十RIP协议与访问控制列表配置.DOCVIP

PAGE 访问控制列表配置路由选择协议是路由器用来完成路由表建立和更新路由信息的通信协议。在中小规模的网络中，通常使用基于距离矢量算法的RIP协议。路由做通之后，为了保护内部网络的数据安全，通常在网络的边缘启用防火墙来进行数据包的过滤。防火墙的实施通常是定义访问控制列表，并将特定的规则应用到具体的接口上，从而过滤特定方向的数据流。本章将介绍RIP协议和访问控制列表的配置。15.1概述1．RIP协议动态路由协议是指各路由器间通过路由选择算法动态地交互所知道的路由信息，动态地生成、维护相应的路由表。动态路由协议按照算法的不同有很多种，能适应的网络规模也不尽相同。在中小规模的网络中，最常见的是使用距离矢量算法的RIP协议。RIP（Routing Information Protocol）协议的中文名称是路由信息协议，采用距离矢量算法，是一个比较早期的路由协议，最大的特点是配置和管理非常简单，在中小规模的网络中比较常见。它只根据经过路由器的跳数（HOP）来计算机路由的花费，而不考虑链路的带宽、时延、流量等复杂的因素。其最大的问题是路由的范围有限，只能支持直径为15个路由器的网络内进行路由。2. 防火墙技术由于路由器工作在网络层，因此可以在网络层针对单个数据包进行访问控制。这种对于数据包的访问控制技术一般被称为防火墙技术。实施防火墙技术的目的是为了保护内部网络免遭非法数据包的侵害。防火墙一般布置在一个网络的边缘，用于控制进入网络的数据包的种类。华为Quidway路由器的防火墙配置包括两方面的内容，一是定义对特定数据流的访问控制规则，即定义访问控制列表（ACL，Access Control List）；二是将特定的规则应用到具体的接口上，从而过滤特定方向的数据流。3. 访问控制列表（Access Control List，ACL）路由器为了过滤数据包，需要配置一系列的规则，以决定什么样的数据包能够通过，这些规则就是通过访问控制列表（ACL）定义的。ACL是由permit|deny语句组成的一系列有顺序的规则，这些规则根据数据包的源地址、目的地址、端口号等来描述。ACL通过这些规则对数据包进行分类，并将这些规则应用到路由器的接口中，路由器根据这些规则来判断哪些数据包可以接收，哪些数据包需要拒绝。按照访问控制列表的用途，可以分为四类：⑴基本的访问控制列表（basic acl）⑵高级的访问控制列表（advanced acl）⑶基于接口的访问控制列表（interface-based acl）⑷基于MAC的访问控制列表（mac-based acl）访问控制列表的使用用途是依靠数字的范围来指定的，1000～1999是基于接口的访问控制列表，2000～2999范围的数字型访问控制列表是基本的访问控制列表，3000～3999范围的数字型访问控制列表是高级的访问控制列表，4000～4999是基于MAC地址的访问控制列表。15.2 实验操作相关知识1．路由器接口IP地址配置在接口视图下，使用ip address ip-address net-mask命令：[Quidway] interface serial 0/0[Quidway-Serial0/0] ip address 192.168.0.1 255.255.255.02．RIP协议基本配置⑴在系统视图下启动RIP协议；⑵在指定网段上运行RIP协议；配置实例：[Quidway]rip[Quidway -rip]network 202.1.1.0[Quidway -rip]network 192.168.0.03．访问控制列表的创建⑴访问控制列表的创建一个访问控制列表是由permit | deny语句组成的一系列的规则列表，若干个规则列表构成一个访问控制列表。在配置访问控制列表的规则之前，首先需要创建一个访问控制列表。使用如下命令创建一个访问控制列表：acl number acl-number [ match-order { config | auto } ]使用如下命令删除一个或所有的访问控制列表：undo acl { number acl-number | all }参数说明：number acl-number：定义一个数字型的ACL。acl-number：访问控制列表序号。1000～1999是基于接口的访问控制列表，2000～2999范围的数字型访问控制列表是基本的访问控制列表，3000～3999范围的数字型访问控制列表是高级的访问控制列表，4000～4999是基于MAC地址的访问控制列表。match-order config：指定匹配该规则时按用户的配置顺序。match-order auto：指定匹配该规则时系统自动排序，即按“深度优先”的顺序。all：删除所有配置的ACL。缺省情况下匹配顺序为