HCIA笔记

qiu丘

已于 2023-10-24 17:17:38 修改

阅读量127

点赞数

文章标签：笔记网络

于 2023-10-17 14:11:36 首次发布

本文链接：https://blog.csdn.net/2203_75721125/article/details/133878291

版权

网络就是通过一种特殊的通道把分布在不同地理位置的物品来连接起来，从而实现信息的传输和转化

应用层：自然语言--->编码

表示层：编码--->二进制数

介质访问控制层：二进制数--->电信号

物理层：电流的输入输出 CPU计算

第一章

网络扩大方案

增大距离

*信号失真-----依靠传输介质

*信号衰减-----中继器-----物理层设备-----最长延长5倍传输距离

增加节点

网络拓扑结构

*总线型优点（信息通道利用率高、结构简单）

缺点（同一时刻仅允许两个节点通讯）

*环型优点（增加和删除设备操作简单）

缺点（成本高、当某一节点故障时，会影响全网，导致整张网络瘫痪）

*星型优点（信道频率最高的、结构简单）

缺点（对中心节点要求高，不允许出现故障）

*全网状优点（从节点到节点有多条线路选择，结构稳定）

缺点（结构复杂，成本高）

HUB-----转发数据，从某个接口接收到数据，向其他所有接口进行数据转发

缺陷	1、安全问题---因为一个节点给另外一个节点发送数据时，其他节点可以接受到
	2、延时问题---节点会接到大量不属于自己的数据信息，也就是垃圾信息
	3、地址问题---MAC地址（出厂烧录在设备本地，无法改变）（由48位二进制组成，前24位为厂商ID，后24位为产品ID）全球唯一
	4、冲突问题---CSMA/CD（载波侦听多路访问/冲突检测）---先听后发，边听边发，冲突停发，随机延迟后重发

冲突域：连接一根导线上的所有工作站的集合

*网络传输距离无限制

*完全没有冲突

*网络中存在单播数据，一对一传输

网桥---交换机

特点：属于二层设备，可以将电流转换为二进制数据。并存储在本地内存

工作原理：

1、交换机存在MAC地址表，该表单中会记录下MAC地址与交换机接口的对应关系。---老化时间5分钟。交换机基于MAC地址表进行数据转发

2、当A给B发送数据时，该数据来到交换机0号接口，交换机会记录下A--->0的对应关系。然后查看目的MAC地址，并于MAC地址表进行对比

*若MAC地址表中存在B的记录关系，则按照记录关系进行单播数据转发

*若MAC地址表在不存在B的记录关系，则进行洪泛操作（除流量进入接口外的所有接口复制转发流量）

3、交换机中，一个接口可以对应多个MAC地址。但一个MAC地址只能对应一个接口

4、一般我们将仅仅依靠交换机连接的网络称为交换网络---交换网络最大连接终端数不超过200

5、MAC 地址通常用来实现物理层的设备识别和数据帧的传输

路由器

广播域：一个数据包的洪泛的范围大小

*隔离广播域:路由器的一个接口就是一个独立的广播域

*转发数据---依靠路由表进行数据转发

依靠交换机转发数据---同广播域

借助路由器转发数据---跨广播域

IP地址---逻辑地址

IPv4：32位二进制组成，点分十进制

IPv6：128位二进制组成

IP=网络位+主机位

*网络位---表示该IP所在网段（区域）

*主机位---表示该区域中的主机编号

IP地址看网络位，IP地址的前多少位，代表这个IP属于哪个网段

掩码

组成：32位二进制，由连续的1+连续的0组成。使用点分十进制表示。掩码的每一位比特位都与IP地址相对应，其中掩码的1对应的IP地址的比特位即网络位。

192.168.1.0/24
网络掩码为 255.255.255.0（二进制表示为 11111111.11111111.11111111.00000000），它将 IP 地址分为 256 个子网，每个子网可以容纳 256 个主机。
掩码的作用是将 IP 地址分为网络地址和主机地址两部分。前 24 位表示网络地址，后 8 位表示主机地址。这样，我们可以通过网络地址来确定连接到同一个子网的其他设备，而主机地址则用于唯一标识同一个子网中的不同设备。

作用：划分网段确定一个IP所在的网段，有了掩码就知道了网络位，进而知道另一个IP和自己是不是同一网段

网关

网关是一种网络设备，用于连接两个或多个网络，并在它们之间转发数据包。网关在不同的网络协议之间进行转换，例如将 TCP/IP 协议转换为 HTTP 协议。网关可以用于扩展网络，实现安全性控制，负载均衡和流量管理等功能。

当访问不同网段目标时，用另一种通信方式，由网关进行数据转发

DNS

域名解析成IP

ARP协议---地址解析协议

原理：根据已知的地址来获取未知的另一种地址信息

ARP缓存表--->其中记录着MAC地址与IP地址的对应关系---->老化时间180s

ARP分类

*正向ARP---通过IP地址获取MAC地址（网络中最常见）

*反向ARP---通过MAC地址获取IP地址

*免费（无故）ARP---冲突检测和自我介绍

TCP/IP

(传输控制协议)

OSI参考模型---OSI/RM-开放式系统互联参考模型

OSI参考模型

1、应用层：用于接收用户数据，是人机交互的接口

2、表示层：逻辑语言--->机器语言；加密解密

3、会话层：针对与传输的每一种数据建立单独连接通道（防止数据之间相互干扰）

上三层:控制层面

下三层：数据层面

4、传输层：TCP\UDP--->端口号

5、网络层：IP协议--->进行逻辑寻址

6、数据链路层：两个层面--->逻辑链路控制层LLC--->介质访问控制层MAC

7、物理层：定义一些物理特性--->电气电压、接口规范、比特流等

报文封装与解封装

PDU---协议数据单元

上三层---数据

传输层---数据段

网络层---数据包

数据链路层---数据帧

物理层---比特流

TCP/IP

物理层

传输介质

*同轴电缆

*双绞线（屏蔽双绞线、非屏蔽双绞线）

类型--->1、2、3、4、5、超5、6、超6、7、8类

*光纤

双工模式

半双工---通讯双方都能发送和接收数据，但是不能同时进行--对讲机

全双工---通讯双方都能同时发送和接收数据---电话

同一物理链路连接的设备双工模式必须一致

线序---双绞线

*568A：将568B的线序的1/3和2/6对调

*568B---橙白、橙、绿白、蓝、蓝白、绿、棕白、棕

数据链路层（MAC地址属于这一层）

设备：交换机、网桥

链路类型

*局域网---以太网

*广域网---PPP、HDLC、FR

数据帧

帧的发送方式

*单播---一对一发送数据

*广播---一对所有发送数据

*组播---特殊的广播，一对一组

网络层

有类分址

A---0xxx xxxx   0.0.0.0-127.255.255.2555---掩码为8
B---10xx xxxx   128.0.0.0-191.255.255.255---掩码为16
C---110x xxxx   192.0.0.0-223.255.255.255---掩码为24
单播地址 有掩码
D---1110 xxxx   224.0.0.0-239.255.255.255---组播地址
E---1111 xxxx   240.0.0.0-255.255.255.255---保留地址

特殊地址

*主机全0的地址----网段地址

*主机位全1的地址---定向广播地址

*0.x.x.x--->无效地址---->0.0.0.0（1、表示所有IP；2、表示本地没有IP）

*127.x.x.x--->本地测试地址

*169.254.0.0/16--->本地链路地址

私有地址

*A类：10.0.0.0-10.255.255.255

一个地址段

*B类：172.16.0.0-172.31.255.255、

16个地址段

*C类：192.168.0.0-192.168.255.255

256个地址段

IP协议报文头部、

TTL---生存时间（最大值为255，一旦数值为0则数据包被丢失；每经过一个路由器，数值减一）

6------TCP（传输控制协议）

17------UDP（用户数据报协议）

MTU---最大传输单元---在以太网当中，该数值为1500字节（数据包=IP+）

当数据包的总长度超过 MTU 时，就需要将数据包进行分片。分片后的数据包能够在链路层传输，并在目的地进行重组。

标志位：3bit（0：DF（若为1则代表未分片；若为0则代表分片）：MF（若为0则代表最后一片报文））

传输层

端口号：0-65535

*静态端口：1-1023

*动态端口：1024-65535

http---80------www代理服务---8080
ssh----22
telnet-23
ftp----20/21
dns----53

TCP协议---传输控制协议

TCP协议是一种面向连接的可靠传输协议

可靠性

确认机制----每接收到一个数据段，都需要进行一次确认。

重传机制

排序机制

滑动窗口机制---流控机制

窗口大小-----指无需等待确认就可以连续发送的数据的最大量。

TCP分段依靠MSS（最大传输段）实现，其最大值为14oubu60（MTU-IP头部-TCP头部）；若存在TCP分段，则IP层面不允许分段

面向连接

三次握手和四次挥手是TCP协议的两个关键过程，用于建立连接和断开连接

三次握手

1、客户端向服务器端发送一个 SYN 包，其中包含客户端的初始序列号。 2、服务器端收到 SYN 包后，向客户端回复一个 SYN/ACK 包，其中包含服务器端的初始序列号和对客户端初始序列号的确认。 3、、客户端收到 SYN/ACK 包后，向服务器端发送一个 ACK 包，其中包含对服务器端初始序列号的确认。经过三次握手后，客户端和服务器端之间就建立了连接。

四次挥手

1、客户端向服务器端发送一个 FIN 包，表示客户端已经完成数据传输并请求断开连接。 2、服务器端收到 FIN 包后，向客户端发送一个 ACK 包，表示确认收到客户端的断开请求。 3、当服务器端也完成数据传输后，向客户端发送一个 FIN 包，表示服务器端也准备好断开连接。 4、客户端收到服务器端的 FIN 包后，向服务器端发送一个 ACK 包，表示确认收到服务器端的断开请求。经过四次挥手后，客户端和服务器端之间的连接就断开了。

UDP协议---用户数据报协议

是一种非面向连接的不可靠传输协议

VLSM---可变长子网掩码技术---子网划分

192.168.1.0/24
思路：从主机位借位到网络位。被借位的主机位被称为子网位。
192.168.1.   0    000 0000/25----192.168.1.0/25
192.168.1.   1    000 0000/25----192.168.1.128/25
网络位      子网位    主机位
11000000.10101000.00000001.00000000
11000000.10101000.00000001.10000000
11111111.11111111.11111111.10000000


192.168.1.0/24
192.168.1. 000 00000/27----192.168.1.0/27
192.168.1. 001 00000/27----192.168.1.32/27
192.168.1. 010 00000/27----192.168.1.64/27
192.168.1. 011 00000/27----192.168.1.96/27
192.168.1. 100 00000/27----192.168.1.128/27
192.168.1. 101 00000/27----192.168.1.160/27
192.168.1. 110 00000/27----192.168.1.192/27
192.168.1. 111 00000/27----192.168.1.224/27
解题思路：首先确认子网数量，计算子网数量2的n次方>=子网数量
根据所需的子网位数，将原始网络地址的主机位划分位子网位和主机位
*子网位为3位，主机位为5位
*然后子网位进1（0+0=0、0+1=1、1+0=1、1+1=10）
*从第一个子网开始，将子网掩码应用到原始网络地址上，得到第一个子网的网络地址192.168.1.0
*然后得到第一个子网的可用范围192.168.1.1--192.168.1.31（每个子网位可可用IP范围从网络地址加1到广播地址减1）

CIDR---无类域间路由---子网汇总

思路：取相同位；去不同位。
举例：
172.16.1.0/24
172.16.14.0/24
172.16.35.0/24
172.16.99.0/24
172.16.0000 0001.0/24
172.16.0000 1110.0/24
172.16.0010 0011.0/24
172.16.0110 0011.0/24
172.16.0 0000000.00000000/17--->172.16.0.0/17
子网汇总：汇总后的掩码大于主类掩码。
超网：汇总后的掩码小于主类掩码。
192.168.1.0/24
192.168.2.0/24
192.168.0000 0001.0/24
192.168.0000 0010.0/24
192.168.0.0/22
将子网为转化为二进制，对比出它们不同的位数，然后将它们相同位数保存下来，得到汇总后的网址

ICMP协议

第二章

华为常见基本命令

system-view ---从用户视图切换到系统视图
undo ----删除
quit ----退出到上一视图
display ----查看
reboot ---重启设备
[Huawei]sysname r1 ----修改系统名称
[r1]display version ---查看系统版本

Telnet

TCP---23端口

PC端----使用路由表代表PC端，需要配置IP地址等信息
[PC]interface GigabitEthernet 0/0/0 ---进入接口
[PC-GigabitEthernet0/0/0]ip address 192.168.1.1 24 ----添加接口IP地址及掩码信息
服务端
[Telnet Server]interface GigabitEthernet 0/0/0
[Telnet Server-GigabitEthernet0/0/0]ip address 192.168.1.2 255.255.255.0 ----添加接口IP及掩
码的第二种方式
[Telnet Server-GigabitEthernet0/0/0]quit ---退出到上一视图
[Telnet Server]telnet server enable ----已经默认开启，不需要配置该命令
[Telnet Server]user-interface vty 0 4 -----开启用户接口空间
[Telnet Server-ui-vty0-4]authentication-mode aaa ---设定使用AAA作为用户接口的认证模式，
即登录方式
[Telnet Server-ui-vty0-4]quit
[Telnet Server]aaa ----进入AAA视图
[Telnet Server-aaa]local-user huawei password cipher 123456 -----创建用户名和密码
[Telnet Server-aaa]local-user huawei privilege level 15 ---设定用户权限等级
[Telnet Server-aaa]local-user huawei service-type telnet ----设定huawei用户登录设备所使用
的协议

[Telnet Server-aaa]display this ---查看当前视图的配置

测试：

DHCP协议----动态主机配置协议

手工配置网络参数的问题

*对于普通用户

*对于网络管理员

*IP地址浪费

C/S架构、UDP67/68号端口（68号端口是属于客户端，67号端口属于服务端）

DHCP报文类型

discover----发现报文----用于客户端寻找DHCP服务器

offer----服务端回复客户端（其中携带了IP地址信息）---也包含了网关、掩码、DNS等网络参数

request----客户端正式请求IP信息

ack----服务端对客户端请求信息的确认

nak----服务端对客户端请求信息的拒绝

release---客户端发送给服务端要求释放地址

decline----客户端检测到冲突后，将错误报告给服务端

inform----服务端发送一些配置信息

DHCP租期

*租期更新计时器----24H

在租期到达50%时，PC会进行续租操作。PC会使用request报文发送且为单播，如果服务端回复

ACK报文，则续租成功。

*租期重绑定计时器----21H

时间超过租期的87.5%，PC广播发送Discover报文重新发现网络中的DHCP服务器。如果有服

务器同意给PC续租若该续租的IP为第一次获取的IP地址，则PC刷新租期更新计时器时间

若该续租的IP不为第一次获取的IP地址，则PC会将租期更新计时器归0，发送release报

文通告释放第一次的IP地址，然后回复第二次的offer报文从而获取第二次IP地址。

若没有服务器给予回复，则客户端将在租期到期时，放弃该IP地址。

*租期失效计时器

PC主动放弃使用该IP

PC未能续租成功

若租期内接收到拒绝报文，则PC必须立即停止使用现有IP地址，然后重新申请IP地址

配置

[DHCP Server]interface GigabitEthernet 0/0/0
[DHCP Server-GigabitEthernet0/0/0]ip address 192.168.1.100 24
[DHCP Server]dhcp enable ----启动DHCP协议
[DHCP Server]ip pool aa ----创建名称为aa的地址池
[DHCP Server-ip-pool-aa]network 192.168.1.0 mask 24 ----配置可分配IP地址范围
[DHCP Server-ip-pool-aa]gateway-list 192.168.1.100 ----配置网关信息
[DHCP Server-ip-pool-aa]dns-list 8.8.8.8 ----配置dns信息
[DHCP Server-ip-pool-aa]quit 
[DHCP Server]interface GigabitEthernet 0/0/0
[DHCP Server-GigabitEthernet0/0/0]dhcp select global -----在接口调用全局地址池
[DHCP Server-GigabitEthernet0/0/0]quit
[DHCP Server]display ip interface brief ---查看IP与接口的对应关系
[DHCP Server]display ip pool ----查看地址池内容
[DHCP Server-ip-pool-aa]excluded-ip-address 192.168.1.254 192.168.1.254 ----排除地址，不
允许分配
[DHCP Server-ip-pool-aa]lease day 0 hour 0 minute 10 ----设置租期时间

静态路由

[r1]display ip routing-table ----查看全局路由表

目标：192.168.1.66
网段：192.168.1.0/24
网段：192.168.1.64/26
11000000.10101000.00000001.01000010
11111111.11111111.11111111.00000000
11111111.11111111.11111111.11000000
11000000.10101000.00000001.00000000---192.168.1.0
11000000.10101000.00000001.01000000---192.168.1.64

最长掩码匹配规则

掩码32路由称为主机路由

路由信息来源

*直连路由、静态路由、动态路由

*设备自动发现、手工配置、路由器通过运行某种算法自行进行计算出路由

直连路由的生成条件

*接口双UP

*必须配置IP地址

路由优先级

路由项优先级越小，则路由项的优先度越高

路由来源
直连路由	0
静态路由	60
RIP	100
OSPF	10

开销值

在静态路由和直连路由中，开销值为0

等价路由---目的地相同，且优先级(路由发现方式)与开销值

下一跳---流量流经方向的下一个路由器的入接口IP地址

静态路由协议扩展配置

等价路由----进行带宽的叠加。

等价路由的形成条件-----来源相同的去往相同目的地的且开销值相同的路由（下一跳不同。）

路由汇总

使用CIDR技术将连续的网段汇总成一个大的网段。

汇总要求：母网相同；掩码相同

。

路由黑洞

在手工汇总时，可能会包含一些网络中不存在的网段，造成流量有去无回的现象，浪费设备与链路资

源。

缺省路由

缺省路由的目标网段----0.0.0.0/0

[r1]ip route-static 0.0.0.0 0 12.0.0.2

空接口放环

在黑洞路由器上配置一条通往汇总路由的下一跳为空接口的路由信息进行防环操作。

[r1]ip route-static 172.16.0.0 22 NULL 0

浮动静态路由

ip route-static 192.168.10.0 255.255.255.0 12.0.0.2

ip route-static 192.168.10.0 255.255.255.0 21.0.0.2 preference 70

[r2]interface LoopBack 0 ----创建编号为0的环回接口

[r2-LoopBack0]ip address 192.168.1.1 24

[r1]ping -a 21.0.0.1 192.168.1.1 ---设定ping报文中的源IP地址为21.0.0.1

作业

动态协议

自治系统---AS

AS号---ASN---使用16位二进制进行标识---IANA（互联网数字分配机构）

*AS内部使用的协议---内部网关协议IGP

*AS之间使用的协议---外部网关协议EGP

动态路由分类

按照范围分

*IGP

*RIP,OSPF,IS-IS,EIGRP

*EGP

*BGP

对IGP协议进行分类

按照协议特点分类

距离矢量型协议------DV-----共享路由表
- RIP,EIGRP
链路状态型协议-----LS-----共享拓扑信息
- OSPF,ISIS
按照是否携带掩码分类
- 有类别路由协议
  - RIPv1
- 无类别路由协议

RIP-----路由信息协议

基本概念

UDP协议-----端口号520
目的IP地址
- 255.255.255.255-----RIPv1
- 224.0.0.9-----RIPv2
RIP使用路由的跳数作为开销值Cost，最大值16---代表本条路可不用。
- 算法：数据包中传递的开销值=本地开销值+1
周期更新（保活）/触发更新

RIP算法---贝尔曼福特算法

当接收到数据包中含有本地路由表中没有的路由项，则直接加载到本地路由表
当接收到数据包中含有本地路由表中已经存在的路由项，且下一跳相同，则将数据包中的路由项加

载到本地路由表。

当接收到数据包中含有本地路由表中已经存在的路由项，且下一跳不同，比较cost值，若本地路由

表中的cost大，将将数据包中的路由项加载到本地路由表。

当接收到数据包中含有本地路由表中已经存在的路由项，且下一跳不同，比较cost值，若本地路由

表中的cost小，则丢弃数据包中的路由项

RIP数据包

请求报文
应答报文

RIP计时器

更新计时器----30S
- 每台路由器只有一个计时器，该计时器为0则路由器向外发送更新报文。
无效计时器----更新计时器*6
- 每台路由器的路由表中的每一个RIP路由项都会有一个无效计时器
- 当该计时器为0时，会认为该计时器所表述的路由项无效。路由器会将该路由项的cost设置为

16。并且会向外通知。

垃圾收集计时器-----更新计时器*4
- 当一个路由项的无效计时器为0时，垃圾收集计时器开始计时。
- 当垃圾收集计时器为0时，路由器会删除掉该路由项。

提问：在某时刻，某路由器的RIP路由表中共有30个路由项，其中cost值小于16的有23个，cost等于16

的有7个，此时总共有多少个计时器。

RIP周期更新

更新原因
- 基于UDP传输
- RIP本身也没有可靠性机制
- RIP本身没有保活机制

网络环路

依靠开销值
触发更新---一旦路由表中有任意路由项发送变化，则激活触发更新
水平分割机制---从此口进，不从此口出
毒性逆转---将从某个接口进入的路由，在下一次从该接口发出时，开销值设置为16

触发更新，除了可以避免大部分环路，实际最主要的作用是加快网络收敛速度

RIPv1

[r1]rip 1 -----启动RIP协议，进程号为1，仅具有本地意义

[r1-rip-1]version 1-----选择版本1

[r1-rip-1]network 192.168.1.0 ---宣告，以网段进行宣告，且网段为主类！！

激活接口
发布路由

RIPv2

[r1]rip 1 -----启动RIP协议，进程号为1，仅具有本地意义

[r1-rip-1]version 2-----选择版本2

[r1-rip-1]network 192.168.1.0 ---宣告，以网段进行宣告，且网段为主类！！

激活接口
发布路由

有类地址分类

A---0XXX XXXX---0.0.0.0-127.255.255.255--- 掩码为 8

B---10XX XXXX---128.0.0.0-191.255.255.255--- 掩码为 16

C---110X XXXX---192.0.0.0-223.255.255.255--- 掩码为 24

单播地址

D---1110 XXXX---224.0.0.0-239.255.255.255---- 组播地址

E---1111 XXXX---240.0.0.0-255.255.255.255---- 保留地址

RIP扩展配置

手工汇总
- [r1-GigabitEthernet0/0/0]rip summary-address 192.168.0.0 255.255.254.0 -- 在路由的发
  
  出接口配置
缺省路由---这里指的是下发缺省路由
- [r3-rip-1]default-route originate
- 缺省路由的下发，一定是在边界路由上做。
- 且该配置仅会让其他 RIP 设备学习到 RIP 的缺省路由
静默接口----配置了静默接口的接口无法主动发送RIP数据包，只能被动接收RIP数据包。一般与用户相连的接口配置。
- [r2-rip-1]silent-interface GigabitEthernet 0/0/2
- 当静默接口接收到 RIP 数据包时，会从静默状态转换为普通状态。
手工认证 --- 用于路由器之间的身份核实。 需要在双方身上均配置 。 ---RIPv2

ACL技术---访问控制列表

对于网络中的流量的一种处理方式（方通、拒绝）。

ACL功能

访问控制
- 在设备的流入或流出接口上，匹配流量，然后执行设定的动作
- 允许---permit
- 拒绝---deny
抓取流量
- ACL经常与其他协议共同使用。---所有动作均为允许。

ACL匹配规则

自上而下、逐一匹配，若匹配成功则按照相应规则执行，不再向下匹配；则执行默认规则(在华为中为允许所有)

ACL分类

基本ACL
- 基于IP报文的源IP地址定义规则
- 编号：2000-2999
高级ACL
- 基于源目IP、IP报文协议字段、IP报文优先级、IP报文长度、TCP源目端口号、UDP源目端口等信息来定义规则
- 编号：3000-3999
二层ACL
- 基于MAC地址来定义规则
- 编号：4000-4999
用户自定义ACL

需求一

PC1可以访问192.168.2.0/24网段，而PC2不可以。
分析：
- 仅对源地址有要求，配置基本ACL
- 基本ACL配置规则----靠近目的进行配置。
配置

[r2]acl 2000 ---- 创建基本 ACL 列表

[r2-acl-basic-2000]rule permit source 192.168.1.253 0.0.0.0 --- 创建规则

通配符 ----32 位二进制， 0 代表不可变， 1 代表可变。

[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 --- 在 0/0/1 接口的出方向调用

acl2000 列表

一个接口的一个方向只能调用一张 ACL 列表。但是一张 ACL 列表可以在多个接口调用。

例 1 ：

仅允许 192.168.1.1 通过

rule permit source 192.168.1.1 0.0.0.0

例 2:

拒绝 192.168.1.2 和 192.168.1.3 通过

rule deny source 192.168.1.2 0.0.0.1

11000000.10101000.00000001.00000010

00000000.00000000.00000000.00000001

例 3 ：

拒绝 192.168.1.0/24 网段中的所有单数 IP 地址通过。

rule deny source 192.168.1.1 0.0.0.254

11000000.10101000.00000001.00000001

00000000.00000000.00000000.11111110

[r2]display acl 2000 ---查看ACL列表

需求二

要求 PC1 可以访问 PC3 ，但是不能访问 PC4 。

分析：对目标有要求，使用高级 ACL ；更靠近源。

[r1]acl 3000

[r1-acl-adv-3000]rule permit ip source 192.168.1.253 0.0.0.0 destination 192.168.2.253

0.0.0.0

[r1-acl-adv-3000]rule deny ip source 192.168.1.253 0.0.0.0 destination 192.168.2.252 0.0.0.0

[r1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000

需求三

要求： PC1 可以 ping 通 R2 ，但是不能 telnet R2 。

[r1]acl 3100

[r1-acl-adv-3100]rule permit icmp source 192.168.1.253 0 destination 2.2.2.2 0

[r1-acl-adv-3100]rule deny tcp source 192.168.1.253 0 destination 2.2.2.2 0 dest

ination-port eq 23

[r1-GigabitEthernet0/0/0]traffic-filter outbound acl 3100

练习

思路：