路由

访问控制列表（ACL）是应用在路由器接口的指令列表（即规则），这些规则表用来告诉路由器，哪些数据包可以接收，哪些包需要拒绝。其基本原理如下：ACL使用包过滤技术，在路由器上读取OSI七层模型的第三层和第四层包头中的信息，如源地址、目的地址、源端口、目的端口等，根据预先定义的规则，对包进行过滤，从而达到访问控制的目的。 ACL可以分为以下两种基本类型： 标准ACL：检查数据包的源地址，来决定是允许还是拒绝转发数据包，使用1-99之间的数字作为表号。 扩展ACL：既能对数据包的源地址和目标地址进行检查，也能检查特定的协议、端口号及其它的参数。使用100-199之间的数字作为表号。 ACL是一组规则的集合，应用在路由器的某个接口上，因此对路由器的接口而言，ACL有两个方向： 出：已经经过路由器的处理，离开路由器接口的数据包，检查顺序：先查路由表，再查出ACL。 入：已经到达路由器接口的数据包，将要被路由器处理。检查顺序：先检查入ACL，再查询路由表。 匹配规则： 如果匹配第一条规则，则不再继续往下查，路由器将决定是允许或拒绝数据包通过。 如果不匹配第一条规则，则依次往下检查，直到匹配一条规则，如果没有任何规则匹配，路由器默认会丢弃数据包。 由以上规则可见，数据包要么被拒绝，要么被丢弃。如下图： 示例 1：标准访问控制列表 ROUTE(config)#access-list 1 deny

问题 在网络中很有可能要允许或拒绝的并不是某一个源IP地址，而是根据目标地址或是协议来匹配。但是标准访问控制列表只能根据源IP地址来决定是否允许一个数据包通过。 1)配置扩展ACL实现拒绝PC2（IP地址为192.168.0.20）访问Web Server的web服务，但可访问其他服务。 方案 为了实现更灵活、列精确的网络控制就需要用到扩展访问控制列表了。 扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项，包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。 网络拓扑如图所示： 步骤 实现此案例需要按照如下步骤进行。 步骤一：将1配置标准ACL中的标准访问控制列表移除，其他配置保留 tarena-R2(config)#interface f0/1 tarena-R2(config-if)#no ip access-group 1 out tarena-R2(config)#no access-list 1 步骤二：在PC1和PC2上验证到Web Server的HTTP协议访问，如图3和图－4所示： 在没有配置扩展ACL的时候，两台主机均可以正常访问到Web Server。 步骤三：R1上配置扩展访问控制列表，仅拒绝PC2到Web Server的HTTP访问 扩展ACL可以对数据包中的源、目标IP地址以及端口号进行检查

思科ACL 基本原则：1、按顺序执行，只要有一条满足，则不会继续查找 2、隐含拒绝，如果都不匹配，那么一定匹配最后的隐含拒绝条目，思科默认的 3、任何条件下只给用户能满足他们需求的最小权限 4、不要忘记把ACL应用到端口上 一、标准ACL 命令：access-list {1-99}{permit/deny} source-ip source-wildcard [log] 例：access-list 1 penmit192.168.2.0 0.0.0.255 允许192.168.2.0网段的访问 access-list1 deny 192.168.1.0 0.0.0.255 拒绝192.168.1.0网段的访问 说明：wildcard为反掩码，host表示特定主机等同于192.168.2.30.0.0.0；any表示所有的源或目标等同于0.0.0.0 255.255.255.255；log表示有匹配时生成日志信息；标准ACL一般用在离目的最近的地方 二、扩展ACL 命令：access-list {100-199}{permit/deny} protocol source-ipsource-wildcard [operator port]destination-ipdestination-wildcard [operatorport] [established][log] 例

ACL是应用在路由器接口的指令列表，通过这些指令，来告诉路由器哪些数据包可以接收，哪些数据包需要拒绝，基本原理就是：ACL使用包过滤技术，在路由器上读取OSI七层模型的第三层及第四层包头中的信息，如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则，对包进行过滤，从而达到访问控制的目的。 ACL有三种类型： 标准ACL：根据数据包的源IP地址来允许或拒绝数据包，标准ACL的访问列表控制号是1~99。 扩展ACL：根据数据包的源IP地址、目的IP地址、指定协议、端口和标志来允许或拒绝数据包，扩展ACL的访问控制列表号是100~199。 命名ACL允许在标准ACL和扩展ACL中使用名称代替表号。（个人感觉扩展命名ACL规则更为灵活，若没耐心，可直接看文章最后的扩展命名ACL规则的语法）。 创建标准ACL语法： Router(config)#access-list 1~99 { permit | deny } 源网段地址或网段（若源地址为主机，则在地址前面需要加“host”；若源地址为网段，则要在网段地址后面加反掩码，如/24的反掩码就是0.0.0.255。 例如：Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255 #表示为允许192.168.1.0/24网段地址的流量通过 Router(config)#access

什么是ACL？ 访问控制列表简称为ACL，访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提供ACL的支持了。 访问控制列表的原理 对路由器接口来说有两个方向 出：已经经路由器的处理，正离开路由器接口的数据包 入：已经到达路由器接口的数据包，将被路由器处理。 匹配顺序为：“自上而下，依次匹配”。默认为拒绝 访问控制列表的类型 标准访问控制列表：一般应用在out出站接口。建议配置在离目标端最近的路由上 扩展访问控制列表：配置在离源端最近的路由上，一般应用在入站in方向 命名访问控制列表：允许在标准和扩展访问列表中使用名称代替表号 访问控制列表使用原则 1、最小特权原则 只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集，只满足部分条件的是不容许通过规则的。 2、最靠近受控对象原则 所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的，只要发现符合条件了就立刻转发，而不继续检测下面的ACL语句。 3、默认丢弃原则 在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY，也就是丢弃所有不符合条件的数据包

实验名称：标准访问控制列表 实验拓扑： 实验步骤： （1） 连接主机，交换机，路由器实现全网互连 （2） 配置路由器的访问控制列表 （3） 验证 实验名称：命名标准访问控制列表 实验拓扑： 实验步骤： （1） 连接主机，交换机，路由器实现全网互连 （2） 配置交换机 （3） 验证 实验名称：扩展控制访问列表 实验拓扑： 实验步骤： （1） 连接主机，交换机，路由器，服务器实现全网互连 （2） 配置第一个路由器实现 pc6 能访问服务器的 www 服务不能 ping 通服务器，这个网段的其他主机都能完全访问服务器 （3） 验证 实验名称：命名扩展控制访问列表 实验拓扑： 实验步骤： （1） 连接主机，交换机，路由器，服务器实现全网互连 （2） 配置交换机 （3） 验证 转载于:https://blog.51cto.com/fengzhankui/1540236 来源： CSDN 作者： weixin_34380948 链接： https://blog.csdn.net/weixin_34380948/article/details/91820562

VueRouter系列的文章示例编写时，项目是使用vue-cli脚手架搭建。 项目搭建的步骤和项目目录专门写了一篇文章： 点击这里进行传送 后续VueRouter系列的文章的示例编写均基于该项目环境。 VueRouter系列文章链接 　　 《VueRouter爬坑第一篇》-简单实践 　　 《VueRouter爬坑第二篇》-动态路由 　　 《VueRouter爬坑第三篇》-嵌套路由 阅读目录 一.前言-从需求出发 二.需求实现 　　1.菜单 　　2.产品列表 　　3.产品详情 三.主角-嵌套路由 四.总结 一.前言-从需求出发 　　假设我们有这样一个需求和界面布局： 　　 　　左边是菜单区域，点击菜单栏的【产品】，右边内容区上面显示产品列表，点击某个产品名称下面显示产品详情。 　　emmmm，突然想想这个需求造的有点鸡肋，但是也是为了从一个问题出发好去理解接下来的内容。 　　仔细想一想，大致的思路如下： 　　1.菜单是公共内容，我们放入App.vue组件中实现逻辑和页面布局，点击菜单栏的菜单名称使用<router-link>和<router-view>去显示产品列表。 　　2.产品列表需要新建组件：Content.vue。该组件中编写产品列表的代码，点击产品名称展示产品详情使用<router-link>和<router-view>去显示产品详情。 　　3.产品详情需要新建组件

ACL(访问控制列表）：是应用在路由器接口的指令列表。 其基本原理：ACL使用包过滤技术，在路由器上读取OSI七层模型的第三层及第四层包头中的信息，如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则，对包进行过滤，从而达到访问控制的目的。 ACL可以分为以下两种基本类型： 1、标准访问控制列表：检查数据包的源地址。其结果基于源网络/子网/主机IP地址，来决定允许还是拒绝转发数据包。它实行1~99之间的数字作为代表。 2：扩展访问控制列表：对数据包的源地址与目标地址均进行检查。它也能建厂特定的协议、端口号以及其他参数。它使用1~199之间的数字作为表号。 访问控制列表的工作原理: ACL是一簇规则的集合，它应用在路由的某个接口上。对路由器而言，访问控制列表有两个方向： 出：已经过路由的处理，正离开路由接口的数据包。 入：已到达路由器接口的数据包，将被路由处理。 如果对接口应用了访问控制列表，也就是说该组应用了一组规则，那么路由器将对数据包应用该组规则进行顺序检查。 ·如果匹配第一条规则，则不在往下检查，路由器将决定该数据包允许通过或拒绝通过。 ·如果不匹配第一条规则，则依次往下检查，知道有任何一条规则配备，路由器将决定该数据包允许通过汇拒绝通过。 ·如果没有任何一条规则匹配则路由器根据默认规则将该数据包。 数据包要么被允许，要么被拒绝。 在ACL中，规则的放置顺序是很重要的

路由重分发 redistribution 不同路由协议之间的信息互导 分类 重分发点 单点/多点 方向 单向/双向 原理 种子度量值 seed metric 用于实现不同路由协议之间的度量转换 常见的种子度量值 RIP 默认无穷大，手工设置 EIGRP 默认无穷大，手工设置 OSPF O E2 20 O E1 20+X ISIS 0 BGP 自己没有度量值，导入多少是多少 部署： 单点双向 router rip version 2 redistribute static redistribute eigrp 100 metric 5 redistribute ospf 100 metric 5 match internal external 1 external 2 nssa-external 1 nssa-external 2 redistribute isis level-1-2 metric 3 network 10.0.0.0 no auto-summary router eigrp 100 redistribute connected redistribute static redistribute rip metric 100000 100 255 255 1500 redistribute ospf 100 metric 1 1 1 1 1 redistribute

ACL（Access Control List，访问控制列表） 是路由器接口的指令列表 ， 用来控制端口进出的数据包 。 ACL适用于所有的路由协议，如IP、IPX、AppleTalk等 。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。访问控制列表使用包过滤技术，在 路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口 等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的，该技术初期仅在路由器上支持，现在已经支持三层交换机和二层交换机。ACL的定义是基于每一种协议的，如果路由器接口配置成为支持三种协议（IP、AppleTalk以及IPX）的情况，那么用户必须定义三种ACL来分别控制这三种协议的数据包。 ACL可以限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定数据包的优先级。 ACL提供对通信流量的控制手段。例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。 ACL是提供网络安全访问的基本手段。ACL允许主机A访问网络，而拒绝主机B访问。 ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞 。例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。 注意，并不是越多ACL就越好，因为ACL会消耗路由器的资源，影响路由器的性能