標(biāo)準(zhǔn)IP擴(kuò)展IP帶有Established選項(xiàng)的擴(kuò)展IP動(dòng)態(tài)IP可控路由器用表管理進(jìn)入和離開(kāi)一個(gè)特定接口的數(shù)據(jù)流。下面列出了表可以用的一些方法：IP表技術(shù)概表，或控制表，提供了基本的數(shù)據(jù)流過(guò)濾能力。它可以用來(lái)控制進(jìn)入或離開(kāi)一網(wǎng)絡(luò)的，也可以在路由器的輸入或輸出端口過(guò)濾報(bào)文?；谇懊娑x的標(biāo)準(zhǔn)，表通過(guò)路由器決定轉(zhuǎn)還是丟棄報(bào)文來(lái)過(guò)濾網(wǎng)絡(luò)的數(shù)據(jù)流。這個(gè)標(biāo)準(zhǔn)由表定義，返回來(lái)又應(yīng)用于接口。依據(jù)表的定義，匹配標(biāo)準(zhǔn)可能簡(jiǎn)單（標(biāo)準(zhǔn)表，也可能很復(fù)雜（擴(kuò)展表。表提供了檢測(cè)流入或流出路由器端口的報(bào)文的法，也使路由器通過(guò)一定的標(biāo)準(zhǔn)控制那些報(bào)文。通配符字：通配符字規(guī)定了當(dāng)一個(gè)IP地址與其他的IP地址進(jìn)行比較時(shí)，該通配符字中的“1”表示忽略IP地址中對(duì)應(yīng)的位，而“0”則表示該位必須保留 例如：下面的表（表1）指明了數(shù)據(jù)流被允許通過(guò)的順序，前3個(gè)八位字節(jié)組必須匹配（150.1.1。這個(gè)表允許主機(jī)號(hào)為1~255的主機(jī)連在網(wǎng)絡(luò)150.1.1.0上。Inbound和outbound：當(dāng)在一接口應(yīng)用表時(shí)，用戶(hù)指明表是應(yīng)用于流入數(shù)據(jù)還12-1

圖12-1表術(shù)路由器A想所有從主機(jī)150.1.1.2到主機(jī)PCA（152.1.1.2）的數(shù)據(jù)流。那么在路由器A上有兩個(gè)位置可應(yīng)用表。一個(gè)接入(inbound)表可以設(shè)置在串行接口，或者一個(gè)接出(outbound)表設(shè)置在以太網(wǎng)接口。最優(yōu)選擇是將表應(yīng)用于離那些被的數(shù)據(jù)流最近注意接出表應(yīng)用于滿足下面件的報(bào)文（packet：已做出了路由決定，并且報(bào)文向適當(dāng)?shù)慕涌诼酚?。此時(shí)，報(bào)文與表相對(duì)應(yīng)，報(bào)文可能被轉(zhuǎn)發(fā)或被丟棄。經(jīng)過(guò)路由器路由一個(gè)報(bào)文是沒(méi)用的，該報(bào)文只會(huì)在輸出端口被丟棄。一個(gè)好的設(shè)計(jì)是在那些離被的數(shù)流最的接上應(yīng)。access-class：access-class命令用來(lái)限制在Cisco路由器上特殊的一個(gè)VTY線與表指定的一個(gè)地址之間的進(jìn)入和離開(kāi)的VTY連接。這個(gè)線配置命令把指定的表[1-99]用到一個(gè)VTY“in“out”限制接出的連接。access-enable：基于前面定義的標(biāo)準(zhǔn)，這條可執(zhí)行命令用來(lái)在動(dòng)態(tài)表中創(chuàng)建一臨時(shí)。機(jī)知IOS只允許那些產(chǎn)生net會(huì)話的特定主機(jī)。計(jì)時(shí)滿指定一空閑的計(jì)時(shí)期限。如果在這段時(shí)間表項(xiàng)沒(méi)被使用，則該表項(xiàng)被刪除。如果表項(xiàng)被刪除，用戶(hù)再想網(wǎng)絡(luò)就必須重新獲得認(rèn)證access-list[1-99]：序號(hào)從1~99的表定義為標(biāo)準(zhǔn)表。標(biāo)準(zhǔn)表只是基于源IP地址來(lái)允許或報(bào)文。源IP地址是指發(fā)送報(bào)文的主機(jī)或網(wǎng)絡(luò)的地址。源IP地址后附有一access-list[100-199]：帶有號(hào)碼100~199的表定義為擴(kuò)展表。擴(kuò)展表可以設(shè)置為靜的或態(tài)的靜態(tài)為缺設(shè)置也可用“dynamic”設(shè)置為動(dòng)態(tài)的。本章后面將會(huì)有對(duì)兩者更詳細(xì)的描述。擴(kuò)展表用來(lái)允許或報(bào)文（基于多種因素，如：協(xié)議、源IP地址、目的IP、TOS和端，比標(biāo)準(zhǔn)表提供了更多的內(nèi)容。擴(kuò)展表允許登錄，該登錄創(chuàng)建了一提供關(guān)于匹配表的任何報(bào)文的登錄信息。這個(gè)操作在表疑難解答時(shí)最有用。access-list[100-199][dynmaic]：帶有號(hào)碼100~199“dynamic”的表定義為動(dòng)態(tài)擴(kuò)展表。本命令為一全局配置命令。clearaccess-listcounters：這條可執(zhí)行命令清除所有表計(jì)數(shù)器，有些表用一些計(jì)數(shù)器來(lái)計(jì)算匹配某一特定表的每一條線的報(bào)文的數(shù)。當(dāng)然也可以指定表的名字和序號(hào)，缺省時(shí)，系統(tǒng)將清除所有計(jì)數(shù)器。clearaccess-temte：這條可執(zhí)行命令清除所有動(dòng)態(tài)表項(xiàng)ipaccess-group：基于在表中定義的標(biāo)準(zhǔn)，這條命令用來(lái)允許或一特定接口上的進(jìn)入和流出的報(bào)文。這條接口配置命令把一指定的表[1-199]應(yīng)用于一個(gè)路由器接inoutipnetsource-interface：這條全局配置命令使用戶(hù)能夠選擇一個(gè)接口的一個(gè)地址作為showaccess-lists：這條可執(zhí)行命令顯示當(dāng)前所有IP表的內(nèi)容，也可以指定具體的訪一臺(tái)運(yùn)行終端仿真程序的CiscoIOS10.0一根CiscoDTE/DCE

圖12-2基本路由器A將允許所有從網(wǎng)絡(luò)15.1.0來(lái)的數(shù)據(jù)流通過(guò)，而所有其他網(wǎng)絡(luò)來(lái)的數(shù)據(jù)。路由器A和BB作為DCE為A提供時(shí)鐘。IP在路由器A的串行接口上應(yīng)用接入表，允許所有從網(wǎng)絡(luò)150.1.1.0來(lái)的數(shù)據(jù)通過(guò)，其他數(shù)據(jù)通過(guò)。路由器B用擴(kuò)展的命令A(yù)的串行接口（195.1.1.4），從而從多個(gè)IP地注意表是一個(gè)應(yīng)用于IP地址的、表述允許或的有序集合。路由器對(duì)照表一個(gè)個(gè)檢查地址。表中的條件的順序是很關(guān)鍵的，因?yàn)樵谝粋€(gè)表中第一次匹路由器路由器為了測(cè)試對(duì)路由器的配置，在B上用擴(kuò)展命令A(yù)(195.1.1.4)，從回送接口為數(shù)據(jù)找出源地址。這只要在級(jí)別鍵入“”即完成。在路由器A上用debugippacket命令監(jiān)視流入的報(bào)文。下面給出了該命令的輸出，注意該Ashowaccesslist1CiscoIOS10.0一臺(tái)運(yùn)行防真程序的一根CiscoDTE/DCE這個(gè)配置將演示用擴(kuò)展表進(jìn)行報(bào)文過(guò)濾。路由器A允許所有從PCC（150.1.1.2）到PCA（152.1.1.2）的數(shù)據(jù)通過(guò)，而將所有從PCC（150.1.1.2）到PCB（152.1.1.3）的數(shù)據(jù)通過(guò)。因?yàn)槭菍?duì)源IP地址和目的IP地址一起過(guò)濾，所以使用擴(kuò)展表。路由器A和B用交叉電纜串行連接。路由器B做為DEC向路由器A提供時(shí)鐘。圖12-3輸入

圖12-3擴(kuò)展IP在A的串行接口應(yīng)用接入表，允許從PCC（150.1.1.2）到PCA的報(bào)文通過(guò)，注意當(dāng)創(chuàng)建一個(gè)表時(shí)，所有的項(xiàng)按它們進(jìn)入的順序排放。任何后來(lái)的項(xiàng)都放在表的結(jié)尾。創(chuàng)建表時(shí)一個(gè)比較好的策略是脫線編輯表，然后剪切路由器路由器下面的例子，均是在路由器Ｂ上用擴(kuò)展命令從在配置中定義的二級(jí)IP地址中為報(bào)文選從路由器Ｂ，用源地址150.1.1.2在路由器A上執(zhí)行debugippacket命令，可以看到報(bào)文被，而一個(gè)ICMP主機(jī)不可達(dá)報(bào)下面的例子給出了執(zhí)行showipaccesslist命令的輸出。注意輸出顯示定義了哪些表及下面的例子給出了執(zhí)行l(wèi)og選項(xiàng)的輸出。Log選項(xiàng)將產(chǎn)生一個(gè)關(guān)于任何與擴(kuò)展表匹配從路由器B，用源地址150.1.1.2152.1.1.3在路由器A上執(zhí)行debugippacket下面的例子給出執(zhí)行showipaccess-list命令的輸出;注意輸出顯示定義了哪些表及與實(shí)驗(yàn)50:帶有Established選項(xiàng)的擴(kuò)展CiscoIOS10.0一臺(tái)運(yùn)行終端仿真程序的一根CiscoDTE/DCE帶有established的擴(kuò)展表允許內(nèi)部的用戶(hù)外部網(wǎng)絡(luò)，而外部用戶(hù)內(nèi)部網(wǎng)絡(luò)。而沒(méi)帶established的標(biāo)準(zhǔn)表和擴(kuò)展表就沒(méi)有這個(gè)特性問(wèn)題是標(biāo)準(zhǔn)表和基本的擴(kuò)展表將所有匹配表標(biāo)準(zhǔn)的報(bào)文，即使報(bào)文是響應(yīng)報(bào)文。在圖12-4中，路由器A的串行接口應(yīng)用一個(gè)標(biāo)準(zhǔn)表，所有外部數(shù)與PCA建立一連接，即使這個(gè)過(guò)程是安全的，也會(huì)PCA與Internet上的任何服務(wù)器建立連接。路由器A上的表也將會(huì)回到PCA的響應(yīng)報(bào)文。注意當(dāng)創(chuàng)建一個(gè)標(biāo)準(zhǔn)表或擴(kuò)展 接入圖12-4Established帶有established的擴(kuò)展表允許從已建立的連接來(lái)的返回報(bào)文通過(guò)表。路由器查看TCP報(bào)文，如果ACK或RST1向服務(wù) 服務(wù) 路由器A對(duì)報(bào)文應(yīng)用表，如果返回報(bào)文中的ACK或RST被置位，則報(bào)文允許通過(guò)。 試圖與建立一條，SYN位將被置位，并且報(bào)文也將被。這個(gè)配置將演示帶有established的擴(kuò)展表，路由器A上的表將所有流向網(wǎng)絡(luò)A的non-established的IP報(bào)文。路由器和用交叉電纜串行聯(lián)接。B作為E為提供時(shí)鐘。I地址的分配如圖12-5示。在的串接口應(yīng)用入表。輸入 圖12-5帶有Established選項(xiàng)的擴(kuò)展路由器路由器為了測(cè)試本配置，在A了B之間建立net。配置路由器A，用Ethernet接口的IP地址做為通信報(bào)文的源地址。這個(gè)設(shè)置可以在A上執(zhí)行IPnetsource-interfacee0命令來(lái)完用debugippacketdetailed命令監(jiān)視IP報(bào)文流入還是離開(kāi)路由器A從 netB(150.1.1.1)下面的例子給出了在路由器A上執(zhí)行debugippacketdetailed下面的例子給出了log選項(xiàng)的輸出，log操作產(chǎn)生一個(gè)關(guān)于任何與擴(kuò)展表匹配的報(bào)文用showipaccess-list命令顯示哪些表被配置，共有多少報(bào)文匹配表的標(biāo)準(zhǔn)。下面給出了命令的輸出結(jié)果。注意6個(gè)報(bào)文被允許，1個(gè)被。這條命令在表疑難解答中現(xiàn)在，試著在相反的方向建立一net，從B（150.1.1.1）到A(152.1.1.1)。路由器B用Ethernet接口的IP地址作為所有net報(bào)文的源地址。用debgippcktdetailed命令監(jiān)視I報(bào)文進(jìn)入還是離開(kāi)路由器A。下面的例子給出了執(zhí)行結(jié)果。注意N已被置位，表只允許那些路由器A決定的是否C或RT位已被置位的etblied。同步段（N）是TCP協(xié)議發(fā)送的第一段，它用來(lái)同步準(zhǔn)備建立一個(gè)新鏈CRT位CiscoIOS11.1一根CiscoDTE/DCE基于用戶(hù)認(rèn)證，動(dòng)態(tài)表允許或數(shù)據(jù)經(jīng)過(guò)。果用戶(hù)想通過(guò)路由器一臺(tái)主機(jī)，用戶(hù)必須首先net路由器并獲得認(rèn)證，一旦獲得認(rèn)證，路由器建立一臨時(shí)表使用戶(hù)能夠到達(dá)目的主機(jī)。通過(guò)Lock-and-keySecurity，可以指定允許哪些用戶(hù)哪些源或目的主機(jī)，如圖12-6 2)路由器 1)路由器 4)過(guò)了一會(huì)兒，暫時(shí)項(xiàng)時(shí)項(xiàng)被創(chuàng)建圖12-6Lock-and-keyPCB通過(guò)虛擬的終端接口登錄到路由器A路由器A打開(kāi)net框并提示用戶(hù)輸入用戶(hù)名和口令。如果用戶(hù)通過(guò)認(rèn)證過(guò)程，則PCB隨后自動(dòng)退出net框，動(dòng)態(tài)表中也建立一臨時(shí)項(xiàng)。這個(gè)臨時(shí)的項(xiàng)，是基于用戶(hù)認(rèn)證的，這在配置過(guò)程中已做過(guò)定義。例如：可以配置表使PCB只能然后從PCB來(lái)的數(shù)據(jù)流就能夠通過(guò)路由器A預(yù)定義超時(shí)期后，路由器刪掉臨時(shí)的表。一旦刪掉臨時(shí)表，用戶(hù)的數(shù)據(jù)再想通過(guò)路由器A就必須重新獲得認(rèn)證。如圖12-7所示，這個(gè)配置將演示通過(guò)使用一動(dòng)態(tài)擴(kuò)展表獲得的lock-andkey安全性輸入 圖12-7Lockand-key路由器A根據(jù)用戶(hù)名和口令錄，一旦路由器B通過(guò)認(rèn)證，則可以進(jìn)入到A，隨后路由器A建立一個(gè)時(shí)間為5分鐘長(zhǎng)的臨時(shí)表項(xiàng)，使路由器B（150.1.1.1）能夠路由器和B通過(guò)交叉電纜串行連接。路由器作為E為路由器A提供時(shí)鐘。I地址的分配如圖1-7所示，在的串接上應(yīng)一接。路由器路由器從路由器B到A(195.1.1.4)建立一登錄以測(cè)試本配置。用用戶(hù)名PCB和口令PCB注冊(cè)進(jìn)入A。下面的例子給出一旦用戶(hù)通過(guò)認(rèn)證將會(huì)看到的結(jié)果。注意一旦鍵令，net鏈下面的例子給出一在路由器A上執(zhí)行showipaccess-list命令的結(jié)果。注意臨時(shí)的項(xiàng)已從路由器B（150.1.1.1）到152.1.1.1建立一net，路由器B配置Ethernet接口的IP地址為所有net報(bào)文的源地址，通過(guò)在A上執(zhí)行ipnetsource-interfacee0命令完成配置。下面的例子是路由器A上的表log命令輸出的一簡(jiǎn)單樣本。Log命令是在配置過(guò)程中加到表的一個(gè)操作。Log產(chǎn)生一個(gè)任何與擴(kuò)展表匹配的報(bào)文log信息報(bào)文。與臨時(shí)的項(xiàng)匹配的從150.1.1.1來(lái)的net報(bào)加入到表100中。

net被允許，那么現(xiàn)在，在路由器A上用下面的可執(zhí)行命令從表中刪除臨時(shí)用showipaccess-list命令查看配置了哪些表和有多少報(bào)文與標(biāo)準(zhǔn)匹配。下面給出了命從路由器B（150.1.1.1）登錄到152.1.1.1。注意這次連接失敗了。PCB必須由路由器A重新認(rèn)證才能net到152.1.1.1。CiscoIOS10.0一根CiscoDTE/DCE本實(shí)驗(yàn)演示了如何用表控制到路由器的VTY連接。在一個(gè)production環(huán)境中，很有必基于源IP地址，控制表可以規(guī)定哪些主機(jī)路由器。路由器應(yīng)該限定一些指定的工作站才能有權(quán)。一個(gè)好的實(shí)現(xiàn)法是建立臺(tái)堡壘主機(jī)，只允許特的一些IP地VTY自己的所有路由器。網(wǎng)絡(luò)管理員net到堡壘主機(jī)，然后才能到外面特定的路由器。堡壘主機(jī)首先是一臺(tái)計(jì)算機(jī)，它是安全的一部分，運(yùn)行與外部的計(jì)算機(jī)互相通信的應(yīng)用程序。本配置演示了如何用標(biāo)準(zhǔn)表控制對(duì)路由器的VTY。路由的VTY，所有其他的會(huì)話都會(huì)路由器A和B用交叉電纜串行連接起來(lái)，路由器B作為DCE為A提供

輸入 圖12-8VTY控路由器路由器 sourceinterfaceEthernet0命令，定義net報(bào)文的源IP地址為150.1.1.1。下面的代碼示例給出了如果net在路由器B上，再配置所有的net報(bào)從串行接口發(fā)出。這只需在全局配置模式下做那么，現(xiàn)在從路由器B登錄到A（195.1.1.1）連接請(qǐng)求被，因?yàn)閚et報(bào)文的源地IP表故障查CiscoIOS為表疑難解答提供