[网络协议]关于路由与交换问题的解答之访问表

什么是访问表

   访问表是管理者加入的一系列控制数据包在路由器中输入、输出的规则。它不是由路由 器自己产生的。访问表能够允许或禁止数据包进入或输出到目的地。访问表的表项是顺序执行的，即数据包到来时，首先看它是否是受第一条表项约束的，若不是，再顺序向下执行；如果它与第一条表项匹配，无论是被允许还是被禁止，都不必再执行下面表项的检查了。 每一个接口的每一种协议只能有一个访问表。

支持哪些类型的访问表

    —个访问表可以由它的编号来确定。具体的协议及其对应的访问表编号如下：
       ?IP标准访问表编号：1?99
       ?IP扩展访问表编号：100?199
       ?IPX标准访问表编号：800?899
       ?IPX扩展访问表编号：1000?1099
       ? AppleTalk访问表编号：600?699
    *在Cisco IOS Release 11.2或以上版本中，可以用有名访问表确定编号在1?199的访问表。*

如何创建IP标准访问表

   —个IP标准访问表的创建可以由如下命令来完成：
      Access-list access list number {permit | deny} source [source-mask]
   在这条命令中：
      ? access list number：确定这个入口属于哪个访问表。它是从1到99的数字。
      ? permit | deny：表明这个入口是允许还是阻塞从特定地址来的信息流量。
      ? source:确定源IP地址。
      ?source-mask：确定地址中的哪些比特是用来进行匹配的。如果某个比特是“ 1”，表明 地址中该位比特不用管，如果是“ 0”的话，表明地址中该位比特将被用来进行匹配。 可以使用通配符。
   以下是一个路由器配置文件中的访问表例子： Router# show access-lists
      Standard IP access list 1
      deny 204.59.144.0, wildcard bits 0.0.0.255 permit any
      Router#
   下面是给定一个访问表的名字，使用SHOW IP ACCESS-LIST命令的输出：
      showcase# show ip access-list 工nternetfilter Extended IP access list Internetfilter
      permit tcp any 171.69.0.0 0.0.255.255 eq telnet
      deny tcp any any
      deny udp any 171.69.0.0 0.0.255.255 It 1024
      deny ip any any log

如何创建IP扩展访问表

   创建IP扩展访问表可以用：
      Access-list access list number {permit \ deny} protocol source [source-mask]     destination destination-mask [operator operand] [established]
   在这条命令中：
      ? access list number：用在100?199中的数字确定访问表。
      ? permit | deny：表明这个入口是允许还是阻塞特定地址的信息流量。
	  ? protocol： IP、TCP^ UDP、ICMP、GRE、IGRP。
      ? source和destination:确定源和目的IP地址。
      ? source-mask和destination-mask:确定地址中的哪些比特是用来进行匹配的。如果某个 比特是“1”，表明地址中该位比特可以忽略，如果是“ 0”的话，表明地址中该位比特 将被用来进行匹配。可以使用通配符。
      ? operator和operand： It、gt、eq、neq （小于、大于、等于、不等）和端口号。
      ? established：如果数据包使用一个己经建立的连接（如ACK位有效），则允许TCP流量通过。
   ***注意 一个访问表必须有一个对所有使用访问表的数据包都适用的表项。最后一个隐含 的表项用来处理那些前面的表项都不处理的数据包，即它能匹配所有的剩余的数据包。***

连接访问表和接口使用什么命令

   使用IP ACCESS-GROUP命令将访问表链接到一个接口： ip access-groupaccess-list-number { in | out } 在这个命令中：
      ? access-list-number：表明要链接的访问表的编号。
      ? in | out：选择访问表是用于输入还是输出接口，未指明就使用缺省值。
   要去除一个访问表，首先键入NO ACCESS-GROUP命令及其相应的参数，然后再键入ANO ACCESS-LIST命令及其相应的参数。

如何使用有名IP访问表

   你可以使用有名IP访问表从一个特定的访问表中删除一个单独的表项。这使得你能够方 便地修改访问表，而不用删除它然后重新配置。在下列情况下可以使用有名访问表：
      ?你想使用一个字母数字（alphanumeric）名确认一个访问表。
      ?对于一个给定的协议，你有超过99个简单的，超过100个扩展的访问控制表需要配置。
   ***注意：不能对多个访问表使用相同的名字，不同种类的访问表也不能有相同的名字。***

为什么访问表的位置很重要

   管理者使用访问表来减少不必要的流量。被禁止的终端不能使用网络资源发送数据包到 目的地。标准访问表没有指明目的地的地址，所以应该放在离目的地近的地方。扩展访问表指明了目的地，就应该放在距离数据流的源较近的地方。

如何找出己配置的访问表及其状态

   使用SHOW IP INTERFACE命令来显示哪些访问表是激活的。使用SHOW ACCESS- LISTS命令来显示所有访问表的内容。如果你指明了访问表的名字或编号，你就可以看到这个访问表的具体内容了。

IPX标准访问表和SAP过滤器有何区别

   IPX标准访问表能够过滤源和目的地址。SAP过滤器是为在一个或多个网络上的服务器 ^服务的。I P X 标准访问表检查源地址或源和目的地址，可以使用通配符掩码，像I P的通 配符掩码一样。SAP过滤器能够控制获得最近的服务器（GNS）、IPX RIP和NetWare的链路服 务协议（NLSP）等产生的流量。

如何配置IPX标准访问表

   可以使用如下命令配置IPX标准访问表：
      Access-list access-list number{ deny | permit }
      Protocol source-network [. source-node] [source-node-mask] [destination-network]         
      [.destination-node] [destination-node-mask]
   在这个命令中：
      ? access-list-number：是一个IPX过滤器列表的编号，从800到899。
      ? protocol：是协议类型的编号，0表示任何协议；1表示RIP; 4表示SAP; 5表示SPX; 17 
      表示NCP; 20表示IPX NetBIOS。
      ? source-network：指明源网络编号，用8个十六进制数表示。
      ? source-node：指明在源网络中的节点编号，是一个48比特的数字，可以由每4个就用
      点 分开的十六进制数表示。
      ? destination-network：指明报文的目的网络编号。
      ? destination-node：指明报文的目的节点号。
   用IPX ACCESS-GROUP命令可以将访问表链接到一个接口：
      ipx access-groupaccess-list-nuniber
   下面是创建一个名叫sal的扩展访问表的例子，它禁止所有的SPX报文：
      ipx access-list extended sal
      deny spx any all any all log permit any
   下面是一个IPX标准访问表的例子: 
      Hostname Router
      ！
      ！
      ipx routing 00e0.le68.5c62
      ！
      interface Ethernet 0
      ip address 192.168.68.1 255.255.255.0 ipx access-group 800
      ipx network 100
      ！
      interface Serial0
      ip address 172.16.1.1 255.255.255.252 no fair-queue
      ！
      ！
      access-list 800 deny 1 200 access-list 800 permit FFFFFFFF

如何配置IPX SAP过滤器

   SAP过滤器可以按以下格式创建：
      access-list access-list-number { deny | permit } network [.node] [network-mask node-mask]
      [service-type [server-name]] 下一行可以是：
     ipx input-sap-filteraccess-list-nuiriber 或：
     ipx output-sap. -f i 11eraccess-list-number 在这个命令中：
     ? access-list-number：指明一个IPX过滤器的编号，从1000到1099,它是指向一个SAP过滤器。
     ? network[.node]：指明Novell源内部网络编号和选项节点号（一1表示所有网络）。
     ? network-mask node-mask：指明网络和节点的掩码。1表示该位不作处理。
     ? service-type：指明要过滤的SAP服务类型。每一种服务类型用一个十六进制数表示：          
     4代表文件服务器，7代表打印服务器，24代表远端网桥服务器（路由器）。
     ? server-name：指明提供该项服务的服务器名称。
   使用IPX INPUT | OUTPUT-SAP FILTER命令将过滤器与接口进行链接，同时决定在进  入 SAP表之前，在哪儿SAP报文被过滤，或者在下一次更新时进行过滤。
   如下的配置文件显示了一个IPX SAP过滤器：
     Hostname Router
     ipx routing 00e0.Ie68.5c62
     interface Ethernet0
     ip address 192.168.68.1 255.255.255.0 ipx input-sap-filter 1000
     ipx network 100 r
     interface Serial0
     ip address 172.16.1.1 255.255.255.252 no fair-queue
     access-list 1000 deny 1 200 7 access-list 1000 permit FFFFFFFF
   下面是创建一个名叫Merchant的SAP访问表的例子。它使得在SAP广告中，只允许 Merchant被传送：
     ipx access-list sap Merchant permit 1234 4 Merchant

AppleTalk访问表的主要概念是什么

    AppleTalk的访问表能够过滤扩展的网络或电缆范围。你也可以在一个扩展的网络内选择 部分电缆范围。使用AppleTalk I时，你可以指定一个网络；但在AppleTalk II中，你可以指定电缆范围的全部或一部分。访问表可以控制数据报文和使用RTMP和ZIP的路由更新报文。

如何配置AppleTalk访问表

    AppleTalk使用两种格式进行配置。定义一个全电缆范围的过滤器，使用如下命令： 
    access-list number {permit | deny} cable-rangesable-range
    定义一个部分电缆范围的过滤器，使用如下命令：
      access-list number {permit I deny} within cable rang Gable-range 在这个命令中：
      ? number： AppleTalk的访问表编号（从600到699）。
      ? cable-range：指明特定的电缆范围。
    可以使用APPLETALK ACCESS-GROUP命令将访问表链接到一个或多个接口 ：    
    Appletalk access-groupaccess-list-number