my路由器IOS基础1题库.ppt

Chapter 1-* 最早的路由网络只用来连接一些简单的局域网和主机，之后管理员会考虑把本企业的网络与友商网络相连，再后来，企业用户可能需要经常访问Internet，同时向互连网用户提供信息和服务，在这样情况下就提出了一个非常重要的问题——如何对网络访问进行控制。 网络管理员会面临很多问题，比如如何在允许特定网络访问的同时拒绝那些不想建立的网络连接。虽然有一些帮助工具，如密码，回叫设备和一些物理层的安全设备，但都缺乏灵活性，也不能对流量进行精确的过滤。 访问控制列表功能十分强大，它可以灵活地对所有进出路由器端口的信息包进行过滤，帮助限制网络流量以及对网络资源的合法访问。访问控制列表也用于优先级队列和用户队列中对信息优先权的限制，也经常用来减少路由刷新信息所占用的网络带宽。 Chapter 1-* DDR（dial-on-demand routing）是一种按需拨号方式的广域连接，也就是说,仅仅在“感兴趣的包”要进行传输时才启动拨号。那么哪些才是“感兴趣的包”呢，这就需要访问控制列表对其进行定义。 在配置DDR的访问控制列表时，你必须输入命令来设定从哪里来到哪里去以及哪些协议的包可以作为“感兴趣的包”来启动拨号。 Chapter 1-* 访问控制列表可以过滤所有想通过路由器进行路由转发的信息包，但它不能对由路由器内部产生的信息包进行控制。访问控制列表有两种主要形式： 标准访问控制列表——IP的访问控制列表只根据包的源地址来决定是否进行转发，而不考虑这些信息属于哪种协议； 扩展访问控制列表——扩展的访问控制列表既可以对包的源地址进行控制也可以对目的地址进行控制，而且还可以针对协议，协议端口号和其他一些参数进行检查。网络管理员可以进行一些更为灵活的配置,比如可以建立一个扩展的访问控制列表，允许从E0端口所在网段到S0端口所在网段的SMTP包通过而拒绝远程登陆，文件传输等协议的包通过。 Chapter 1-* 访问控制列表是如何工作的呢？其实最开始时对于用不用访问控制列表的信息包都是一样的，即一个包从路由器的一个端口进来，路由器检查它是否是可路由或是可桥接的。如二者都不是，就把包丢弃。如果路由表中记录了如何转发进来的信息包，就根据其中的信息寻找可以用来转发的端口。 下一步路由器会检查用来转发的端口上是否配置了访问控制列表。如没有，包会被送到输出缓冲器中进行转发。比如经过查找路由表后决定从To0端口转发，而To0没有配Access List，信息会直接转发出去。如果情况相反， To0端口上配置了一个扩展的访问控制列表，那么包在转发到该端口前就要严格的与Access List中的每一条信息进行匹配，如果控制列表配置为拒绝此类信息包通过，则会立即被丢弃，某些协议对于这种情况会返回给发送方一条信息表明目的不可达。 Chapter 1-* 访问控制列表有着严密的逻辑顺序，信息包总是从上到下逐条与其进行匹配的。如果信息包的包头与Access List中的某条陈述匹配，则会忽略下面的匹配条件而直接被转发或丢弃。对于同一种协议的某个端口只能配置一个控制列表。 在上面的例子中，如果第一个匹配条件为拒绝到达某特定网段的包，而被检测的包恰巧目的网段与其一致，则该信息包会立即被丢弃到垃圾桶中，而不再与其它匹配信息进行比较。 与第一条匹配信息不符的包会继续与第二条进行比较，如与匹配条件相符，而且访问列表指定此类包是被允许的，则信息直接被转发到该端口的缓冲区内。 以此类推，信息会逐条地与访问控制列表中的条件进行比较，以决定是转发还是丢弃。如果信息包的参数与所有的条件都不匹配，Cisco路由器会把这些包统统丢到垃圾桶中去。所以一定要注意不拒绝不等于允许，被允许转发的条件一定要配置在控制列表中，否则路由器会把控制列表中未提及到的所有包都丢弃。 Chapter 1-* 在实际应用中，配置访问控制列表的命令非常复杂，包含多种参数，但是我们可以把配置简化为两部分： 第一步 配置一个访问列表 在全局配置模式下配置一个访问控制列表，首先要指定一个用来标识不同列表的号码，同时这个号码也表明了此控制列表的类型； 关键字permit或deny表明了符合后面所陈述条件的包是被允许进行转发还是会被扔到垃圾桶中去； 命令的其余部分就是具体的匹配条件了。根据需要可以把条件配置成只检查包的源网络地址，当然更多的情况是把匹配条件配置成拥有多个参数。使用同一个号码的多条配置命令属于同一个访问控制列表，而且匹配条件的配置先后顺序决定了访问控制列表的逻辑关系，配置时一定要仔细考虑。 第二步 将访问列表设置到合适的端口上 在端口配置模式下使用命令access-group 指定在此