IP通信基础实验总结.docx

排错命令：show running-config、show vlan、show ip interface brief、show ip route有一些Cisco软件实验中使用2620M路由器，初始只有1个接口，但可以通过添加NM-2FE2W模块增加2个接口。路由是指路由器从一个接口上收到数据包，根据数据包的目的地址进行定向并转发到另一个接口的过程。默认网关的意思是一台主机如果找不到可用的网关，就把数据包发给默认指定的网关，由这个网关来处理数据包。按照不同的分类标准，网关也有很多种。TCP/IP协议里的网关是最常用的，在这里我们所讲的“网关”均指TCP/IP协议下的网关。网关实质上是一个网络通向其他网络的IP地址。网关的IP地址是具有路由功能的设备的IP地址。具有路由功能的设备有路由器、启用了路由协议的服务器（实质上相当于一台路由器）、代理服务器（也相当于一台路由器）。一般来说，静态路由的优先级比OSPF、RIP高。路由配置中的通配符在路由器的配置中，经常出现通配符。和子网掩码一样，都是以“0”或“1”表示，不过与子网掩码所表示的意思却不一样。子网掩码所表示的是IP的网络位和主机位，而通配符则表示与IP是否匹配。通配符同样是32位，和IP地址一一对应，“0”位代表精确匹配，而“1“位代表不许匹配。例如路由器EIGRP的配置中：RouterA(config)#router eigrp 100RouterA(config-router)#network 55RouterA(config-router)#network 55 55说明只要接口的IP地址是以“10”开头就参与EIGRP进程。同理的， 55说明只要IP是以192.168.1开头的IP就符合。交换机的端口一般不需要配置ip地址（三层交换机除外）。使用VLAN的目的：1、在路由器的层次上阐述VLAN的目的：VLAN本质就是指一个网段，之所以叫做虚拟的局域网，是因为它是在虚拟的路由器的接口下创建的网段。比如逻辑接口F0/0.1就分配IP地址/25，用于销售部，而F0/0.2就分配IP地址29/25，用于企划部。这样就等于用一个物理端口却实现了两个逻辑接口的功能，这样就将原本只能划分一个网段的情形，扩展到了可以划分2个或者更多个网段的情形。这些网段因为是在逻辑接口下创建的，所以称之为虚拟局域网VLAN。详细情况请参考单臂路由实验。 2、在交换机的层次上阐述VLAN的目的：在交换机的层次上使用VLAN的目的：使用了VLAN就能区分出某个交换机端口的终端是属于哪个网段的。综上，当一个交换机上的所有端口中有至少一个端口属于不同网段的时候，当路由器的一个物理端口要连接2个或者以上的网段的时候，就是VLAN发挥作用的时候，这就是VLAN的目的。1、VLAN 二层交换机上的关键代码：SW1(config)#interface fa0/10SW1(config-if)#no shutdown SW1(config-if)#switchport mode trunk 把接口设置为trunk模式SW1(config-if)#switchport trunk allowed vlan 12,34 把接口添加到valn 12和vlan 34SW1(config-if)#exitSW2(config)#int fa0/10SW2(config-if)#no shutdown SW2(config-if)#sw mode trunkSW2(config-if)#sw trunk allowed vlan 12,34SW2(config-if)#exit现象：同一个vlan下的计算机之间能够互相ping通，不同vlan间的计算机不能够互相ping通。2、单臂路由IEEE 802.1q协议也就是“Virtual Bridged Local Area Networks”（虚拟桥接局域网，简称“虚拟局域网”）协议，主要规定了VLAN的实现方法。dot1q就是802.1q，是vlan的一种封装方式。dot就是点的意思，就简写为dot1q了。交换机上的关键代码：SW(config)#interface fastEthernet 0/3SW(config-if)#no shutdownSW(config-if)#switchport mode trunkSW(config-if)#switchport trunk allowed vlan 10,20SW(config-if)#exit路由器上的关键代码：RT(config)#RT(config)#interface fastEthernet 0/0RT(config-if)#no shutdown /开启 Fa0/0端口RT(config)#exitRT(config)#interface fastEthernet 0/0.10 /创建子接口RT(config-subif)#encapsulation dot1Q 10 此处的10与vlan 10对应 RT(config-subif)#ip address 54 RT(config-subif)#exitRT(config)#interface fastEthernet 0/0.20RT(config-subif)#encapsulation dot1Q 20 此处的20与vlan 20对应RT(config-subif)#ip address 54 RT(config-subif)#exit现象:不同vlan的两台计算机能够互相ping通。3、静态路由三层交换机上的关键代码：RS1(config)#ip route RS2(config)#ip route RS2(config)#ip route RS3(config)#ip route 如需令PC1 ping通/24网段或者，则需在RT1上添加这段路由配置代码： RT1(config)#ip route 如需令PC2 ping通/24网段，则需在RT3上上添加这段路由配置代码：RT3(config)#ip route 路由器上的关键代码与三层交换机类似4、链路聚合链路聚合是将两个或更多数据信道结合成一个单个的信道，该信道以一个单个的更高带宽的逻辑链路出现。链路聚合一般用来连接一个或多个带宽需求大的设备，例如连接骨干网络的服务器或服务器群。静态聚合模式：配置聚合的端口数量是固定的，聚合后的带宽也是固定的。 动态聚合模式：实际聚合的端口数量是根据流量策略动态调整的，聚合带宽也会随之变化。4.1 静态聚合将多个物理链路直接加入Trunk组，形成一条逻辑链路。大致步骤：先创建一个逻辑端口port-channel 1，把该端口改为trunk模式，再加入到vlan12和vlan 34，再把接口Fa0/23、Fa0/24加入到逻辑端口port-channel 1二层交换机上的关键代码：SW1(config)#interface port-channel 1 创建一个逻辑端口SW1(config-if)#switchport mode trunkSW1(config-if)#switchport trunk allowed vlan 12,34 把聚合链路加入到vlan12和vlan 34SW1(config-if)#endSW1(config)#interface fastEthernet 0/23SW1(config-if)#no shutdown 与动态聚合不同，此处少了一句 channel-protocol lacpSW1(config-if)#channel-group 1 mode on 把接口加入到静态聚合链路SW1(config-if)#exit4.2 动态聚合LACP（Link Aggregation Control Protocol，链路聚合控制协议）是一种实现链路动态汇聚的协议。LACP协议通过LACPDU（Link Aggregation Control Protocol Data Unit，链路聚合控制协议数据单元）与对端交互信息。激活某端口的LACP协议后，该端口将通过发送LACPDU向对端通告自己的系统优先级、系统MAC地址、端口优先级和端口号。对端接收到这些信息后，将这些信息与自己的属性比较，选择能够聚合的端口，从而双方可以对端口加入或退出某个动态聚合组达成一致。二层交换机上的关键代码：SW1(config)#interface port-channel 1 创建一个逻辑端口SW1(config-if)#switchport mode trunkSW1(config-if)#switchport trunk allowed vlan 12,34 把聚合链路加入到vlan12和vlan 34SW1(config-if)#endSW1(config)#interface fastEthernet 0/23SW1(config-if)#no shutdownSW1(config-if)#channel-protocol lacpSW1(config-if)#channel-group 1 mode active 把接口加入到动态聚合链路SW1(config-if)#exit5、RIP路由信息协议（Routing Information Protocol，缩写：RIP）是一种使用最广泛的内部网关协议（IGP）。（IGP）是在内部网络上使用的路由协议(在少数情形下,也可以用于连接到因特网的网络)，它可以通过不断的交换信息让路由器动态的适应网络连接的变化，这些信息包括每个路由器可以到达哪些网络，这些网络有多远等。 IGP是应用层协议，并使用UDP作为传输协议。RIP共有三个版本，RIPv1, RIPv2, RIPng。其中RIPV1和RIPV2是用在IPV4的网络环境里，RIPng是用在IPV6的网络环境里。现今的IPv4网络中使用的大多是RIPv2，RIPv2是在RIPv1基础上的改进。三层交换机上的关键代码：RS1(config)#router ripRS1(config-router)#version 2 RS1(config-router)#no auto-summary RS1(config-router)#network RS1(config-router)#network RS1(config-router)#exit注：auto-summary的意思就是汇总到主类边界，/8或者/16或者/24这样的主类边界，但是如果关闭了自动汇总以后，那么就可以按照路由的掩码来发送。一般我们都建议no auto-summary，因为这样可以实现精确查找。路由器上的代码配置rip的代码与交换机类似。 6、三层交换机VLAN间路由：三层交换机就是具有部分路由器功能的交换机。在路由/交换领域，VLAN的中继端口叫做trunk。trunk技术用在交换机之间互连，使不同VLAN通过共享链路与其它交换机中的相同VLAN通信。交换机之间互连的端口就称为trunk端口。三层交换机具备网络层的功能，实现Vlan相互访问的原理是：利用三层交换机的路由功能，通过识别数据包的IP地址，查找路由表进行选路转发，三层交换机利用直连路由可以实现不同Vlan之间的相互访问，三层交换机给接口配置IP地址，采用SVI（交换机虚拟接口）的方式实现Vlan间互连，SVI是指为交换机中的Vlan创建虚拟接口，并且配置IP地址。三层交换机上的关键代码：RS1(config)#interface fastEthernet 0/10RS1(config-if)#no shutdownRS1(config-if)#switchport mode trunk RS1(config-if)#exitRS1(config)#interface vlan 20 /此处易漏写RS1(config-if)#no shutdownRS1(config-if)#ip address 54 RS1(config-if)#exit 7、单域OSPFOSPF(Open Shortest Path First开放式最短路径优先）是一个内部网关协议(Interior Gateway Protocol，简称IGP），用于在单一自治系统（autonomous system,AS）内决策路由。是对链路状态路由协议的一种实现，隶属内部网关协议（IGP），故运作于自治系统内部。OSPF分为OSPFv2和OSPFv3两个版本,其中OSPFv2用在IPv4网络，OSPFv3用在IPv6网络。与RIP相比，OSPF是链路状态协议，而RIP是距离矢量协议。链路是路由器接口的另一种说法，因此OSPF也称为接口状态路由协议。OSPF通过路由器之间通告网络接口的状态来建立链路状态数据库，生成最短路径树，每个OSPF路由器使用这些最短路径构造路由表。Router-ID：网络中每台OSPF路由器都相当于一个人，OSPF路由器之间相互通告链路状态，就等于是告诉别人可以帮别人的忙，如此一来，如果路由器之间分不清谁是谁，没有办法确定各自的身份，那么通告的链路状态就是毫无意义的，所以必须给每一个OSPF路由器定义一个身份，就相当于人的名字，这就是Router-ID，并且Router-ID在网络中绝对不可以有重名，否则路由器收到的链路状态，就无法确定发起者的身份，也就无法通过链路状态信息确定网络位置，OSPF路由器发出的链路状态都会写上自己的Router-ID，可以理解为该链路状态的签名，不同路由器产生的链路状态，签名绝不会相同。每一台OSPF路由器只有一个Router-ID，Router-ID使用IP地址的形式来表示。OSPF区域：因为OSPF路由器之间会将所有的链路状态（LSA）相互交换，毫不保留，当网络规模达到一定程度时，LSA将形成一个庞大的数据库，势必会给OSPF计算带来巨大的压力；为了能够降低OSPF计算的复杂程度，缓存计算压力，OSPF采用分区域计算，将网络中所有OSPF路由器划分成不同的区域，每个区域负责各自区域精确的LSA传递与路由计算，然后再将一个区域的LSA简化和汇总之后转发到另外一个区域，这样一来，在区域内部，拥有网络精确的LSA，而在不同区域，则传递简化的LSA。OSPF区域是基于路由器的接口划分的，而不是基于整台路由器划分的，一台路由器可以属于单个区域，也可以属于多个区域。区域的命名可以采用整数数字，如1、2、3、4，也可以采用IP地址的形式，、。loopback：本地环回接口（或地址），亦称回送地址。此类接口是应用最为广泛的一种虚接口，几乎在每台路由器上都会使用。系统管理员完成网络规划之后，为了方便管理，会为每一台路由器创建一个loopback 接口，并在该接口上单独指定一个IP 地址作为管理地址，管理员会使用该地址对路由器远程登录（telnet ），该地址实际上起到了类似设备名称一类的功能。但是通常每台路由器上存在众多接口和地址，为何不从当中随便挑选一个呢？原因如下：由于telnet 命令使用TCP报文，会存在如下情况：路由器的某一个接口由于故障down 掉了，但是其他的接口却仍旧可以telnet ，也就是说，到达这台路由器的TCP 连接依旧存在。所以选择的telnet 地址必须是永远也不会down 掉的，而虚接口恰好满足此类要求。由于此类接口没有与对端互联互通的需求，所以为了节约地址资源，loopback 接口的地址通常指定为32 位掩码。动态路由协议OSPF 、BGP 在运行过程中需要为该协议指定一个Router id ，作为此路由器的唯一标识，并要求在整个自治系统内唯一。由于router id 是一个32 位的无符号整数，这一点与IP 地址十分相像。而且IP 地址是不会出现重复现象的，所以通常将路由器的router id 指定为与该设备上的某个接口的地址相同。由于loopback 接口的IP 地址通常被视为路由器的标识，所以也就成了router id 的最佳选择。路由器上的关键代码：RT1(conf)#interface loopback 1 /建立环回口，并进入环回口RT1(conf-if)#no shutdown /启动接口RT1(conf-if)#ip address 55RT1(conf-if)#exitRT1(conf)#router ospf 110 /启用ospf进程,110是这台路由器ospf进程的ID号RT1(config-router)#router-id /为ospf进程设置router-idRT1(config-router)#network 55 area 110 /给ospf区域110添加网络，当某一个接口的IP属于这个 前缀+反掩码的范围，那么这个接口将运行OSPF进程RT1(config-router)#network area 110RT1(config-router)#network 55 area 110RT1(config-router)#exit在三层交换机上的代码与路由器上的类似。8、跨域OSPF三层交换机上的关键代码：SW1(conf)#interface loopback 1 /建立环回口，并进入环回口SW1(conf-if)#no shutdown /启动接口SW1(conf-if)#ip address 55SW1(conf-if)#exitSW1(conf)#router ospf 110SW1(config-router)#router-id SW1(config-router)#network 55 area 110SW1(config-router)#network area 110 SW1(config-router)#network 55 area 110SW1(config-router)#endSW2(config)#router ospf 110SW2(config-router)#router-id SW2(config-router)#network 55 area 110 SW2(config-router)#network 55 area 0 SW2(config-router)#network area 110 /loopback1既可以在area 0通告，也可以在area 110通告SW3(config)#router ospf 110SW3(config-router)#router-id SW3(config-router)#network area 0 SW3(config-router)#network 55 area 0 SW3(config-router)#network 55 area 0 SW3(config-router)#end路由器上的跨域OSPF代码与三层交换机上的类似。9、ospf_rip 路由引入metric是路由算法用以确定到达目的地的最佳路径的计量标准，如路径长度。ospf的metric：OSPF使用接口的带宽来计算Metric，例如一个10 Mbit/s的接口，计算Cost的方法为：将10 Mbit换算成bit，为10 000 000 bit，然后用10000 0000除以该带宽，结果为 10000 0000/10 000 000 bit = 10，所以一个10 Mbit/s的接口，OSPF认为该接口的Metric值为10，需要注意的是，计算中，带宽的单位取bit/s，而不是Kbit/s，例如一个100 Mbit/s的接口，Cost 值为 10000 0000 /100 000 000=1，因为Cost值必须为整数，所以即使是一个1000 Mbit/s（1GBbit/s）的接口，Cost值和100Mbit/s一样，为1。如果路由器要经过两个接口才能到达目标网络，那么很显然，两个接口的Cost值要累加起来，才算是到达目标网络的Metric值，所以OSPF路由器计算到达目标网络的Metric值，必须将沿途中所有接口的Cost值累加起来，在累加时，同EIGRP一样，只计算出接口，不计算进接口。OSPF会自动计算接口上的Cost值，但也可以通过手工指定该接口的Cost值，手工指定的优先于自动计算的值。OSPF计算的Cost，同样是和接口带宽成反比，带宽越高，Cost值越小。到达目标相同Cost值的路径，可以执行负载均衡，最多6条链路同时执行负载均衡。RIP的matric：RIP协议将“距离”定义为：从一路由器到直接连接的网络的距离定义为1。从一路由器到非直接连接的网络的距离定义为每经过一个路由器则距离加1。“距离”也称为“跳数”。RIP允许一条路径最多只能包含15个路由器，因此，距离等于16时即为不可达。可见RIP协议只适用于小型互联网。三层交换机上的关键代码：SW2(config)#router ospf 110 /OSPF-RIP重分配SW2(config-router)#redistribute rip metric 3 subnets /把RIP获得的路由条目“通告”给OSPF协议SW2(config-router)#exitSW2(config)#router ripSW2(config-router)#redistribute ospf 110 metric 3 /把OSPF获得的路由条目“通告”给RIP协议SW2(config-router)#exitSW2交换机的Fa0/3端口需加入rip协议，而Fa0/2端口需加入OSPF协议。注：关键字subnets仅当向OSPF重新分配路由时使用，它指明子网的细节将被重新分配；没有它，仅重新分配主网地址。路由器上的关键代码与三层交换机上的类似。10、OSPF_Static路由引入静态路由是指由用户或网络管理员手工配置的路由信息。当网络的拓扑结构或链路的状态发生变化时，网络管理员需要手工去修改路由表中相关的静态路由信息。静态路由信息在缺省情况下是私有的，不会传递给其他的路由器。当然，网管员也可以通过对路由器进行设置使之成为共享的。静态路由一般适用于比较简单的网络环境，在这样的环境中，网络管理员易于清楚地了解网络的拓扑结构，便于设置正确的路由信息。RS2(config)#ip route （ip route 目标网段IP地址 目标子网掩码 下一路由器接口ip地址）这段代码的意思是告诉三层交换机RS2，如果有IP包想到达网段/24，那么请将此IP包发给三层交换机上的关键代码：RT2(config)#route ospf 110 RT2(config-router)#router-id RT2(config-router)#net 55 area 0RT2(config-router)#network 55 area 0RT2(config-router)#redistribute static metric 3 subnets /把静态配置获得的路由条目“通告”给OSPF协议RT2(config)#ip route RT3(config)#ip route 注：关键字subnets仅当向OSPF重新分配路由时使用，它指明子网的细节将被重新分配；没有它，仅重新分配主网地址。路由器上的关键代码与三层交换机上的类似。11、RIP_Static路由引入问题：在路由器配置代码里，RT2(config-router)#redistribute connected 这条命令有什么用？三层交换机上的关键代码：RS2(config)#router ripRS2(config-router)#version 2RS2(config-router)#no auto-summaryRS2(config-router)#network RS2(config-router)#redistribute static metric 3 RS2(config-router)#exitRS2(config)#ip route RS3(config)#ip route 路由器上的关键代码与三层交换机上的类似。12、DHCPDHCP（Dynamic Host Configuration Protocol，动态主机配置协议）是一个局域网的网络协议，使用UDP协议工作， 主要有两个用途：给内部网络或网络服务供应商自动分配IP地址，给用户或者内部网络管理员作为对所有计算机作中央管理的手段。服务器从哪个接口收到DHCP 请求，就只能向客户端发送地址段和接收接口地址相同的网段，如果不存在相同网段，就会丢弃请求数据包。通过DHCP中继接收到的DHCP请求除外。 需额外记住的代码：RT1(dhcp-config)#lease 5 5 5 租期为5 天5 小时5 分（默认为一天）12.1 DHCP_SW configuration：问题：为什么要排除那么多ip地址？二层交换机某个工作流程： 如果找不到相应的端口则把数据包广播到所有端口上，当目的机器对源机器回应时，交换机又可以学习一目的MAC地址与哪个端口对应，在下次传送数据时就不再需要对所有端口进行广播了。路由器上的关键代码：RT(config)#ip dhcp pool DZX 地址池名为DZXRT(dhcp-config)#network 可供客户端使用的地址段RT(dhcp-config)#default-router 54 网关RT(dhcp-config)#dns-server 0 DNSRT(dhcp-config)#exitRT(config)#ip dhcp excluded-address 40 54 移除40 到54RT(config)#interface fa0/0RT(config-if)#no shutdownRT(config-if)#ip address 54 RT(config-if)#exit注：因为三台计算机都会被分配同一个网段的IP地址，所以不用在二层交换机上设置vlan。如果二层交换机找不到相应的转发端口则把数据包广播到所有端口上。基于以上两点，二层交换机无需设置。12.2 DHCP_RT without helper问题：1、PC如何知道要向哪个路由器申请ip地址、掩码、默认网关以及DNS等信息？ 2、到底要不要配置静态路由？路由器上的关键代码：RT1(config)#router ospf 100RT1(config-router)#router-id RT1(config-router)#network 55 area 0RT1(config-router)#network 55 area 0RT1(config)#exitRT2(config)#router ospf 100RT2(config-router)#router-id RT2(config-router)#network 55 area 0RT2(config-router)#network 55 area 0RT2(config)#exitRT1#conf tRT1(config)#ip dhcp pool DZL /配置DZL的IP地址池RT1(dhcp-config)#network /动态分配该网段IP地址RT1(dhcp-config)#dns-server /配置DZL的DNS服务器RT1(dhcp-config)#default-router 54 /配置DZL网关RT1(dhcp-config)#exitRT1(config)#ip dhcp excluded-address 54 /排除DZL网关地址RT1(config)#exitRT2(config)#ip dhcp pool SYL /配置SYL的IP地址池RT2(dhcp-config)#network /动态分配该网段IP地址RT2(dhcp-config)#dns-server /配置SYL的DNS服务器RT2(dhcp-config)#default-router 54 /配置SYL网关RT2(dhcp-config)#exitRT2(config)#ip dhcp excluded-address 54 /排除SYL网关地址12.3 DHCP_RT configuration路由器上的关键代码：RT1#conf tRT1(config)#ip dhcp pool DZL /配置DZL的IP地址池RT1(dhcp-config)#network /动态分配该网段IP地址RT1(dhcp-config)#dns-server /配置DZL的默认DNS服务器RT1(dhcp-config)#default-router 54 /配置DZL默认网关RT1(dhcp-config)#ip dhcp pool SYL /配置SYL的IP地址池RT1(dhcp-config)#network /动态分配该网段IP地址RT1(dhcp-config)#dns-server /配置SYL的DNS默认服务器RT1(dhcp-config)#default-router 54 /配置SYL默认网关RT1(dhcp-config)#exitRT1(config)#ip dhcp excluded-address 54 /排除DZL网关地址，因为网关不能再用于分配给其它用户使用RT1(config)#ip dhcp excluded-address 54 /排除SYL网关地址RT1(config)#ip route RT1(config)#exitRT2(config)#ip route /要配置静态路由，否则PC之间不能ping通RT2(config)#interface fastEthernet 0/0 /注意，必须在接受DHCP请求的接口上配置辅助寻找命令，此处是fa0/0口RT2(config-if)#ip helper-address /配置辅助寻址，指向DHCP服务器地址，即RT1 IP地址。IP help-address 功能默认能够前转DHCP 协议，所以无需额外添加dhcp。RT2(config-if)#end 这行代码“RT1(config)#ip route ”的作用是什么？当服务器上存在/24 网段的地址池时，服务器要将该地址池发送给客户，就必须存在到达/24 网段的路由(默认路由也行)，并且客户端必须位于该路由的方向，如果方向不对，该地址池也是不能够发给客户使用的。并且，由于路由器上没有配置任何内部网关协议，必须要手动配置静态路由才能使PC1和PC2 ping通。因此，路由器RT1上必须有以下这句代码：RT1(config)#ip route 这行代码“RT2(config-if)#ip helper-address ”的作用是什么？PC2的DHCP请求数据包被RT2路由器的接受端口fa0/0接收到之后，由于该接口输入了ip helper-address 这行代码，将在DHCP请求数据包中添加option 82选项，并且在该选项的giaddr的位置写上该接受端口的ip地址。而该选项的giaddr这个参数，就是告诉服务器，客户端需要哪个网段的IP地址才能正常工作。然后服务器根据giaddr 位置上的IP 地址，从地址池中选择一个与该IP 地址相同网段的地址给客户，如果 没有相应地址池，则放弃响应，所以，服务器RT1能够正确发送/24地址池中的地址给客户，正是因为RT2 在由于IP help-address 的影响下，将giaddr的参数改成了自己 接收接口的地址，即将giaddr 参数改成了54。另外，路由器是不能够转发广播的，因此，除非能够让RT2 将客户端的广播包单播发向 RT1 这台服务器。我们的做法就是让RT2 将广播包通过单播继续前转到RT1 这台服务 器，称为DHCP 中继，通过IP help-address 功能来实现。 为什么PC1能分配到/24网段的IP地址呢？因为服务器从哪个接口收到DHCP 请求，就只能向客户端发送地址段和接收接口地址相同的网段，如果不存在相同网段，就会丢弃请求数据包。通过DHCP中继接收到的DHCP请求除外。13、ACL问题：1、标准ACL的表号和标准访问列表的表号取值范围一样吗？扩展的呢？ 访问控制列表（Access Control List，ACL） 是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL可以过滤网络中的流量，是控制访问的一种网络技术手段。配置ACL后，可以限制网络流量，允许特定设备访问，指定转发特定端口数据包等。标准IP访问列表一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分，可对匹配的包采取拒绝或允许两个操作。编号范围是从1到99的访问控制列表是标准IP访问控制列表。扩展IP访问列表扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项，包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。编号范围是从100到199的访问控制列表是扩展IP访问控制列表。命名的IP访问控制列表所谓命名的IP访问控制列表是以列表名代替列表编号来定义IP访问控制列表，同样包括标准和扩展两种列表，定义过滤的语句与编号方式中相似。3P原则：记住 3P 原则，您便记住了在路由器上应用 ACL 的一般规则。您可以为每种协议 (per protocol)、每个方向 (per direction)、每个接口 (per interface) 配置一个 ACL：每种协议一个 ACL：要控制接口上的流量，必须为接口上启用的每种协议定义相应的 ACL。每个方向一个 ACL ：一个 ACL 只能控制接口上一个方向的流量。要控制入站流量和出站流量，必须分别定义两个 ACL。每个接口一个 ACL ：一个 ACL 只能控制一个接口（例如快速以太网0/0）上的流量。执行过程：一个端口执行哪条ACL，这需要按照列表中的条件语句执行顺序来判断。如果一个数据包的报头跟表中某个条件判断语句相匹配，那么后面的语句就将被忽略，不再进行检查。数据包只有在跟第一个判断条件不匹配时，它才被交给ACL中的下一个条件判断语句进行比较。如果匹配（假设为允许发送），则不管是第一条还是最后一条语句，数据都会立即发送到目的接口。如果所有的ACL判断语句都检测完毕，仍没有匹配的语句出口，则该数据包将视为被拒绝而被丢弃。这里要注意，ACL不能对本路由器产生的数据包进行控制。标准ACL与扩展ACL之间的区别：标准的ACL使用 1 99 以及13001999之间的数字作为表号，扩展的ACL使用 100 199以及20002699之间的数字作为表号。标准ACL可以阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如IP）的所有通信流量。扩展ACL比标准ACL提供了更广泛的控制范围。例如，网络管理员如果希望做到“允许外来的Web通信流量通过，拒绝外来的FTP和Telnet等通信流量”，那么，他可以使用扩展ACL来达到目的，标准ACL不能控制这么精确。因为标准ACL只能检查源IP地址，所以标准ACL要尽量靠近目的端。因为扩展ACL能控制源地址，也能控制目的地址，所以扩展ACL要尽量靠近源端。命名访问控制列表：在标准与扩展访问控制列表中均要使用表号，而在命名访问控制列表中使用一个字母或数字组合的字符串来代替前面所使用的数字。使用命名访问控制列表可以用来删除某一条特定的控制条目，这样可以让我们在使用过程中方便地进行修改。 在使用命名访问控制列表时，要求路由器的IOS在11.2以上的版本，并且不能以同一名字命名多个ACL，不同类型的ACL也不能使用相同的名字。命名访问列表只是创建标准或扩展访问列表的另一种方法而已。所谓命名是以列表名代替列表编号来定义IP访问控制列表的。定义规范：（1）ACL的列表号指出了是哪种协议的ACL。各种协议有自己的ACL，而每个协议的ACL又分为标准ACL和扩展ACL。这些ACL是通过ACL列表号区别的。如果在使用一种访问ACL时用错了列表号，那么就会出错误。（2）一个ACL的配置是每协议、每接口、每方向的。路由器的一个接口上每一种协议可以配置进方向和出方向两个ACL。也就是说，如果路由器上启用了IP和IPX两种协议栈，那么路由器的一个接口上可以配置IP、IPX两种协议，每种协议进出两个方向，共四个ACL。（3）ACL的语句顺序决定了对数据包的控制顺序。在ACL中各描述语句的放置顺序是很重要的。当路由器决定某一数据包是被转发还是被阻塞时，会按照各项描述语句在ACL中的顺序，根据各描述语句的判断条件，对数据报进