)發(fā)。這種基于時間的訪問列表,就是在原來的標準訪問列表和擴展訪問列表中,加入有效的時間范圍來更合理有效地控制網(wǎng)絡(luò)。首先定義一個時間范圍,然后在原來的各種訪問列表的基礎(chǔ)上應(yīng)用它。
基于時間訪問列表的設(shè)計中,用time-range 命令來指定時間范圍的名稱,然后用absolute命令,或者一個或多個periodic命令來具體定義時間范圍。ACL 常見問題
1)“ACL 的最后一條語句都是隱式拒絕語句” 是什么意思?
每個 ACL 的末尾都會自動插入一條隱含的 deny 語句,雖然ACL中看不到這條語句,它仍起作用。隱含的 deny 語句會阻止所有流量,以防不受歡迎的流量意外進入網(wǎng)絡(luò)。
2)配置ACL后為什么沒有生效?
在創(chuàng)建訪問控制列表之后,必須將其應(yīng)用到某個接口才可開始生效。ACL 控制的對象是進出接口的流量。
第四篇:網(wǎng)絡(luò)層(IP層)知識總結(jié)
網(wǎng)絡(luò)層
1.網(wǎng)絡(luò)層提供的兩種服務(wù)
虛電路(VC):面向鏈接的,由網(wǎng)絡(luò)確保提供可靠的服務(wù)。借鑒與電信網(wǎng)絡(luò)。兩個計算機通信前先建立鏈接。
數(shù)據(jù)報服務(wù):網(wǎng)絡(luò)層向上只提供簡單靈活的,無連接的,盡最大努力交付數(shù)據(jù)報服務(wù)。網(wǎng)絡(luò)層不提供服務(wù)質(zhì)量承諾。
依據(jù):計算機比電話機智能,有很強的差錯處理能力。由于傳輸網(wǎng)絡(luò)不提供端到端的可靠服務(wù),因此路由器可以設(shè)計的簡單,價格低廉。
2.網(wǎng)際協(xié)議IP 網(wǎng)際協(xié)議IP是TCP/IP體系中最主要的協(xié)議之一。IP協(xié)議配套使用的有: ? 地址解析協(xié)議ARP(Address Resolution Protocol)? 逆地址解析協(xié)議RARP(Reverse Address Resolution Protocol)? 網(wǎng)際控制報文協(xié)議ICMP(Internet Control Message Protocol)? 網(wǎng)際組織管理協(xié)議IGMP(Internet Group Management Protocol)ICMP和IGMP使用IP協(xié)議 IP協(xié)議使用ARP和RARP協(xié)議
IP協(xié)議實現(xiàn)網(wǎng)絡(luò)互連,使參與互連的性能各異的網(wǎng)絡(luò)從用戶看起來好像是一個統(tǒng)一的網(wǎng)絡(luò)
3.什么是虛擬互聯(lián)網(wǎng)絡(luò)(邏輯互聯(lián)網(wǎng)絡(luò))互連起來的物理網(wǎng)絡(luò)的異構(gòu)性本來是客觀存在的,但利用IP協(xié)議可以使這些性能各異的網(wǎng)絡(luò)在網(wǎng)絡(luò)層看起來好像是一個統(tǒng)一的網(wǎng)絡(luò)。
網(wǎng)絡(luò)的異構(gòu)性:由于用戶需求不同,網(wǎng)絡(luò)技術(shù)發(fā)展,導(dǎo)致網(wǎng)絡(luò)體系中存在不同性能,不同網(wǎng)絡(luò)協(xié)議的網(wǎng)絡(luò)。(那么如何使這種存在差別的網(wǎng)絡(luò)連接到一起,感覺像是一種網(wǎng)絡(luò)沒有障礙的通信——>使用相同的網(wǎng)際協(xié)議IP,構(gòu)成一個虛擬互聯(lián)的網(wǎng)絡(luò)。比如我們通信的過程中,有段網(wǎng)絡(luò)使用了衛(wèi)星鏈路,有的使用了無限局域網(wǎng),但是IP協(xié)議可以使信息在這些網(wǎng)絡(luò)傳輸)。
用來連接異構(gòu)網(wǎng)絡(luò)的設(shè)備:路由器。
4.將網(wǎng)絡(luò)互連起來要使用一些中間設(shè)備,根據(jù)中間設(shè)備所在層次不同分為:
(1)物理層使用的中間設(shè)備轉(zhuǎn)發(fā)器(repeater)(2)數(shù)據(jù)鏈路層使用的中間設(shè)備網(wǎng)橋或橋接器(bridge)(3)網(wǎng)絡(luò)層使用的中間設(shè)備路由器(router)(4)網(wǎng)絡(luò)層以上使用的中間設(shè)備網(wǎng)關(guān)(gateway)
轉(zhuǎn)發(fā)器和網(wǎng)橋只是把網(wǎng)路擴大(因此,由轉(zhuǎn)發(fā)器和網(wǎng)橋連接起來的若干個局域網(wǎng)仍屬于一個網(wǎng)路,只能有一個網(wǎng)路號(主機號不同))路由器實現(xiàn)網(wǎng)絡(luò)互連(路由器的每一個接口都有不同的網(wǎng)絡(luò)號IP地址)5.IP地址和物理地址
物理地址:數(shù)據(jù)鏈路層和物理層使用的地址
IP地址:網(wǎng)絡(luò)層和以上各層使用的地址,是一種邏輯地址(因為IP使用軟件實現(xiàn)的)1.IP地址放在IP數(shù)據(jù)報首部,硬件地址則放在MAC幀首部
2.在局域網(wǎng)中,只能看見MAC幀。MAC幀在不同的網(wǎng)絡(luò)上傳送時,其MAC幀首部的源地址和目的地址是要發(fā)生變化的。
3.在IP層抽象的互聯(lián)網(wǎng)上只能看到IP數(shù)據(jù)報。4.IP地址有32位,局域網(wǎng)的硬件地址是48位
6.物理地址與IP地址的匹配<——>ARP與RARP(由物理地址怎樣找到對應(yīng)的IP地址/由IP地址怎樣找到對應(yīng)的物理地址)由于DHCP已經(jīng)包含RARP現(xiàn)在很少單獨使用RARP ARP:在主機ARP高速緩沖中存放一個由IP地址到硬件地址的映射表,并且這個表還動態(tài)更新(新增和超時刪除)。映射表中存放本局域網(wǎng)各主機和路由器IP地址到硬件地址的映射表。
同一局域網(wǎng)中,ARP解決IP地址到硬件地址映射問題:
當(dāng)主機A向本局域網(wǎng)內(nèi)某主機B發(fā)送IP報,先在自己的ARP高速緩沖中查看有無主機B的IP地址。如果有,根據(jù)IP地址找到對應(yīng)的硬件地址,將硬件地址寫入MAC幀中,然后把該MAC幀發(fā)往此硬件地址。
當(dāng)B剛?cè)刖W(wǎng),或A剛開機ARP高速緩沖中是空的,則A自動運行ARP,找出B的硬件地址。
1)ARP進程在本局域網(wǎng)廣播發(fā)送一個ARP請求分組,主要內(nèi)容是“我的IP地址是209.0.0.5,硬件地址是00-00-C0-15-AD-18,我想知道IP地址為209.0.0.6主機的硬件地址”。
2)本局域網(wǎng)所有主機都收到此分組,但是只有目的IP會寫入自己的硬件地址,以普通的單播ARP響應(yīng)分組響應(yīng)。同時,B也會把A的IP地址與硬件地址寫入自己的ARP高速緩沖中。
3)A收到后,將B的IP和硬件地址寫入ARP高速緩沖中。
不同局域網(wǎng)中,ARP解決IP地址到硬件地址映射問題:
A無法直接找到遠程主機B的硬件地址。A首先將A所在局域網(wǎng)的路由器IP解析為硬件地址,將IP數(shù)據(jù)報傳送到路由器。路由器從轉(zhuǎn)發(fā)表中找到下一跳路由,同時用ARP解析出下一跳路由的硬件地址…直至最后。ARP是解決同一個局域網(wǎng)上的主機或路由器的IP地址和硬件地址的映射問題。為什么這樣說?當(dāng)主機A要與另一個網(wǎng)絡(luò)主機B通信時,首先A是通過ARP找到路由器R1,這是一次ARP的使用,即在A和R1的局域網(wǎng)中使用,由R1找B或與B相連的路由器R2,是在R1和B或R1和R2的局域網(wǎng)中使用的ARP,這是又一次使用ARP,所以說ARP是解決同一個局域網(wǎng)上的IP地址和硬件地址的映射問題。
7.ARP高速緩沖每一個映射項目都設(shè)置了生存時間。超過生存時間的項目就刪除掉。B的網(wǎng)絡(luò)適配器(網(wǎng)卡)壞掉等都會造成B的硬件地址變化。8.既然在網(wǎng)絡(luò)鏈路上傳遞的幀最終是按照硬件地址找到目的主機的,那么為什么不直接使用硬件地址進行通信,而是使用抽象的IP地址并調(diào)用ARP來尋找相應(yīng)的硬件地址?(IP地址的意義)
因為全世界存在各種各樣的網(wǎng)絡(luò),使用不同的硬件地址。要使這些異構(gòu)的網(wǎng)絡(luò)能夠相互通信需要非常復(fù)雜的硬件地址轉(zhuǎn)換工作,這由用戶主機來完成幾乎是不可能的,有了統(tǒng)一的IP地址,通信就像連在一個網(wǎng)絡(luò)上,并且ARP工作過程是由軟件自動完成的。
9.網(wǎng)際控制報文協(xié)議ICMP
為了更有效地轉(zhuǎn)發(fā)IP數(shù)據(jù)報和提高交付成功機會,使用ICMP(Intetnet Control Message Protocol),ICMP不是高層協(xié)議,而是IP層協(xié)議。
ICMP分為兩種:ICMP差錯報告報文和 ICMP詢問報文
ICMP詢問報文請求報文的應(yīng)用ping應(yīng)用層直接使用網(wǎng)絡(luò)層ICMP的一個例子,沒有通過TCP或UDP ICMP差錯報告報文時間超時的應(yīng)用traceroute IP數(shù)據(jù)報中包含不可交付的UDP
10.路由選擇協(xié)議(核心:路由算法):使用何種方式獲得路由表中各項目
由算法能否隨網(wǎng)絡(luò)的通信量或拓撲自適應(yīng)進行調(diào)整分為
靜態(tài)路由選擇策略:非自適應(yīng)路由選擇,簡單,開銷小,不能適應(yīng)網(wǎng)絡(luò)變化,適合簡單小網(wǎng)絡(luò)
動態(tài)路由選擇策略:自適應(yīng)、復(fù)雜,開銷大,能適應(yīng)網(wǎng)絡(luò)變化
因特網(wǎng)采用的路由選擇協(xié)議:自適應(yīng)(動態(tài)的)、分布式路由選擇協(xié)議
11.自治系統(tǒng)(AS):單一技術(shù)管理下的一組路由器
即一個自治系統(tǒng)內(nèi)使用的是相同的路由選擇策略。由路由選擇協(xié)議是在自治系統(tǒng)內(nèi)使用還是系統(tǒng)外使用分為:內(nèi)部網(wǎng)關(guān)協(xié)議和外部網(wǎng)關(guān)協(xié)議。(由歷史原因稱為網(wǎng)關(guān)協(xié)議其實是路由器協(xié)議)
內(nèi)部網(wǎng)關(guān)協(xié)議(IGP):RIP和OSPF(力求最佳路由)
外部網(wǎng)關(guān)協(xié)議(EGP):BGP-4(力求較好路由,不兜圈)
12.路由信息協(xié)議RIP(Routing Information Protocol)RIP協(xié)議讓一個自治系統(tǒng)內(nèi)所有路由器(交換信息時只和相鄰路由器交換)都和自己相鄰的路由器定期交換信息,并不斷更新其路由表,使得每一個路由器到每一個目的網(wǎng)絡(luò)的路由器都是最短的。
基于距離向量路由選擇協(xié)議最大特點簡單 缺點:限制網(wǎng)絡(luò)規(guī)模,最大距離為15 每次交換完整路由表,隨網(wǎng)絡(luò)擴大,開銷增大
“壞消息傳的慢”
跳數(shù):即到目的網(wǎng)絡(luò)的距離(與路由器直接相連的網(wǎng)絡(luò)距離為1,RIP允許一條路徑最多包含15個路由器,因此跳數(shù)為16表示不可達)
RIP協(xié)議特點(與哪些路由器交換信息,交換什么信息,什么時候交換)
1)僅與相鄰路由器交換信息
2)交換信息為當(dāng)前本路由器所知道的全部信息。包括,我到本自治系統(tǒng)所有網(wǎng)絡(luò)的距離,到每個網(wǎng)絡(luò)的下一跳路由(只知道下一跳路由,不知道整個網(wǎng)絡(luò)拓撲結(jié)構(gòu))3)按固定時間交換:30秒
距離向量算法:
首先,對每一個相鄰路由器發(fā)送RIP報文(使用了UDP,即RIP報文+UDP首部+IP首部構(gòu)成IP數(shù)據(jù)報),報文包括“目的網(wǎng)絡(luò)N,距離d,下一跳路由是R”
然后,接受到的路由器進行分析: 1)對地址為X的路由器發(fā)來的報文,先將所有報文的下一跳路由改為X,并將所有距離+1。(對于本網(wǎng)絡(luò)來說,如果準備按X發(fā)來的報文項目通信目的網(wǎng)絡(luò),則須經(jīng)過X,即下一跳路由為X,而與目的網(wǎng)絡(luò)的距離為X到目的網(wǎng)絡(luò)的距離+1)。2)對修改后的報文,與自己原路由表對比:
a.原路由表中,沒有此目的網(wǎng)絡(luò)N,直接添加
b.原路由表有目的網(wǎng)絡(luò)N,比較下一跳路由地址,若原來下一跳路由地址也是X,直接更新(網(wǎng)絡(luò)狀態(tài)可能發(fā)生變化,因此以此次新信息為準)c.若下一跳地址不是X,則比較距離d,以小的為準 d.否則什么也不做
3)若3分鐘沒有收到相鄰路由器的更新路由表,則把此相鄰路由器距離標為16(不可達)4)返回
一個RIP報文最多包括25個路由,RIP報文最大長度4(首部)+25*20(一個路由器信息20字節(jié))= 504字節(jié)
13.開放最短路徑優(yōu)先OSPF(Open Shortest Path First)最主要特征:使用分布式鏈路狀態(tài)協(xié)議
OSPF協(xié)議特點(與RIP比較)1)向本自治系統(tǒng)所有路由器發(fā)送信息,但是使用洪泛法發(fā)送,路由器向所有相鄰的路由器發(fā)送信息,而每一個相鄰路由器也會把此信息發(fā)送給其相鄰的路由器(不發(fā)給剛剛發(fā)來信息的路由器),這樣,整個系統(tǒng)都能收到。(RIP只給相鄰發(fā)送)2)發(fā)送信息:相鄰所有路由器鏈路狀態(tài)。包括本路由器和哪些路由器相鄰,以及該鏈路的“度量”(費用,距離,時延,帶寬),可以知道整個網(wǎng)絡(luò)拓撲。(RIP只發(fā)送到所有網(wǎng)絡(luò)距離和下一跳路由)
3)只有鏈路狀態(tài)發(fā)生變化,才以洪泛法再次發(fā)送信息。(RIP定期)
OSPF將自治系統(tǒng)劃分為更小范圍,區(qū)域。OSPF只在自己區(qū)域交換信息,而不再是整個自治系統(tǒng)。減少整個網(wǎng)絡(luò)上通信量,此時只知道本區(qū)域網(wǎng)絡(luò)拓撲。
OSPF報文直接使用IP數(shù)據(jù)報(OSPF+IP首部)
OSPF五種分組類型
1)類型1,問候分組,確定鄰站可達性(10秒交換一次)2)類型2,數(shù)據(jù)庫描述分組,向鄰站發(fā)送自己的鏈路狀態(tài)數(shù)據(jù)庫摘要信息 3)類型3,鏈路狀態(tài)請求分組,向?qū)Ψ秸埱蟀l(fā)送某些鏈路狀態(tài)詳細信息 4)類型4,鏈路狀態(tài)更新分組,用洪泛法全網(wǎng)更新鏈路狀態(tài)協(xié)議核心部分 5)類型5,鏈路狀態(tài)確認,對更新的確認
14.外部網(wǎng)關(guān)協(xié)議——BGP(邊界網(wǎng)管協(xié)議)BGP是不同AS的路由器之間交換路由信息的協(xié)議
不同的AS為什么不能使用內(nèi)部網(wǎng)關(guān)協(xié)議:
1)英特網(wǎng)規(guī)模太大,使得AS之間路由選擇非常困難。主干網(wǎng)已超過5萬路由前綴,使用鏈路狀態(tài)數(shù)據(jù)庫(OSPF方法),用Dijkstra計算花費時間也很長。不同的AS中,度量的量度也不一樣,不能通用。
2)AS之間的路由選擇協(xié)議必須考慮相關(guān)策略。不同的網(wǎng)絡(luò)性能差距較大,根據(jù)最短路徑找出的路徑,可能并不是最快的(在同一個AS中,網(wǎng)絡(luò)相差不大,最短路徑基本實現(xiàn)最快速度)。并且AS間路由選擇也應(yīng)考慮到政治,安全和經(jīng)濟,允許使用多種路由選擇策略,如我國國內(nèi)傳送數(shù)據(jù),盡量不要經(jīng)過其他國家,尤其是可能造成威脅的國家。
BGP只是力求尋找一條能夠到達目的網(wǎng)絡(luò)比較好的路由,而非一條最佳采用路徑向量路由選擇協(xié)議
BGP發(fā)言人:每一個AS至少選擇一個作為本AS的BGP Speaker,一般是邊界路由器,該路由器代表整個AS與其他AS交換信息。一個BGP Speaker與其他AS的BGP Speaker交換路由信息,首先建立TCP連接(端口號179),然后交換報文建立會話,使用TCP為了提供可靠的服務(wù)。相鄰的兩個Speaker成為鄰站會對等站。
每一個Speaker除了運行BGP,還要運行RIP或OSPF
BGP的路由表(與RIP相似)包含
目的網(wǎng)絡(luò)前綴下一跳路由到達目的網(wǎng)絡(luò)所要經(jīng)過AS序列(RIP是跳數(shù))BGP在路由反生變化時更新路由表有變化的部分 BGP4種報文(TCP報文)1)OPEN(打開)報文,與鄰站建立關(guān)系,通信初始化
2)UPDATE(更新)報文,通告某一路由的信息,更新路由信息核心內(nèi)容
每個報文只能宣布增加1個新路由,但可以宣布撤銷多個。
3)KEEPALIVE(?;?報文,周期性保持與鄰站的連同 4)NOTIFICATION(通知)報文,發(fā)送檢測差錯
兩個鄰站屬于不同AS,交換信息前先建立鏈接(某個路由器可能因為負荷過高而不愿通信),先發(fā)送OPEN,建立連接,發(fā)送KEEPALIVE(30秒一個,防止開銷過大,只用BGP的首部19字節(jié)),保持連接,在用UPDATE更新信息。
15.路由器的結(jié)構(gòu)
路由器:一種具有多個輸入端口和多個輸出端口的專用計算機,其任務(wù)就是轉(zhuǎn)發(fā)分組(轉(zhuǎn)發(fā)分組正是網(wǎng)絡(luò)層的主要工作)
路由器結(jié)構(gòu)可劃分兩大部分:路由選擇+
分組轉(zhuǎn)發(fā)
路由選擇:控制部分,核心部件為路由選擇處理機任務(wù)是根據(jù)所選定的路由選擇協(xié)議構(gòu)造出路由表,并不斷維護路由表。
分組轉(zhuǎn)發(fā):三部分交換結(jié)構(gòu)、一組輸入端口和一組輸出端口(此處為硬件端口,與運輸層端口不同)
交換結(jié)構(gòu)的作用就是根據(jù)轉(zhuǎn)發(fā)表對分組進行處理,將某個輸入端進入的分組從一個合適的端口轉(zhuǎn)發(fā)出去,交換結(jié)構(gòu)本身就是一種網(wǎng)絡(luò)。
交換的方式:通過存儲器、通過總線、通過互聯(lián)網(wǎng)絡(luò)
16.IP多播
單播(一對一)
多播(也稱組播,實現(xiàn)一對多,但是是對選擇好的多個用戶播送)
廣播(一對多,無法選擇特定用戶,對所有用戶都播送,DHCP獲取IP使用了廣播,ARP尋找目的主機硬件地址也使用了廣播)
多播可以節(jié)約網(wǎng)絡(luò)資源,能夠運行多播協(xié)議的路由器稱為多播路由器 多播組的標識符就是IP地址中的D類地址(與廣播的差異)。前四位1110 D類地址的范圍
224.0.0.0——239.255.255.255,共可標識228個多播組 多播數(shù)據(jù)報與一般數(shù)據(jù)報的區(qū)別使用D類地址作為目的地址,并且首部協(xié)議字段值為2,表明使用IGMP協(xié)議(多播地址只用用于目的地址,不能用于源地址,對多播不產(chǎn)生ICMP差錯報文,PING多播地址,不會受到響應(yīng))
17.IP多播的種類
a)只在本局域網(wǎng)上進行硬件多播,b)在因特網(wǎng)范圍內(nèi)進行多播
在硬件多播中,以太網(wǎng)多播地址范圍01-00-5E-00-00-00到01-00-5E-7F-FF-FF只由低23位用于多播,與IPD類地址低23位對映,因此多播IP地址與以太網(wǎng)硬件地址的映射不是唯一的。當(dāng)主機收到多播數(shù)據(jù),還要在IP層利用軟件進行過濾,把不是本機接受的數(shù)據(jù)丟棄。
IP多播需要兩種協(xié)議:IGMP(網(wǎng)際組管理協(xié)議)和多播路由選擇協(xié)議
IGMP是讓連接在本地局域網(wǎng)上的多播路由器知道本局域網(wǎng)上是否有主機參加或退出可某個多播組。IGMP使用IP數(shù)據(jù)報傳送報文。
IGMP工作階段:
1)有主機新加入多播組,向多播組地址發(fā)送IGMP報文。
2)本地多播路由器周期性檢測本地局域網(wǎng)是否有主機處于多播組。多播數(shù)據(jù)報的發(fā)送者和接受者都不知道一個多播組有多少成員
只有IGMP協(xié)議,無法把多播數(shù)據(jù)報以最小代價傳送給組成員,此時需要多播路由選擇協(xié)議。
多播路由選擇協(xié)議的特點:
1)多播轉(zhuǎn)發(fā)必須動態(tài)適應(yīng)組成員變化。只要有成員增加或退出及應(yīng)更新,而普通的單播路由選擇協(xié)議只在網(wǎng)絡(luò)拓撲發(fā)生變化時才更新。2)多播路由轉(zhuǎn)發(fā)協(xié)議轉(zhuǎn)發(fā)數(shù)據(jù)報不僅僅要考慮目的地址。3)多播數(shù)據(jù)報的發(fā)送者可以使組成員,也可以不是。多播路由選擇協(xié)議轉(zhuǎn)發(fā)數(shù)據(jù)報使用的方法
1)洪泛法與減除(最小生成樹,最短路徑),適于較小多播組
2)隧道技術(shù),對于多播組位置地理上分散情況使用,遠距離傳送在數(shù)據(jù)報外 再加普通數(shù)據(jù)報首部單播。
3)核心發(fā)現(xiàn)技術(shù)。多播組在較大的范圍內(nèi)變化也適用。
18.19.VPN(虛擬專用網(wǎng))與NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)由于IP地址短缺,一個機構(gòu)能申請到的IP地址小于本機構(gòu)主機數(shù),而且也不是所有主機都需連如因特網(wǎng)。但是這些主機還需要內(nèi)部通信,從原則上講,內(nèi)部通信的主機可以由本機構(gòu)自行分配IP地址(本地地址),但如果自行分配的地址與因特網(wǎng)上實際分配的有沖突,出現(xiàn)地址二義性問題。
因此,可以指明一些專用地址,這些地址只能機構(gòu)內(nèi)部通信,因特網(wǎng)上所有路由器,對目的地址是專用地址的數(shù)據(jù)報不轉(zhuǎn)發(fā)。
全世界有很多專用互聯(lián)網(wǎng)絡(luò)具有相同IP地址,但這些地址只在本地內(nèi)部使用,不會引起麻煩,專用IP地址也叫可重用地址。
對于很大的機構(gòu)相距比較遠,可以利用公用的因特網(wǎng)作為本機構(gòu)專用網(wǎng)之間的通信載體,這樣的專用網(wǎng)成為虛擬專用網(wǎng)VPN(相比但購買一條通信線路作為專用簡單,節(jié)?。?/p>
VPN不同網(wǎng)點之間通過互聯(lián)網(wǎng)通信,所以對這些數(shù)據(jù)加密,需要專門軟硬件。VPN通信:每個網(wǎng)點至少有一個路由器有合法IP地址,這樣一個內(nèi)部主機向另一個主機通信時,開始使用專用地址,到達這個路由器時轉(zhuǎn)換為合法到的IP(將原數(shù)據(jù)報加密,變?yōu)閮?nèi)部數(shù)據(jù)報,在外面再加一層數(shù)據(jù)報首部),到達另一個網(wǎng)點,由其路由器將合法IP轉(zhuǎn)換為這個網(wǎng)點的本地IP。
NAT:解決VPN上多個主機想同時訪問互聯(lián)網(wǎng)。
在專用網(wǎng)鏈接因特網(wǎng)的路由器上安裝NAT軟件,這樣的路由器叫做NAT路由器。一個NAT路由器至少有1個合法IP地址。這樣有n個合法地址的NAT路由器即可滿足n個主機同時訪問互聯(lián)網(wǎng)(轉(zhuǎn)換地址)。
NAPT,將IP地址與端口號一起轉(zhuǎn)換,這樣當(dāng)本地地址中通信具有兩個相同端口號時,可以轉(zhuǎn)換為同一個合法的IP,但是端口號不同。這樣兩個主機可以使用同一個合法的IP
20.IP數(shù)據(jù)報格式
1)版本(4位):目前是v4,以后可能IPv6
2)首部長度(4位):可表示十進制15,但是這個字段單位是32位(4字節(jié)),即當(dāng)首部長度為15時,表示此首部長度為15*4字節(jié)最常用的首部20字節(jié)(0101)。數(shù)據(jù)部分總是從4字節(jié)整數(shù)倍開始。固定首部最大值是希望用戶節(jié)省開銷,缺點,容易不夠用。
3)區(qū)分服務(wù)(8位):一般不使用
4)總長度(16位):字段單位字節(jié),即數(shù)據(jù)報最大長度為216-1=65535字節(jié)。
由于數(shù)據(jù)鏈路層都有自己的最大傳輸單元MTU,所以IP數(shù)據(jù)報封裝鏈路層幀時,數(shù)據(jù)報最大長度不能超過MTU。一般IP數(shù)據(jù)報長度不長于1500字節(jié),但為了效率,所有主機和路由器處理的IP報不小于576(512+60?)字節(jié)。當(dāng)IP報長度超過MTU,就需要分片,這時首部總長度字段指的是分片后總長度。
5)標識(16位):每產(chǎn)生一個IP報,標識加1。為了分片后區(qū)分到底哪幾個片在以后組裝時成為一個。(IP報是無連接的,接收也不存在順序,所以此標識不是為了標識接受順序)
6)標志(3位):只有兩個有意義
MF: =1表示此分片后還有分片,=0表示此分片后無分片 DF:此報不能分片。DF=0允許分片
7)片偏移(13位):分片后,此片相對原片位移。此字段單位8字節(jié),所以片偏移以8字節(jié)為單位。也就是說每個分片一定是8字節(jié)整數(shù)倍。
8)生存時間(8位):TTL,9)協(xié)議(8位):使目的主機知道此報上交給誰
10)首部檢驗和(16位):
11)源地址(32位)
12)目的地址(32位)
21.關(guān)于IP首部檢驗和
IP/ICMP/IGMP/TCP/UDP 等協(xié)議檢驗和算法一樣,但IP只檢驗首部,TCP/UDP會檢驗首部+數(shù)據(jù)。
檢驗方式:二進制反碼求和(若最高位產(chǎn)生進位,則進位和結(jié)果相加)此處以UDP首部檢驗和為例(考慮數(shù)據(jù)部分)
16~1列每列1的個數(shù) 2 4 1 3 5 4 4 5 0 4 2 4 7 7 7 9 1)首先是第1列9個1相加得1001(9),低位1保留,其余三位分別向上進位,即0向第二列進位,0向第3列進位,1向第4列進位。
2)然后是第2列7個1和第1列進位的0相加,為7(0111),同理低位1保留,其余三位向上進位。
3)第3列7個1和第1列進位0,第2列進位1相加得8(1000),低位0保留,高位進位 ……
4)最后第15列結(jié)果為0110,16列結(jié)果為0011,兩個進位1的和(10)會與結(jié)果相加 5)計算結(jié)果為10010110 11101011與15、16列進位和10相加結(jié)果為10010110 11101101 然后求反碼。
22.23.