資源描述:
《cisco認(rèn)證教材中文版——ccna學(xué)習(xí)指南009》由會員上傳分享�,免費在線閱讀����,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫�。
1、Cisco認(rèn)證教材中文版——CCNA學(xué)習(xí)指南009本文由biluowukai貢獻(xiàn)pdf文檔可能在WAP端瀏覽體驗不佳��。建議您優(yōu)先選擇TXT,或下載源文件到本機查看���。下載第9章用訪問列表管理基本通信量認(rèn)證目標(biāo)9.01標(biāo)準(zhǔn)IP訪問列表9.02擴(kuò)展IP訪問列表9.03命名訪問列表9.04標(biāo)準(zhǔn)IPX訪問列表9.05IPXSAP過濾9.06AppleTalk訪問列表數(shù)據(jù)包過濾用來控制跨越網(wǎng)絡(luò)的數(shù)據(jù)流.通過實現(xiàn)它,可以限制網(wǎng)絡(luò)通信量,限制網(wǎng)絡(luò)訪問到特定的用戶和設(shè)備.在Cisco路由器上,可通過使用訪問列表來執(zhí)行數(shù)據(jù)包過濾.訪問列表可
2����、用來控制網(wǎng)絡(luò)上數(shù)據(jù)包的傳遞,限制虛擬終端線路的通信量或者控制路由選擇更新.對于每個訪問列表,你可以輸入規(guī)則來允許或者禁止數(shù)據(jù)包,訪問列表用號碼來標(biāo)識.對一個表的所有語句必須使用相同的號碼.使用什么號碼可由你隨意決定,但必須符合表9-1的范圍,號碼的由你正在應(yīng)用的訪問列表的設(shè)備來決定.標(biāo)星號的協(xié)議是本章中將要討論的,并出現(xiàn)在考試中.本章中將介紹如何創(chuàng)建一個訪問列表,并將其運用到接口和服務(wù)上.表9-1訪問列表的號碼范圍協(xié)IP*擴(kuò)展IP*Ethernet類型碼DECnetXNS擴(kuò)展XNSAppleTalk*Ethernet地址
3���、IPX*擴(kuò)展IPXIPXSAP*議范1~99100~199200~299300~399400~499500~599600~699700~799800~899900~9991000~1099圍9.1認(rèn)證目標(biāo)9.01:標(biāo)準(zhǔn)IP訪問列表IP訪問列表是應(yīng)用于IP地址的允許和禁止規(guī)則的集合.對于每個數(shù)據(jù)包,路由器順序執(zhí)行每個訪問列表中的規(guī)則.如果路由器到達(dá)了訪問列表的底端而沒有找到與該數(shù)據(jù)包相匹配206CCNA學(xué)習(xí)指南下載的語句,則遺棄該數(shù)據(jù)包(這叫作隱式DENYANY).因此,每個訪問列表都必須包含至少一個允許的語句是十分重要的
4、.由于第一個匹配的語句將執(zhí)行,所以順序是十分重要的.CiscoIOS11.1版在訪問列表的語法和執(zhí)行上有顯著的改變,但是它提供了向下兼容性,如果你是從以前的版本升級到11.1版的話,它會自動將訪問列表轉(zhuǎn)化成新的格式.有三種基本的IP訪問列表:標(biāo)準(zhǔn)型,擴(kuò)展型和動態(tài)擴(kuò)展型.標(biāo)準(zhǔn)訪問列表源尋址作為使用規(guī)則.這提供了十分基本的過濾格式.擴(kuò)展訪問列表同時使用源地址和目標(biāo)地址作為過濾,甚至允許用協(xié)議類型來過濾.最后,動態(tài)擴(kuò)展訪問列表通過認(rèn)證過程對每個用戶確定對目標(biāo)的訪問權(quán).路由器使用通配符掩碼(或者稱作反掩碼)與源或目標(biāo)地址一起來分
5、辨匹配的地址范圍.像子網(wǎng)掩碼告訴路由器IP地址的哪一位屬于網(wǎng)絡(luò)號一樣,通配符掩碼告訴路由器為了判斷出匹配,它需要檢查IP地址中的多少位.這個地址掩碼對使我們可以只使用兩個32位的號碼來確定IP地址的范圍.這是十分方便的,因為如果沒有掩碼的話,你不得不對每個匹配的IP客戶地址加入一個單獨的訪問列表語句.這將造成很多額外的輸入和路由器大量額外的處理過程.所以地址掩碼對相當(dāng)有用.你已經(jīng)知道,在子網(wǎng)掩碼中,將掩碼的一位設(shè)成1表示IP地址對應(yīng)的位屬于網(wǎng)絡(luò)地址部分.相反,在訪問列表中將通配符掩碼中的一位設(shè)成1表示IP地址中對應(yīng)的位既
6���、可以是1又可以是0.有時,可將其稱作"無關(guān)"位,因為路由器在判斷是否匹配時并不關(guān)心它們.掩碼位設(shè)成0則表示IP地址中相對應(yīng)的位必須精確匹配.這里有一些在訪問列表可能出現(xiàn)的一些地址掩碼對,你可以看看是如何工作的:124.220.7.00.0.0.255最后的八位位組掩碼是所有的值,所以路由器認(rèn)為這些位上所有的值都匹配.它會試圖精確匹配前三個八位位組.這個掩碼對匹配從124.220.7.0到124.220.7.255的IP地址.193.62.0.00.0.255.255該掩碼的最后兩個八位位組是所有的值,所以路由器認(rèn)為這些位
7�、上所有的值都匹配.也就是說只要IP地址的前兩個八位位組是193.62,則最后兩個八位位組上可以是任何值.這個地址掩碼對將匹配193.62.0.0到193.62.255.255中所有的IP地址.172.16.16.00.0.7.255并不是所有的掩碼在"精確匹配"位和"無關(guān)"位間都有兩個八位位組的邊界.有時,計算什么匹配什么不匹配是十分困難的事.讓我們來看看最后一個例子中第三個八位位組的二進(jìn)制分解:地址位:16=00010000掩碼位:7=00000111可以看出,如果不管掩碼中為1的相對應(yīng)的地址位,這對數(shù)字描述了八種可能
8、的數(shù)字范圍,從16~23.如下所示,可以用二進(jìn)制從16~24來驗證它:=00010000=00010001=00010010=00010011下載=00010100=00010101=00010110=00010111=00011000第9章用訪問列表管理基本通信量207注意,當(dāng)我們數(shù)到24時,地址上的23位從0變成
