第7章路由技术课件

第第7 7章章 路由技术路由技术7.1广域网技术概述7.2IP子网间的路由技术7.3访问控制列表7.4网络地址转换（NAT）技术7/12/20242服务供应商服务供应商 企业网络拓扑结构企业网络拓扑结构7/12/202431 点对点链路点对点链路2 电路交换电路交换3 虚拟电路虚拟电路服务供应商服务供应商服务供应商服务供应商 7.1.2 广域网接入技术广域网接入技术分类分类数据报 数据流每次会话建立一条专用物理电路SVC PVC4 包交换包交换采用统计利用技术实现电路共享 ATM/帧中继/X.257/12/202447.1.3 广域网设备广域网设备1广域网交换机工作在OSI的数据链路层，对帧中继，X.25以及SMDS等数据流量进行操作交换式多兆位数据服务（SDMS）是基于数据报的高速分组交换WAN技术,主要用于公用数据网络的通信。SMDS可以采用光纤介质或铜介质，另外，SMDS的数据单元比较大，可以包容IEEE802.3、IEEE802.5和FDDI的帧。7/12/202457.1.3 广域网设备广域网设备2接入服务器7/12/202467.1.3 广域网设备广域网设备3调制解调器4CSU/DSU信道服务单元（CSU）/数据服务单元（DSU）数据终端设备到数据通信设备的复用器功能：信号再生，线路调节，误码纠正，信号管理，同步和电路测试等5ISDN终端适配器6路由器(Router)7/12/20247服务供应商服务供应商 广域网接入广域网接入常见的常见的DTE与与DCE之间的连接标准之间的连接标准 EIA/TIA-232 V.35DTE(数据终端设备数据终端设备)DCE(数据通讯设备数据通讯设备)7/12/202487.1.4 7.1.4 广域网中的数据链路层协议广域网中的数据链路层协议l定义数据如何封装和传输定义数据如何封装和传输l包括点对点，多点和多路访问交换服务所包括点对点，多点和多路访问交换服务所设计的协议设计的协议1.点到点协议（PPP）2.高级数据链路控制（HDLC）协议 3.帧中继（Frame Relay）7/12/20249专线专线电路交换电路交换分组交换分组交换HDLC,PPPPPP,HDLCX.25,F-R服务供应商服务供应商服务供应商服务供应商7.1.4 7.1.4 广域网中的数据链路层协广域网中的数据链路层协议议7/12/202410F.R网络的组成网络的组成FRSFRSFRSFRS网桥网桥CSU/DSURouterRouter广域网广域网PSTN,X.25,DDNRouter帧中继在帧中继在这里工作这里工作HostBridgeLANLANLAN7/12/202411TCP/IPIPX/SPXPPPSLIPHDLCAppleTalk HDLC,SLIP协议 只支持异步传输方式 只支持IP协议 没有验证机制 PPP协议 支持同异步传输方式 采用NCP协议（如IPCP、IPXCP），支持更多的网络层协议 具有验证协议CHAP、PAP，更好了保证了网络的安全性7.1.4 7.1.4 广域网中的数据链路层协议广域网中的数据链路层协议7.1.5 点对点协议点对点协议(PPP)lPPP是SLIP（Serial Line Interface protocol）的继承者l同步和异步电路实现路由器到路由器和主机到网络（host-to-network）的连接。lPPP能支持差错检测，支持各种协议，在连接时IP地址可复制，具有身份验证功能，可以以各种方式压缩数据、支持动态地址协商、支持多链路捆绑 lPPP协议是目前使用最广泛的广域网协议 7/12/202413PPPPPP的的特性特性 （1）能够控制数据链路的建立；（2）能够对IP地址进行分配和使用；（3）允许同时采用多种网络层协议；（4）能够配置和测试数据链路；（5）能够进行错误检测；（6）有协商选项，能够对网络层的地址和数据压缩等进行协商。7/12/202414PPP的功能的功能（1）PPP采用高级数据链路控制（HDLC）作为在点对点的链路上封装数据报的基本方法。（2）链路控制协议LCP（Link Control Protocol）用于启动线路、测试、任选功能的协商及关闭连接。（3）网 络 控 制 协 议 NCP（Network Control Protocol）用来建立和配置不同的网络层协议。PPP协议允许同时采用多种网络层协议，如IP协议、IPX协议和DECnet协议。PPP协议使用NCP对多种协议进行封装。7/12/202415(EIA/TIA-232、449、520,V.21V.24,V.35,ISDN)LCP(连接控制协议连接控制协议)NCP(网络控制协议网络控制协议)OSI21(IP,IPX,AppleTalk)3PPP协议结构协议结构BCPIPCPIPXCP1,同步2,异步3 3，PPPPPP会话建立的过程会话建立的过程 l链路的建立和配置协调链路的建立和配置协调 通信的发起方发送通信的发起方发送LCP帧来配置和检测数据链路，主要来配置和检测数据链路，主要用于协商选择将要采用的用于协商选择将要采用的PPPPPP参数，包括身份验证、压缩、参数，包括身份验证、压缩、回叫、多链路等。回叫、多链路等。l链路质量检测：链路质量检测：在链路建立、协调之后，这一阶段是可选的在链路建立、协调之后，这一阶段是可选的 l网络层协议配置协调网络层协议配置协调 通信的发起方发送通信的发起方发送NCP帧以选择并配置网络层协议。配以选择并配置网络层协议。配置完成后，通信双方可以发送各自的网络层协议数据报。置完成后，通信双方可以发送各自的网络层协议数据报。l关闭链路关闭链路 通信链路将一直保持到通信链路将一直保持到LCPLCP或或NCPNCP帧关闭链路帧关闭链路 7/12/202417PAP or CHAP认证认证AuthenticationPSTN/ISDNPSTN/ISDN回拨回拨Callback压缩压缩Compression多链路捆绑多链路捆绑Multilink包包BundleData链路的建立和配置协调阶段中的链路的建立和配置协调阶段中的PPP LCP选项选项实例：PCPC终端首先通过调制解调器呼叫远程访问服务器终端首先通过调制解调器呼叫远程访问服务器1.PC终端首先通过调制解调器呼叫ISP的路由器。当路由器上的远程访问模块应答了这个呼叫后，就建立起一个初始的物理连接 2.两端开始传送一系列经过PPP封装的LCP分组。如果有一方要求认证，接下来就开始认证过程 3.如果认证失败，如错误的用户名、密码，则链路被终止，双方负责通信的设备或模块（如用户端的调制解调器或服务器端的远程访问模块）将关闭物理链路回到空闲状态。如果认证成功，通信双方开始交换一系列的NCP分组来配置网络层 4.如果网络层使用的是IP协议，此过程是由IPCP完成的。当NCP配置完成后，双方的逻辑通信链路就建立好了，双方可以开始在此链路上交换上层数据。5.当数据传送完成后，一方会发起断开连接的请求。这时，首先使用NCP来释放网络层的连接，归还IP地址，然后利用LCP来关闭数据链路层连接，最后，双方的通信设备或模块关闭物理链路回到空闲状态。7/12/2024194 4，PAPPAP和和CHAPCHAP原理原理 lPPP提供了两种可选的身份认证方法：1.口令验证协议（Password Authentication Protocol，PAP）2.挑战握手协议（Challenge Handshake Authentication Protocol，CHAP）7/12/202420身份认证：PAPlPAPPAP是是一一个个简简单单的的、实实用用的的身身份份验验证证协协议议，PAPPAP认认证证进进程程只只在在双双方方的的通通信信链链路路建建立立初初期期进进行行。如如果果认认证证成成功功，在在通通信信过过程程中中不不再再进进行行认认证证。如如果果认认证失败，则直接释放链路。证失败，则直接释放链路。l当双方都封装了当双方都封装了PPPPPP协议且要求进行协议且要求进行PAPPAP身份认证，身份认证，同时它们之间的链路在物理层己激活后，认证客同时它们之间的链路在物理层己激活后，认证客户端（被认证一端）会不停地发送身份认证请求，户端（被认证一端）会不停地发送身份认证请求，直到身份认证成功。当认证客户端路由器发送了直到身份认证成功。当认证客户端路由器发送了用户名或口令后，认证服务器会将收到的用户名用户名或口令后，认证服务器会将收到的用户名和口令与本地数据库中的口令信息比较，如果正和口令与本地数据库中的口令信息比较，如果正确则身份认证成功，否则认证失败。确则身份认证成功，否则认证失败。7/12/202421身份认证：PAP（二次握手）PAPPAP认证过程程经过了两个了两个阶段，通常称段，通常称为两次握手两次握手 阶阶段段1 1：被被验验证证方方（远远端端路路由由器器）发发送送用用户户名名和和口口令令到到验验证方证方阶阶段段2 2：验验证证方方（中中心心路路由由器器）对对用用户户名名和和口口令令进进行行认认证证，根据结果返回接受或拒绝认证请求的信息。根据结果返回接受或拒绝认证请求的信息。PAPPAP认认证证可可以以在在一一方方进进行行，即即由由一一方方认认证证另另一一方方的的身身份份，也也可可以以进进行行双双向向身身份份认认证证。这这时时，要要求求被被认认证证的的双双方方都都要要通通过过对对方方的的认认证证程程序序，否否则则，无无法法建建立立二二者者之之间间的的链链路。路。PAPPAP的弱点是用户的用户名和密码是明文发送的，有可能的弱点是用户的用户名和密码是明文发送的，有可能被协议分析软件捕获而导致安全问题。但恰恰是这样，被协议分析软件捕获而导致安全问题。但恰恰是这样，认证只在链路建立初期进行，因此节省了宝贵的链路带认证只在链路建立初期进行，因此节省了宝贵的链路带宽。宽。7/12/202422ClientServerHostname:wzPassword:hyper123 username wzpassword hyper123 Request(username,password)Auth NakPPP PAP验证验证Auth Ack两次握手协议明文方式进行验证身份认证：CHAPlCHAPCHAP认认证证比比PAPPAP认认证证更更安安全全，因因为为CHAPCHAP不不在在线线路路上上发发送送明明文文密密码码，而而是是发发送送经经过过摘摘要要算算法法加加工工过过的的随随机机序序列列，也也被被称称为为“挑挑战战字字符符串串”。同同时时，身身份份认认证证可可以以随随时时进进行行，包包括括在在双双方方正正常常通通信信过过程程中中。因因此此，非非法法用用户户就就算算截截获获并并成成功功破破解解了了一一次次密密码码，此此密码也将在一段时间内失效。密码也将在一段时间内失效。lCHAPCHAP对对系系统统要要求求很很高高，因因为为需需要要多多次次进进行行身身份份质质询询、响响应应。这这需需要要耗耗费费较较多多的的CPUCPU资资源，因此只用在对安全要求很高的场合。源，因此只用在对安全要求很高的场合。7/12/202424身份认证：CHAP（三次握手）CHAP认证过程经过了三个阶段，通常称为三次握手：l阶段1：当被验证方（远端路由器）向验证方（中心路由器）发送用户名做请求连接后，验证方向被验证方发送一串随机字符（“挑战”阶段）l阶段2：被验证方利用口令和MD5算法，对随机字符串进行加密产生密文，并将密文发送给验证方（“回应”阶段）l阶段3：验证方利用同样的方式对随机字符串进行加密产生密文，并将它与接收到的密文进行比较，然后根据比较结果接受或拒绝连接请求，若比较结果一致则接受，否则拒绝。7/12/202425ClientServerHostname:wzPassword:hyper123 username wzpassword hyper123 Challenge挑战字符串挑战字符串ResponseSuccessPPP CHAP验证验证FailureCHAP为三次握手协议只在网络上传输用户名，而并不传输口令安全性要比PAP高，但认证报文浪费带宽第一步第一步定义接口封装类型定义接口封装类型:Router(config-if)#encapsulation ppp第二步第二步定义本地数据库定义本地数据库:Router(config)#username username password passwordPPP认证配置认证配置第三步第三步定义定义PAP认证认证:Router(config-if)#ppp authentication pap Router(config-if)#ppp pap sent-username username password password定义定义CHAP认证认证:Router(config-if)#ppp authentication chap Router(config-if)#ppp chap hostname usernameRouter(config-if)#ppp chap password passwordPPP认证配置认证配置ISDN/PSTNhostname leftusername right password right1int bri 0encapsulation pppppp authentication PAPip add 10.0.0.1 255.255.255.0ppp pap sent-username leftpassword left1hostname rightusername left password left1int bri 0encapsulation pppppp authentication PAPip add 10.0.0.2 255.255.255.0ppp pap sent-username rightpassword right1PPP PAP认证配置实例认证配置实例ISDN/PSTNUsername right password starnethostname R1int serial 0 encapsulation ppp ppp authentication CHAP ppp chap hostname left ppp chap password starnetPPP CHAP认证配置实例认证配置实例Username left password starnethostname R2int serial 0 encapsulation ppp ppp authentication CHAP ppp chap hostname right ppp chap password starnetRouter#show interfaces serial PPP认证的调试认证的调试Router#debug ppp authentication7.2IP子网间的路由技术7.2.1 什么是路由什么是路由7.2.2 路由算法路由算法7.2.3 设计目标设计目标7.2.4 路由协议路由协议7.2.5 静态路由静态路由7.2.6 缺省路由缺省路由7.2.7 动态路由动态路由7.2.8 RIP路由信息协议路由信息协议7/12/202432CERNET拓扑图7/12/202433北京北京北京北京CernetCernet主节点主节点主节点主节点网络实训室通过校园网访问网络实训室通过校园网访问网络实训室通过校园网访问网络实训室通过校园网访问陈瑞球楼通过沙湾电信访问陈瑞球楼通过沙湾电信访问陈瑞球楼通过沙湾电信访问陈瑞球楼通过沙湾电信访问7/12/2024347.2.1什么是路由l路路由由:是把信息从源穿过网络传递到目的地行为是把信息从源穿过网络传递到目的地行为 l路由的两个动作路由的两个动作:确定最佳路径和数据转发确定最佳路径和数据转发1.路径选择路径选择度量值度量值(Metric)下一跳下一跳 目的网络目的网络2.数据转发数据转发 不是同一网络的数据包总是发送给路由器根据两个地址转发:下一跳路由器的MAC地址 目的主机的IP协议地址3.端系统（端系统（ES-end system）4.中介系统（中介系统（IS-intermediate system）域内域内IS（intradomain IS）和域间和域间IS（interdomain IS）7/12/2024357.2.2路由算法l路由算法使用许多不同的metricmetricmetricmetric以确定最佳路径l常用的metric如下：1 路径长度 2 可靠性 3 延迟 4 带宽 5 负载 6 通信代价 7/12/2024367.2.3设计目标路由算法通常具有下列设计目标的一个或多个：1优化 2 简单、低耗 3 健壮、稳定 4 快速聚合 5 灵活性 7/12/2024377.2.4路由协议l路由协议（Routing Protocol）：用于路由器动态寻找网络最佳路径，保证所有路由器拥有相同的路由表，一般路由协议决定数据包在网络上的行走路径。RIP、IGRP、EIGRP、OSPF、IS-IS、EGP、BGP l路由协议通过提供共享路由选择信息的机制来支持可路由协议 l路由协议消息在路由器之间传送，路由协议允许路由器与其他路由器通信来修改和维护路由选择表。7/12/2024387.2.4路由协议1 Routed Protocol（可被路由的协议）IP、DECnet、AppleTalk、Novell NetWare 2 路由动作包括:寻址和转发3 路由表 在路由器的内部都有一个路由表，这个路由表中包含有该路由器知道的目的网络地址以及通过此路由器到达这些网络的最佳路径，如某个接口或下一跳的地址，正是由于路由表的存在，路由器可以依据它进行转发。7/12/2024397.2.4路由协议4 路由选择算法 必须启动并维护包含路由信息的路由表，其中路由信息依赖于所用的路由选择算法却不尽相同。路由选择算法将收集到的不同信息填入路由表中，并根据路由表可将目的网络与下一站（nexthop）的关系告诉路由器。5 路由器就是互联网中的中转站 7/12/2024407.2.4路由协议6 Router（路由器）可以路由数据包,必须至少知道以下状况：1)目标地址（destination address）2)可以学习到远端网络状态的邻居router 3)到达远端网络的所有路径 4)到达远端网络的最佳路径 5)如何保持和验证路由信息 7/12/2024417.2.4路由协议7 典型的路由选择方式有两种：静态路由和动态路由 1)动态路由与静态路由发生冲突时，以静态路由为准2)路由器中进行寻径时，路由器首先查找静态路由，如果查到则根据相应的静态路由转发分组；否则再查找动态路由。7/12/2024427.2.5静态路由l静态路由是指由网络管理员手工配置 l静态路由的路由器之间没有必要进行路由信息的交换 l动态路由因为需要路由器之间频繁地交换各自的路由表，而对路由表的分析可以揭示网络的拓扑结构和网络地址等信息，因此存在一定的不安全性，而静态路由不存在这样的问题，故出于安全方面的考虑也可以采用静态路由。l大型和复杂的网络环境通常不宜采用静态路由 7/12/2024437.2.5静态路由点对点或电路交换连接ABNetwork 1只有一个网络连接没有必要进行路由信息的更改7/12/202444router(config)#ip route 网络编号网络编号 子网掩码子网掩码 转发路由器的转发路由器的IP地址地址/本地接口本地接口 配置静态路由配置静态路由 ip route静态路由的一般配置步骤静态路由的一般配置步骤1.1.为为每每条条链链路路确确定定地地址址（包包括括子子网网地地址址和和网网络络地地址）址）2.2.为每个路由器为每个路由器,标识非直连的链路地址标识非直连的链路地址3.3.为每个路由器写出未直连的地址的路由语句为每个路由器写出未直连的地址的路由语句（写出直连地址的语句是没必要的）（写出直连地址的语句是没必要的）router(config)#ip route 172.16.1.0 255.255.255.0 172.16.2.1或或 router(config)#ip route 172.16.1.0 255.255.255.0 serial 0172.16.2.1S0172.16.1.0B172.16.2.2网络网络AB10.0.0.0 静态路由配置实例静态路由配置实例删除静态路由用命令删除静态路由用命令no no ipip route routerouter（config）#no ip route 网络编号网络编号 子网掩码子网掩码 7/12/202446172.16.2.1SO172.16.1.0B172.16.2.2网络网络AB0.0.0.0router(config)#ip route 0.0.0.0 0.0.0.0 172.16.2.2 7.2.6缺省（默认）路由缺省（默认）路由Internet 上上 大约大约99.99%的路由器上都存在一条的路由器上都存在一条缺省路由缺省路由!缺省路由一般使用在缺省路由一般使用在stubstub网络中（称末端或存根网网络中（称末端或存根网络），络），stubstub网络是只有网络是只有1 1条出口路径的网络。条出口路径的网络。所有未明确指明目标网络的数据包都按缺省路由进行转发。7/12/2024477.2.7动态路由l动态路由是指路由器能够自动地建立自己动态路由是指路由器能够自动地建立自己的路由表，并且能够根据实际情况的变化的路由表，并且能够根据实际情况的变化适时地进行调整。适时地进行调整。7/12/2024487.2.7动态路由l动态路由机制的运作依赖路由器的两个基本功能：对路由表的维护，路由器之间适时的路由信息交换。路由协议路由协议路由协议路由协议路由信息表路由信息表路由信息表路由信息表路由器路由器1路由器路由器27/12/202449动态路由协议的分类路路由由协协议议IGPEGP链路状态协议（链路状态协议（OSPF,IS-IS）距距离离矢矢量量协协议议（RIPv1,RIPv2,IGRP,EIGRP）EGP（外部网关协议）外部网关协议）BGP（边界网关协议）边界网关协议）外外部部网网关关协协议议：在在自自治治系系统统之之间间交交换换路路由由选选择择信息的互联网络协议，如信息的互联网络协议，如BGPBGP。内内部部网网关关协协议议：在在自自治治系系统统内内交交换换路路由由选选择择信信息息的的路路由由协协议议，常常用用的的因因特特网网内内部部网网关关协协议议有有OSPFOSPF、RIPRIP。7/12/202450动态路由协议的分类1 1，距离矢量路由协议，距离矢量路由协议2 2，链路状态路由协议，链路状态路由协议 OSPFOSPF：开放式最短路径优先（开放式最短路径优先（Open Shortest Open Shortest Path FirstPath First）是一种链路状态路由协议。每一个是一种链路状态路由协议。每一个OSPFOSPF路由器都维护一个相同的网络拓扑数据库，路由器都维护一个相同的网络拓扑数据库，从这个数据库中，可以构造一个最短路径树来计从这个数据库中，可以构造一个最短路径树来计算路由表。算路由表。OSPFOSPF的收敛速度比的收敛速度比RIPRIP要快，而且在更要快，而且在更新路由信息时，产生的流量也较少。为了管理大新路由信息时，产生的流量也较少。为了管理大规模的网络，规模的网络，OSPFOSPF采用分层的连接结构，将自治采用分层的连接结构，将自治系统分为不同的区域，以减少路由重计算的时间。系统分为不同的区域，以减少路由重计算的时间。7/12/2024517.2.8RIPlRIP（RoutingInformationProtocols，路由信息协议）l是典型的距离矢量协议，通过计算抵达目的地的最少跳数（hop）来选取最佳路径 l路由器每30秒相互发送广播信息 lRIP协议的跳数最多计算到15跳 l网络上的路由器在一条路径不能用时必须经历决定替代路径的过程，这个过程称为收敛lRIP收敛时间长7/12/2024527.2.8RIPlRIP协议的原始版本（版本1，即RIPv1）不能应用VLSM，因此不能分割地址空间以最大效率地应用有限的IP地址。RIP协议的后来版本（版本2，即RIPv2）通过引入子网屏蔽与每一路由广播信息一起使用实现了这个功能。l路由协议还应该能防止数据包进入循环，或落入路由选择循环，这是由于多余连接影响网络的问题。RIP协议假定如果从网络的一个终端到另一个终端的路由跳数超过15个，那么一定牵涉到了循环，因此当一个路径达到16跳，将被认为是达不到的。显然，这限制了RIP协议在网络上的使用。7/12/2024537.2.8RIPlRIPRIP协议设计用于使用同种技用于使用同种技术的中小型网的中小型网络，适用于大多数的校园网和使用速率，适用于大多数的校园网和使用速率变化不是很大的化不是很大的连续性的地区性网性的地区性网络 lRIPRIP的路由信息都封装在的路由信息都封装在UDPUDP的数据的数据报中，中，RIPRIP在在UDPUDP的的520520端口上端口上 7/12/2024547.2.8RIPl 路由更新 早期的RIP路由协议中路由的更新是通过定时广播实现的。缺省情况下，路由器每隔30秒向与它相连的网络广播自己的路由表，接到广播的路由器将收到的信息添加至自身的路由表中。每个路由器都如此广播，最终网络上所有的路由器都会得知全部的路由信息。正常情况下，每30秒路由器就可以收到一次路由信息确认，如果经过180秒，即6个更新周期，一个路由项还没有得到确认，路由器就认为它已失效了。如果经过240秒，即8个更新周期，路由项仍没有得到确认，它就被从路由表中删除。上面的30秒，180秒和240秒的延时都是由计时器控制的，它们分别是更新计时器（UpdateTimer）、无效计时器（InvalidTimer）和刷新计时器（FlushTimer）。7/12/2024551.启用启用 RIP进程进程router(config)#router riprouter(config-router)#2.配置配置network命令命令router(config-router)#network 含义含义:1.公布属于该主类的子网公布属于该主类的子网 2.包含在该主类内的接口发送接收路由信息包含在该主类内的接口发送接收路由信息3.指定指定RIP版本版本router(config-router)#VERSION 1|2 配置配置 RIP7/12/202456配置举例在路由器Router1上的RIP配置如下：1.启用 RIP进程router（config）#router rip2.配置network命令 router（config-router）#network 172.16.0.07/12/202457验证验证 RIP的配置的配置router#show ip protocols显示路由表的信息显示路由表的信息router#show ip route清除清除 IP路由表的信息路由表的信息router#clear ip route*在控制台显示在控制台显示 RIP的工作状态的工作状态router#debug ip rip RIP的调试的调试7/12/202458RIP的缺陷1.过于简单，以跳数为依据计算度量值，经常得出非最优路由；2.度量值以16为限，不适合大的网络；3.性能差，接受来自任何设备的路由更新；4.支持无类IP地址和VLSM（Variable Length Subnet Mask，变长子网掩码）；5.收敛缓慢，时间经常大于5分钟；6.带宽很大。7/12/2024597.3访问控制列表l访问控制列表（access control lists），也称为访问列表（access lists），在有的文档中还称之为包过滤，是通过定义一些准则对经过路由器接口上的数据报文进行控制：转发或丢弃。l基本访问控制列表包括标准访问控制列表和扩展访问控制列表 l高级访问控制列表（动态访问控制列表）7/12/2024607.3访问控制列表l为什么要配置访问列表 限制路由更新 限制网络访问 l什么时候配置访问列表 l访问列表编号列表要指定一个唯一的名称或编号，以便在协议内部能够唯一标识每个访问列表 标准编号为：1-99扩展编号为：100-1997/12/2024617.3基本访问控制列表配置准则1 基本准则l典型准则主要有以下：源地址 目标地址 上层协议 l标准IP访问列表（199）主要是根据源地址来进行转发或阻断分组的，扩展IP访问列表（100199）使用以上三种组合来进行转发或阻断分组的。7/12/2024627.3基本访问控制列表配置准则2 隐含“拒绝所有数据流”准则语句典型准则 在每个访问列表的末尾隐含着一条“拒绝所有数据流”准则语句，因此如果分组与任何准则都不匹配，将被拒绝。3.输入准则语句的顺序 加入的每条准则都被追加到访问列表的最后，语句被创建以后，就无法单独删除它，而只能删除整个访问列表。所以访问列表语句的次序非常重要。路由器在决定转发还是阻断分组时，路由器按语句创建的次序将分组与语句进行比较，找到匹配的语句后，便不再检查其他准则语句。假设创建了一条语句，它允许所有的数据流通过，则后面的语句将不被检查。7/12/2024637.4 7.4 网络地址转换（网络地址转换（NATNAT）lNAT最初的目的也是通过允许较少的公用IP地址代表多数的专有IP地址来减缓IP地址空间枯竭的速度l在RFC3022中描述的IP地址转换操作扩展了RFC1631介绍的地址转换，包括了一类的网络地址和TCP/UDP端口转换。7/12/202464用用NATNAT实现实现PC1PC1访问访问PC2PC27/12/202465 NAT技术的双向性技术的双向性 Packet 1源地址：源地址：192.168.1.100目标地址：目标地址：203.4.5.6Packet 2源地址源地址:203.4.5.6目标地址目标地址:192.168.1.100Packet 1源地址：源地址：202.1.2.3目标地址：目标地址：192.168.2.50Packet 2源地址源地址:192.168.2.50目标地址目标地址:202.1.2.3192.168.1.100192.168.2.50内部内部PC 1PC 2NAT路由器路由器外部外部7/12/202466NAT技术的地址概念lNAT技术把地址分成两大部分，即内部地址和外部地址。l内部地址分为：内部本地（IL,Inside Local）地址内部全局（IG,Inside Global）地址l外部地址分为：外部本地（OL,Outside Local）地址外部全局（OG,Outside Global）地址7/12/202467NATNAT技术的应用技术的应用 lNAT技术中最常用的两种实现模式：静态NAT和动态NATl静态NAT是建立内部本地地址和内部全局地址的一对一的永久映射。当外部网络需要通过固定的全局可路由地址访问内部主机时，静态NAT就显得十分重要l动态NAT是建立内部本地地址和内部全局地址池的临时对应关系，如果经过一段时间，内部本地地址没有向外的请求或者数据流，该对应关系将被删除。7/12/202468内部源地址NAT的过程7/12/2024697.4.2网络地址端口转换（NAPT）NAPT则是把内部地址映射到外部网络的一个则是把内部地址映射到外部网络的一个IP地地址的不同端口上址的不同端口上 NAPT普遍应用于接入设备中，它可以将中小型普遍应用于接入设备中，它可以将中小型的网络隐藏在一个合法的的网络隐藏在一个合法的IP地址后面。地址后面。NAPT与与动态地址动态地址NAT不同，它将内部连接映射到外部不同，它将内部连接映射到外部网络中的一个单独的网络中的一个单独的IP地址上，同时在该地址地址上，同时在该地址上加上一个由上加上一个由NAT设备选定的设备选定的TCP端口号端口号 7/12/202470NAPT类型l静态静态NAPTNAPT 需要向外网络提供信息服务的主机需要向外网络提供信息服务的主机 永久的一对一永久的一对一“IP地址地址+端口端口”映射关系映射关系 l动态动态NAPTNAPT 只访问外网服务，不提供信息服务的主机只访问外网服务，不提供信息服务的主机 临时的一对一临时的一对一“IP地址地址 端口端口”映射关系映射关系 7/12/202471内部网络内部网络NAPT的整个过程的整个过程 7/12/202472