网络课堂笔记-(6).doc

Showcontrollerss1//查看是DCE还是DTE，如果是DCE需要配置时钟

可以在接口模式下直接配其他接口：

R1(config)#intlo0

R1(config-if)#ipadd

R1(config-if)#intlo1

R1(config-if)#ipadd

R1(config-if)#intlo2

Showipinterfacebrief

同步消息输出：

R1(config)#linecon

R1(config)#lineconsole0

R1(config-line)#logg

R1(config-line)#loggingsys

R1(config-line)#loggingsys

Translatingsys

^

%Invalidinputdetectedat^marker.

R1(config-line)#loggin

R1(config-line)#loggingsy

R1(config-line)#loggingsynchronous

R1(config-line)#exit

R1(config)#linevty03

R1(config-line)#logg

R1(config-line)#loggingsy

R1(config-line)#loggingsynchronous

R1(config-line)#end

配置OSPF的network的掩码需要配置反掩码，但是Cisco路由器输入掩码命令也能成功

R1#shiprouteospf1

R1#shiprouteospf2

ACL

IP访问控制列表

通过访问控制列表管理网络的流量

基于分组过滤技术处理和控制网络访问流量

IP分组包含的信息：

源IP地址

目标IP地址

Protocol协议号

源端口号

目标端口号

IPACL

标准IPACL

扩展IPACL

华为：根本ACL、高级ACL、接口ACL

标准ACL

检查IP分组的源地址，通常允许或者拒绝一个完整的协议组

通过数字范围定义访问列表类型。1-99为Cisco标准ACL

扩展ACL

检查IP分组的源和目标地址，源和目标端口号以及协议号，通常允许或者拒绝一个详细的协议

通过数字范围定义访问列表类型。100-199为Cisco扩展ACL

另外还有一些扩展号：

终端发送数据包到网关，包含网关的MAC地址；路由器查看目标MAC地址是否是自己接收接口的MAC地址，不是，丢弃；是，才检查三层信息

输出型访问列表OUT

路由器接收IP分组

检查目标地址是否存在于路由表中

存在，路由器将分组转发到输出接口

不存在，路由器将分组丢弃

检查输出接口是否放置访问列表

没有放置访问列表，路由器直接转发该分组

放置访问列表，路由器检查访问列表中的描述，作出允许或者拒绝的决定

访问列表检查顺序

先到先匹配〔Cisco支持、华为支持〕

深度优先〔华为支持〕

描述越详细的局部放在前面，越大的放在后面

深度优先检查最详细的，见下面例子：

如果是华为路由器会匹配第二条，因为第二条更详细

建议配置Cisco的ACL在ACL条数比拟多的情况下，先写在记事本上，否那么一旦删除一条，所有的同一编号的ACL都会删除

Showaccess-lists

ACL使用通配符掩码〔反向掩码〕：0要检查，1可以忽略

172.16.1.0.255

172.16.1.1.0=H

.0=Any

172.16.16.0.255

配置ACL

使用什么类型的ACL〔标准/扩展〕

如何配置ACL中的检查条件

ACL放在哪个接口

ACL放在接口的哪个方向〔in/out〕

Showrunints1

要有一条permitany，应用前要加上ip

标准ACL尽量放置在靠近目标设备的接口上

扩展ACL尽量放置在靠近源设备的接口上〔被丢弃得早，不浪费链路带宽〕

路由器作为源设备时如果没有指定源地址，默认指定出接口的地址。ACL指的是出路由器的流量，如果应用在出接口、out方向，这时路由器就是源设备，路由器来不及过滤。所以ACL最好放置在靠近源设备的接口上，但不是源设备的接口上，即离源设备最近的路由器上

配置IP标准ACL

Router(config)#access-list[number][permit|deny][source-address][wirdcardbit]

Router(config-if)#ipaccess-group[number][in|out]

关键字：

eq=

gt

lt

neq!=

range11023

//不允许请求

N