现有公司的网络拓扑计算机网络毕业论文.doc

《现有公司的网络拓扑计算机网络毕业论文.doc》由会员分享，可在线阅读，更多相关《现有公司的网络拓扑计算机网络毕业论文.doc（30页珍藏版）》请在三一办公上搜索。

1、现有公司的网络拓扑目 录摘要与关键字1 前言12 各种网络环境2.1以前的小型网络12.1.2以前的小型网络网络配置22.2现在的小型网络42.2.2现在的小型网络网络配置52.3大中型网络104.7大中型网络网络配置245 体会296 谢辞297 参考文献29现有公司的网络拓扑1 前言:随着社会的发展，越来越多的新生事物犹然而生如：Internet网络，电脑，同时也促进了各大企业的发展。因特网（Internet）是一组全球是一组全球信息资源的总汇。有一种粗略的说法，认为因特网是由于许多的网络（子网）互联而成的一个逻辑网，每一个子网中连接着若干台计算机（主机）。因特网以相互交流信息资源为目的，

2、基于一些共同的协议，并通过许多路由器和公共互联网而成，它是一个信息资源和资源共享的集合。因特网是当今世界上最大的网络。自80年代以来，它的应用已从军事、科研与学术领域进入商业、传播和娱乐等领域，并与90年代成为发展最快的传播媒介。因特网是在计算机网络的基础上建立和发展起来的，可以说是一个用相同的语言传播信息的全球计算机网络。在人类的发展历程中，计算机的产生不是偶然，而是一件必然会发生的事，它是人类对信息资源共享理想不断追求的结果，因此计算机的起源是很早的。近几十年来，人类在这方面取得的一个又一个重要的发展为因特网的产生奠定了基础。例如：1957年的第一颗人造卫星上天，将人类传播信息的能力提高到

3、前所未有的水平，开启了利用卫星进行通信的新时代。到后来微型计算机的出现，预示着信息技术的普及成为可能；激光和光纤了利用，使信息的处理和传播由点到面。而近十年多来计算机和通信技术的结合，尤其是网络技术的发展，促进了更大范围的网络互联和信息资源共享。（在这里添加Internet的发展史）今天我就要来讨论一下Internet网络在各大公司中的作用与使用方法。2 小型企业的网络环境：2.1 以前的小型网络Internet刚发展时的小型企业网络拓扑：Internet在发展初期时使用者还比较少，这跟可以通过网络进行通讯的设备(如：点脑)太少，可以通过网络传输的应用太少，知道有Internet网络的人太少，

4、申请Internet的用户与公司可能需要高资金的付出才可以得到Internet网络的使用权利等有关系。这时网络使用的主要对象是军事机构、科研机构与学术领域下面我们就来研究一下这样的网络拓扑：Internet刚发展时的小型企业的网络拓扑图：图2.1 发展时的小型企业网络拓扑图2.1.1 具体使用到的设备：CISCO 17系列的路由器，一个HUB，和3台PC2.1.2 具体配置：2.1.2.1 R1上的配置：version 12.4service timestamps debug datetime msecservice timestamps log datetime msecno service

5、 password-encryptionhostname ISPRouterboot-start-markerboot-end-markerno aaa new-modelmemory-size iomem 5ip cefno ip domain lookupinterface Loopback0ip address 1.1.1.1 255.255.255.255no shutdowninterface Serial1/2ip address 12.12.12.1 255.255.255.248serial restart-delay 0no shutdownip http serverno

6、ip http secure-serverip route 0.0.0.0 0.0.0.0 12.12.12.2control-planeline con 0exec-timeout 0 0logging synchronousline aux 0line vty 0 4在这里我只配置了一个与公司直连的serial接口和一个loopback接口，又叫本地环回接口。此类接口是应用最为广泛的一种虚接口，几乎在每台路由器上都会使用。常见于如下用途。1 作为一台路由器的管理地址系统管理员完成网络规划之后，为了方便管理，会为每一台路由器创建一个loopback接口，并在该接口上单独指定一个IP 地址作为

7、管理地址，管理员会使用该地址对路由器远程登录（telnet），该地址实际上起到了类似设备名称一类的功能。但是通常每台路由器上存在众多接口和地址，为何不从当中随便挑选一个呢？原因如下：由于telnet命令使用TCP报文，会存在如下情况：路由器的某一个接口由于故障down掉了，但是其他的接口却仍旧可以telnet，也就是说，到达这台路由器的TCP连接依旧存在。所以选择的telnet地址必须是永远也不会down 掉的，而虚接口恰好满足此类要求。由于此类接口没有与对端互联互通的需求，所以为了节约地址资源，loopback接口的地址通常指定为32位掩码。2 使用该接口地址作为动态路由协议OSPF、BGP

8、的router id动态路由协议OSPF、BGP在运行过程中需要为该协议指定一个Router id，作为此路由器的唯一标识，并要求在整个自治系统内唯一。由于router id是一个32位的无符号整数，这一点与IP 地址十分相像。而且IP地址是不会出现重复现象的，所以通常将路由器的router id指定为与该设备上的某个接口的地址相同。由于loopback接口的IP地址通常被视为路由器的标识，所以也就成了router id的最佳选择。3、使用该接口地址作为BGP 建立TCP 连接的源地址在BGP协议中，两个运行BGP 的路由器之间建立邻居关系是通过TCP 建立连接完成的。在配置邻居时通常指定lo

9、opback接口为建立TCP连接的源地址（通常只用于IBGP，都是为了增强TCP连接的健壮性）。而在这里我只是使用这个loopback接口代替在Internet上一些可以访问的地址与网站地址。2.1.2.2 R2上的配置：service timestamps debug datetime msecservice timestamps log datetime msecno service password-encryptionhostname CommpanyRouterboot-start-markerboot-end-markerno aaa new-modelmemory-size io

10、mem 5ip cefno ip domain lookupinterface Ethernet0/0ip address 12.12.123.1 255.255.255.248half-duplexinterface Serial1/3ip address 12.12.12.2 255.255.255.248serial restart-delay 0ip http serverno ip http secure-serverip route 0.0.0.0 0.0.0.0 12.12.12.1control-planeline con 0exec-timeout 0 0logging sy

11、nchronousline aux 0line vty 0 4在这里配置了一个与ISP运用商网络直连的serial接口和一个与下面HUB连接的ethernet接口。而现在网络设备接口大多都发展到了快速以太接口（Fastethernet），也称为百兆以太接口，甚至千兆以太接口与万兆以太接口。但以前的网络接口有可能没有这么高速率，所以这里只使用了ethernet接口，也称为十兆以太接口。并且以前的IPV4网络地址还绰绰有余，所以我这里为普通的PC机也使用了公网的IPV4地址。但这个网络结构的一个缺点就在HUB上，因为HUB的工作模式：当一台设备在进行数据传输时，其他设备发出数据将不能经过HUB设备

12、，只能等待第一台设备传输完毕后，才可以进行传输。也就是说HUB就如同一个集线器。这样就导致了，当一台设备在上网时，其他设备无法上网。同时要访问到Internet在本地的网络设备上，就要有一条路由条目，上面输了一条静态路由的默认路由，这条路由可以解释为任何目的地址，都把这个数据扔到12.12.12.1这个接口上去，这里我们来做个ping测试：可以看出ping 1.1.1.1（Internet网络可访问地址）并且起源为12.12.123.1（ethernet接口地址）已经可ping通了。这样下面的PC也可以访问到Internet网络了。2.2 现在的小型网络现在的小型企业网络拓扑：随着科技的大踏步

13、的发展，使用电脑的人也越来越多，甚至一人有多台电脑，这也促进了Internet网络的快速发展。但是在获得便利的同时，因为IPV4地址的有限性，导致了IPV4地址的紧张。于此同时，很多用于解决IPV4地址紧张的应用也在逐步出现，这些应用也发展成了逐步的规模，甚至到了不可缺少的地步。这些应用大家也有可能比较熟悉如：PPPoE这是作为家庭用户最为熟悉的，应为作为家庭用户大部分都是使用用户名与密码来进行拨号上网。为什么说这可以节省IPV4地址哪？这与作为网络运营商的AAA服务器有关。AAA服务器可以让使用用户名，密码上网的用户是动态的获得IPV4地址的（每一次获得的地址都是不相同的IPV4地址）并且A

14、AA服务器有一个“租期”的概念在规定的时间里如果用户没有使用这个用户名与密码拨号上网分配给这个用户的IPV4地址就收回，同时当另一个用户拨号上网时这个IPV4地址就有可能动态的分配给这个用户使用。另一个广为被使用的就是NAT（网络地址转换）。NAT的作用就是让一个私有的IPV4（可以让使用者自由分配的在公网是无法路由的，多数的IPV4私有地址范围是10.0.0.010.255.255.255、172.16.0.0172.32.255.255、192.168.1.0192.168.1.255）可以转换成少数的IPV4公有地址（公网可路由的）。同时在网络升级整合、服务器负载均衡以及生成“虚拟服务器

15、”方面也有很高的作用。下面我们以现在小型企业的网络拓扑来研究NAT。同时作为小型企业的网络管理人员为了方便使用网络的人们可以自动的获得地址，不用繁琐的叫他人手工配置IPV4地址，在这个条件下我们又引生出了DHCP：DHCP是Dynamic Host Configuration Protocol（动态主机配置协议)缩写，它的前身是BOOTP。BOOTP原本是用于无磁盘主机连接的网络上面的：网络主机使用BOOT ROM而不是磁盘起动并连接上网络，BOOTP 则可以自动地为那些主机设定TCP/IP环境。但BOOTP有一个缺点：您在设定前须事先获得客户端的硬件地址，而且，与IP的对应是静态的。换而言之

16、，BOOTP非常缺乏“动态性”，若在有限的IP资源环境中，BOOTP的一对一对应会造成非常可观的浪费。DHCP可以说是BOOTP的增强版本，它分为两个部份：一个是服务器端，而另一个是客户端。所有的IP网络设定数据都由DHCP服务器集中管理，并负责处理客户端的DHCP要求；而客户端则会使用从服务器分配下来的IP环境数据。比较起BOOTP，DHCP透过“租约”的概念，有效且动态的分配客户端的TCP/IP设定，而且，作为兼容考虑，DHCP也完全照顾了BOOTP Client的需求。DHCP的分配形式，首先，必须至少有一台DHCP工作在网络上面，它会监听网络的DHCP请求，并与客户端磋商TCP/IP的

17、设定环境。在下面的小型企业的网络拓扑来研究一下DHCP。这里还引出一个新的网络设备，那就是交换机。交换（switching）是按照通信两端传输信息的需要，用人工或设备自动完成的方法，把要传输的信息送到符合要求的相应路由上的技术的统称。广义的交换机（switch）就是一种在通信系统中完成信息交换功能的设备。在计算机网络系统中，交换概念的提出改进了共享工作模式。我们以前介绍过的HUB集线器就是一种共享设备，HUB本身不能识别目的地址，当同一局域网内的A主机给B主机传输数据时，数据包在以HUB为架构的网络上是以广播方式传输的，由每一台终端通过验证数据包头的地址信息来确定是否接收。也就是说，在这种工作

18、方式下，同一时刻网络上只能传输一组数据帧的通讯，如果发生碰撞还得重试。这种方式就是共享网络带宽。 交换机的工作原理工作在数据链路层。交换机拥有一条很高带宽的背部总线和内部交换矩阵。交换机的所有的端口都挂接在这条背部总线上，控制电路收到数据包以后，处理端口会查找内存中的地址对照表以确定目的MAC（网卡的硬件地址）的NIC（网卡）挂接在哪个端口上，通过内部交换矩阵迅速将数据包传送到目的端口，目的MAC若不存在广播到所有的端口，接收端口回应后交换机会“学习”新的地址，并把它添加入内部MAC地址表中。使用交换机也可以把网络“分段”，通过对照MAC地址表，交换机只允许必要的网络流量通过交换机。通过交换机

19、的过滤和转发，可以有效的减少冲突域，但它不能划分网络层广播，即广播域。交换机在同一时刻可进行多个端口对之间的数据传输。每一端口都可视为独立的网段，连接在其上的网络设备独自享有全部的带宽，无须同其他设备竞争使用。当节点A向节点D发送数据时，节点B可同时向节点C发送数据，而且这两个传输都享有网络的全部带宽，都有着自己的虚拟连接。假使这里使用的是10Mbps的以太网交换机，那么该交换机这时的总流通量就等于210Mbps20Mbps，而使用10Mbps的共享式HUB时，一个HUB的总流通量也不会超出10Mbps。总之，交换机是一种基于MAC地址识别，能完成封装转发数据包功能的网络设备。交换机可以“学习

20、”MAC地址，并把其存放在内部地址表中，通过在数据帧的始发者和目标接收者之间建立临时的交换路径，使数据帧直接由源地址到达目的地址。现在的小型企业的网络拓扑图：图2.2 现时的小型企业网络拓扑图2.2.1 具体使用到的设备：CISCO 18系列路由器，CISCO WS-C2918-24TT-C交换机，一台文件服务器，3台PC机2.2.2 具体配置2.2.2.1 在R1上的配置：service timestamps debug datetime msecservice timestamps log datetime msecno service password-encryptionhostnam

21、e ISPboot-start-markerboot-end-markerno aaa new-modelmemory-size iomem 5ip cefno ip domain lookupinterface Loopback0ip address 1.1.1.1 255.255.255.255interface Serial1/2ip address 12.12.12.1 255.255.255.248serial restart-delay 0no shutdownip http serverno ip http secure-servercontrol-planeline con 0

22、exec-timeout 0 0logging synchronousline aux 0line vty 0 4这里ISP路由器上的配置和上面的网络环境一样，用一个loopback接口代替internet网络可访问网络。2.2.2.2 在R2上的配置：service timestamps debug datetime msecservice timestamps log datetime msecno service password-encryptionhostname Companyboot-start-markerboot-end-markerno aaa new-modelmemor

23、y-size iomem 5ip cefno ip domain lookupno ip dhcp use vrf connectedip dhcp excluded-address 10.1.1.254ip dhcp ping packets 5ip dhcp ping timeout 1000ip dhcp pool DHCPPOOL network 10.1.1.0 255.255.255.0 default-router 10.1.1.1 dns-server 202.96.209.133 202.96.209.5 domain-name CISCO lease 1 12 59inte

24、rface Ethernet0/0ip address 10.1.1.1 255.255.255.0ip nat insideip virtual-reassemblyhalf-duplexinterface Serial1/3ip address 12.12.12.2 255.255.255.248ip nat outsideip virtual-reassemblyserial restart-delay 0no shutdownip http serverno ip http secure-serverip route 0.0.0.0 0.0.0.0 12.12.12.1ip nat i

25、nside source list 1 interface Serial1/3 overloadaccess-list 1 permit 10.1.1.0 0.0.0.255control-planeline con 0exec-timeout 0 0logging synchronousline aux 0line vty 0 4这里配置了dhcp，解释以上配置的命令：1. ip dhcp excluded-address 10.1.1.254这个命令是用来排除一些已经使用了固定IP地址的设备自动获得地址，也就是说10.1.1.254是DHCP不会分配出去的地址。我为什么要在这个网络环境中配

26、置这个命令哪？是因为我们有一台文件服务器，这个服务器需要让其他的PC来访问。这样DHCP分配得来的服务器地址会不停的改变，这样对于用户来说要访问服务器就繁琐了。只有手工的配置一个固定的IP地址让用户便于访问，但同时不要让DHCP把这个手工配置的服务器地址分配给其他的PC机导致地址冲突，就需要建入这条命令。2. ip dhcp ping packets 5与ip dhcp ping timeout 1000这两条命令是检查DHCP分配出去的地址是否还存在的主要使用到的就是ping这个功能（PING (Packet Internet Grope)，因特网包探索器，用于测试网络连接量的程序。Ping

27、发送一个ICMP回声请求消息给目的地并报告是否收到所希望的ICMP回声应答。它是用来检查网络是否通畅或者网络连接速度的命令。作为一个生活在网络上的管理员或者黑客来说，ping命令是第一个必须掌握的DOS命令，它所利用的原理是这样的：利用网络上机器IP地址的唯一性，给目标IP地址发送一个数据包，再要求对方返回一个同样大小的数据包来确定两台网络机器是否连接相通，时延是多少？ ping指的是端对端连通，通常用来作为可用性的检查， 但是某些病毒木马会强行大量远程执行ping命令抢占你的网络资源，导致系统变慢，网速变慢。严禁ping入侵作为大多数防火墙的一个基本功能提供给用户进行选择。通常的情况下你如果

28、不用作服务器或者进行网络测试，可以放心的选中它，保护你的电脑），当ping的地址还依然存在或已经获得地址那么就会有一个对于这个ping的回应这样DHCP server就知道这个地址已经被正常的分配出去了。但是当没有得到ping的回应那么DHCP server就会对下面的终端重新分配地址。第一条命令就是发出5个ping包，第二条是ping的回应超出1000秒后重新分配地址。3. ip dhcp pool DHCPPOOL这条命令是设置一个名字叫DHCPPOOL的DHCP地址范围池，用于分配给需要用DHCP自动获得地址的终端设备的一个统称。4. network 10.1.1.0 255.255.2

29、55.0这条命令是设置自动分配地址的范围。也就是说自动获得地址的范围在10.1.1.110.1.1.254。5. default-router 10.1.1.1这条命令是设置自动分配地址的网关地址。6. dns-server 202.96.209.133 202.96.209.5这条命令是设置自动分配地址的DNS地址。第一个是主DNS第二个是备用的DNS。7. domain-name CISCO这条命令是设置域名为CISCO。8. lease 1 12 59大家知道DHCP是会自动分配地址的，但是DHCP有一个问题那就是但一台终端当分配好了地址后当终端与这个公司的网络断开后可是这个被分出去的I

30、P地址已经对应了第一次连接的终端的mac地址，从此这个IP地址就不会被重新分出就算第一次连接的网络设备再也不存在了这个IP地址也不会被分给别人。这条命令的作用就是让分配出去的IP地址有个租期当超过这个租期后这个分配得IP的网络设备已经不存在了那么这个分配出去的IP地址被DHCP server收回并分给别人。如果使用这个IP地址的网络设备还存在那么这个IP地址就像续约一样继续被这个网络设备使用。Lease 1（天）12（小时）59（分钟）。我们也来看一下NAT的配置命令：ip nat inside source list 1 interface Serial1/3 overload这句话的意识是

31、对内部区域的源IP地址做改变,是把LISt 1匹配到的地址映射为物理接口serial1/3的接口地址，这里的list1对应与我在下面写入的一条ACL，这条ACL的作用就是允许10.1.1.0/24的地址放入NAT中被转换。最后overload的作用是允许多个内部IP地址使用不同的端口号来映射成同一个外部IP。access-list 1 permit 10.1.1.0 0.0.0.255这是一条ACL（访问控制列表）这条访问控制列表的作用就是匹配10.1.1.0这个网段的IP地址进行NAT转换。顺便我们来讲一下ACL吧。ACL访问控制列表（Access Control List，ACL） 是路由

32、器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。(1) ACL介绍信息点间通信，内外网络的通信都是企业网络中必不可少的业务需求，但是为了保证内网的安全性，需要通过安全策略来保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的。简而言之，ACL可以过滤网络中的流量，控制访问的一种网络技术手段。ACL的定义也是基于每一种协议的。如果路由器接口配置成为支持三种协议（IP、AppleTalk以及IPX）的情况，那么，用户必须定

33、义三种ACL来分别控制这三种协议的数据包。(2) ACL的作用ACL可以限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定数据包的优先级。ACL提供对通信流量的控制手段。例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络，而拒绝主机B访问。ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。例如：某部门要求只能使用WWW这个功能，就可以通过ACL实现；又例如，为了某部门的保密性，不允许其访问

34、外网，也不允许外网访问它，就可以通过ACL实现。(3) ACL 3p原则记住3P原则，您便记住了在路由器上应用ACL的一般规则。您可以为每种协议（per protocol）、每个方向（per direction）、每个接口（per interface）配置一个ACL：每种协议一个ACL要控制接口上的流量，必须为接口上启用的每种协议定义相应的ACL。每个方向一个ACL一个ACL只能控制接口上一个方向的流量。要控制入站流量和出站流量，必须分别定义两个ACL。每个接口一个ACL一个ACL只能控制一个接口（例如快速以太网 0/0）上的流量。ACL的编写可能相当复杂而且极具挑战性。每个接口上都可以针对多

35、种协议和各个方向进行定义。示例中的路由器有两个接口配置了IP、AppleTalk和IPX。该路由器可能需要12个不同的ACL协议数(3)乘以方向数(2)，再乘以端口数(2)。(4) ACL的执行过程一个端口执行哪条ACL，这需要按照列表中的条件语句执行顺序来判断。如果一个数据包的报头跟表中某个条件判断语句相匹配，那么后面的语句就将被忽略，不再进行检查。数据包只有在跟第一个判断条件不匹配时，它才被交给ACL中的下一个条件判断语句进行比较。如果匹配（假设为允许发送），则不管是第一条还是最后一条语句，数据都会立即发送到目的接口。如果所有的ACL判断语句都检测完毕，仍没有匹配的语句出口，则该数据包将视

36、为被拒绝而被丢弃。这里要注意，ACL不能对本路由器产生的数据包进行控制。(5) ACL的分类目前有两种主要的ACL:标准ACL和扩展ACL、通过命名、通过时间。标准的ACL使用1 99以及13001999之间的数字作为表号，扩展的ACL使用100 199以及20002699之间的数字作为表号。标准ACL可以阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如IP）的所有通信流量。扩展ACL比标准ACL提供了更广泛的控制范围。例如，网络管理员如果希望做到“允许外来的Web通信流量通过，拒绝外来的FTP和Telnet等通信流量”，那么，他可以使用扩展AC

37、L来达到目的，标准ACL不能控制这么精确。在标准与扩展访问控制列表中均要使用表号，而在命名访问控制列表中，使用一个字母或数字组合的字符串来代替前面所使用的数字。使用命名访问控制列表，可以用来删除某一条特定的控制条目，这样可以让我们在使用过程中方便地进行修改。在使用命名访问控制列表时，要求路由器的IOS在11.2以上的版本，并且不能以同一名字命名多个ACL，不同类型的ACL也不能使用相同的名字。随着网络的发展和用户要求的变化，从IOS 12.0开始，思科（CISCO）路由器新增加了一种基于时间的访问列表。通过它，可以根据一天中的不同时间，或者根据一星期中的不同日期，或二者相结合来控制网络数据包的

38、转发。这种基于时间的访问列表，就是在原来的标准访问列表和扩展访问列表中，加入有效的时间范围来更合理有效地控制网络。首先定义一个时间范围，然后在原来的各种访问列表的基础上应用它。基于时间访问列表的设计中，用time-range 命令来指定时间范围的名称，然后用absolute命令，或者一个或多个periodic命令来具体定义时间范围。(6) 正确放置ACLACL通过过滤数据包并且丢弃不希望抵达目的地的数据包来控制通信流量。然而，网络能否有效地减少不必要的通信流量，这还要取决于网络管理员把ACL放置在哪个地方。假设在的一个运行TCP/IP协议的网络环境中，网络只想拒绝从RouterA的T0接口连接

39、的网络到RouterD的E1接口连接的网络的访问，即禁止从网络1到网络2的访问。根据减少不必要通信流量的通行准则，网管员应该尽可能地把ACL放置在靠近被拒绝的通信流量的来源处，即RouterA上。如果网管员使用标准ACL来进行网络流量限制，因为标准ACL只能检查源IP地址，所以实际执行情况为：凡是检查到源IP地址和网络1匹配的数据包将会被丢掉，即网络1到网络2、网络3和网络4的访问都将被禁止。由此可见，这个ACL控制方法不能达到网管员的目的。同理，将ACL放在RouterB和RouterC上也存在同样的问题。只有将ACL放在连接目标网络的RouterD上（E0接口），网络才能准确实现网管员的目

40、标。由此可以得出一个结论: 标准ACL要尽量靠近目的端。网管员如果使用扩展ACL来进行上述控制，则完全可以把ACL放在RouterA上，因为扩展ACL能控制源地址（网络1），也能控制目的地址（网络2），这样从网络1到网络2访问的数据包在RouterA上就被丢弃，不会传到RouterB、RouterC和RouterD上，从而减少不必要的网络流量。因此，我们可以得出另一个结论：扩展ACL要尽量靠近源端。ACL的主要的命令，描述access-list定义访问控制列表，参数ip access-group指派一个访问控制列表到一个接口，ip access-list extended定义一个扩展访问控制列

41、表，Remark注释一个访问控制列表，show ip access-list显示已配置的访问控制列表。(7) 定义ACL时所应遵循的规范A. ACL的列表号指出了是哪种协议的ACL。各种协议有自己的ACL，而每个协议的ACL又分为标准ACL和扩展ACL。这些ACL是通过ACL列表号区别的。如果在使用一种访问ACL时用错了列表号，那么就会出错误。B. 一个ACL的配置是每协议、每接口、每方向的。路由器的一个接口上每一种协议可以配置进方向和出方向两个ACL。也就是说，如果路由器上启用了IP和IPX两种协议栈，那么路由器的一个接口上可以配置IP、IPX两种协议，每种协议进出两个方向，共四个ACL。

42、C. ACL的语句顺序决定了对数据包的控制顺序。在ACL中各描述语句的放置顺序是很重要的。当路由器决定某一数据包是被转发还是被阻塞时，会按照各项描述语句在ACL中的顺序，根据各描述语句的判断条件，对数据报进行检查，一旦找到了某一匹配条件就结束比较过程，不再检查以后的其他条件判断语句。D. 最有限制性的语句应该放在ACL语句的首行。把最有限制性的语句放在ACL语句的首行或者语句中靠近前面的位置上，把“全部允许”或者“全部拒绝”这样的语句放在末行或接近末行，可以防止出现诸如本该拒绝(放过)的数据包被放过(拒绝)的情况。E. 新的表项只能被添加到ACL的末尾，这意味着不可能改变已有访问控制列表的功能

43、。如果必须改变，只有先删除已存在的ACL，然后创建一个新ACL，将新ACL应用到相应的接口上。F. 在将ACL应用到接口之前，一定要先建立ACL。首先在全局模式下建立ACL，然后把它应用在接口的出方向或进方向上。在接口上应用一个不存在的ACL是不可能的。G. ACL语句不能被逐条的删除，只能一次性删除整个ACL。H. 在ACL的最后，有一条隐含的“全部拒绝”的命令，所以在 ACL里一定至少有一条“允许”的语句。I. ACL只能过滤穿过路由器的数据流量，不能过滤由本路由器上发出的数据包。J. 在路由器选择进行以前，应用在接口进入方向的ACL起作用。K. 在路由器选择决定以后，应用在接口离开方向的

44、ACL起作用。(8) ACL会议（Annual Meeting of the Association for Computational Linguistics)ACL会议是自然语言处理与计算语言学领域最高级别的学术会议，由计算语言学协会主办，每年一届。涉及对话(Dialogue)篇章(Discourse)评测( Eval)信息抽取( IE) 信息检索( IR) 语言生成(LanguageGen) 语言资源(LanguageRes) 机器翻译(MT) 多模态(Multimodal) 音韵学/ 形态学( Phon/ Morph) 自动问答(QA) 语义(Semantics) 情感(Sentime

45、nt) 语音(Speech) 统计机器学习(Stat ML) 文摘(Summarisation) 句法(Syntax) 等多个方面。ip nat inside与ip nat outside当拥有了NAT策略后当然要把这个策略挂接在某些地方。NAT是挂接在接口上的，并且NAT有两个区域一个是内部区域另一个是外部区域。并且这两个区域都分成全局地址与本地地址。IL（Inisde Local，内部本地地址）：分配给内部设备的地址，这些地址不会被宣告到外部网络IG（Inside Global，内部全局地址）：内部设备被外部网络所知晓的地址。OG（Outside Global，外部全局地址）：分配给外部设

46、备的地址，这些地址不会被宣告到内部网络。OL（Outside Local，外部本地地址）：是外部设备被内部网络所知晓的地址。2.3 大中型网络大、中型企业：在小型网络中讲到的NAT技术也可以延伸到中型网络中来，并且可以发展出另外一些特殊的NAT技术，当然我们也会使用到DHCP这个功能。同时在网络中如果有一台负责监控网络的服务器那是更好不过了。在很多中型企业中需要搭建一些WEB服务器，让外部网络的人们来进行访问，让外网的人们了解更多关于企业的经营内容，企业特色与网络买卖等应用。这同时就需要到NAT的另一个功能“端口映射”。端口映射其实就是常说的NAT地址转换的一种，其功能就是把在公网的地址转翻译

47、成私有地址，采用路由方式的ADSL宽带路由器拥有一个动态或固定的公网IP，ADSL直接接在HUB或交换机上，所有的电脑共享上网。端口映射其实就是常说的NAT地址转换的一种，其功能就是把在公网的地址转翻译成私有地址， 采用路由方式的ADSL宽带路由器拥有一个动态或固定的公网IP，ADSL直接接在HUB或交换机上，所有的电脑共享上网。端口映射（Port Mapping）：很多客户每天都问为什么要端口映射？例如:通过路由器上网的，网站自己可以访问，但是别人就不能；输入127.0.0.1可以访问，别人还是看不到；输入localhost可以看到，但是别人就是看不到，气人啊没办法，只有进行端口映射了（路由

48、器端口映射本教程适合所有Tplink-TLR-402系列路由器下架设的网站服务器、邮件服务器、私服服务器、监控服务器、远程服务器、管家婆金蝶等财务管理服务器、VPN、ERP、ftp服务器等等的端口映射方法）。端口映射又叫端口转发，又叫虚服务器，各个品牌路由器不同，叫法不一样。但操作是一样的。具体型号操作实例可以登录查看简单通俗的解释（这个大家比较喜欢看）。端口映射过程就如同：你家在一个小区里B栋2410室，你朋友来找你，找到小区门口，不知道你住哪层哪号？就问守门的保安，保安很客气的告诉了他你家详细门牌，所以你朋友很轻松的找到了你家。这个过程就是外网访问内网通过端口映射的形象比喻。在网络技术中，端口（英文Port）有好几种意思。集线器、交换