CCNA学习笔记

Chapter9 Managing Traffic with Access Lists
Introduction to Access Lists

访问列表(access list,ACL)的主要作用是过滤你不想要的数据包.设置ACL的一些规则:
1.按顺序的比较,先比较第一行,再比较第二行..直到最后1行
2.从第一行起,直到找到1个符合条件的行;符合以后,其余的行就不再继续比较下去
3.默认在每个ACL中最后1行为隐含的拒绝(deny),如果之前没找到1条许可(permit)语句,意味着包将被丢弃.所以每个ACL必须至少要有1行permit语句,除非你想想所有数据包丢弃


2种主要的访问列表:
1.标准访问列表(standard access lists):只使用源IP地址来做过滤决定
2.扩展访问列表(extended access lists):它比较源IP地址和目标IP地址,层3的协议字段,层4端口号来做过滤决定

利用ACL来过滤,必须把ACL应用到需要过滤的那个router的接口上,否则ACL是不会起到过滤作用的.而且你还要定义过滤的方向,比如是是想过滤从Internet到你企业网的数据包呢还是想过滤从企业网传出到Internet的数据包呢?方向分为下面2种:
1.inbound ACL:先处理,再路由
2.outbound ACL:先路由,再处理

一些设置ACL的要点:
1.每个接口,每个方向,每种协议,你只能设置1个ACL
2.组织好你的ACL的顺序,比如测试性的最好放在ACL的最顶部
3.你不可能从ACL从除去1行,除去1行意味你将除去整个ACL,命名访问列表(named access lists)例外(稍后介绍命名访问列表)
4.默认ACL结尾语句是deny any,所以你要记住的是在ACL里至少要有1条permit语句
5.记得创建了ACL后要把它应用在需要过滤的接口上
6.ACL是用于过滤经过router的数据包,它并不会过滤router本身所产生的数据包
7.尽可能的把IP标准ACL放置在离目标地址近的地方;尽可能的把IP扩展ACL放置在离源地址近的地方

Standard Access Lists

介绍ACL设置之前先介绍下通配符掩码(wildcard masking).它是由0和255的4个8位位组组成的.0代表必须精确匹配,255代表随意,比如:172.16.30.0 0.0.0.255,这个告诉router前3位的8位位组必须精确匹配,后1位8位位组的值可以为任意值.如果你想指定172.16.8.0到 172.16.15.0,则通配符掩码为0.0.7.255(15-8=7)

配置IP标准ACL,在特权模式下使用access-lists [范围数字] [permit/deny] [any/host]命令.范围数字为1到99和1300到1999;permit/deny分别为允许和拒绝;any为任何主机,host为具体某个主机(需要跟上IP地址)或某1段

我们来看1个设置IP标准ACL的实例:
router有3个LAN的连接1个Internet的连接.现在,销售部的用户不允许访问金融部的用户,但是允许他们访问市场部和Internet连接.配置如下:
Router(config)#access-list 10 deny 172.16.40.0 0.0.0.255
Router(config)#access-list 10 permit any
注意隐含的deny any,所以末尾这里我们要加上permit any,any等同于0.0.0.0 255.255.255.255.接下来把ACL应用在接口上,之前说过了尽可能的把IP标准ACL放置在离目标地址近的地方,所以使用ip access-group命令把ACL 10放在E1接口,方向为出,即out.如下:
Router(config)#int e1
Router(config-if)#ip access-group 10 out

Controlling VTY(Telnet) Access

使用IP标准ACL来控制VTY线路的访问.配置步骤如下:
1.创建个IP标准ACL来允许某些主机可以telnet
2.使用access-class命令来应用ACL到VTY线路上

实例如下:
Router(config)#access-list 50 permit 172.16.10.3
Router(config)#line vty 0 4
Router(config-line)#access-class 50 in
如上,进入VTY线路模式,应用ACL,方向为进来,即in.因为默认隐含的deny any,所以上面的例子,只允许IP地址为172.16.10.3的主机telnet到router上

Extended Access Lists

扩展ACL:命令是access-list [ACL号] [permit/deny] [协议] [源地址] [目标地址] [操作符] [端口] [log].ACL号的范围是100到199和2000到2699;协议为TCP,UDP等,操作符号有eq(表等于),gt(大于),lt(小于)和 neq(非等于)等等;log为可选,表示符合这个ACL,就记录下这些日志

来看1个配置扩展ACL的实例:
http://bbs.**********.com/Upload ... 2.16.30.5,配置如下:
Router(config)#access-list 110 deny tcp any host 172.16.30.5 eq 21
Router(config)#access-list 110 deny tcp any host 172.16.30.5 eq 23
Router(config)#access-list 110 permit ip any any
记住默认隐含的deny all.应用到E1接口,注意方向为out,如下:
Router(config)#int e1
Router(config-if)#ip access-group 110 out

Named Access Lists

命名访问列表是创建标准和扩展访问列表的另外1种方法.它允许你使用命名的方法来创建和应用标准或者扩展访问列表.使用ip access-list命令来创建,如下:
Router(config)#ip access-list ?
extended Extended Acc
logging Control access list logging
standard Standard Access List
Router(config)#ip access-list standard ?
<1-99> Standard IP access-list number
WORD Access-list name
Router(config)#ip access-list standard BlockSales
Router(config-std-nacl)#?
Standard Access List configuration commands:
default Set a command to its defaults
deny Specify packets to reject
exit Exit from access-list configuration mode
no Negate a command or set its default
permit Specify packets to forward
Router(config-std-nacl)#deny 172.16.40.0 0.0.0.255
Router(config-std-nacl)#permit any
Router(config-std-nacl)#exit
Router(config)#^Z
Router#sh run
(略)
!
ip access-list standard BlockSales
deny 172.16.40.0 0.0.0.255
permit any
!
(略)
接下来应用到接口上,如下:
Router(config)#int 1
Router(config-if)#ip access-group BlockSales out
Router(config-if)#^Z
Router#

Monitoring Access Lists

一些验证ACL的命令,如下:
1.show access-list:显示router上配置了的所有的ACL信息,但是不显示哪个接口应用了哪个ACL的信息
2.show access-list [number]:显示具体第几号ACL信息,也不显示哪个接口应用了这个ACL
3.show ip access-list:只显示IP访问列表信息
4.show ip interface:显示所有接口的信息和配置的ACL信息
5.show ip interface [接口号]:显示具体某个接口的信息和配置的ACL信息
6.show running-config:显示DRAM信息和ACL信息,以及接口对ACL的应用信息

Chapter10 Enhanced IGRP(EIGRP) and Open Shortest Path First(OSPF)
EIGRP Features and Operation

EIGRP是1种无分类(classless),增强的距离向量路由协议,和IGRP类似,EIGRP也使用AS,但是和IGRP不同的是,EIGRP在它的路由更新信息中要包含子网掩码的信息.这样,在我们设计的网络的时候,就允许我们使用VLSM和summarization.EIGRP有时候也算是混合型路由协议,因为它同时具有了距离向量路和链路状态的一些特征:比如它不像OSPF那样发送链路状态包而发送传统的距离向量更新;EIGRP也有链路状态协议的特征比如它在相邻router启动的时候同步路由表,然后只在拓扑结构发生变化的时候发送1些更新.这样就使得EIGRP能够很好的在1个大型网络中工作.EIGRP的主要特点如下:
1.通过PDMs(Protocol-Dependent Module)来支持IP,IPX和AppleTalk
2.有效的邻router的发现
3.通过可*传输协议(Reliable Transport Protocol,RTP)进行通讯
4.通过扩散更新算法(Diffusing Update Algorithm,DUAL)来选择最佳路径

Protocol-Dependent Module

EIGRP的1大特点是它可以支持几种网络层协议:IP,IPX和AppleTalk等.能像EIGRP那样支持数种网络层协议的还有 Intermediate System-to-Intermediate System(IS-IS)协议,但是这个协议只支持IP和Connectionless Network Service(CLNS).EIGRP通过PDMs来支持不同的网络层协议.每个EIGRP的PDM保持1个单独的路由信息表来装载某种协议(比如 IP)的路由信息.也就是有IP/EIGRP表,IPX/EIGRP的表和AppleTalk/EIGRP表

Neighbor Discovery

在运行了EIGRP的router彼此进行交换信息之前,它们首先必须成为邻居(neighbor).建立邻居关系必须满足以下3个条件:
1.Hello信息或接受收ACK
2.AS号匹配
3.K值

链路状态协议趋向于使用Hello信息来建立邻居关系,它不会像距离向量那样周期性的发送路由更新.为了保持邻居关系,运行了EIGRP的router必须持续从邻居那里收到Hellos

如果不在1个AS内,router之间是不会共享路由信息的,也不会建立邻居关系.这样做的优点是在大型网络中可以减少特定某个AS内路由信息的传播

当EIGRP发现新邻居的时候,就开始通告整个路由表给别的router,当所有的router都知道新成员的加入,学习到新的路径以后,从那开始,路由表中有变动的部分才会传播给别的router.当router接收到邻居的更新以后,把它们保存在本地数据库表里

看下几个术语:
1.可行距离(feasible distance):到达一个目的地的最短路由的度
2.后继(successor):后继是一个直接连接的邻居router,通过它具有到达目的地的最短路由.通过后继router将包转发到目的地

3.通告距离(reported distance):相邻router所通告的相邻router自己到达某个目的地的最短路由的度
4.可行后继(feasible successor):可行后继是一个邻居router,通过它可以到达目的地,不使用这个router是因为通过它到达目的地的路由的度比其他router高,但它的通告距离小于可行距离,因而被保存在拓扑表中,用做备择路由

Reliable Transport Protocol(RTP)

EIGRP使用一种叫做RTP的私有协议,来管理使用了EIGRP的router之间的通信,如RTP的名字,可*(reliable)即为这个协议的关键.RTP负责EIGRP数据包到所有邻居的有保证和按顺序的传输.它支持多目组播或单点传送数据包的混合传输/出于对效率的考虑.只有某些E IGRP数据包被保证可*传输.RTP确保在相邻router间正在进行的通信能够被维持.因此,它为邻居维护了一张重传表.该表指示还没有被邻居确认的数据包.未确认的可*数据包最多可以被重传1 6次或直到保持时间超时,以它们当中时间更长的那个为限.EIGRP所使用的多目组播地址是224.0.0.10

Diffusing Update Algorithm(DUAL)

EIGRP使用DUAL来选择和保持到远端的最佳路径.它能使router判决某邻居通告的一个路径是否处于循环状态,并允许router找到替代路径而无须等待来自其他router的更新.这样做有助于加快网络的汇聚.这个算法顾及以下几点:
1.备份的路由线路
2.支持VLSM
3.动态路由恢复
4.没有发现线路的话发送查询寻找新路线

Using EIGRP to Support Large Networks

EIGRP在大型网络中能够工作的很好,包含了很多优点比如:
1.在1个单独的router上可以支持多个AS
2.支持VLSM和summarization
3.路由发现和保持

Multiple AS

只有AS号相同的router才能共享路由信息.把大型网络分成不同的AS,可以有效的加快汇聚.EIGRP的AD为90,而外部EIGRP(external EIGRP)的AD为170

VLSM Support and Summarization

之前说过EIGRP支持VLSM,也支持不连续子网.什么是不连续子网?,如下图:
如图可以看到,2个子网172.16.10.0/24和172.16.20.0/24由10.3.1.0/24来连接,但是routerA和B认为它们只有网络172.16.0.0

EIGRP支持在任何运行EIGRP的router上summary的手动创建,这样可以减少路由表的体积.EIGRP自动把网络summarize到等级边界,如下图:
Route Discovery and Maintenance
类似一些链路状态的协议,EIGRP通过Hello信息来发现邻居;而它又和距离向量类似,使用传闻路由的机制,即不主动去发现,而是听从别人的信息.EIGRP使用一系列的表来存储信息:
1.邻居表,记录了邻居的一些信息
2.拓扑表,记录了网络中的拓扑状态
3.路由表,根据这个来做路由决定

EIGRP Metrics

EIGRP使用混合度,包含到4个方面:
1.带宽
2.延迟(delay)
3.负载(load)
4.可*性(reliability)
5.最大传输单元(maximum transmission unix,MTU)

默认情况下EIGRP使用带宽和延迟来决定最佳路径

Configuration EIGRP

配置EIGRP,首先在全局配置模式下使用router eigrp [AS号]命令.接下来再使用network命令定义直接相连的网络.仍然可以像配置IGRP那样使用passive-interface命令来禁止某个接口接收或发送Hello信息.并且记住EIGRP的AD是90