連網技術與網絡管理2023-06-03 動態路由

路由協議的類型主要可以分爲以下三類：

1. 距離矢量協議（Distance Vector Protocols）：這類協議使用跳數（hop count）作爲衡量路徑的度量標準。每個路由器僅知道自己相鄰路由器的信息，並通過交換路由表來了解整個網絡的路由信息。常見的距離矢量協議包括經典的Routing Information Protocol (RIP)。

2. 高級距離矢量協議（Advanced Distance Vector Protocols）：這類協議在距離矢量協議的基礎上進行了改進，引入了更復雜的度量標準和路由選擇算法，以提高路由的收斂性和性能。其中最著名的是Cisco的Enhanced Interior Gateway Routing Protocol (EIGRP)。

3. 鏈路狀態協議（Link-State Protocols）：這類協議通過交換鏈路狀態信息來了解整個網絡的拓撲結構，每個路由器都有完整的網絡地圖。根據收集到的鏈路狀態信息，路由器可以計算出最優的路由路徑。常見的鏈路狀態協議包括Open Shortest Path First (OSPF)和Intermediate System to Intermediate System (IS-IS)。

這些路由協議類型具有不同的特點和適用場景，具體選擇哪種協議取決於網絡規模、性能要求、供應商支持以及網絡管理員的偏好等因素。

 

在路由協議中，度量（metric）用於衡量路徑的優劣，以選擇最佳的路由。不同的路由協議使用不同的度量標準，但一般情況下，較小的度量值表示更好的路徑。

以下是一些常見的度量標準和如何選擇最佳路由的方法：

1. 跳數（Hop Count）：距離矢量協議常用的度量標準是跳數，即從源節點到目標節點經過的中間路由器數量。較少的跳數通常表示更短的路徑，因此選擇跳數最少的路由可以得到最佳路由。

2. 帶寬（Bandwidth）：某些路由協議使用鏈路的帶寬作爲度量標準。較高的帶寬表示較大的可用資源，選擇帶寬最高的路由可以得到更好的性能。

3. 延遲（Delay）：度量路由延遲是評估路徑速度的常見方法。較低的延遲意味着數據可以更快地傳輸，選擇延遲最小的路由可以實現更低的延遲。

4. 可靠性（Reliability）：度量路由可靠性是評估路徑穩定性的方法。較高的可靠性表示較少的丟包和中斷，選擇可靠性最高的路由可以提供更穩定的連接。

5. 成本（Cost）：成本是一種抽象的度量標準，可以根據網絡管理員的需求進行定義。成本可以根據多種因素，如跳數、帶寬、延遲等進行計算。根據設定的成本計算規則，選擇成本最低的路由可以得到最優路由。

路由協議根據所使用的度量標準進行路徑選擇，並在路由表中存儲相應的度量值。根據度量值，路由器可以選擇最佳的路由路徑來轉發數據包。不同的路由協議和網絡環境可能更適合不同的度量標準，因此在選擇路由協議和配置路由時，需要考慮網絡需求和性能要求，並選擇適當的度量標準來實現最佳路由選擇。

 

在常見的路由協議中，使用不同的度量標準來選擇最佳路由。下面是一些常用的路由協議及其使用的度量標準：

1. RIP (Routing Information Protocol)：RIP使用跳數作爲度量標準。每個路由器根據到達目的地的跳數來評估路徑的優劣，選擇跳數最少的路徑作爲最佳路由。

2. OSPF (Open Shortest Path First)：OSPF使用開銷（Cost）作爲度量標準。開銷可以根據帶寬、延遲、可靠性等因素計算得出，其中帶寬和延遲是常用的度量標準。路由器根據開銷值選擇最小的路徑作爲最佳路由。

3. EIGRP (Enhanced Interior Gateway Routing Protocol)：EIGRP使用多個度量標準來選擇最佳路由，包括帶寬、延遲、負載和可靠性。EIGRP根據這些度量值計算出一個綜合的度量值，並選擇最小的度量值對應的路徑作爲最佳路由。

需要注意的是，不同的路由協議在使用度量標準和計算方式上可能有所不同。這些度量標準的具體配置和權重也可以根據網絡需求進行調整和優化，以實現更合適的路由選擇。

另外，除了上述提到的度量標準外，還有一些其他的度量標準可以用於路由選擇，如可用帶寬、可用路徑數等。根據網絡規模、性能需求和環境特點，選擇合適的路由協議及其度量標準非常重要，以確保網絡的高效和可靠運行。

 

管理距離（Administrative Distance）是用於評價不同路由來源的優先級的指標。它表示了路由協議的可信度或優先級，用於決定在存在多個路由來源時，選擇哪個路由作爲最佳路由。較低的管理距離值表示較高的優先級。

在常見的路由協議中，OSPF和EIGRP的管理距離如下：

• OSPF（Open Shortest Path First）的管理距離默認爲110。這意味着當存在其他路由協議的路由和OSPF路由時，OSPF路由將具有較低的管理距離，優先級較高。

• EIGRP（Enhanced Interior Gateway Routing Protocol）的管理距離默認爲90。與OSPF類似，EIGRP路由具有較低的管理距離，優先級較高，當存在其他路由協議的路由和EIGRP路由時，EIGRP路由將被選擇作爲最佳路由。

需要注意的是，管理距離是由路由器配置決定的，可以根據需要進行調整。管理員可以手動更改管理距離以修改路由選擇的優先級。然而，更改管理距離應該謹慎進行，以避免可能的路由選擇問題和網絡不穩定性。

 

距離矢量（Distance Vector）路由協議是一種基於跳數（hop count）或者其他度量標準的簡單路由協議。它的工作原理是每個路由器維護一個路由表，其中記錄了到達目的網絡的距離和下一跳的信息。

一些常見的距離矢量路由協議包括：

1. RIP（Routing Information Protocol）：RIP是一種基於跳數的距離矢量路由協議，使用跳數作爲度量標準。每個路由器將自己所知道的路由信息發送給相鄰的路由器，並通過交換更新消息來更新路由表。RIP具有最大跳數限制，限制了其應用於較大規模的網絡。

2. IGRP（Interior Gateway Routing Protocol）：IGRP也是一種距離矢量路由協議，類似於RIP，但提供了更復雜的度量標準，包括帶寬、延遲、可靠性和負載等因素。IGRP由思科開發，用於更大規模和複雜的網絡環境。

3. EIGRP（Enhanced Interior Gateway Routing Protocol）：EIGRP是一種增強的距離矢量路由協議，結合了距離矢量和鏈路狀態路由協議的特點。它使用複雜的度量標準，包括帶寬、延遲、可靠性和負載等因素，並通過交換增量更新來提高路由收斂的效率。

距離矢量路由協議具有一定的侷限性，例如收斂速度較慢、網絡規模限制和路由環路問題等。因此，在大型複雜的網絡中，通常會使用鏈路狀態路由協議來提供更好的可擴展性和靈活性。

 

在路由協議中，信息來源和發現路由是指路由器獲取路由信息並學習網絡拓撲的過程。

1. 信息來源：路由器可以從不同的信息源獲取路由信息，包括以下幾種方式：

   • 直連網絡：路由器直接連接的網絡，可以自動學習和識別直連網絡的路由信息。
   • 靜態路由：管理員手動配置的路由信息，通過靜態路由命令將網絡和下一跳關聯起來。
   • 動態路由協議：路由器可以通過運行動態路由協議來交換和獲取路由信息。動態路由協議根據網絡拓撲和度量標準自動計算和更新路由表。

2. 發現路由：路由器通過不同的方法發現路由，以確定如何轉發數據包到目標網絡。

   • 距離矢量路由協議：距離矢量路由協議使用鄰居路由器之間的交互來發現路由。路由器通過交換路由更新消息來了解相鄰路由器所知道的路由信息，並更新自己的路由表。
   • 鏈路狀態路由協議：鏈路狀態路由協議中的路由器通過交換鏈路狀態信息來了解整個網絡的拓撲。每個路由器都維護一個鏈路狀態數據庫（LSDB），其中包含了整個網絡的拓撲信息。通過構建最短路徑樹，每個路由器可以確定到達目標網絡的最佳路徑。

總的來說，信息來源和發現路由是路由器獲取和學習路由信息的過程。通過獲取信息來源，並使用路由協議進行路由信息的交換和計算，路由器能夠構建並更新自己的路由表，以便轉發數據包到目標網絡。

 

維護路由信息是指路由器在運行路由協議過程中，對已學習到的路由信息進行更新、驗證和維護的過程。這樣可以確保路由表中的路由信息始終保持最新和可靠。

在維護路由信息時，路由器執行以下操作：

1. 更新：路由器定期與相鄰路由器交換路由更新信息，以獲取最新的網絡拓撲和路由信息。更新可以基於時間、事件或觸發條件進行，以確保及時更新路由表。

2. 驗證：路由器會驗證接收到的路由更新信息的有效性和一致性。這包括檢查路由器之間的鄰居關係是否正常、驗證更新信息的來源和完整性等。如果發現不一致或異常，路由器可能會採取相應的措施，如丟棄無效的路由或觸發重新計算路徑。

3. 路由表維護：路由器根據更新的路由信息，更新自己的路由表。這可能涉及添加新的路由、刪除過期的路由、更新已有路由的度量值等。路由器會根據路由協議的算法和策略來決定如何更新路由表。

4. 故障檢測與恢復：路由器會監測網絡中的故障情況，如鏈路失效、鄰居路由器故障等。一旦發現故障，路由器會盡快通知相鄰路由器，並進行路由表的調整，以找到備用路徑或重新計算路徑，以實現網絡的快速恢復。

維護路由信息的目的是確保路由器具有最新的、可靠的路由信息，並能夠根據網絡的變化和故障情況做出及時的調整和決策。這樣可以保持網絡的穩定性、可用性和高效性，確保數據包能夠按照最佳路徑進行轉發。

 

在路由協議中，存在兩種常見的不一致情況：計數至無窮大和路由環路。

1. 計數至無窮大（Count to Infinity）：這種情況發生在距離矢量路由協議中，當路由器之間的鏈路斷開時，路由器會向鄰居發送更新信息，指示某個目的網絡不可達。但是，由於路由器之間的更新信息需要一定時間來傳播，可能會出現一個問題，即路由器在等待更新信息到達時，將目的網絡的距離度量值設置爲無窮大（通常是16個躍點），表示不可達。然而，當鄰居路由器收到該更新信息時，會將該目的網絡的距離度量值加1，並向其他鄰居發送更新信息，以便將其通知。這樣，更新信息會在網絡中傳播並引起一系列的計數增加。如果沒有采取措施來解決這個問題，最終可能導致無窮大計數，即路由器之間循環增加計數，無法收斂到正確的路徑。

2. 路由環路（Routing Loop）：路由環路是指路由器之間的路徑形成了一個循環，導致數據包在網絡中不斷循環轉發，無法到達目的地。這種情況可能發生在任何類型的路由協議中，包括距離矢量、鏈路狀態和路徑矢量協議。當存在路由環路時，數據包將被無限地在環路中傳輸，造成網絡擁塞和資源浪費。爲了解決路由環路問題，路由協議採用了一些機制，如距離矢量協議中的拆環（Split Horizon）和毒性逆轉（Poison Reverse），以及鏈路狀態協議中的Dijkstra算法來計算最短路徑樹，以避免環路形成。

解決這些不一致的路由條目問題是路由協議設計中的關鍵挑戰之一。不同的路由協議採用不同的策略和機制來避免或解決這些問題，以確保網絡的穩定和可靠性。

 

爲了解決計數至無窮大的問題，路由協議通常採用定義最大值的方式來限制距離度量的增加。這樣可以防止無限制地增加距離值，從而避免無窮大計數的發生。

在距離矢量路由協議中，常見的解決方案是將距離度量值限制在一個預定義的最大值上。例如，在RIP（Routing Information Protocol）中，最大距離度量值被設置爲15躍點。當某個路由器將某個目的網絡的距離度量值達到最大值時，它將不再對該目的網絡發送更新信息，表示該網絡不可達。這樣，路由器之間就不會無限地增加距離值，避免了計數至無窮大的問題。

另一種常見的解決方案是使用毒性逆轉（Poison Reverse）機制。在毒性逆轉中，路由器向鄰居發送更新信息時，將不可達的目的網絡標記爲無窮大距離。這樣，鄰居路由器收到更新信息後，會立即將該目的網絡的距離度量值設置爲無窮大，而不是等待原始更新信息到達時再增加距離值。通過毒性逆轉機制，可以更快地將不可達信息傳播給鄰居，加速路由收斂，減少計數至無窮大的發生。

總之，通過定義最大值和使用毒性逆轉等機制，路由協議可以有效地解決計數至無窮大的問題，確保路由器能夠收斂到正確的路徑，並提高網絡的穩定性和可靠性。

 

解決路由環路的常見方法是使用水平分割（Split Horizon）機制。水平分割是一種阻止路由器將關於某個網絡的更新信息發送回源路由器的技術。

在水平分割中，路由器在將更新信息發送給鄰居路由器時，會阻止將該信息發送回原始來源路由器的接口。這樣可以防止更新信息在網絡中形成環路，並避免由於環路而導致的數據包循環和網絡擁塞。

水平分割機制可以通過以下幾種方式實現：

1. 禁止發送反向更新：路由器不向原始來源路由器發送更新信息，阻止信息迴流。

2. 禁止發送自己已經學習到的路由：路由器不將已經學習到的路由信息發送給原始來源路由器，避免環路的形成。

3. 禁止發送特定的路由：路由器根據特定的條件，如路由器接口或特定的路由標記，禁止將相關的路由信息發送給原始來源路由器。

通過水平分割機制，路由器可以有效地避免路由環路的發生。這提高了路由協議的穩定性和可靠性，確保網絡中的數據包能夠按照正確的路徑進行轉發，避免不必要的數據包丟失和網絡擁塞。

 

對於解決路由環路問題，除了水平分割機制之外，還可以使用路由毒化（Route Poisoning）和毒性反轉（Poison Reverse）技術。

1. 路由毒化：路由毒化是一種通過將有關環路的路由條目的距離值設置爲無限大來解決路由環路的方法。當路由器檢測到某個路由發生環路時，它會將該路由的距離值設置爲無限大（通常表示爲16個跳數或無窮大）。這樣做的效果是，其他路由器收到該更新信息後，會將該路由視爲不可達，從而避免繼續使用該路由形成環路。

2. 毒性反轉：毒性反轉是一種改進的路由毒化技術，用於更有效地解決路由環路問題。在毒性反轉中，當一個路由器檢測到發生環路時，不僅將受影響的路由的距離值設置爲無限大，還會將該路由的下一跳（下一跳路由器）設置爲自身。這樣，其他路由器在收到更新信息時，會知道該路由的下一跳是環路的源頭路由器，從而避免將數據包發送迴環路。

通過使用路由毒化和毒性反轉技術，路由器可以快速識別和解決路由環路問題。這些技術在路由協議中起到重要的作用，確保網絡中的路由信息能夠穩定、可靠地傳播，避免數據包在網絡中無限循環並引發問題。

 

抑制計時器（Hold-down Timer）是一種用於解決路由環路問題的機制。它用於在更新路由信息時對某些路由條目的接受進行暫時性的禁止，以避免在網絡中出現不穩定的路由信息傳播。

當路由器收到某個路由條目的更新信息時，如果發現該路由條目的下一跳與自身相同（即存在環路），路由器會啓動抑制計時器。在抑制計時器的時間內，路由器將暫時停止接受該路由條目的任何更新信息。這樣做可以防止網絡中的不穩定路由信息反覆傳播和更新，從而避免形成路由環路。

抑制計時器的時間通常設定爲較長的值，以確保足夠的時間來穩定網絡並收斂路由信息。在抑制計時器的時間內，路由器將維持先前接收到的路由信息，並嘗試通過其他路徑進行轉發。一旦抑制計時器超時，路由器可以重新接受該路由條目的更新信息，以便更新網絡的路由表。

抑制計時器是一種簡單但有效的機制，可用於解決路由環路問題。它可以減少不穩定路由信息的傳播，提高網絡的穩定性和收斂性。然而，需要注意的是，抑制計時器可能會延遲網絡的收斂時間，因此在配置抑制計時器時需要根據網絡規模和環境需求進行適當的調整。

 

ACL（Access Control List）用於控制網絡設備上的流量流向和訪問權限。以下是一些使用ACL的主要原因：

1. 安全性：ACL可用於實施網絡安全策略，限制對網絡資源的訪問和保護敏感數據。通過允許或拒絕特定IP地址、協議、端口或應用程序的流量，ACL可以幫助防止未經授權的訪問、網絡攻擊和數據泄露。

2. 流量控制：ACL可以幫助管理和控制網絡流量。通過配置ACL規則，可以限制特定用戶、設備或應用程序的流量，以避免網絡擁塞、資源過載或服務質量問題。ACL還可用於限制特定類型的流量（如P2P或媒體流）或實施帶寬管理策略。

3. 資源保護：ACL可用於限制對特定網絡資源的訪問，以確保資源的合理使用和保護。例如，通過ACL可以限制對特定服務器、數據庫或存儲設備的訪問權限，防止未經授權的用戶或設備佔用資源或進行惡意操作。

4. 網絡分割：ACL可用於劃分網絡，實現邏輯隔離和安全分區。通過配置ACL規則，可以將網絡劃分爲多個子網或虛擬局域網（VLAN），並限制子網或VLAN之間的通信，以提高網絡安全性和性能。

5. 合規性：在某些情況下，根據法規、政策或合同要求，需要實施特定的訪問控制規則。ACL可用於滿足合規性要求，並確保網絡操作符合相關標準和指南。

總而言之，使用ACL可以增強網絡的安全性、流量控制、資源保護和合規性。它是網絡管理和安全策略中的重要工具，幫助管理員實施有效的訪問控制和流量管理策略。

 

ACL（Access Control List）可以應用於過濾網絡流量，以允許或拒絕特定類型的數據包通過網絡設備。以下是ACL在過濾方面的常見應用：

1. 網絡訪問控制：ACL可用於控制對網絡資源的訪問權限。通過配置ACL規則，可以限制特定IP地址、子網、協議、端口或應用程序的流量。例如，可以創建ACL規則以禁止外部IP地址訪問內部服務器或限制特定子網對某些資源的訪問。

2. 流量過濾：ACL可用於過濾特定類型的流量，以實現網絡流量的控制和管理。通過定義ACL規則，可以允許或拒絕特定協議、端口或應用程序的流量通過網絡設備。例如，可以創建ACL規則以阻止P2P流量、限制媒體流量的帶寬或禁用特定協議（如ICMP）。

3. 安全策略實施：ACL可用於實施網絡安全策略，以保護網絡免受潛在的威脅和攻擊。通過配置ACL規則，可以阻止具有惡意意圖的流量，例如拒絕來自已知惡意IP地址的訪問或阻止特定類型的網絡攻擊（如DDoS攻擊）。

4. 用戶訪問控制：ACL可用於限制用戶對網絡資源的訪問權限。通過配置ACL規則，可以控制特定用戶或用戶組對特定資源的訪問。例如，可以創建ACL規則以限制某些用戶對敏感文件或數據庫的讀取或寫入權限。

5. 服務質量（QoS）控制：ACL可用於實施QoS策略，以優化網絡流量和資源分配。通過配置ACL規則，可以對流量進行分類、標記和控制，以確保關鍵應用程序的優先級和帶寬要求得到滿足。

ACL的過濾功能使得管理員能夠根據特定需求和安全策略對網絡流量進行精確控制和管理。通過合理配置ACL規則，可以提高網絡的安全性、性能和資源利用效率。

 

 

ACL（Access Control List）可以用於對網絡流量進行分類，根據特定的條件對數據包進行分組和處理。以下是ACL在分類方面的應用：

1. 服務質量（QoS）分類：ACL可用於對流量進行分類，以實施QoS策略併爲不同類型的流量分配不同的優先級和帶寬。通過配置ACL規則，可以根據流量的源IP地址、目標IP地址、協議、端口等特徵將流量分類爲不同的類別，然後爲每個類別應用特定的QoS策略，如優先級隊列、帶寬限制或排隊機制。

2. 數據包標記：ACL可用於對數據包進行標記，以便後續處理和識別。通過配置ACL規則，可以根據特定的條件對數據包進行匹配，併爲匹配的數據包設置特定的標記或標籤。這些標記可以用於後續的路由、策略路由、QoS、安全策略等處理，以實現對數據包的精確控制和管理。

3. 流量分類和策略路由：ACL可用於將流量分爲不同的分類，並根據分類將流量導向特定的路徑或目的地。通過配置ACL規則，可以根據源IP地址、目標IP地址、協議、端口等條件將流量分類，併爲每個分類定義特定的路由策略。這使得管理員可以根據不同的流量需求和目標，將流量導向適當的路徑或目的地，實現網絡流量的靈活控制和路由。

4. 安全策略分類：ACL可用於對網絡流量進行安全策略的分類和處理。通過配置ACL規則，可以根據特定的條件對流量進行分類，如源IP地址、目標IP地址、協議、端口等，然後爲每個分類應用適當的安全策略。這可以包括允許或拒絕特定類型的流量，實施入侵檢測和防火牆規則，以及防止惡意流量進入或離開網絡。

ACL的分類功能使得管理員能夠根據流量的特徵和需求對網絡進行細粒度的控制和管理。通過合理配置ACL規則，可以實現對流量的優化、安全性的提升以及網絡資源的有效利用。

 

出站ACL用於控制從網絡中的特定設備發送的流量，可以根據需求拒絕或允許特定類型的流量。以下是一般的測試步驟：

1. 確定測試目標：確定要測試的特定設備或主機，以及要應用ACL的出站接口。

2. 定義ACL規則：根據需求定義ACL規則，確定要拒絕或允許的流量類型。ACL規則可以基於源IP地址、目標IP地址、協議、端口等條件進行定義。

3. 創建ACL：在相關設備上創建ACL，並將定義的ACL規則應用到出站接口。具體的步驟和命令可能因設備類型和操作系統而異。

4. 配置拒絕或允許規則：根據測試目標和需求，將ACL規則配置爲拒絕或允許特定類型的流量。例如，如果要拒絕某個特定IP地址的流量，可以配置ACL規則拒絕該IP地址的流量。

5. 激活ACL：啓用創建的ACL，使其生效。根據設備和操作系統，可能需要使用特定的命令或配置步驟來激活ACL。

6. 進行測試：在測試目標設備上產生相應的流量，並觀察ACL的效果。根據ACL規則的定義，流量應該被拒絕或允許。

7. 驗證測試結果：通過觀察流量是否按照ACL規則進行拒絕或允許來驗證測試結果。可以使用網絡監控工具或設備日誌來檢查流量是否被正確地過濾或允許通過。

8. 調整和優化：根據測試結果，根據實際需求進行ACL規則的調整和優化。可能需要添加、修改或刪除ACL規則，以滿足網絡安全和流量控制的要求。

請注意，具體的ACL配置和測試步驟可能因設備型號、操作系統和網絡環境而有所不同。建議參考設備的用戶手冊、操作指南或相關文檔，以獲得適用於您設備的具體配置和測試指導。

 

 

標準ACL（Standard Access Control List）和擴展ACL（Extended Access Control List）是兩種常見的ACL類型，用於在網絡設備上控制流量的過濾和管理。它們有以下特點和應用場景：

標準ACL：

• 標準ACL基於源IP地址進行過濾，只能匹配源IP地址，無法匹配其他條件如目標IP地址、協議、端口等。
• 標準ACL的編號範圍是1-99和1300-1999。
• 標準ACL適用於簡單的流量過濾需求，例如限制特定IP地址或IP地址範圍的流量。
• 標準ACL應該應用在靠近目標網絡的位置，以減少對流量的處理開銷。

擴展ACL：

• 擴展ACL可以基於源IP地址、目標IP地址、協議、端口等多個條件進行過濾，提供更靈活的流量控制能力。
• 擴展ACL的編號範圍是100-199和2000-2699。
• 擴展ACL適用於複雜的流量過濾需求，例如根據源和目標IP地址、協議類型和端口號來控制流量。
• 擴展ACL應該應用在靠近源網絡的位置，以儘早過濾不需要的流量，減輕網絡設備的負擔。

總結： 標準ACL適用於簡單的源IP地址過濾需求，而擴展ACL則提供更豐富的條件匹配能力。選擇使用標準ACL還是擴展ACL取決於實際的網絡流量過濾需求，根據需要進行選擇和配置。

請注意，具體的ACL配置和命令可能因設備類型、操作系統和版本而有所不同。建議參考設備的官方文檔或相關指南，以獲取適用於您設備的具體ACL配置和使用方法。

 

配置ACL時的一些指導原則和最佳實踐：

• 標準或擴展：根據需要過濾的內容選擇標準ACL或擴展ACL。標準ACL通常基於源IP地址，而擴展ACL可以基於更多的條件，如目標IP地址、協議類型、端口號等。

• 每個接口、協議、方向：每個接口、協議和方向只允許配置一個ACL。這意味着每個接口的入站和出站流量只能有一個ACL應用。

• 順序控制：ACL語句的順序非常重要，最具體的語句應位於列表頂部。ACL將按照配置的順序進行測試，因此將最具體的語句放在前面可以確保精確匹配和過濾。

• 隱式拒絕：每個ACL列表需要至少包含一條permit語句，以防止隱式拒絕所有其他流量。這意味着如果沒有匹配任何ACL語句，將隱式拒絕該流量。

• 應用方式：在全局範圍內創建ACL，並將其應用於適當的接口和流量方向。ACL可以應用於入站流量或出站流量，具體取決於要過濾的流量類型和需求。

• 過濾位置：將擴展ACL靠近源地址，將標準ACL靠近目的地址。這樣做可以儘早過濾掉不符合條件的流量，減輕路由器的負擔。

 

To configure static routes to connect two PCs across multiple networks using three routers, you would need to configure the appropriate static routes on each router. Here's a step-by-step guide on how to do this:

Assuming the following network topology:

PC1 -- Router1 -- Router2 -- Router3 -- PC2

 

• Assign IP addresses to each interface on the routers and PCs based on the respective networks. For example:

Use these setting    
PC1: IP address 172.168.1.2/24, default gateway 172168.1.1
    PC2: IP address 192.168.1.2/24, default gateway 192.168.1.1
    Router1:
        Interface connecting to PC1: IP address 172.168.1.1/24
        Interface connecting to Router2: IP address 10.1.1.1/24
    Router2:
        Interface connecting to Router1: IP address 10.1.1.2/24
        Interface connecting to Router3: IP address 10.2.2.2/24
    Router3:
        Interface connecting to Router2: IP address 10.2.2.3/24
        Interface connecting to PC2: IP address 192.168.1.1/24

To configure the static routes for the given network setup, you would need to configure the appropriate static routes on each router. Here's how you can do it:

• Assign IP addresses to each interface on the routers and PCs based on the given network setup.

• Configure static routes on Router1:

  arduino
• Router1(config)# ip route 192.168.1.0 255.255.255.0 10.1.1.2

• Configure static routes on Router2:

  arduino
• Router2(config)# ip route 172.168.1.0 255.255.255.0 10.1.1.1

  Router2(config)# ip route 192.168.1.0 255.255.255.0 10.2.2.3

• Configure static routes on Router3:

  arduino

4. Router3(config)# ip route 172.168.1.0 255.255.255.0 10.2.2.2

By configuring these static routes, you are specifying the next hop for each destination network. This allows the routers to forward packets between networks and enable communication between PC1 and PC2 across the interconnected routers.

Make sure to enable IP routing on each router using the ip routing command in global configuration mode.

Note: The IP addresses in the given network setup are inconsistent. PC1 has an IP address of 172.168.1.2/24, while PC2 has an IP address of 192.168.1.2/24. Please ensure that the IP addresses are correct and consistent across the devices.

 

ChatGPT給出的動態路由配置

Router1(config)# router rip

Router1(config-router)# network 172.168.1.0

Router1(config-router)# network 10.1.1.0

 

Router2(config)# router rip

Router2(config-router)# network 10.1.1.0

Router2(config-router)# network 10.2.2.0

 

Router3(config)# router rip

Router3(config-router)# network 10.2.2.0

Router3(config-router)# network 192.168.1.0

 

 

2臺PC，3個路由器，一共5臺設備，跨越了4個網段。

如果配置靜態路由的話，就會很麻煩。

因爲每臺路由器，只有2個網段，就意味着每個路由器都需要給其他三個網段配置路由，並且還有正向和反向的區別。

 

第一個路由器

interface GigabitEthernet0/0
 ip address 172.168.1.1 255.255.255.0
 duplex auto
 speed auto
!
interface GigabitEthernet0/1
 ip address 10.1.1.1 255.255.255.0
 duplex auto
 speed auto

Router#show ip interface brief  查看接口狀態
Interface              IP-Address      OK? Method Status                Protocol
 
GigabitEthernet0/0     172.168.1.1     YES manual up                    up
 
GigabitEthernet0/1     10.1.1.1        YES manual up                    up

 

第二個路由器

interface GigabitEthernet0/0
 ip address 10.1.1.2 255.255.255.0
 duplex auto
 speed auto
!
interface GigabitEthernet0/1
 ip address 10.2.2.2 255.255.255.0
 duplex auto
 speed auto

 

第三臺路由器

interface GigabitEthernet0/0
 ip address 10.2.2.3 255.255.255.0
 duplex auto
 speed auto
!
interface GigabitEthernet0/1
 ip address 192.168.1.1 255.255.255.0
 duplex auto
 speed auto

 

配置第一臺路由器的動態路由

en

conf t

router rip

version 2

network 172.16.0.0

network 10.0.0.0

 

配置第二個路由器

network 10.0.0.0

 

配置第三個路由器

network 192.168.1.0

network 10.0.0.0

 

配置完成後，用PC1去拼各個interface的IP。然後查看每個路由器裏面生成的路由表

第一個路由器

Router#show ip route 
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route

Gateway of last resort is not set

     10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks   第一個網段，3個子網，2個不同的子網掩碼24和32。一條RIP路由
C       10.1.1.0/24 is directly connected, GigabitEthernet0/1
L       10.1.1.1/32 is directly connected, GigabitEthernet0/1
R       10.2.2.0/24 [120/1] via 10.1.1.2, 00:00:22, GigabitEthernet0/1
     172.168.0.0/16 is variably subnetted, 2 subnets, 2 masks  第二個網段，2個子網，2個不通過的子網掩碼。一條RIP路由
C       172.168.1.0/24 is directly connected, GigabitEthernet0/0
L       172.168.1.1/32 is directly connected, GigabitEthernet0/0
R    192.168.1.0/24 [120/2] via 10.1.1.2, 00:00:22, GigabitEthernet0/1

 

第二個路由器

Router#show ip route 
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route

Gateway of last resort is not set

     10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks  兩條RIP路由
C       10.1.1.0/24 is directly connected, GigabitEthernet0/0
L       10.1.1.2/32 is directly connected, GigabitEthernet0/0
C       10.2.2.0/24 is directly connected, GigabitEthernet0/1
L       10.2.2.2/32 is directly connected, GigabitEthernet0/1
R    172.168.0.0/16 [120/1] via 10.1.1.1, 00:00:04, GigabitEthernet0/0
R    192.168.1.0/24 [120/1] via 10.2.2.3, 00:00:04, GigabitEthernet0/1

 

第三個路由器

Router#show ip route 
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route

Gateway of last resort is not set

     10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks   一共2個RIP
R       10.1.1.0/24 [120/1] via 10.2.2.2, 00:00:04, GigabitEthernet0/0
C       10.2.2.0/24 is directly connected, GigabitEthernet0/0
L       10.2.2.3/32 is directly connected, GigabitEthernet0/0
R    172.168.0.0/16 [120/2] via 10.2.2.2, 00:00:04, GigabitEthernet0/0
     192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks
C       192.168.1.0/24 is directly connected, GigabitEthernet0/1
L       192.168.1.1/32 is directly connected, GigabitEthernet0/1

 

 

ACL配置實戰

配置路由器A上的ACL策略

1.AC1只允許除192.168.1.2的設備訪問服務器1，配置在gig0/0.1

2.AC2只允許192.168.1.2的設備訪問服務器1，配置在gig0/0.2

3.ACL101只允許192.168.2.2訪問服務器1的www服務，配置在gig0/1

• 標準ACL的編號範圍是1-99和1300-1999。  標準的ACL只需要指定source

• 擴展ACL的編號範圍是100-199和2000-2699。 擴展的既需要指定source，也需要指定target

所以上面的1和2是標準ACL，而3是擴展ACL

Router(config)#access-list ?
  <1-99>     IP standard access list
  <100-199>  IP extended access list

 

第一個操作

access-list 1 deny host 192.168.1.2 這個只是創建了acl策略，並沒有應用

int g0/0.1

ip access-group 1 

 

Router(config-subif)#do sho ip access-list
Standard IP access list 1
    deny host 192.168.1.2 (4 match(es))

標準ACL要放在目標位置，而不是源位置，否則PC1也會無法和PC2進行通訊。不過這個實驗，暫時先不管這個

正常來說，配置應該配置在路由器A的g0/1上，並且是outbound規則。

 

第二個操作

access-list 2 permit host 192.168.2.2

access-list 2 deny any

只允許的話，添加了允許之後，需要deny其他的

int gig0/0.2

ip access-group 2 in 

 

Router#show ip access-lists 
Standard IP access list 1
    deny host 192.168.1.2 (8 match(es))
Standard IP access list 2
    permit host 192.168.2.2
    deny any

 

第三個操作

access-list 101 permit tcp host 192.168.2.2 host 192.168.3.2 eq 80

int gig0/1

ip access-group 101 out

Router#show ip access-lists 
Standard IP access list 1
    deny host 192.168.1.2 (8 match(es))
Standard IP access list 2
    permit host 192.168.2.2
    deny any
Extended IP access list 101
    permit tcp host 192.168.2.2 host 192.168.3.2 eq www

 

最後配置完成，查看路由器A的配置

interface GigabitEthernet0/0.1
 encapsulation dot1Q 2
 ip address 192.168.1.1 255.255.255.0
 ip access-group 1 in
!
interface GigabitEthernet0/0.2
 encapsulation dot1Q 3
 ip address 192.168.2.1 255.255.255.0
 ip access-group 2 in
!
interface GigabitEthernet0/1
 ip address 192.168.3.1 255.255.255.0
 ip access-group 101 out
 duplex auto
 speed auto

 

access-list 1 deny host 192.168.1.2
access-list 2 permit host 192.168.2.2
access-list 101 permit tcp host 192.168.2.2 host 192.168.3.2 eq www

 

Since there is no explicit deny statement, the default behavior is to deny any traffic that does not match the permit statement. This means that any traffic from other sources (other than 192.168.2.2) will be implicitly denied.