新路由交换技术与应用项目化教程 教学课件 孙秀英 ACL原理及配置

7
ACL具体的执行流程： 数据包只有在跟第一个判断条件不匹配时，它才被交给 ACL中的下一个条件判断语句进行比较。如果匹配(假设为允许 发送)，则不管是第一条还是最后一条语句，数据都会立即发 送到目的接口。如果所有的ACL判断语句都检测完毕，仍没有 匹配的语句出口，则该数据包将视为被拒绝而被丢弃。 作为一个通用的数据流量的判别标准，ACL还可以和其他 技术配合，应用在不同的场合：如防火墙、QOS与队列技术、 策略路由、数据速率限制、路由策略、NAT等。
访问控制列表(Access Control List，ACL)是路由器和交 换机接口的指令列表，用来控制端口进出的数据包。ACL适用 于所有的被路由协议，如IP、IPX、AppleTalk等。这张表中包 含了匹配关系、条件和查询语句，表只是一个框架结构，其目 的是为了对某种访问实现控制。
4
信息点间通信、内外网络的通信都是企业网络中பைடு நூலகம்不可少 的业务需求。但是为了保证内网的安全性，需要通过安全策略 来保障非授权用户只能访问特定的网络资源，从而达到对访问 进行控制的目的。也就是说，ACL可以实现过滤网络中的流量， 控制访问。
标准ACL和扩展ACL的比较如表28-1所示。
25 表28-1 标准ACL和扩展ACL的比较
标准 ACL 基于源地址过滤 允许/拒绝整个 TCP/IP 协议族 范围从 1 到 99
扩展 ACL 基于源、目的地址过滤 指定特定的 IP 协议和协议号
范围从 100 到 199
26
28.7 ACL协议的规则
15
28.6 ACL的工作原理
28.6.1 ACL的工作流程 下面以应用在外出接口方向(Outbound)的ACL为例说明ACL
的工作流程(参见图28-2)：

(2) 将用于升级的后台主机与交换机的管理以太口的IP 地址设置在同一网段。
28
(3) 启动后台FTP服务器。 (4) 重启动ZXR10 3900/3200，在超级终端下根据提示按 任意键进入Boot状态。显示 如下： ZXR10 System Boot Version: 1.0 Creation date: Dec 31 2002, 14:01:52 (省略) Press any key to stop for change parameters...
8
(8) 修改指定文件或目录的名称： rename <source-filename> <destination-filename> 下面通过实例操作来说明文件操作命令的使用。
9
(1) 查看FLASH中当前文件信息： (2) 在FLASH中创建目录ABC，然后将其删除：
10
8.2 FTP/TFTP配置
33
(6) 如果正常启动，用show version命令查看新的版本 是否已在内存中运行，若仍为旧版本，说明从后台服务器设 置错误，检查后台版本文件以及FTP服务器设置，然后从步骤 (1)开始重新进行操作。
(7) 用delete命令将FLASH中IMG目录下旧的版本文件 zxr10.zar删除。如果FLASH的空间足够，也可以不用删除旧 版本，将其改名即可。
(1) 在后台主机运行wftpd软件，出现如图8-1所示界面。
12 图8-1 WFTPD界面
13
(2) 点击菜单项[Security]，选择[User/Rights…]，在 弹出的对话框中进行以下操作：
① 点击<New User…>按钮，新建一个用户，如target， 并设置密码；

《路由交换技术及应用（第3版）》HCNP拓展教学资料-教案（7）一、课前回顾1、IGMP原理5.3 PIM-DM 协议原理组播组管理协议IGMP（Internet Group Management Protocol）在接收者主机和组播路由器之间运行。

路由器之间则需要运行组播路由协议。

组播路由器之间运行组播路由协议，组播路由协议用于建立和维护组播路由，并正确、高效地转发组播数据包。

组播路由形成了一个从数据源到多个接收端的单向无环数据传输路径，即组播分发树。

组播路由协议分为域内组播路由和域间组播路由协议。

PIM（Protocol Independent Multicast）是典型的域内组播路由协议，分为DM（Dense Mode）和SM（Sparse Mode）两种模型。

PIM（Protocol Independent Multicast）称为协议无关组播，即给IP组播提供路由信息的可以是静态路由、RIP、OSPF、IS-IS、BGP等任何一种单播路由协议。

组播路由和单播路由协议无关，只要通过单播路由协议能够产生相应组播路由表项即可。

PIM-DM（Protocol Independent Multicast Dense Mode）称为协议独立组播－密集模式，属于密集模式的组播路由协议，适用于小型网络。

在这种网络环境下，组播组的成员相对比较密集。

PIM-DM假设网络中的每个子网都存在至少一个对组播源感兴趣的接收站点，因此组播数据包被扩散到网络中的所有点，与此伴随着相关资源（带宽和路由器的CPU等）的消耗。

为了减少网络资源的消耗，密集模式组播路由协议对没有组播数据转发的分支进行Prune操作，只保留包含接收者的分支。

被剪掉的分支如果有组播数据转发需求也可以重新接收组播数据流。

PIM-DM使用Graft嫁接机制主动恢复组播报文的转发。

周期性的扩散和剪枝现象是密集模式协议的特征。

DM模式下数据包的转发路径是一颗“有源树”。

详细描述
动态交换通过使用诸如RIP、OSPF等动态路由协议，能够自动发现网络拓扑并更新路由表。这种方式的优点是灵 活性高，能够快速适应网络变化，提高网络的可靠性和可用性。然而，动态交换需要更多的资源投入，包括路由 器和网络带宽，同时对网络管理员的技术要求也较高。
虚拟局域网交换
总结词
虚拟局域网交换允许多个独立的局域网在同一物理网络上运行，通过逻辑隔离提高安全 性。
详细描述
RIP协议使用Bellman-Ford算法来计算到达目的地的最短路径，通过周期性地 发送路由更新报文来维护路由信息。RIP协议适用于较小的网络环境，但在大型 网络中可能会导致路由循环和收敛缓慢。
OSPF协议
总结词
一种基于链路状态的路由协议，适用于大型网络。
详细描述
OSPF协议使用Dijkstra算法来计算最短路径，通过定期发送链路状态更新报文来 维护路由信息。OSPF协议能够快速收敛，适用于大型网络环境，但配置相对复 杂。
码、路由表、NAT等。
交换机
交换机概述
交换机是一种网络设备，用于连接多 个终端设备，实现数据交换。
交换机功能
交换机的主要功能包括数据包的交换 、过滤、广播风暴抑制等。
交换机分类
根据不同的分类标准，交换机可以分 为不同类型，如接入交换机、汇聚交 换机、核心交换机等。
交换机配置
交换机的配置涉及一系列参数和命令 ，包括VLAN、STP、QoS等。
解决方案探讨
讨论可行的路由交换解决方案，如 SDN、NFV等。
THANKS
感谢观看
交换配置
01
02
03
04
VLAN配置
将交换机上的端口划分到不同 的虚拟局域网，实现广播域的

实验室
13
阶段测试
2
测试
习题课
练习题
多媒体教室
9
14
4.1 BGP概述
2
引导启发法、讲授法
理论课
多媒体课件
多媒体教室
2
15
4.2 BGP报文与数据库
2
引导启发法、讲授法
理论课
多媒体课件
多媒体教室
2
实验六BGP的邻居配置
2
演示、分组练习
实验课
实验指导书
实验室
实验报告
10
16
4.3 BGP原理
2
引导启发法、讲授法
实验课
实验指导书
实验室
实验报告
理论课
多媒体课件
多媒体教室
2
17
实验七BGP的路由配置
2
演示、分组练习
实验课
实验指导书
实验室
实验报告
实验八BGP的路由传递
2
演示、分组练习
实验课
实验指导书
实验室
实验报告
11
19
4.4BGP路径属性
4.5BGP路由汇总
2
引导启发法、讲授法
理论课
多媒体课件
多媒体教室
2
20
实验七BGP路由汇总
2
演示、分组练习
理论课
多媒体课件
多媒体教室
2
2
2
实验一VLAN的配置
2
演示、分组练习
实验课
实验指导书
实验室
实验报告
3
2.1 STP~2.2 RSTP
2
引导启发、复习回顾法
理论课
多媒体课件
多媒体教室

1 第23章 HDLC协议的数据配置
23.1 HDLC协议配置的基本步骤(命令) 23.2 HDLC协议配置实例 小结
2
主要内容： HDLC协议配置的基本步骤(命令) HDLC协议配置实例
3
23.1 HDLC协议配置的基本步骤(命令)
HDLC协议配置的基本步骤(命令)如下： (1) 选择要配置的接口并进入接口配置模式： interface <interface-name> (2) 为接口配置帧中继封装： encapsulation hdlc (3) 在接口配置模式下，配置接口的IP地址： ip address <ip-addr> <net-mask> [<broadcast-addr>] [secondary]

7
小结
本章主要讲述了： (1) HDLC协议配置的基本步骤； (2) HDLC在实际的广域网中的应用(配置实例)。
8
每一种知识都需要努力， 都需要付出，感谢支持！
9
知识就是力量，感谢支持 ！
10
----谢谢大家！！
4 23.2 HDLC协议配置实例 如图23-1所示，GAR1和GAR2通过E1接口相连，封装HDLC。
5 图23-1 HDLC协议的配置实例
6
GAR1的配置(GAR2的配置和GAR1的配置相同)： ZXR10_R1(config)# interface ce1_1/1.1 ZXR10_R1(config-if)# encapsulation hdlc ZXR10_R1(config-if)#ip address 192.168.1.1 255.255.255.0

② 转发/ 过滤决定：当在某个接口上收到帧时，交换机就查看其目的硬件地址 ，并在MAC数据库中找到其外出的接口。帧只被转发到指定的目的端口。
③ 避免环路：如果为了提供冗余而在交换机之间创建了多个连接，网络中就 可能产生环路。在提供冗余的同时，可使用生成树协议(Spanning Tree Protocol，STP)来防止产生网络环路。
6.1.2 转发/过滤决定
• 当帧到达交换机接口时，交换机就将其目的地址与转发/过滤MAC数据库中的地址 进行比较。如果目的硬件地址是已知的且已列在数据库中，帧就只被发送到正确 的外出接口。交换机不会将帧送往除了目的地接口之外的任何其他接口，这样就 保留了在其他网段上的带宽，这种方式称为帧过滤。
• 如果目的硬件地址没有被列在MAC数据库中，帧就被广播到除了发送帧的接口之外 的所有其他活动的接口。如果某台设备响应了此广播，MAC数据库就会用此设备的 接口地址(位置)进行更新。
18
6.2.3 生成树端口状态
阻塞(Blocking):被阻塞的端口将不能转发帧，它只监听BPDU。设置阻塞状态的意图是防 止使用有环路的路径。当交换机加电时，默认情况下所有的端口都处于阻塞状态。 侦听( L i s t e n i n g ) : 端口都侦听BPDU，以确信在传送数据帧之前，在网络上没有环路产生。 处在侦听状态的端口，在没有形成MAC地址表时，就准备转发数据帧。 学习(Learning):交换机端口侦听BPDU，并学习交换式网络中的所有路径。处在学习状态 的端口形成了MAC地址表，但不能转发数据帧。转发延迟意味着将端口从侦听状态转换 到学习状态所花费的时间，默认时设置为15秒，可以用命令show spanning-tree显示出来。 转发(Forwarding):在桥接的端口上，处在转发状态的端口发送并接收所有的数据帧。如 果在学习状态结束时，端口仍然是指定端口或根端口，它就进入转发状态。 禁用(Disabled):从管理上讲，处于禁用状态的端口不能参与帧的转发或形成STP。处于禁 用状态下，端口实质上是不工作的。

13
5. LC接口 类似于SC型连接器，LC型连接器是一种插入式光纤连接 器，采用操作方便的模块化插孔(RJ)闩锁机理制成。LC型连 接器与SC型连接器一样，都是全双工连接器。
14
6. MT-RJ接口 MT-RJ型是一种更新型号的连接器，其外壳和锁定机制类 似于RJ型风格，而体积大小类似于LC型，标准大小的MT-RJ型 可以同时连接两条光纤，有效密度增加了1倍。 MT-RJ小型光纤连接器采用双工设计，体积只有传统SC或 ST连接器的一半，因而可以安装到普通的信息面板，使光纤 到桌面轻易成为现实。光纤连接器采用插拔式设计，易于使 用，甚至比RJ45插头都小。
的计算机、打印机或其他设备等的集合，其地理范围和站点 数目均有限，通信线路要专门敷设。局域网一般采用数据信 号的基带传输方式，结构简单、误码率低、数据传输速率高、 时延小，能进行广播或多播。
4
4.1.2 局域网的分类 根据不同的分类标准，局域网可按5种情况划分。 1. 按拓扑结构分类 按拓扑结构分类，可以将局域网分为总线型局域网、环
21
与基于帧体系结构的FR相比，异步传输模式 (Asynchronous Transfer Mode，ATM)是基于信元的体系结构， 有固定的53 B长度。它能提供更高带宽的低延迟和低抖动的 永久共享式网络技术的需求，能够在私有和公共网络上传输 语音、视频和数据。
22
数字用户环路(DSL)是一种充分利用现有的铜线(电话用 户线)资源，采用各种高速调制和编码的接入技术，实现最终 用户的宽带接入。现在可以运用的DSL技术有HDSL、SDSL、 ADSL、VDSL等几种。DSL的优点是：它利用现有的市内电话网 和电话交换局的机房，可以降低施工和维护成本，并且对电 话业务没有影响。由于它基于现有的电话线，因此对于电话 公司来说是一种比较合适的方案，可以充分挖掘现有网络的 潜力。DSL的缺点是对线路的质量要求较高。

17
(3) 网络层协议配置阶段。在LCP完成链路质量检测后， 网络层协议通过适当的NCP协议进行单独的配置，而且可以在 任何时候被激活和关闭。如果LCP关闭了链路，它会通知网络 层协议采取相应的操作。
(4) 关闭链路。LCP可以在任何时刻关闭链路，但多数关 闭是因用户的要求或者发生物理故障所致，如载波丢失或是 空闲时间超长。
4 图26-1 PPP协议简介
5
PPP协议的特点可以概括为：物理层可以是同步方式或异 步方式，支持各种NCP协议，如IPCP，IPXCP；具有验证功能， 通过PAP或CHAP方式验证，保证了网络的安全性。
6
26.2 PPP协议的组成
点对点协议(PPP)提供在点对点链路上传输多种网络层协 议数据的功能。
LCP帧有三种，其中链路建立帧用来建立和配置链路，链 路终止帧用来终止链路，而链路维护帧用来管理和维护链路。 这三种帧可以完成LCP各阶段的工作。
18
26.5 PPP的认证
PPP的认证包括两种方式：口令认证协议(PAP)和挑战握 手认证协议(CHAP)。
1. 口令认证协议(PAP) PAP是最简单的，安全性最低的一种鉴别方法。它是一个 两次握手协议，就是说，为了完成协商，每个对等体都需要 和对方交换一个包，让对方来认证自己(认为自己是合法用 户)。
13 26.4 PPP协商流程 PPP协商流程如图26-4所示。
14 图26-4 PPP协商流程
15
LCP是为建立链路连接而进行的一系列参数协商。其核心 是一个状态机的状态迁移过程——通过状态从“初始”状态 迁移到“打开”状态，为网络层提供数据传输通道。
链路控制协议(LCP)的作用就是在两个PPP对等实体之间 建立、维持和终止点对点数据链路。为了使PPP协议能够适用 于各种环境，LCP为两个PPP对等实体提供了协商参数的功能。 这些可用于协商的参数包括最大帧长度、PPP帧结构、用于检 测链路回路的模式和是否进行口令认证等。同时，LCP还提供 了对链路质量进行检测、链路可达性检测等功能。LCP的过程 按以下四个阶段进行：

学期授课计划表
（/学年第学期）
课程名称（全称）路由交换技术与应用（下）计划学时60
授课班级任课教师
教学大纲制定部门
计算机与通信工程学院
教材全称
（编者、出版单位、出版时间）
《路由交换技术及应用第（3）版》
孙秀英人民邮电出为数据通信工程师培训教程
本学期教学周数
4
本课程周学时数
2
引导启发法、讲授法
理论课
多媒体课件
多媒体教室
2
15
实验五：RIP协议的配置
2
演示、分组练习
实验课
实验指导书
实验室
实验报告
9
16
实验六：RIPv2路由汇总
2
演示、分组练习
实验课
实验指导书
实验室
实验报告
17
11.1 OSPF概述
11.2 OSPF协议工作过程
2
引导启发法、讲授法
理论课
多媒体课件
多媒体教室
2
10
18
11. 3 OSPF报文11.4 OSPF网络类型11.5 OSPF区域11.6路由引入
2
引导启发法、讲授法
理论课
多媒体课件
多媒体教室
2
2
引导启发法
讲授法
理论课
多媒体课件
多媒体教室
2
3
5
9.3.1直连路由9.3.2静态路由
2
引导启发法
讲授法
理论课
多媒体课件
多媒体教室
2
6
9.3.3动态路由9.3.4其他路由
路由的应用练习
2
引导启发法
讲授法
理论课
多媒体课件

4 图5-1 集线器
5
5.2 集 线 器
集线器(HUB)工作在物理层，是单一总线共享式设备，提 供很多网络接口，可将网络中多个计算机连在一起。通过HUB 连接的计算机构成的网络在物理上是星型拓扑结构，但在逻 辑上是总线型拓扑结构。所有的工作站通过HUB相连都共享同 一个传输媒体，所以所有的设备都处于同一个冲突域，所有 的设备都处于同一个广播域，设备共享相同的带宽。集线器 如图5-1所示。
6
以太网使用CSMA/CD(Carrier Sense Multiple Access with Collision Detection，带有冲突监测的载波侦听多址 访问)机制，当终端数量增多时，冲突也会随之增多，所以一 个冲突域中如果主机数量过多，则会导致过多的冲突存在， 消耗有效带宽，导致网络性能下降，甚至造成网络瘫痪。
22
路由器端口类型多，支持的三层协议多，路由能力强， 所以适合于大型网络之间的互连。不少三层交换机甚至二层 交换机都有异质网络的互连端口，但一般大型网络的互连端 口不多，互连设备的主要功能不在于端口之间的快速交换， 而是要选择最佳路径，进行负载分担，链路备份与其它网络 进行路由信息交换，所有这些都是路由完成的功能。在这种 情况下，自然不可能使用二层交换机，但是否使用三层交换 机，则视具体情况而定。
13 图5-2 路由器的工作过程
14
被传输的数据包可以到达该目的地的下一台路由器处。 当下一台路由器接收到该数据包时，也会查看其目标地址， 并使用合适的路径继续传送给后面的路由器。依次类推，直 到数据包到达最终目的地。
路由器之间进行相互通信，可以通过传送不同类型的信 息维护各自的路由表。路由更新信息便是这样一种信息，一 般是由部分或全部路由表组成。通过分析其它路由器发出的 路由更新信息，路由器可以掌握整个网络的拓扑结构。链路 状态广播是另外一种在路由器之间传递的信息，它可以把信 息发送方的链路状态及时地通知给其它路由器。

25
4. 美国国家标准局 美国在ISO中的代表是美国国家标准局(ANSI)，实际上该 组织与其名称不相符，它是一个私人的非政府非盈利性组织。 其研究范围与ISO的相对应。
26
5. 电子工业协会 电子工业协会(EIA/TIA)曾经制定过许多有名的标准，是 一个电子传输标准的解释组织。EIA开发的RS-232和ES-449标 准在今天数据通信设备中被广泛使用。
34
协议的要素包括语法、语义和定时。语法规定通信双方 “如何讲”，即确定数据格式、数据码型、信号电平等；语 义规定通信双方“讲什么”，即确定协议元素的类型，如规 定通信双方要发出什么控制信息、执行什么动作和返回什么 应答等；定时关系则规定事件执行的顺序，即确定链路通信 过程中通信状态的变化，如规定正确的应答关系等。
21
ISO标准的制定过程要经过四个阶段，即工作草案 (Working Document，WD)、建议草案(Draft Document，DD)、 建议国际标准(Draft International Standard，DIS)和国际 标准(International Standard，IS)。
22
2. 国际电信联盟 国际电信联盟(ITU)成立于1932 年，其前身为国际电报 联合会(UTI)。ITU的宗旨是维护与发展成员国间的国际合作 以改进和共享各种电信技术；帮助发展中国家大力发展电信 事业；通过各种手段促进电信技术设施和电信网的改进与服 务；管理无线电频带的分配和注册，避免各国电台的互相干 扰。
上述两例均为第一阶段的网络。第二、三阶段的实例参 见第1章1.2节。
7 2.3 网 络 的 分 类 网络的分类如图2-2所示。
8 图2-2 网络分类
9
1. 局域网(LAN) 局域网是一个高速数据通信系统，它在较小的区域内将 若干独立的数据设备连接起来，使用户共享计算机资源。局 域网的地域范围一般只有几千米。局域网的基本组成包括服 务器、客户机、网络设备和通信介质。通常局域网中的线路 和网络设备的拥有、使用、管理一般都是属于用户所在公司 或组织的。

PC D 的 MAC 地址 交换机查找MAC地址表 交换机将该帧做 “洪泛”
转发。
PC B回应一个帧给PC D 交换机从端口 E1 学习到
PC B的 MAC 地址
端口号 E0 E2 E3 E1
MAC地址 00d0-d001-1111 00d0-d001-2222 00d0-d001-4444 00d0-d001-3333
1
3
2
MAC1 MAC2
MAC3 MAC4
端口号
1 2 3 3
MAC地址
MAC1 MAC2 MAC3 MAC4
交换机工作原理
（1）地址学习 初始MAC地址表是空表
端ห้องสมุดไป่ตู้号
MAC地址
交换机工作原理
（1）地址学习 PC A 发送一个帧给 PC C 交换机从端口 E0 学习到
PC A 的 MAC 地址 交换机查找MAC地址表 交换机将该帧做 “洪泛”
一个特例，它标识了所有的网卡。
MAC地址用来识别一个以太网上的某个单独的设备或一组设备
以太网MAC地址
3.MAC地址的表示方法
单播MAC地址
组播MAC地址
广播MAC地址
第一种：每两位十六进制数1组（即1个字节)，一共6组，中间使用中划线连接。 第二种：每四位十六进制数1组（即2个字节)，一共3组，中间使用中划线连接。
70年代
80年代
90年代
92年
96年
2002年
共享式以太网工作原理
A
B
C
D
E
①如果中间的线路是共享的， 这条链路在同一时间由谁来 使用呢？如何来保证这些主 机能有序的使用共享线路， 不发生数据的冲突？
CSMA/CD机制

13
如果发现MAC地址与自己的不一致，则丢弃该报文，一致则去 掉MAC信息，送给网络层判断其IP地址；然后根据报文的目的 端口号确定是由本机的哪个进程来处理报文。这就是报文的 解封装过程。
14
3.3.2 TCP/IP的数据封装过程 同OSI参考模型数据封装过程一样，TCP/IP协议在报文转
发过程中，封装和去封装也发生在各层之间。 在发送方，加封装的操作是逐层进行的。各个应用程序
1
第3章 TCP/IP协议与子网划分
3.1 TCP/IP协议族的起源 3.2 TCP/IP与OSI参考模型比较 3.3 报文的封装与解封装 3.4 TCP/IP协议族 3.5 应用层协议 3.6 传输层协议 3.7 网络层协议 3.8 IP地址简介 3.9 带子网划分的编址 3.10 变长子网掩码(VLSM) 小结
(7) Tracert命令：和Ping命令类似，Tracert命令可以 显示数据包经过的每一台网络设备信息，是一个很好的诊断 命令。
(8) DNS(Domain Name System，域名系统)：把网络节 点的易于记忆的名字转化为网络地址。
27
3.6 传 输 层 协 议
3.6.1 传输层的功能 传输层位于应用层和网络层之间，为终端主机提供端到
端的连接，以及流量控制(由窗口机制实现)、可靠性保证(由 序列号和确认技术实现)、全双工传输的支持等。传输层协议 有两种：传输控制协议(TCP)和用户数据报协议(UDP)。虽然 TCP和UDP都使用相同的网络层协议IP，但是TCP和UDP却为应 用层提供完全不同的服务。
28
TCP：为应用程序提供可靠的面向连接的通信服务，适用 于要求得到响应的应用程序。目前，许多流行的应用程序都 使用TCP。

XXXX 第1章第1章ACL包过滤实验 (2)1.1 实验内容 (2)1.2 基于基本ACL的包过滤 (2)1.2.1 实验目的 (2)1.2.2 实验环境 (2)1.2.3 实验步骤 (2)1.3 基于高级ACL的包过滤 (4)1.3.1 实验目的 (4)1.3.2 实验环境 (4)1.3.3 实验组网图 (4)1.3.4 实验步骤 (4)1.4 基于二层ACL的包过滤 (6)1.4.1 实验目的 (6)1.4.2 实验环境 (6)1.4.3 实验组网图 (6)1.4.4 实验步骤 (6)第1章 ACL包过滤实验1.1 实验内容●基于基本ACL的包过滤●基于高级ACL的包过滤●基于二层ACL的包过滤1.2 基于基本ACL的包过滤1.2.1 实验目的●1、帮助读者理解并验证Quidway交换机的基本ACL包过滤功能。

1.2.2 实验环境●1、Quidway系列S3526E交换机1台，VRP版本为：VRP (R)Software, Version 3.10 (NA), RELEASE 0013(G) ；●2、PC 3台，网线3根、配置电缆1根；实验组网图1.2.3 实验步骤1. 首先请按照如上的组网图连接所有设备。

3台PC的IP地址如下：PC1的IP：10.110.34.125 Mask：255.255.248.0 Gateway：10.110.32.1PC2的IP：10.100.1.122 Mask：255.255.255.0 Gateway：10.100.1.1PC3的IP：10.100.2.117 Mask：255.255.255.0 Gateway：10.100.2.12. 在S3536E交换机上配置VLAN以及VLAN接口，使网络达到互通：[Quidway]interface Vlan-interface 1[Quidway-Vlan-interface1]ip address 10.110.32.1 255.255.248.0 [Quidway-Vlan-interface1]vlan 2[Quidway-vlan2]port Ethernet 0/9 to Ethernet 0/16[Quidway-vlan2]int vlan 2[Quidway-Vlan-interface2]ip add 10.100.1.1 255.255.255.0 [Quidway-Vlan-interface2]vlan 3[Quidway-vlan3]port Ethernet 0/17 to Ethernet 0/24[Quidway-vlan3]int vlan 3[Quidway-Vlan-interface3]ip add 10.100.2.1 255.255.255.0完成上述配置之后，大家可以分别在三台PC上ping一下其他两台，看是否能够ping通。

Cisco ACL原理及配置详解什么是ACL？访问控制列表简称为ACL，访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提供ACL的支持了。

访问控制列表使用原则由于ACL涉及的配置命令很灵活，功能也很强大，所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。

在介绍例子前为大家将ACL设置原则罗列出来，方便各位读者更好的消化ACL知识。

1、最小特权原则只给受控对象完成任务所必须的最小的权限。

也就是说被控制的总规则是各个规则的交集，只满足部分条件的是不容许通过规则的。

2、最靠近受控对象原则所有的网络层访问权限控制。

也就是说在检查规则时是采用自上而下在ACL中一条条检测的，只要发现符合条件了就立刻转发，而不继续检测下面的ACL语句。

3、默认丢弃原则在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY，也就是丢弃所有不符合条件的数据包。

这一点要特别注意，虽然我们可以修改这个默认，但未改前一定要引起重视。

由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。

因此，要达到端到端的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。

标准访问控制列表的格式访问控制列表ACL分很多种，不同场合应用不同种类的ACL。

其中最简单的就是标准访问控制列表，他是通过使用IP包中的源IP地址进行过滤，使用的访问控制列表号1到99来创建相应的ACL。

标准访问控制列表是最简单的ACL。

它的具体格式如下：access-list ACL号 permit|deny host ip地址例如：access-list 10 deny host 192.168.1.1这句命令是将所有来自192.168.1.1地址的数据包丢弃。

在整个通信过程中，数据报文的源IP地址、目的IP地址 以及IP层向上的内容不会改变。如图16-4所示。
28 图16-4 数据报文的内容
29
16.6 路由过程示例
如图16-5所示，以两台处于不同网段的主机间的通信为 例说明数据包路由的过程。
当数据包被转发至R3后会经历与R1、R2相同的处理过程， 在R3的路由表中查找目的网段的条目，发现目的网段为其直 连网段，最终数据包被转发至目的主机B。如图16-6所示。
8
16.2 路由器的作用
路由器的核心作用是实现异构网络的互连，即在不同网 络之间转发数据单元。
为实现在不同网络间转发数据单元的功能，路由器必须 具备以下条件：
9
(1) 路由器上多个三层接口要连接在不同的网络上，每 个三层接口连接到一个逻辑网段。这里所说的三层接口，可 以是物理接口，也可以是各种逻辑接口或子接口。在实际组 网中确实存在只有一个接口的情况，这种方式我们称之为单 臂路由。单臂路由应用很少。
35
对于本地通信，通信两端的主机同处于一个相同的广播 域，两台主机之间的流量可以直接相互到达，通信的过程与 扁平二层网络中的情况相同。
对于非本地通信，通信两端的主机位于不同的广播域内， 两台主机的流量不能互相到达，主机通过ARP广播请求也不能 请求到对方的地址，此时的通信必须借助于中间的路由器来 完成。
30 图16-5 不同网段主机间的通信数据包路由
31 图16-6 数据包被转发
32
16.7 VLAN间通信的路由选择
VLAN是基于二层的技术，如果VLAN之间的信息需要互通， 就需要通过VLAN的三层路由功能来实现。
33
VLAN之间的通信的解决方法是：在VLAN之间配置路由器， 这样VLAN内部的流量仍然通过原来的VLAN内部的二层网络进 行，从一个VLAN到另外一个VLAN的通信流量，通过路由在三 层上进行转发，转发到目的网络后，再通过二层交换网络把 报文最终发送给目的主机。由于路由器对以太网上的广播报 文采取不转发的策略，因此中间配置的路由器仍然不会改变 划分VLAN所达到的广播隔离的目的。