路由

简介 ACL：Acess Control List，即访问控制列表。这张表中包含了匹配关系、条件和查询语句，ACL表只是一个框架结构，其目的是为了对某种访问进行控制，使用 包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。 访问控制列表ACL增加了在路由器接口上过滤数据包出入的灵活性，可以用来限制网络流量，也可以控制用户和设备对网络的使用，一般的路由器都提供了ACL功能，对于一些网络流量不是很大的场合，完全可以借助ACL使路由器实现防火墙的部分功能，但他不能完全的代替防火墙。当接收一个数据包时，ACL先检查访问控制列表，再执行相应的接受和拒绝的步骤，并不能像专业的防火强那样作相应的数据包的分析。如果让ACL代替防火墙，会让路由器无法工作，ACL只是初级防范。 局限性：过滤的依据仅仅只是第三层和第四层包头中的部分信息，如无法识别到具体的人，无法识别到应用内部的权限级别等。因此，要和系统级及应用级的访问权限控制结合使用。 访问控制列表在接口应用的方向 出：已经过路由器的处理，正离开路由器接口的数据包 入：已到达路由器接口的数据包，将被路由器处理 ACL的实例运用，使某重要的部门只能经理办公室访问，普通部门的上网时间管理，禁止ping等等。 工作过程 设备自己产生的流量不会产生ACL 1

访问控制列表 （Access Control List，ACL） 是 路由器 和 交换机 接口的指令列表，用来 控制端口 进出的数据包。 其目的是为了对某种访问进行控制。 作用 ACL可以限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定数据包的优先级。 ACL提供对通信流量的控制手段。例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。 ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络，而拒绝主机B访问。 ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。 3P原则！！！！ 记住 3P 原则（呵呵呵呵）你便记住了在路由器上应用 ACL 的一般规则。您可以为每种协议 (per protocol)、每个方向 (per direction)、每个接口 (per interface) 配置一个 ACL ： 每种协议一个 ACL：要控制接口上的流量，必须为接口上启用的每种协议定义相应的 ACL。 每个方向一个 ACL ：一个 ACL 只能控制接口上一个方向的流量。要控制入站流量和出站流量，必须分别定义两个 ACL。 每个接口一个 ACL ：一个 ACL 只能控制一个接口（例如快速以太网0/0）上的流量。 ACL

一、params的类型: 配置路由格式: /router/:id 传递的方式: 在path后面跟上对应的值 传递后形成的路径: /router/123, /router/abc 通过 :to字符串拼接 的形式传给目标页面 通过$route的方式拿到参数 二、query的类型 配置路由格式: /router, 也就是普通配置 传递的方式: 对象中使用query的key作为传递方式 传递后形成的路径: /router?id=123, /router?id=abc 通过对象的形式传参 通过 $route.query 取得参数 来源： https://www.cnblogs.com/lyt0207/p/11975687.html

转载于： http://7c0bab95.wiz03.com/share/s/1Y2WKl218k5e2gpBCl2BeEsq2JBmkw26o4Uq2o65c805P767 扩展IP访问控制列表配置 实验目标 理解标准IP访问控制列表的原理及功能； 掌握编号的标准IP访问控制列表的配置方法； 实验背景 你是公司的网络管理员，公司的经理部、财务部们和销售部门分属于不同的3个网段，三部门之间用路由器进行信息传递，为了安全起见，公司领导要求销售部门不能对财务部进行访问，但经理部可以对财务部进行访问。 PC1代表经理部的主机、PC2代表销售部的主机、PC3代表财务部的主机。 技术原理 访问列表中定义的典型规则主要有以下：源地址、目标地址、上层协议、时间区域； 扩展IP访问列表（编号100-199、2000、2699）使用以上四种组合来进行转发或阻断分组；可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则，进行数据包的过滤。 扩展IP访问列表的配置包括以下两部： 定义扩展IP访问列表 将扩展IP访问列表应用于特定接口上 实验步骤 新建Packet Tracer拓扑图 （1）分公司出口路由器与外路由器之间通过V.35电缆串口连接，DCE端连接在R2上，配置其时钟频率64000；主机与路由器通过交叉线连接。 （2）配置PC机、服务器及路由器接口IP地址。 （3

【实战演练】Packet Tracer玩转CCNA实验07-静态路由配置 实验：配置静态路由 #本文欢迎转载，转载请注明出处和作者。* 前面实验的01~06，已经将基本的二层通信说完了。其中04、05的单臂路由与SVI，已经将使用单台路由器与三次交换机的三层路由也说明了。 但是，由于路由都集中在单台设备，并且还都是直连路由，根本无法体验到到底查询路由表，设置路由条目，到底是怎样的情况。 因此，此节开始讲述三层路由相关的知识。 实验：配置静态路由 拓扑图如下，其中引入了一个概念，就是lo的loopback环回接口。这种是路由器的逻辑接口，相当于在路由器上面虚拟出来的本地直连接口。 由于是虚拟出来的逻辑接口，不会占用物理端口，因此，一般，这种接口是用于配置来用于路由器的管理地址的，作为管理用途。 这里引入，是因为省略还需要在R1、R3两侧分别还要接入PC，然后在PC上面IP、子网掩码与配置网关，然后在路由器的接口上还要配置地址，所以直接采用loopback地址，模拟路由器上面接了PC终端。 当然如果改为在R1、R3两侧分别接入PC1、PC2，然后分配两个不同网段的IP地址，并且参照单臂路由，在R1、R3上面分别为PC1、PC2设置网关，也是可以的。 1、预配置 R1: en conf t host R1 int se2/0 ip add 12.1.1.1 255.255.255.0

3. Packet tracer实验环境 3.1 设置网络拓扑图 （1）配置路由器局域网和广域网接口，如上图（可双击相应的图标，然后在命令行或图形界面上进行IP地址等配置） 　　①本例采用“Generic（通用）”设备，可省去配置模块和接口。 　　② 同种设备 （如两交换机之间），两者之间应使用 双绞线 连接。 不同设备 如PC与交换机之间可采用 直通线 （如“Copper Straight-Though”） 　　③两个路由器之间（ 广域网 ）通过 Serial串口 来连接。因时钟同步的需要，两者之间的接线采用 带时钟符号的“Serial DCE”线 相连。 （2）使用PacketTracer跟踪数据包 3.2 使用DHCP为本网段和跨网段计算机分配IP地址 （1）本网段中启用DHCP服务器 　　①DHCP服务器的设置为固定的IP地址：如192.168.10.20，子网掩码：255.255.255.0 　　②其它计算机IP地址设为自动获取。 （2）跨网段DHCP服务 　　①DHCP服务器设置（注意DHCP服务器与办公楼处于不同网段） 　　②当办公楼（网段为192.168.80.0/24）的计算机要请求IP地址时，会发送广播。但 由于路由器是隔绝广播的 。所以要在本网段的网关（Router1的fasteEthernet0/0接口）进行配置，

实验内容 配置ACL禁止192.168.3.0/24网段的icmp协议数据包通向与192.168.1.0/24网段 配置ACL禁止特点的协议端口通讯： 禁止192.168.2.10访问web（禁止网段与禁止单个之间的区别） 禁止192.168.2.20访问DNS ACL（访问控制列表）介绍 应用在路由器接口的指令列表 指定哪些数据报可以接收、哪一些需要拒绝 相对网络接口来说，从网络上流入该接口的数据包，为入站数据流。对入站数据流的过滤控制称为入站访问控制。 从网络接口流出的网络数据包，称为出站数据流。出站访问控制是对出站数据流的过滤控制。 路由器配置（图形界面配置） 首先关闭路由器电源，向路由器中配置两个高速串口 WIC-2T 开启路由器电源，并连接线路 接下来配置路由器端口网段,注意Port Status 选择on，设置速率匹配 设置默认网关，即路由器与主机网段的接口，注意网关应该与主机所在网段在一个网段 主机和服务器配置 设置PC主机的IP地址，子网掩码，网关和DNS服务地址 域名服务器配置 注意在这里要开启DNS服务 服务器配置 配置RIP协议 在路由器上配置rip协议，就是将路由器相邻的网段配置到路由器里 添加rip协议的命令： router rip Network w.x.y.z 注意：如果不是C类网段，可能需要使用version 2模式，宣告路由信息时携带子网掩码

【交换机】做ACL访问控制,要求只有PC1/PC2可以远程访问Sw1. 【路由器】在R1上做ACL访问限制:所有用户都可以ping通Server， 除PC1和PC4以外 ACL：access list 访问控制表 访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提供ACL的支持了。 1. 【交换机】做ACL访问控制,要求只有PC1/PC2可以远程访问Sw1. 访问控制列表ACL分很多种，不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表，标准访问控制列表是通过使用IP包中的源IP地址进行过滤，使用访问控制列表号1到99来创建相应的ACL。 对路由器接口来说有两个方向 出：已经经路由器的处理，正离开路由器接口的数据包 入：已经到达路由器接口的数据包，将被路由器处理。 ACL默认为拒绝 SW1(config)#access-list 1 permit host 192.168.1.1 SW1(config)#access-list 1 permit host 192.168.2.1 SW1(config)#line vty 0 4 SW1(config-line)

ACL（访问控制列表）是应用在路由器接口的指令列表。这些指令列表用来告诉路由器，那些数据包可以接收，那些数据包需要拒绝。 基本原理为：ACL使用包过滤技术，在路由器上读取OSI七层模型的第三层及第四层包头中的信息，如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则，对包进行过滤，从而达到访问控制的目的。 ACL通过在路由器接口处控制数据包是转发还是丢弃来过滤通信流量。 路由器根据ACL中指定的条件来检测通过路由器的数据包，从而决定是转发还是丢弃数据包。 ACL有三种类型： 1、标准ACL：根据数据包的源IP地址来允许或拒绝数据包。标准ACL的访问控制列表号是1~99。 2、扩展ACL：根据数据包的源IP地址、目的IP地址、指定协议、端口和标志来允许或拒绝数据包。扩展ACL的访问控制列表号是100~199. 3、命名ACL允许在标准ACL和扩展ACL中使用名称代替表号。 ACL依靠规则对数据包执行检查，而这些规则通过检查数据包中的指定字段来允许或拒绝数据包。ACL通过五个元素来执行检查，这些元素位于IP头部和传输层头部中。他们分别是源IP地址、目标IP地址、协议、源端口及目标端口。 如果对接口应用了ACL，也就是说该接口应用了一组规则，那么路由器将对数据包应用该组规则进行检查 1、如果匹配了第一条规则，则不再往下检查，路由器将决定该数据包允许通过或拒绝通过。 2

登 录到路由器 telnet 192.168.1.1 输入用户名，密码 acl number 3000 （如果不存在，创建 访问 列表；存在则添加一条限制） 允许192.168.1.99 上网 ： rule 10 permit ip source 192.168.1.99 0 destination 0.0.0.0 0.0.0.0 说明：192.168.1.99 0 表示允许192.168.1.99这台主机，0表示本机。 rule 规则编号 ip source 主机 反子网掩码 destination 目的IP 反子网掩码 如果要允许多个连续IP上网： rule 11 permit ip source 192.168.1.16 0.0.0.15 destination 0.0.0.0 0.0.0.0 表示允许192.168.1.16/28 即:192.168.1.17-192.168.1.30可以上网 同样，可以限制某IP只能访问某一个网站： 例如，允许192.168.1.98这台主机只能访问www.baidu.com rule 13 permit ip source 192.168.1.98 0 destination 121.14.89.14 0 某个网站的IP:可以打开命令提示符,ping www.baidu.com (以百度为例), ***本人注释： 要打开cmd，用