网段

实验内容 配置ACL禁止192.168.3.0/24网段的icmp协议数据包通向与192.168.1.0/24网段 配置ACL禁止特点的协议端口通讯： 禁止192.168.2.10访问web（禁止网段与禁止单个之间的区别） 禁止192.168.2.20访问DNS ACL（访问控制列表）介绍 应用在路由器接口的指令列表 指定哪些数据报可以接收、哪一些需要拒绝 相对网络接口来说，从网络上流入该接口的数据包，为入站数据流。对入站数据流的过滤控制称为入站访问控制。 从网络接口流出的网络数据包，称为出站数据流。出站访问控制是对出站数据流的过滤控制。 路由器配置（图形界面配置） 首先关闭路由器电源，向路由器中配置两个高速串口 WIC-2T 开启路由器电源，并连接线路 接下来配置路由器端口网段,注意Port Status 选择on，设置速率匹配 设置默认网关，即路由器与主机网段的接口，注意网关应该与主机所在网段在一个网段 主机和服务器配置 设置PC主机的IP地址，子网掩码，网关和DNS服务地址 域名服务器配置 注意在这里要开启DNS服务 服务器配置 配置RIP协议 在路由器上配置rip协议，就是将路由器相邻的网段配置到路由器里 添加rip协议的命令： router rip Network w.x.y.z 注意：如果不是C类网段，可能需要使用version 2模式，宣告路由信息时携带子网掩码

ACL（访问控制列表）是应用在路由器接口的指令列表。这些指令列表用来告诉路由器，那些数据包可以接收，那些数据包需要拒绝。 基本原理为：ACL使用包过滤技术，在路由器上读取OSI七层模型的第三层及第四层包头中的信息，如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则，对包进行过滤，从而达到访问控制的目的。 ACL通过在路由器接口处控制数据包是转发还是丢弃来过滤通信流量。 路由器根据ACL中指定的条件来检测通过路由器的数据包，从而决定是转发还是丢弃数据包。 ACL有三种类型： 1、标准ACL：根据数据包的源IP地址来允许或拒绝数据包。标准ACL的访问控制列表号是1~99。 2、扩展ACL：根据数据包的源IP地址、目的IP地址、指定协议、端口和标志来允许或拒绝数据包。扩展ACL的访问控制列表号是100~199. 3、命名ACL允许在标准ACL和扩展ACL中使用名称代替表号。 ACL依靠规则对数据包执行检查，而这些规则通过检查数据包中的指定字段来允许或拒绝数据包。ACL通过五个元素来执行检查，这些元素位于IP头部和传输层头部中。他们分别是源IP地址、目标IP地址、协议、源端口及目标端口。 如果对接口应用了ACL，也就是说该接口应用了一组规则，那么路由器将对数据包应用该组规则进行检查 1、如果匹配了第一条规则，则不再往下检查，路由器将决定该数据包允许通过或拒绝通过。 2

ACL是应用在路由器接口的指令列表，通过这些指令，来告诉路由器哪些数据包可以接收，哪些数据包需要拒绝，基本原理就是：ACL使用包过滤技术，在路由器上读取OSI七层模型的第三层及第四层包头中的信息，如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则，对包进行过滤，从而达到访问控制的目的。 ACL有三种类型： 标准ACL：根据数据包的源IP地址来允许或拒绝数据包，标准ACL的访问列表控制号是1~99。 扩展ACL：根据数据包的源IP地址、目的IP地址、指定协议、端口和标志来允许或拒绝数据包，扩展ACL的访问控制列表号是100~199。 命名ACL允许在标准ACL和扩展ACL中使用名称代替表号。（个人感觉扩展命名ACL规则更为灵活，若没耐心，可直接看文章最后的扩展命名ACL规则的语法）。 创建标准ACL语法： Router(config)#access-list 1~99 { permit | deny } 源网段地址或网段（若源地址为主机，则在地址前面需要加“host”；若源地址为网段，则要在网段地址后面加反掩码，如/24的反掩码就是0.0.0.255。 例如：Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255 #表示为允许192.168.1.0/24网段地址的流量通过 Router(config)#access

什么是ACL？ 访问控制列表简称为ACL，访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提供ACL的支持了。 访问控制列表的原理 对路由器接口来说有两个方向 出：已经经路由器的处理，正离开路由器接口的数据包 入：已经到达路由器接口的数据包，将被路由器处理。 匹配顺序为：“自上而下，依次匹配”。默认为拒绝 访问控制列表的类型 标准访问控制列表：一般应用在out出站接口。建议配置在离目标端最近的路由上 扩展访问控制列表：配置在离源端最近的路由上，一般应用在入站in方向 命名访问控制列表：允许在标准和扩展访问列表中使用名称代替表号 访问控制列表使用原则 1、最小特权原则 只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集，只满足部分条件的是不容许通过规则的。 2、最靠近受控对象原则 所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的，只要发现符合条件了就立刻转发，而不继续检测下面的ACL语句。 3、默认丢弃原则 在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY，也就是丢弃所有不符合条件的数据包

实验一 问题描述：用标准ACL实现172.16.1.0网段主机可以访问172.16.3.0网段的主机，172.16.2.0网段主机不能访问172.16.3.0网段的主机。 拓扑图 步骤1：配置各接口地址 Router(config)#hostname Router0 Router0(config)#int s0/0/1 Router0(config-if)#ip add 172.16.2.1 255.255.255.0 Router0(config-if)#clock rate 64000 Router0(config-if)#no sh Router0 (config-if)#exit Router0 (config) #int f0/1 Router0 (config-if)#ip add 172.16.1.1 255.255.255.0 Router0 (config-if)#no sh Router0 (config-if)#exit Router(config)#hostname Router1 Router1(config)#int f0/1 Router1(config-if)#ip add 172.16.3.1 255.255.255.0 Router1(config-if)#no sh Router1(config-if)#exit Router1(config)

实验报告 RIP路由实验五 一、实验小组拓扑 (VI) 二、实验准备 1、路由器网络地址方案设计 2、PC机设置方案 三、实验内容 根据要求，我们按照拓扑结构和路由协议进行了子网划分而且子网掩码的长度一致，设置了9个网段（200.10.10.16,200.10.10.32,200.10.10.48,200.10.10.64,200.20.20.80,200.10.10.96,200.10.10.112,200.10.10.128,200.10.10.144），测试网络连通性实验过程如下（这里以路由c、d和主机6-3、6-4的操作为演示）： 1. 为各个网段、路由器的各个接口（e0,e1,e2）设置ip地址（路由器有a,b,c,d,e 共5个），配置rip1协议，并使能各个网段。 2.内网-本机IP设置ip地址和缺省网关（对第二个网卡进行设置） 3.查看路由c 路由表 4.基本访问控制列表-禁止主机c(IP 200.10.10.67)通过e1 e2端口（即不能访问主机d 200.10.10.30） 设置之前，主机c可以ping 通 主机 d 创建禁止200.10.10.67通过控制列表2002，并应用于路由d端口e1 e2 创建基本的访问控制列表和设置过程如下 设置好之后，主机c 不能ping 通 主机 d 5. 基本访问控制列表-禁止网段200.10.10.16/28通过e1

RIP动态路由选择协议 routing information protocol IGP 小范围 路由器限制为15台 超过可能无法收敛 收敛概念 在一个域内 各个路由器知道各个网段的链路信息 接口 彼此学习 同步过程 称为收敛 好的路由选择协议收敛快 反之收敛慢 rip为30s 最差的路由选择协议 贝尔曼福特 DV 宣告 一个域内多个路由器的多个接口都需要宣告 所有宣告接口的 直连路由 ， 通过RIP学习到的 已经加入路由表的RIP路由 被发送 路由器收到且更新 默认30s一次 RIPV1：有类路由协议 flsm 固定等长子网掩码 RIPV2：无类路由选择协议 同时支持flsm和vlsm 等长和不等长的子网掩码 RIP OVERVIEW RIP 判断路径好坏用 跳数 跳数值越少 越好 但事实并不是 如果两条路径度量值一样 都最小 则两条都加入到路由表中并行工作 负载 rip支持ecmp 等价负载均衡 rip默认最多支持4条等价路径 设置最大为16 比较管理距离 再比较度量值 将度量值最小的路径加入到路由表中 计时器默认为30s ripv2 passive-interface 被动接口 -------宣告此接口运行rip协议 但是不发送更新报文 直连的pc端接口就不会处理无用的报文 路由汇总 -----减小路由条目 且不影响转发效率 减小路由检索的时间 rip v1不支持手工汇总

1、什么是ip地址 在网络中，所有的设备都会被分配一个地址。这个地址就相当于某条路上的XX号XX室。其中【号】对应的号码是分配了整个子网的，而【室】对应的号码是分配给子网中的计算机的，这就是网络中的地址。【号】对应的号码称为网络号，【室】对应的号码称为主机号，这个地址的整体称为IP地址。通过这个IP地址我们可以找到服务器的位置。 2、IP地址的格式 因为人类依赖十进制，所以这里的IP地址用十进制的方式表示 要让机器识别，还是得转为二进制 (十进制IP地址) 14.145.184.184 (二进制IP地址) 00001110 . 10010001 . 10111000 . 10111000 这种IP方式的表示方法，叫做IPV4，就是通过4*8=32位来表示每个IP地址 这样的话，一共有多少个IP地址呢？ 最小地址 00000000 00000000 00000000 00000000 也就是 0.0.0.0 最大地址 11111111 11111111 11111111 11111111 也就是 255.255.255.255 IPV4的方式，最多可以表示 255 * 255 * 255 * 255 = 4228250625 个ip地址 = 40亿，目前已经用完了 3、私有IP 为了解决公网IP地址不足的情况，于是发明了 私有IP （Private IP） 比如一个家庭（公司

公网ip ： 11. 0 . 0 . 0 子网掩码 ：255. 0. 0. 0 网络部分（网段） 主机部分 来源： https://www.cnblogs.com/xiaohan970121/p/11960554.html

同一个VLAN中的用户间通信就和在一个局域网内一样，同一个VLAN中的广播只有VLAN中的 成员才能听到，而不会传输到其他的VLAN中去，从而控制不必要的广播风暴的产生。同时， 若没有路由，不同VLAN之间不能相互通信，从而提高了不同工作组之间的信息安全性。网络 管理员可以通过配置VLAN之间的路由来全面管理网络内部不同工作组之间的信息互访。VLAN最大的好处是可以隔离冲突域和广播域，试想，如果一个局域网内有上百台主机，如果一旦产生广播风暴，那麼，这个网络就会被彻底的瘫痪。 可以通过vlan还划分广播与，这样使得广播被限制在每一个vlan里面，而不会跨VLAN传播。 另一方面，之所以要划分vlan，而不用你说的划分子网。通常局域网内使用的设备是交换机，并且大部分是二层的，其本身就在一个局域网内，不划分vlan是不可能同时存在一个以上的网段的。 不同vlan之间的成员在没有三层路由的前提下是不能互访的，这也是一种安全的考虑。 另外一个好处就是管理灵活，当一个用户需要切换到另外一个网络时，只需要更改switch的vlan划分即可，而不用换端口和连线。 举个简单的例子，你们公司有2个办公地点，但是每个地点都只有几个人，但是这几个人都分别属於不同的部门，由於每个二层交换机只能提供一个网段，所以按你说的划分不同网段来实现的话，你们有几个部门就需要提供几个交换机，但是如果通过vlan来实现