網(wǎng)絡技術基礎篇

網(wǎng)絡技術基礎篇熊煒目標網(wǎng)絡傳輸介質二層交換技術路由技術三層交換技術安全技術園區(qū)網(wǎng)絡搭建方案課程議題網(wǎng)絡傳輸介質

網(wǎng)絡傳輸介質-雙絞線線序標準：568A白綠、綠、白橙、蘭、白蘭、橙、白棕、棕568B白橙、橙、白綠、蘭、白蘭、綠、白棕、棕線纜種類交叉線相同設備類型接口使用交叉線直連線不同設備類型接口使用直連線有效線纜長度100米智能MDI/MDIX不需要知道電纜另一端為MDI還是MDIX設備兩種電纜（普通、交叉）都可連接交換機、集線器或NIC設備。消除由于電纜配錯引起的連接錯誤簡化10/100M網(wǎng)絡安裝維護，降低開銷。光纖中心是光傳播的玻璃芯芯外面包圍著一層折射率比芯低的玻璃封套，以使光纖保持在芯內(nèi)。再外面的是一層薄的塑料外套，用來保護封套。光纖分為單模光纖和多模光纖光柱保護層核心線纜保護層光線結構示意圖網(wǎng)絡傳輸介質-光纖網(wǎng)絡傳輸介質-光纖FC－PC型光尾纖接頭外形圖SC－PC型光尾纖接頭外形圖ST-PC型光尾纖接頭外形圖FC/PC－SC/PC型光尾纖外形圖網(wǎng)絡傳輸介質續(xù)常見介質型號型號代表的傳輸介質10Base2細同軸電纜10Base5粗同軸電纜10BaseT雙絞線100BaseTX5類以上雙絞線100BaseFX單模、多模光纖1000BaseTX超5類以上雙絞線1000BaseSX短波多模光纖1000BaseLX長波單、多模光纖課程議題物理層互聯(lián)設備

共享式以太網(wǎng)工作機制CSMA/CD：載波偵聽、多路訪問、沖突檢測聽當PCA要發(fā)一個數(shù)據(jù)包給PCD的時候,首先PCA要先聽HUB的鏈路上是否有數(shù)據(jù)在跑,如果有那么PCA等待,如果沒有那么PCA將數(shù)據(jù)包發(fā)出.這樣的做法是由于HUB上的鏈路是共享的,所以采用了發(fā)數(shù)據(jù)包之前先進行沖突檢測的方法,那么我們稱為CSMA/CD.PCAPCBPCCPCD空閑數(shù)據(jù)聽數(shù)據(jù)現(xiàn)在的情況是PCA和PCC都要發(fā)數(shù)據(jù),但是兩人剛才都檢測到HUB上是空閑的.那么兩人都發(fā).結果發(fā)生了沖突.兩人都同時啟動BACKOFF動作.隨機的生成一個秒數(shù),再發(fā)數(shù)據(jù)包.如果再與其他PC發(fā)送的數(shù)據(jù)包沖突.那么再次BACKOFF,BACKOFF一共可進行15次.PCAPCBPCCPCD沖突聽數(shù)據(jù)隨機秒數(shù)物理層設備—集線器沖突域功能負責在兩個節(jié)點的物理層上按比特傳遞信息，完成信號的整形、放大和復制功能，以此來延長網(wǎng)絡的長度。特點：所有用戶共享10M帶寬任何用戶發(fā)送數(shù)據(jù)時，所有用戶都可以接收到在某一時刻只允許一個用戶傳輸數(shù)據(jù)物理層設備-集線器課程議題網(wǎng)絡技術基本原理

以太網(wǎng)交換機（二層交換技術）特點以太網(wǎng)交換機是一種具有簡化、低價、高性能和高端口密集特點的網(wǎng)絡產(chǎn)品。 二層交換機屬數(shù)據(jù)鏈路層設備，可以識別數(shù)據(jù)包中的MAC地址信息，根據(jù)MAC地址進行轉發(fā)，并將這些MAC地址與對應的端口記錄在自己內(nèi)部的一個地址表中。交換機MAC地址表學習（一）MAC地址表0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444F0/1F0/3F0/2F0/4ACBD交換機初始化時MAC地址表是空的。交換機MAC地址表學習（二）MAC地址表0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444F0/1:0260.8c01.1111F0/1F0/3F0/2F0/4ACBD主機之間互相發(fā)送數(shù)據(jù)，交換機會學習數(shù)據(jù)幀的源MAC地址。交換機幀轉發(fā)原理（一）已知單播幀過濾操作FilteringF0/1:0260.8c01.1111F0/2:0260.8c01.2222F0/3:0260.8c01.3333F0/4:0260.8c01.44440260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444XXMAC地址表F0/1F0/3F0/2F0/4ACBD交換機幀轉發(fā)原理（二）未知單播幀，廣播幀：執(zhí)行廣播操作Flooding(泛洪)0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444F0/1F0/3F0/2F0/4F0/1:0260.8c01.1111F0/2:0260.8c01.2222F0/3:0260.8c01.3333F0/4:0260.8c01.4444MAC地址表ACBD沖突域與廣播域1234四個沖突域、一個廣播域交換機互連方式級聯(lián)：交換機之間利用以太網(wǎng)接口連接起來擴展網(wǎng)絡范圍單鏈路帶寬瓶頸延時大堆疊:通過堆疊線纜將交換機的背板連接起來，擴大級聯(lián)帶寬堆疊線纜短（1米）解決帶寬瓶頸（單鏈路1G或更大）延時小統(tǒng)一管理堆疊－菊花鏈鏈路帶寬1G銳捷交換機支持最多8臺交換機堆疊堆疊-主從式鏈路帶寬2.66G課程議題路由技術

什么是路由選擇一個將數(shù)據(jù)包發(fā)往某個目標網(wǎng)段或主機的路徑就是路由的過程。路由器的功能作用實現(xiàn)不同IP網(wǎng)段主機間的相互訪問實現(xiàn)不同通信協(xié)議網(wǎng)段主機間的相互訪問不轉發(fā)廣播數(shù)據(jù)包功能基于IP地址的尋徑和轉發(fā)不同通信協(xié)議的轉換特定IP數(shù)據(jù)包的分片和重組路由器轉發(fā)數(shù)據(jù)過程1、路由器從接口收到數(shù)據(jù)包，讀取數(shù)據(jù)包里的目的IP地址2、根據(jù)目的IP地址信息查找路由表進行匹配3、匹配成功后，按照路由表中轉發(fā)信息進行轉發(fā)4、匹配失敗，將數(shù)據(jù)包丟棄，并向源發(fā)送方反回錯誤信息報文Packet路由表目的網(wǎng)段轉發(fā)方式從F1口發(fā)出從F2口發(fā)出交給B路由表的產(chǎn)生方式----直連路由路由器會自動生成本路由器激活端口所在網(wǎng)段的路由條目路由表的產(chǎn)生方式----靜態(tài)路由在簡單拓撲結構的網(wǎng)絡里，網(wǎng)絡管理員手動輸入路由條目。路由表產(chǎn)生的方式----動態(tài)路由動態(tài)路由協(xié)議學習到的路由在大型網(wǎng)絡環(huán)境下，依靠路由協(xié)議比如OSPF、RIP路由協(xié)議學習課程議題路由器的管理方式路由器的管理方式帶外管理通過帶外對路由器進行管理(PC與路由器直接相連)帶內(nèi)管理通過Telnet對路由器進行遠程管理通過Web對路由器進行遠程管理通過SNMP工作站對路由器進行遠程管理Console口及配置線纜RJ45-DB9轉換器＋反轉線纜DB9-RJ45線纜Console口(RJ45)AUX口（連接撥號網(wǎng)絡）帶外路由器配置連線利用配置線將主機的COM口和路由器的console口相連打開超級終端從開始-〉程序-〉附件-〉通訊-〉超級終端打開超級終端程序配置超級終端為連接命名選擇合適的COM口配置正確的參數(shù)TELNET管理路由器在主機DOS命令行下輸入：telnetipaddress（路由器管理IP）TELNET管理路由器續(xù)輸入telnet密碼和特權密碼即可進入到路由器的配置界面基于WEB的管理

在web頁面中輸入路由器的管理IP可以進入路由器的web管理頁面基于WEB的管理

在web頁面下對路由器進行管理課程議題路由器的基本配置路由器配置模式配置模式提示符進入命令用戶模式Router>特權模式Router#enable全局模式Router(config)#configureterminal線路配置模式Router(config-line)#vty04路由配置模式Router(config-router)#routerrip接口配置模式Router(config-if)#Interfacef1/1路由器上配置telnet第一步:配置端口地址RouterA#configureterminal！進入全局配置模式RouterA(config)#interfacefastethernet1/0！進入路由器接口配置模式RouterA(config-if)#ipaddress！配置路由器管理接口IP地址RouterA(config-if)#noshutdown！開啟路由器f1/0接口路由器上配置telnet第二步：配置遠程登錄密碼RouterA(config)#linevty04！進入路由器線路配置模式RouterA(config-line)#login！配置遠程登錄RouterA(config-line)#passwordstar！設置路由器遠程登錄密碼為“star”RouterA(config-line)#end第三步：配置路由器特權模式密碼RouterA(config)#enablesecretstar！設置路由器特權模式密碼為“star”

或者

RouterA(config)#enablepasswordstar路由器配置文件的管理查看配置文件showversion！查看版本及引導信息showrunning-config！查看運行配置showstartup-config！查看用戶保存在NVRAM中的配置文件保存配置文件Router#copyrunning-configstartup-configRouter#writememoryRouter#write刪除配置文件Router#deleteflash:config.text！刪除初始配置文件課程議題路由原理路由信息 路由信息源,可到達路徑,最佳路徑F1/0S1/2信息源目的網(wǎng)絡轉發(fā)接口直連F1/0學習獲得S1/2路由信息查看路由信息router#showiprouteCodes:C-connected，S–static，R–RIP，O-OSPFIA-OSPFinterarea，E1-OSPFexternaltype1E2-OSPFexternaltype2，*-candidatedefaultGatewayoflastresortistonetwork /24issubnetted,1subnetsC isdirectlyconnected,serial1/2OE2/16[110/20]via,01:03:01,Serial1/2S*/0[1/0]via路由信息O --路由信息的來源(OSPF) --目標網(wǎng)絡（或子網(wǎng)）[110 --管理距離(路由的可信度)/20] --度量值(路由的可到達性)via --下一跳地址(下個路由器)00:00:23 --路由的存活的時間(時分秒)Serial1/2 --出站接口O [110/20]via,00:00:23,Serial1/2管理距離(可信度)管理距離可以用來選擇采用哪個IP路由協(xié)議管理距離值越低，學到的路由越可信靜態(tài)配置路由優(yōu)先于動態(tài)協(xié)議學到的路由采用復雜量度的路由協(xié)議優(yōu)先于簡單量度的路由協(xié)議Connectedinterface0Staticrouteoutaninterface 0Staticroutetoanexthop 1ExternalBGP 20OSPF 110IS-IS 115RIPv1,v2 120InternalBGP 200Unknown 255路由源缺省管理距離路由決策原則最長匹配例：/8和/16根據(jù)路由的管理距離：管理距離越小，路由越優(yōu)先例：S/8和R/8管理距離一樣，就比較路由的度量值(metric)，越小越優(yōu)先例：S/8[1/20]和S/8[1/40]課程議題直連路由直連路由定義路由器能夠自動產(chǎn)生激活端口IP所在網(wǎng)段的直連路由信息路由器的每個接口都必須單獨占用一個網(wǎng)段F1/0F1/1S1/2目標網(wǎng)段出口CFastethernet1/0CSerial1/2CFastethernet1/1課程議題靜態(tài)路由靜態(tài)路由靜態(tài)路由概述靜態(tài)路由是指由網(wǎng)絡管理員手工配置的路由信息靜態(tài)路由除了具有簡單、高效、可靠的優(yōu)點外，它的另一個好處是網(wǎng)絡安全保密性高靜態(tài)路由是手動添加路由信息要去往某網(wǎng)段該如何走靜態(tài)路由

S1/2BABS1/2F1/0F1/0RACF1/0CS1/2RBCF1/0CS1/2RA去往？手工添加告訴路由器去往走S1/2接口這條路SS1/2RB去往？手工添加告訴路由器去往走S1/2接口這條路SS1/2配置靜態(tài)路由步驟靜態(tài)路由的一般配置步驟1.為路由器每個接口配置IP地址2.確定本路由器有哪些直連網(wǎng)段的路由信息3.確定網(wǎng)絡中有哪些屬于本路由器的非直連網(wǎng)段4.添加本路由器的非直連網(wǎng)段相關的路由信息靜態(tài)路由配置靜態(tài)路由配置命令配置靜態(tài)路由用命令iprouterouter(config)#iproute[網(wǎng)絡編號][子網(wǎng)掩碼][轉發(fā)路由器的IP地址/本地接口]例：iprouteserial1/2例：iproute靜態(tài)路由描述轉發(fā)路徑的方式有兩種指向本地接口（即從本地某接口發(fā)出）指向下一跳路由器直連接口的IP地址（即將數(shù)據(jù)包交給X.X.X.X）靜態(tài)路由配置實例routerA(config)#iproute

或

routerA(config)#iprouteserial1/2S1/2網(wǎng)絡BAB默認路由默認路由概述/0可以匹配所有的IP地址，屬于最不精確的匹配默認路由可以看作是靜態(tài)路由的一種特殊情況當所有已知路由信息都查不到數(shù)據(jù)包如何轉發(fā)時，按缺省路由的信息進行轉發(fā)配置默認路由：router(config)#iproute[轉發(fā)路由器的IP地址/本地接口]缺省路由routerB(config)#iprouteInternet上大約99.99%的路由器上都存在一條缺省路由!SOB互聯(lián)網(wǎng)AB課程議題三層交換機技術

三層交換概念VLAN的默認設置是VLAN之間不允許通訊的，要想實現(xiàn)VLAN間的通訊，必須使用路由器，但是路由器是三層設備，不僅僅涉及到硬件設計還有其中的軟件設計，因此價格昂貴，而且路由器要把每一個數(shù)據(jù)包的目的地址與自己的路由表項對比來決定數(shù)據(jù)包的去向，處理速度十分緩慢（相對于LAN的速度來說），要在大型的網(wǎng)絡核心里使用路由器來進行VLAN的數(shù)據(jù)交換會使整個網(wǎng)絡的效率大打折扣，于是人們將交換機的快速交換能力和路由器的路由尋址能力能力起來，出現(xiàn)的三層交換的概念三層交換概念簡單地說，三層交換技術就是：二層交換技術＋三層轉發(fā)技術。它解決了局域網(wǎng)中網(wǎng)段劃分之后，網(wǎng)段中子網(wǎng)必須依賴路由器進行管理的局面，解決了傳統(tǒng)路由器低速、復雜所造成的網(wǎng)絡瓶頸問題。三層交換概念三層交換（也稱多層交換技術，或IP交換技術）是相對于傳統(tǒng)交換概念而提出的。眾所周知，傳統(tǒng)的交換技術是在OSI網(wǎng)絡標準模型中的第二層――數(shù)據(jù)鏈路層進行操作的，而三層交換技術是在網(wǎng)絡模型中的第三層實現(xiàn)了數(shù)據(jù)包的高速轉發(fā)。三層交換原理一個具有三層交換功能的設備，是一個帶有第三層路由功能的交換機，是交換和路由原理的的有機結合，并不是簡單地把路由器設備的硬件及軟件疊加在局域網(wǎng)交換機上。三層交換原理假設兩個使用IP協(xié)議的主機A、B通過第三層交換機進行通信，發(fā)送主機A在開始發(fā)送時，把自己的IP地址與B主機的IP地址比較，判斷B主機是否與自己在同一子網(wǎng)內(nèi)。若B與A在同一子網(wǎng)內(nèi)，則進行二層的轉發(fā)。三層交換概念若兩個主機不在同一子網(wǎng)內(nèi)，如A要與目的主機B通信，發(fā)送主機A要向“缺省網(wǎng)關”發(fā)出ARP(地址解析)封包，而“缺省網(wǎng)關”的IP地址其實是三層交換機的三層交換模塊。當發(fā)送主機A對“缺省網(wǎng)關”的IP地址廣播出一個ARP請求時，網(wǎng)關將自己的MAC地址發(fā)給A，然后A將數(shù)據(jù)發(fā)給網(wǎng)關，網(wǎng)關根據(jù)數(shù)據(jù)包的目的地址進行路由，之后轉發(fā)給B。三層交換原理經(jīng)過第一次路由，交換機會學習到A和B的ip地址和MAC地址寫入自己的ip主機列表和MAC地址表，當A繼續(xù)給B發(fā)送數(shù)據(jù)時，交換機對數(shù)據(jù)進行讀取之后根據(jù)ip主機列表進行轉發(fā)。三層交換分類三層交換機可以根據(jù)其處理數(shù)據(jù)的不同而分為純硬件和純軟件兩大類。三層交換分類純硬件的三層技術相對來說技術復雜，成本高，但是速度快，性能好，負載能力強。其原理是，采用ASIC芯片，采用硬件的方式進行路由表的查找和刷新。三層交換分類基于軟件的三層交換機技術較簡單，但速度較慢，不適合作為主干。其原理是，采用CPU用軟件的方式查找路由表。三層交換機總結在邏輯上三層交換和路由是等同的，三層交換的過程就是IP報文選路的過程。三層交換機與路由器在轉發(fā)操作上的主要區(qū)別在于其實現(xiàn)的方式：三層交換機通過硬件實現(xiàn)查找和轉發(fā)傳統(tǒng)路由器通過微處理器上運行的軟件實現(xiàn)查找和轉發(fā)三層交換機的轉發(fā)路由表與路由器一樣，需要軟件通過路由協(xié)議來建立和維護課程議題NAT技術

什么時候使用NAT局域網(wǎng)與Internet互聯(lián)時，需要使用NAT技術代理服務器proxy、ISA、ICS、wingate、sysgate等NAT/NAPT(網(wǎng)絡地址轉換/網(wǎng)絡地址端口轉換)路由器、防火墻、核心交換機、服務器常見實現(xiàn)方式NAT/NAPT帶來的好處解決地址空間不足的問題；IPv4的空間已經(jīng)嚴重不足私有IP地址網(wǎng)絡與公網(wǎng)互聯(lián)；/8，/12，/16非注冊IP地址網(wǎng)絡與公網(wǎng)互聯(lián)；建網(wǎng)時分配了全局IP地址－但沒注冊網(wǎng)絡改造中，避免更改地址帶來的風險什么是NAT/NAPT概念：NAT就是將網(wǎng)絡地址從一個地址空間轉換到另外一個地址空間的一個行為NAT的類型NAT（NetworkAddressTranslation）轉換后，一個本地IP地址對應一個全局IP地址NAPT（NetworkAddressPortTranslation）轉換后，多個本地地址對應一個全局IP地址NAT/NAPT的術語NAT中用到的接口類型：內(nèi)部網(wǎng)絡－Inside外部網(wǎng)絡－OutsideNAT中常見的術語：內(nèi)部本地地址－InsideLocalAddress內(nèi)部全局地址－InsideGlobalAddress外部本地地址－OutsideLocalAddress外部全局地址－OutsideGlobalAddress互聯(lián)網(wǎng)OutsideInside企業(yè)內(nèi)部網(wǎng)外部網(wǎng)NAT工作原理/24/24內(nèi)部本地地址內(nèi)部全局地址源IP:目的IP:源IP:目的IP:源IP:目的IP:源IP:目的IP:源IP:目的IP:源IP:目的IP:NAPT工作原理/24源IP::1024目的IP::80內(nèi)部本地地址：端口內(nèi)部全局地址:端口外部全局地址:端口:1024:1024：80:1136:1136：80源IP::1024目的IP::80源IP::80目的IP::1024源IP::80目的IP::1024Web服務源IP::1024目的IP::80源IP::80目的IP::1024使用NAPT的情況在以下幾種情況下，需要使用NAPT技術：缺乏全局IP地址,甚至沒有專門申請的全局IP地址，只有一個連接ISP的全局IP地址內(nèi)部網(wǎng)要求上網(wǎng)的主機數(shù)很多提高內(nèi)網(wǎng)的安全性NAT/NAPT的配置NAT/NAPT的配置有兩種靜態(tài)NAT/NAPT動態(tài)NAT/NAPT靜態(tài)NAT/NAPT需要向外網(wǎng)絡提供信息服務的主機永久的一對一IP地址映射關系動態(tài)NAT/NAPT只訪問外網(wǎng)服務，不提供信息服務的主機內(nèi)部主機數(shù)可以大于全局IP地址數(shù)最多訪問外網(wǎng)主機數(shù)決定于全局IP地址數(shù)臨時的一對一IP地址映射關系靜態(tài)NAT配置步驟1、定義內(nèi)網(wǎng)接口和外網(wǎng)接口Router(config)#interfacefastethernet1/0Router(config-if)#ipnatoutsideRouter(config)#interfacefastethernet1/1Router(config-if)#ipnatinside2、建立靜態(tài)的映射關系Router(config)#ipnatinsidesourcestatic靜態(tài)NAPT1、定義內(nèi)網(wǎng)接口和外網(wǎng)接口Router(config)#interfacefastethernet0Router(config-if)#ipnatoutsideRouter(config)#interfacefastethernet1Router(config-if)#ipnatinside2、建立靜態(tài)的映射關系Router(config)#ipnatinsidesourcestatictcp10241024Router(config)#ipnatinsidesourcestaticudp10241024動態(tài)NAT配置1、定義內(nèi)網(wǎng)接口和外網(wǎng)接口Router(config-if)#ipnatoutsideRouter(config-if)#ipnatinside2、定義內(nèi)部本地地址范圍Router(config)#access-list10permit553、定義內(nèi)部全局地址池Router(config)#ipnatpoolabc0netmask4、建立映射關系Router(config)#ipnatinsidesourcelist10poolabc動態(tài)NAPT配置1、定義內(nèi)網(wǎng)接口和外網(wǎng)接口Router(config-if)#ipnatoutsideRouter(config-if)#ipnatinside2、定義內(nèi)部本地地址范圍Router(config)#access-list10permit553、定義內(nèi)部全局地址池Router(config)#ipnatpoolabcnetmask4、建立映射關系Router(config)#ipnatinsidesourcelist10poolabcoverload課程議題安全技術

VPN虛擬專用網(wǎng)防火墻包過濾防病毒入侵檢測交換機端口安全利用交換機的端口安全功能實現(xiàn)防止局域網(wǎng)大部分的內(nèi)部攻擊對用戶、網(wǎng)絡設備造成的破壞，如MAC地址攻擊、ARP攻擊、IP/MAC地址欺騙等。交換機端口安全的基本功能限制交換機端口的最大連接數(shù)端口的安全地址綁定交換機端口安全安全違例產(chǎn)生于以下情況：如果一個端口被配置為一個安全端口，當其安全地址的數(shù)目已經(jīng)達到允許的最大個數(shù)如果該端口收到一個源地址不屬于端口上的安全地址的包當安全違例產(chǎn)生時，你可以選擇多種方式來處理違例：Protect：當安全地址個數(shù)滿后，安全端口將丟棄未知名地址（不是該端口的安全地址中的任何一個）的包Restrict：當違例產(chǎn)生時，將發(fā)送一個Trap通知Shutdown：當違例產(chǎn)生時，將關閉端口并發(fā)送一個Trap通知配置安全端口

端口安全最大連接數(shù)配置switchportport-security ！打開該接口的端口安全功能switchportport-securitymaximumvalue ！設置接口上安全地址的最大個數(shù)，范圍是1－128，缺省值為128switchportport-securityviolation{protect|restrict|shutdown} ！設置處理違例的方式注意：1、端口安全功能只能在access端口上進行配置。2、當端口因為違例而被關閉后，在全局配置模式下使用命令errdisablerecovery來將接口從錯誤狀態(tài)中恢復過來。配置安全端口端口的安全地址綁定switchportport-security！打開該接口的端口安全功能switchportport-securitymac-addressmac-addressip-addressip-address ！手工配置接口上的安全地址注意：1、端口安全功能只能在access端口上進行配置2、端口的安全地址綁定方式有:單MAC、單IP、MAC+IP案例（一）下面的例子是配置接口gigabitethernet1/3上的端口安全功能，設置最大地址個數(shù)為8，設置違例方式為protectSwitch#configureterminalSwitch(config)#interfacegigabitethernet1/3Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymaximum8Switch(config-if)#switchportport-securityviolationprotectSwitch(config-if)#end案例（二）下面的例子是配置接口fastethernet0/3上的端口安全功能，配置端口綁定地址，主機MAC為00d0.f800.073c，IP為02Switch#configureterminalSwitch(config)#interfacefastethernet0/3Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymac-address00d0.f800.073cip-address02Switch(config-if)#end查看配置信息查看所有接口的安全統(tǒng)計信息，包括最大安全地址數(shù)，當前安全地址數(shù)以及違例處理方式等

Switch#showport-security

SecurePortMaxSecureAddr

CurrentAddrSecurityAction------------------------------------------------Gi1/381Protect查看安全地址信息Switch#showport-securityaddress

VlanMacAddressIPAddressTypePortRemainingAge(mins)-------------------------------------------------100d0.f800.073c02ConfiguredFa0/381課程議題IP訪問控制列表什么是訪問列表IPAccess-list：IP訪問列表或訪問控制列表，簡稱IPACLACL就是對經(jīng)過網(wǎng)絡設備的數(shù)據(jù)包根據(jù)一定的規(guī)則進行數(shù)據(jù)包的過濾ISP√為什么要使用訪問列表內(nèi)網(wǎng)安全運行訪問外網(wǎng)的安全控制訪問列表訪問控制列表的作用：內(nèi)網(wǎng)布署安全策略，保證內(nèi)網(wǎng)安全權限的資源訪問內(nèi)網(wǎng)訪問外網(wǎng)時，進行安全的數(shù)據(jù)過濾防止常見病毒、木馬、攻擊對用戶的破壞訪問列表的組成定義訪問列表的步驟第一步，定義規(guī)則（哪些數(shù)據(jù)允許通過，哪些數(shù)據(jù)不允許通過）第二步，將規(guī)則應用在路由器（或交換機）的接口上訪問控制列表規(guī)則的分類：1、標準訪問控制列表2、擴展訪問控制列表訪問列表規(guī)則的應用路由器應用訪問列表對流經(jīng)接口的數(shù)據(jù)包進行控制1.入棧應用（in）經(jīng)某接口進入設備內(nèi)部的數(shù)據(jù)包進行安全規(guī)則過濾2.出棧應用（out）設備從某接口向外發(fā)送數(shù)據(jù)時進行安全規(guī)則過濾一個接口在一個方向只能應用一組訪問控制列表F1/0F1/1INOUT訪問列表的入棧應用NY是否允許

?Y是否應用

訪問列表

?N查找路由表進行選路轉發(fā)以ICMP信息通知源發(fā)送方以ICMP信息通知源發(fā)送方NY選擇出口

S0

路由表中是否存在記錄

?NY查看訪問列表

的陳述是否允許

?Y是否應用

訪問列表

?NS0S0訪問列表的出棧應用IPACL的基本準則一切未被允許的就是禁止的定義訪問控制列表規(guī)則時，最終的缺省規(guī)則是拒絕所有數(shù)據(jù)包通過按規(guī)則鏈來進行匹配使用源地址、目的地址、源端口、目的端口、協(xié)議、時間段進行匹配規(guī)則匹配原則從頭到尾，至頂向下的匹配方式匹配成功馬上停止立刻使用該規(guī)則的“允許/拒絕……”Y拒絕Y是否匹配

規(guī)則條件1?允許N拒絕允許是否匹配

規(guī)則條件2?拒絕是否匹配

最后一個

條件

?YYNYY允許隱含拒絕N一個訪問列表多條過濾規(guī)則訪問列表規(guī)則的定義標準訪問列表根據(jù)數(shù)據(jù)包源IP地址進行規(guī)則定義擴展訪問列表根據(jù)數(shù)據(jù)包中源IP、目的IP、源端口、目的端口、協(xié)議進行規(guī)則定義源地址TCP/UDP數(shù)據(jù)IP

eg.HDLC1-99號列表IP標準訪問列表目的地址源地址協(xié)議端口號IP擴展訪問列表TCP/UDP數(shù)據(jù)IP

eg.HDLC100-199號列表

0表示檢查相應的地址比特1表示不檢查相應的地址比特001111111286432168421000000000000111111111111反掩碼（通配符）IP標準訪問列表的配置1.定義標準ACL編號的標準訪問列表

Router(config)#access-list<1-99>{permit|deny}源地址[反掩碼]命名的標準訪問列表switch(config)#ipaccess-liststandard<name>switch(config-std-nacl)#{permit|deny}源地址[反掩碼]2.應用ACL到接口Router(config-if)#ipaccess-group<1-99>{in|out}F1/0S1/2F1/1IP標準訪問列表配置實例(一)配置：access-list1permit55(access-list1denyany)interfaceserial1/2ipaccess-group1out標準訪問列表配置實例(二)需求：你是某校園網(wǎng)管，領導要你對網(wǎng)絡的數(shù)據(jù)流量進行控制,要求校長可以訪問財務的主機，但教師機不可以訪問。配置：ipaccess-listextendedabcpermithostdeny55財務教師F0/1F0/2F0/5F0/6F0/8F0/9F0/10校長IP擴展訪問列表配置實例(一)如何創(chuàng)建一條擴展ACL該ACL有一條ACE，用于允許指定網(wǎng)絡（192.168.x..x）的所有主機以HTTP訪問服務器，但拒絕其它所有主機使用網(wǎng)絡Router(config)#access-list103permittcp55hosteqwwwRouter#showaccess-lists103訪問列表的驗證顯示全部的訪問列表