路由

目录 Service API详解 1. 添加服务 2. 列出service列表 3. 查找service 按条件查找service 查找与指定route关联的service 查找与指定 Plugin 关联的service 4. 更新service 更新service 更新与特定路由关联的服务 更新与特定插件关联的服务 5. 更新或创建service Create Or Update Service 创建或更新与特定route关联的服务 创建或更新与特定插件关联的服务 6. 删除服务 删除服务 删除与特定路由关联的服务 Service API详解 1. 添加服务 请求地址 ： /service/ 请求方法 ： POST 请求主体 ： 2. 列出service列表 请求地址 ： /service/ 请求方法 ： GET 3. 查找service 按条件查找service 请求地址 ： /services/{name or id} 请求方法 ： GET 属性 | 描述 | :-: | :- name or id (必填) | 要检索的服务的唯一标识符或名称。 查找与指定route关联的service 请求地址 ： /routes/{route name or id}/service 请求方法 ： GET 属性 | 描述 | :-: | :- route name or id (必填) |

什么是ACL？ 访问控制列表简称为ACL，访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提供ACL的支持了。 访问控制列表的作用： *过滤：通过过滤经过路由器的数据包来管理IP流量 *分类：标识流量以进行特殊处理 访问控制列表的原理 对路由器接口来说有两个方向 出：已经经路由器的处理，正离开路由器接口的数据包 入：已经到达路由器接口的数据包，将被路由器处理。 匹配顺序为：“自上而下，依次匹配”。默认为拒绝 访问控制列表的类型 标准访问控制列表：一般应用在out出站接口。建议配置在离目标端最近的路由上 扩展访问控制列表：配置在离源端最近的路由上，一般应用在入站in方向 命名访问控制列表：允许在标准和扩展访问列表中使用名称代替表号 访问控制列表使用原则 1、最小特权原则 只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集，只满足部分条件的是不容许通过规则的。 2、最靠近受控对象原则 所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的，只要发现符合条件了就立刻转发，而不继续检测下面的ACL语句。 3、默认丢弃原则

一、IP地址分类及其表示 　　IP地址 ::={<网络号>,<主机号>} 　　IP地址分类： IP地址类别　 网络号　 网络范围 主机号 IP地址范围 A类　　 8bit,第一位固定为0　　 0-127　　 24bit　　 1.0.0.0 - 127.255.255.255　　 B类 16bit，前两位固定为0 128.0-191.255　　 16bit　　 128.0.0.0 - 191.255.255.255 C类 24bit,前三位固定为0　　　 192.0.0 - 223.255.255　　 8bit 192.0.0.0 - 223.255.255.255 D类 E类 二、IP数据报格式 　　 　　IP数据报报头固定长度为20个字节，可变部分长度从1字节到40个字节不等，但需用全0补齐为4字节的整数倍。 　　重要字段解释: 　　　　 总长度 ：16位，指的是首部和数据之和的长度。在IP层的下面的每一种数据链路层协议都规定了数据帧的数据字段的最大长度，称为最大传送单元MTU。当一个IP数据报封装成链路层的帧时，此数据包的总长度一定不能超过下面的数据链路层所规定的值。如果超过，则需把过长的数据包进行分片处理。 　　　　 标识 ：16位，IP软件维持一个计数器，每产生一个数据报，计数器加1。当数据报由于超过MTL而分片时，这个数据字段就被复制到每一个的数据报片的标识字段中

实验拓扑图： R1--f0/0-----f0/0--R2--f1/0(.1)-----f0/0--R3 IP地址规划： R1：f0/0-------202.100.10.1/24 R2：f0/0-------202.100.10.2/24; f1/0-------202.100.20.1/24 R3：f0/0-------202.100.20.2/24 一、基本网络配置 1、R1路由器的基本网络配置 enable configure terminal interface f0/0 ip address 202.100.10.1 255.255.255.0 no shutdown exit ip route 0.0.0.0 0.0.0.0 202.100.10.2 exit write 2、R2路由器的基本网络配置 enable configure terminal interface f0/0 ip address 202.100.10.2 255.255.255.0 no shutdown interface f1/0 ip address 202.100.20.1 255.255.255.0 no shutdown exit exit write 3、R3路由器的基本网络配置 enable configure terminal interface f0/0 ip address

近来通过学习Cisco的标准ACL发现该ACL有两个方面的用途，一个是用在DV协议传递的路由条目进行控制，另外就是对于数据层面过滤流量，而这两种对于标注ACL的写法是不同的，具体的不同就是体现的反掩码的写法上 我们知道DV协议在传递路由条目的时候是携带路有前缀和掩码的（RIPv1除外），我们想要过滤某一个路由条目的时候，到底该怎样写呢？ 假设我们想过滤掉3.3.3.0/24这个路由条目，怎样抓取这个路由条目？大多数初学者一定会写成： access-list 10 permit 3.3.3.0 0.0.0.255 首先这种写法是肯定可以抓取路由条目，但是我们应该知道我们这个时候抓取的是路由前缀。我们说反掩码0代表必须匹配，而1表示任意，也就是说上面ACL的后8位任意变的前缀，这样抓取到前缀也肯定可以抓取到一些其他的路由前缀，例如3.3.3.128/25,和3.3.3.192/26等等这个样的前缀，这和我们的前缀列表一下语句是匹配的： ip prefix-list 10 permit 3.3.3.0/24 le 32，如果你理解这条语句，那么也就很好理解标准ACL反掩码在用来抓取控制层面路由条目的方法了，那么我们到底该怎样抓取这个3.3.3.0/24这个路由条目呢，很简单： access-list 10 permit 3.3.3.0 0.0.0.0 这样只会抓取在路由传递中前缀为3.3

Version: 版本号 长度4比特。标识目前采用的IP协议的版本号。一般的值为0100（IPv4），0110（IPv6） Header Length :IP包头 长度 4比特。这个字段的作用是为了描述IP包头的长度，因为在IP包头中有变长的可选部分。该部分占4个bit位，单位为32bit（4个字节），即本区域值= IP头部长度（单位为bit）/(8*4)，因此，一个IP包头的长度最长为“1111”，即15*4＝60个字节。IP包头最小长度为20字节。 Type of service :服务类型 长度8比特。8位 按位被如下定义 PPP DTRC0 PPP：定义包的优先级，取值越大数据越重要 000 普通 (Routine) 001 优先的 (Priority) 010 立即的发送 (Immediate) 011 闪电式的 (Flash) 100 比闪电还闪电式的 (Flash Override) 101 CRI/TIC/ECP( 找不到这个词的翻译 ) 110 网间控制 (Internetwork Control) 111 网络控制 (Network Control) D 时延: 0:普通 1:延迟尽量小 T 吞吐量: 0:普通 1:流量尽量大 R 可靠性: 0:普通 1:可靠性尽量大 M 传输成本: 0:普通 1:成本尽量小 0 最后一位被保留，恒定为0 Total

31 路由算法 路由算法(协议)确定去 往目的网络的最佳路径 转发表确定在本路 由器如何转发分组 网络抽象：图 点是路由器, 边是链路. 每段链路的费用可以总是1， 或者是，带宽的倒数、拥塞程度等 关键问题: 源到目的（如u到z）的最小费用路径是什么？ 路由算法: 寻找最小费用路径的算法 路由算法分类 静态路由： 手工配置 路由更新慢 优先级高 动态路由： 路由更新快: 定期更新 ; 及时响应链路费用或 网络拓扑变化 省时省力 基于全局信息的路由算法： 所有路由器掌握完整的网络 拓扑和链路费用信息 E.g. 链路状态(LS)路由算法 基于分散(decentralized)信息的路由算法： 路由器只掌握物理相连的邻 居以及链路费用 邻居间信息交换、运算的迭 代过程 E.g. 距离向量(DV)路由算法 链路状态路由算法 Dijkstra 算法 所有结点(路由器)掌握网 络拓扑和链路费用  通过“链路状态播”  所有结点拥有相同信息 计算从一个结点(“源”) 到达所有其他结点的最 短路径  获得该结点的转发表 迭代: k次迭代后，得到 到达k个目的结点的最短 路径 符号 c(x,y): 结点x到结点y链路费用；如果x和y不直接相 连，则=∞ D(v): 从源到目的v的当前 路径费用值 p(v): 沿从源到v的当前路 径，v的前序结点 N’: 已经找到最小费用路 径的结点集合

ACL 访问控制列表工作原理 一． ACL 访问控制列表工作 原理： 1. 控制语句从上向下一次执行。 （我的理解是：路由器从列表的第一个开始执行，没有匹配成功，然后在向下执行，直到匹配成功。） 2. 一旦匹配上某一条语句，就不再进行后续的匹配。 （我的理解是：路由器从列表的第一个开始匹配，如果匹配成功，路由器就不再进行排查匹配。如果匹配不成功，路由器再进行排查匹配，直到匹配成功，路由器就不再进行排查匹配。） 3. 列表最后一行是默认中隐含了一条“拒绝所有 ” 。 （ 我的理解是：路由器从列表的第一个开始匹配，列表中所有的都不匹配，就默认最后一行执行匹配。） 二． ACL 访问控制列表工作解析 。 1. 以数据的流向作为参照，到达接口的叫做 in ，离开接口的叫做 out 。 （我的理解是：如图， sw1 的 f0/0 接口向 R1 的 f0/1 接口方向传输，说明了向 R1 的 f0/1 接口是 接近 ，是 in 。 R2 的 f0/0 接口向 R1 的 f0/0 接口方向传输，说明了 R2 的 f0/0 接口是在 远离 ，是 out 。） 2. 我所学习有其中的三大列表： （ 1 ） . 标准列表：列表号为 1 — 99 ， 标准列表只能给源 IP 字段进行控制。 标准列表应该尽量应用在靠近目标的位置。 （ 2 ） . 扩展列表：列表号为 99 — 199 ，

为了更安全的公司网络环境，可以使用ACL提供的基本通信流量过滤能力来实现。 一，ACL概述 1.流量过滤 常用的流量过滤器 ①集成路由器内置的防火墙 ②专用的安全设备 ③服务器 企业路由器能够识别有害流量并阻止它访问和破坏网络，几乎所有的路由器都可以根据数据包的源IP地址和目的IP地址来过滤流量，它还可以根据特定的应用和协议来过滤流量，例如TCP，HTTP,FTP,和Telnet 2.访问控制列表 访问控制列表是应用在路由器接口的指令列表，这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。 访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广，包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。 访问控制列表（Access Control Lists,ACL）是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。 访问控制列表不但可以起到控制网络流量、流向的作用，而且在很大程度上起到保护网络设备、服务器的关键作用。作为外网进入企业内网的第一道关卡，路由器上的访问控制列表成为保护内网安全的有效手段。 3.ACL的分类

背景 网络，网络... 虽然只是一个简单的名词，但是她的背后却掩藏着太多太多的故事以及知识。 穷其编程的一生，或许也只能探索出那冰山一角，嗨... 小时虽知，学海无涯，却毫不知意。玩乃天性，却空流时光。憾... so，矫情之余，我们来探索一下网络究竟是怎么传输的。 概述 探索网络的范围，都在上图有所展示（另存为看大图）。 正文 一. 生成HTTP请求消息 打开一个网站，都是从浏览器中输入网址开始，我们的探索也是从这里开始。 https: 是协议，告诉浏览器我们要访问的目标，而https: 代表的就是访问Web服务器，当然也有其他的协议。比如ftp:访问的就是FTP服务器等。 sexyphoenix.github.io 是Web服务器域名，可以告诉我们在哪里可以找到Web服务器。 about/ 是Web服务器里面的文件路径名，这里的about是目录名，全路径可能是about/index.md，而index.md应该被github掩藏了。 浏览器首先要做的就是对URL进行解析，知道我们要访问的是sexyphoenix.github.io这个Web服务器上文件路径为about目录下的默认文件。 知道了要访问的目标，接下来浏览器就要生成HTTP的请求信息，介绍到这，就要聊一聊HTTP协议了。 HTTP协议规定了客户端和服务器通信的内容和步骤，简单来说，就是两个部分 “对什么” 做