概念介紹：POE供電交換機、tcpip模型、OSI七層模型、路由協議、網關、訪問列表(待整理)

PoE供電交換機

       是指能夠通過網線為遠端受電終端提供網絡供電的交換機，包含網絡交換機和PoE供電兩個功能，是PoE供電系統中比較常見的供電設備，端口支持輸出功率達15.4W，符合IEEE802.3af標準，端口支持輸出功率達30W，符合IEEE802.3at標準，通過網線供電的方式為標準的POE終端設備供電，免去額外的電源布線。符合IEEE802.3aT 標準的POE交換機，端口輸出功率可以達到15-60W。

poe供電的工作過程

   當在一個網絡中布置 POE供電端設備時,POE以太網供電工作過程如下所示。

1. 檢測：一開始,POE設備在端口輸出很小的電壓,直到其檢測到線纜終端的連接為一個支持IEEE802.3af標準的受電端設備。

2. PD端設備分類：當檢測到受電端設備PD之后,POE設備可能會為PD設備進行分類,并且評估此PD設備所需的功率損耗。

3. 開始供電：在一個可配置時間(一般小于15μs)的啟動期內,PSE設備開始從低電壓向PD設備供電,直至提供48V的直流電源。

4. 供電：為PD設備提供穩定可靠48V的直流電,滿足PD設備不越過 15.4W的功率消耗。

5. 斷電：若PD設備從網絡上斷開時,PSE就會快速地(一般在300～400ms之內)停止為PD設備供電,并重復檢測過程以檢測線纜的終端是否連接PD設備。

     一個完整的POE系統包括供電端設備(PSE, Power Sourcing Equipment)和受電端設備(PD, Power Device)兩部分。PSE設備是為以太網客戶端設備供電的設備,同時也是整個POE以太網供電過程的管理者。而PD設備是接受供電的PSE負載,即POE系統的客戶端。

OSI

OSI(Open System Interconnection)，開放式系統互聯參考模型 ，它把網絡協議從邏輯上分為了7層。每一層都有相關、相對應的物理設備，比如常規的路由器是三層交換設備，常規的交換機是二層交換設備。

OSI七層模型是一種框架性的設計方法 ，建立七層模型的主要目的是為解決異種網絡互連時所遇到的兼容性問題，其最主要的功能就是幫助不同類型的主機實現數據傳輸。它的最大優點是將服務、接口和協議這三個概念明確地區分開來，通過七個層次化的結構模型使不同的系統不同的網絡之間實現可靠的通訊。

中文名

開放式系統互聯參考模型

外文名

Open System Interconnection

英文縮寫

OSI

分    類

開放式系統互聯參考模型

目錄

模型優點

建立七層模型的主要目的是為解決異種網絡互連時所遇到的兼容性問題。它的最大優點是將服務、接口和協議這三個概念明確地區分開來：服務說明某一層為上一層提供一些什么功能，接口說明上一層如何使用下層的服務，而協議涉及如何實現本層的服務；這樣各層之間具有很強的獨立性，互連網絡中各實體采用什么樣的協議是沒有限制的，只要向上提供相同的服務并且不改變相鄰層的接口就可以了。網絡七層的劃分也是為了使網絡的不同功能模塊（不同層次）分擔起不同的職責，從而帶來如下好處：

● 減輕問題的復雜程度，一旦網絡發生故障，可迅速定位故障所處層次，便于查找和糾錯；

● 在各層分別定義標準接口，使具備相同對等層的不同網絡設備能實現互操作，各層之間相對獨立，一種高層協議可在多種低層協議上運行；

● 能有效刺激網絡技術革新，因為每次更新都可以在小范圍內進行，不需對整個網絡動大手術；

物理層

Physical Layer，OSI參考模型的最底層或第一層。 該層包括物理連網媒介，如電纜連線連接器。物理層的協議產生并檢測電壓以便發送和接收攜帶數據的信號。在PC上插入網絡接口卡，就建立了計算機連網的基礎。盡管物理層不提供糾錯服務，但它能夠設定數據傳輸速率并監測數據出錯率。

    用戶要傳遞信息就要利用一些物理媒體，如雙絞線、同軸電纜等，但具體的物理媒體并不在OSI的7層之內，有人把物理媒體當做第0層，物理層的任務就是為它的上一層提供一個物理連接，以及它們的機械、電氣、功能和規程特性。如規定使用電纜和接頭的類型、傳送信號的電壓等。在這一層，數據還沒有被組織，僅作為原始的位流或電氣電壓處理，單位是bit。

    @@@@網卡，網線，集線器，中繼器，調制解調器－－－－物理層。

數據鏈路層

Datalink Layer，OSI參考模型的第二層，它控制網絡層與物理層之間的通信。其主要功能是如何在不可靠的物理線路上進行數據的可靠傳遞。為了保證傳輸，從網絡層接收到的數據被分割成特定的可被物理層傳輸的幀。幀是用來移動數據的結構包，它不僅包括原始數據，還包括發送方和接收方的物理地址以及檢錯和控制信息。其中的地址確定了幀將發送到何處，而糾錯和控制信息則確保幀無差錯到達。 如果在傳送數據時，接收點檢測到所傳數據中有差錯，就要通知發送方重發這一幀。

數據鏈路層的功能獨立于網絡和它的節點和所采用的物理層類型，也不關心是否正在運行Word 、Excel或使用Internet 。有一些連接設備，如交換機，由于它們要對幀解碼并使用幀信息將數據發送到正確的接收方，所以它們是工作在數據鏈路層的。

數據鏈路層在物理層提供比特流服務的基礎上，建立相鄰結點之間的數據鏈路，通過差錯控制提供數據幀在信道上無差錯的傳輸，并進行各電路上的動作系列。

數據鏈路層在不可靠的物理介質上提供可靠的傳輸。該層的作用包括：物理地址尋址、數據的成幀、流量控制、數據的檢錯、重發等。

數據鏈路層協議的代表包括：SDLC、HDLC、PPP、STP、幀中繼等。 

網橋，交換機－－－－數據鏈路。

網絡層

Network Layer，OSI參考模型的第三層。其主要功能是將網絡地址翻譯成對應的物理地址，并決定如何將數據從發送方路由到接收方。

網絡層通過綜合考慮發送優先權、網絡擁塞程度、服務質量以及可選路由的花費來決定從一個網絡中節點A 到另一個網絡中節點B 的最佳路徑。由于網絡層處理，并智能指導數據傳送，路由器連接網絡各段，所以路由器屬于網絡層。在網絡中，“路由”是基于編址方案、使用模式以及可達性來指引數據的發送。

網絡層負責在源機器和目標機器之間建立它們所使用的路由。這一層本身沒有任何錯誤檢測和修正機制，因此，網絡層必須依賴于端端之間的由DLL提供的可靠傳輸服務。

網絡層用于本地LAN網段之上的計算機系統建立通信，它之所以可以這樣做，是因為它有自己的路由地址結構，這種結構與第二層機器地址是分開的、獨立的。這種協議稱為路由或可路由協議。可路由協議包括IP、Novell公司的IPX以及AppleTalk協議，路由協議是為了確定最終路徑使用的協議，如：RIP、OSPF、IS-IS、BGP等。

網絡層是可選的，它只用于當兩個計算機系統處于不同的由路由器分割開的網段這種情況，或者當通信應用要求某種網絡層或傳輸層提供的服務、特性或者能力時。例如，當兩臺主機處于同一個LAN網段的直接相連這種情況，它們之間的通信只使用LAN的通信機制就可以了(即OSI 參考模型的一二層)。

路由器－－－－－網絡層。

傳輸層

Transport Layer，OSI參考模型的第四層。傳輸協議同時進行流量控制或是基于接收方可接收數據的快慢程度規定適當的發送速率。除此之外，傳輸層按照網絡能處理的最大尺寸將較長的數據包進行強制分割。例如，以太網無法接收大于1500字節(Byte)的數據包。發送方節點的傳輸層將數據分割成較小的數據片，同時對每一數據片安排一序列號，以便數據到達接收方節點的傳輸層時，能以正確的順序重組。

工作在傳輸層的一種服務是TCP/IP協議套中的TCP(傳輸控制協議)，另一項傳輸層服務是IPX/SPX協議集的SPX(序列包交換)。

網關工作在第四層及其以上。

會話層

Session Layer，OSI參考模型的第五層。負責在網絡中的兩節點之間建立、維持和終止通信。 會話層的功能包括：建立通信鏈接，保持會話過程通信鏈接的暢通，同步兩個節點之間的對話，決定通信是否被中斷以及通信中斷時決定從何處重新發送。

你可能常常聽到有人把會話層稱作網絡通信的“交通警察”。當通過撥號向你的ISP(因特網服務提供商)請求連接到因特網時，ISP 服務器上的會話層向你與你的 PC 客戶機上的會話層進行協商連接。若你的電話線偶然從墻上插孔脫落時，你終端機上的會話層將檢測到連接中斷并重新發起連接。會話層通過決定節點通信的優先級和通信時間的長短來設置通信期限。

表示層

Presentation Layer，OSI參考模型中的第六層。應用程序和網絡之間的翻譯官，在表示層，數據將按照網絡能理解的方案進行格式化；這種格式化也因所使用網絡的類型不同而不同。

表示層管理數據的解密與加密，如系統口令的處理。例如：在Internet上查詢你銀行賬戶，使用的即是一種安全連接。你的賬戶數據在發送前被加密，在網絡的另一端，表示層將對接收到的數據解密。除此之外，表示層協議還對圖片和文件格式信息進行解碼和編碼。

應用層

Application Layer，OSI參考模型中的最高層，即第七層。應用層也稱為應用實體(AE)，它由若干個特定應用服務元素(SASE）和一個或多個公共應用服務元素(CASE)組成。每個SASE提供特定的應用服務，例如文件運輸訪問和管理(FTAM)、電子文電處理(MHS)、虛擬終端協議(VAP)等。CASE提供一組公共的應用服務，例如聯系控制服務元素(ACSE)、可靠運輸服務元素(RTSE)和遠程操作服務元素(ROSE)等。主要負責對軟件提供接口以使程序能使用網絡服務。術語“應用層”并不是指運行在網絡上的某個特別應用程序 ，應用層提供的服務包括文件傳輸、文件管理以及電子郵件的信息處理。

模型簡版總結：

1. 物理層：主要定義物理設備標準，如網線的接口類型、光纖的接口類型、各種傳輸介質的傳輸速率等。它的主要作用是傳輸比特流(就是由1、0轉化為電流強弱來進行傳輸，到達目的地后再轉化為1、0，也就是我們常說的數模轉換與模數轉換)。這一層的數據叫做比特。

2. 數據鏈路層：定義了如何讓格式化數據以進行傳輸，以及如何讓控制對物理介質的訪問。這一層通常還提供錯誤檢測和糾正，以確保數據的可靠傳輸。數據鏈路層的傳輸單元是幀。

3.網絡層：在位于不同地理位置的網絡中的兩個主機系統之間提供連接和路徑選擇。Internet的發展使得從世 界各站點訪問信息的用戶數大大增加，而網絡層正是管理這種連接的層。網絡層將數據鏈路層提供的幀組 成數據包，因此網絡層的傳輸單元是數據包。

4.傳輸層：定義了一些傳輸數據的協議和端口號(WWW端口80等)，如：TCP(傳輸控制協議，傳輸效率低， 可靠性強，用于傳輸可靠性要求高，數據量大的數據)，UDP(用戶數據報協議，與TCP特性恰恰相反，用于 傳輸可靠性要求不高，數據量小的數據，如QQ聊天數據就是通過這種方式傳輸的）。 主要是將從下層接收 的數據進行分段和傳輸，到達目的地址后再進行重組。常常把這一層數據叫做段。傳輸層的傳輸單元是報 文。

5.會話層：通過傳輸層(端口號：傳輸端口與接收端口)建立數據傳輸的通路。主要在你的系統之間發起會話或 者接受會話請求(設備之間需要互相認識可以是IP也可以是MAC或者是主機名)。

6.表示層：可確保一個系統的應用層所發送的信息可以被另一個系統的應用層讀取。例如，PC程序與另一臺 計算機進行通信，其中一臺計算機使用擴展二一十進制交換碼(EBCDIC)，而另一臺則使用美國信息交換標 準碼（ASCII）來表示相同的字符。如有必要，表示層會通過使用一種通格式來實現多種數據格式之間的轉 換。

7.應用層：是最靠近用戶的OSI層。這一層為用戶的應用程序(例如電子郵件、文件傳輸和終端仿真)提供網絡 服務。

TCP/IP協議

        TCP/IP參考模型是計算機網絡的祖父ARPANET和其后繼的因特網使用的參考模型。ARPANET是由美國國防部DoD（U.S.Department of Defense）贊助的研究網絡。逐漸地它通過租用的電話線連結了數百所大學和政府部門。當無線網絡和衛星出現以后，現有的協議在和它們相連的時候出現了問題，所以需要一種新的參考體系結構。這個體系結構在它的兩個主要協議出現以后，被稱為TCP/IP參考模型（TCP/IP reference model）。

四層協議

    TCP/IP是一組用于實現網絡互連的通信協議。Internet網絡體系結構以TCP/IP為核心。基于TCP/IP的參考模型將協議分成四個層次，它們分別是：網絡訪問層、網際互聯層、傳輸層（主機到主機）、和應用層。

    1. 應用層

應用層對應于OSI參考模型的高層，為用戶提供所需要的各種服務，例如：FTP、Telnet、DNS、SMTP等.

    2. 傳輸層

傳輸層對應于OSI參考模型的傳輸層，為應用層實體提供端到端的通信功能，保證了數據包的順序傳送及數據的完整性。該層定義了兩個主要的協議：傳輸控制協議（TCP）和用戶數據報協議（UDP).

TCP協議提供的是一種可靠的、通過“三次握手”來連接的數據傳輸服務；而UDP協議提供的則是不保證可靠的（并不是不可靠）、無連接的數據傳輸服務.

    3. 網際互聯層

網際互聯層對應于OSI參考模型的網絡層，主要解決主機到主機的通信問題。它所包含的協議設計數據包在整個網絡上的邏輯傳輸。注重重新賦予主機一個IP地址來完成對主機的尋址，它還負責數據包在多種網絡中的路由。該層有三個主要協議：網際協議（IP）、互聯網組管理協議（IGMP）和互聯網控制報文協議（ICMP）。

IP協議是網際互聯層最重要的協議，它提供的是一個可靠、無連接的數據報傳遞服務。

    4. 網絡接入層（即主機-網絡層）

網絡接入層與OSI參考模型中的物理層和數據鏈路層相對應。它負責監視數據在主機和網絡之間的交換。事實上，TCP/IP本身并未定義該層的協議，而由參與互連的各網絡使用自己的物理層和數據鏈路層協議，然后與TCP/IP的網絡接入層進行連接。地址解析協議（ARP）工作在此層，即OSI參考模型的數據鏈路層。

模型比較

共同點

（1）OSI參考模型和TCP/IP參考模型都采用了層次結構的概念。

（2）都能夠提供面向連接和無連接兩種通信服務機制。

不同點

（1）OSI采用的七層模型，而TCP/IP是四層結構。

（2）TCP/IP參考模型的網絡接口層實際上并沒有真正的定義，只是一些概念性的描述。而OSI參考模型不僅分了兩層，而且每一層的功能都很詳盡，甚至在數據鏈路層又分出一個介質訪問子層，專門解決局域網的共享介質問題。

（3）OSI模型是在協議開發前設計的，具有通用性。TCP/IP是先有協議集然后建立模型，不適用于非TCP/IP網絡。

（4）OSI參考模型與TCP/IP參考模型的傳輸層功能基本相似，都是負責為用戶提供真正的端對端的通信服務，也對高層屏蔽了底層網絡的實現細節。所不同的是TCP/IP參考模型的傳輸層是建立在網絡互聯層基礎之上的，而網絡互聯層只提供無連接的網絡服務，所以面向連接的功能完全在TCP協議中實現，當然TCP/IP的傳輸層還提供無連接的服務，如UDP；相反OSI參考模型的傳輸層是建立在網絡層基礎之上的，網絡層既提供面向連接的服務，又提供無連接的服務，但傳輸層只提供面向連接的服務。

（5）OSI參考模型的抽象能力高，適合與描述各種網絡；而TCP/IP是先有了協議，才制定TCP/IP模型的。

（6）OSI參考模型的概念劃分清晰，但過于復雜；而TCP/IP參考模型在服務、接口和協議的 區別上不清楚，功能描述和實現細節混在一起。

（7）TCP/IP參考模型的網絡接口層并不是真正的一層；OSI參考模型的缺點是層次過多，劃分意義不大但增加了復雜性。

（8）OSI參考模型雖然被看好，由于沒把握好時機，技術不成熟，實現困難；相反，TCP/IP參考模型雖然有許多不盡人意的地方，但還是比較成功的。

路由協議

路由器提供了異構網互聯的機制，實現將一個網絡的數據包發送到另一個網絡。而路由就是指導IP數據包發送的路徑信息。路由協議就是在路由指導IP數據包發送過程中事先約定好的規定和標準。

原理

路由協議通過在路由器之間共享路由信息來支持可路由協議。路由信息在相鄰路由器之間傳遞，確保所有路由器知道到其它路由器的路徑。總之，路由協議創建了路由表，描述了網絡拓撲結構；路由協議與路由器協同工作，執行路由選擇和數據包轉發功能。

作用

路由協議主要運行于路由器上，路由協議是用來確定到達路徑的，它包括RIP，IGRP（Cisco私有協議），EIGRP（Cisco私有協議），OSPF，IS-IS，BGP。起到一個地圖導航，負責找路的作用。它工作在網絡層。

路由選擇協議主要是運行在路由器上的協議，主要用來進行路徑選擇。

網關

網關(Gateway)又稱網間連接器、協議轉換器。網關在網絡層以上實現網絡互連，是最復雜的網絡互連設備，僅用于兩個高層協議不同的網絡互連。網關既可以用于廣域網互連，也可以用于局域網互連。 網關是一種充當轉換重任的計算機系統或設備。使用在不同的通信協議、數據格式或語言，甚至體系結構完全不同的兩種系統之間，網關是一個翻譯器。與網橋只是簡單地傳達信息不同，網關對收到的信息要重新打包，以適應目的系統的需求。同層--應用層。

路由（網絡工程術語）

概念

1、路由是指路由器從一個接口上收到數據包，根據數據

包的目的地址進行定向并轉發到另一個接口的過程。路由通常與橋接來對比，在粗心的人看來，它們似乎完成的是同樣的事。它們的主要區別在于橋接發生在OSI參考模型的第二層（數據鏈路層），而路由發生在第三層（網絡層）。這一區別使二者在傳遞信息的過程中使用不同的信息，從而以不同的方式來完成其任務。

路由的話題早已在計算機界出現，但直到八十年代中期才獲得商業成功。究其主要原因是七十年代的網絡普遍很簡單，發展到后來大型的網絡才較為普遍。

2、工程術語。指道路情況，包括道路寬度、深度、方向等信息。

原理算法

路由工作包含兩個基本的動作：

1、確定最佳路徑

2、通過網絡傳輸信息

在路由的過程中，后者也稱為（數據）交換。交換相對來說比較簡單，而選擇路徑很復雜。

路徑選擇

metric是路由算法用以確定到達目的地的最佳路徑的計量標準，如路徑長度。為了幫助選路，路由算法初始化并維護包含路徑信息的路由表，路徑信息根據使用的路由算法不同而不同。

路由算法根據許多信息來填充路由表。目的/下一跳地址對告知路由器到達該目的最佳方式是把分組發送給代表“下一跳”的路由器，當路由器收到一個分組，它就檢查其目標地址，嘗試將此地址與其“下一跳”相聯系。下表為一個目的/下一跳路由表的例子。

路由表還可以包括其它信息。路由表比較metric以確定最佳路徑，這些metric根據所用的路由算法而不同。路由器彼此通信，通過交換路由信息維護其路由表，路由更新信息通常包含全部或部分路由表，通過分析來自其它路由器的路由更新信息，該路由器可以建立網絡拓撲圖。路由器間發送的另一個信息是鏈接狀態廣播信息，它通知其它路由器發送者的鏈接狀態，鏈接信息用于建立完整的拓撲圖，使路由器可以確定最佳路徑。

交換算法

交換算法相對而言較簡單，對大多數路由協議而言是相同的，多數情況下，某主機決定向另一個主機發送數據，通過某些方法獲得路由器的地址后，源主機發送指向該路由器的物理（MAC）地址的數據包，其協議地址是指向目的主機的。

路由器查看了數據包的目的協議地址后，確定是否知道如何轉發該包，如果路由器不知道如何轉發，通常就將之丟棄。如果路由器知道如何轉發，就把目的物理地址變成下一跳的物理地址并向之發送。下一跳可能就是最終的目的主機，如果不是，通常為另一個路由器，它將執行同樣的步驟。當分組在網絡中流動時，它的物理地址在改變，但其協議地址始終不變。

ISO定義了用于描述此過程的分層的術語。在該術語中，沒有轉發分組能力的網絡設備稱為端系統（ES--end system），有此能力的稱為中介系統（IS--intermediate system）。IS又進一步分成可在路由域內通信的域內IS（intradomain IS）和既可在路由域內又可在域間通信的域間IS（interdomain IS）。路由域通常被認為是統一管理下的一部分網絡，遵守特定的一組管理規則，也稱為自治系統（autonomous system）。在某些協議中，域內路由協議仍可用于在區間內和區間之間交換數據。

訪問列表（access list)

路由器和交換機所保持的列表用來針對一些進出路由器或交換機的服務（如組織某個IP地址的分組從路由器或交換機的特定端口出發）做訪問控制。

訪問列表本質上是一系列對包進行分類的條件

分類

access-list（訪問列表）最基本的有兩種，分別是標準訪問列表和擴展訪問列表，二者的區別主要是前者是基于源地址的數據包過濾，而后者是基于目標地址、源地址和網絡協議及其端口的數據包過濾。

（1）標準型IP訪問列表的格式

---- 標準型IP訪問列表的格式如下：

---- access-list[list number][permit|deny][source address]

---- [address][wildcard mask][log]

---- 下面解釋一下標準型IP訪問列表的關鍵字和參數。首先，在access和list這2個關鍵字之間必須有一個連字符"-"；其次，list number的范圍在0～99之間，這表明該access-list語句是一個普通的標準型IP訪問列表語句。因為對于Cisco IOS，在0～99之間的數字指示出該訪問列表和IP協議有關，所以list number參數具有雙重功能: （1）定義訪問列表的操作協議; （2）通知IOS在處理access-list語句時，把相同的list number參數作為同一實體對待。正如本文在后面所討論的，擴展型IP訪問列表也是通過list number（范圍是100～199之間的數字）而表現其特點的。因此，當運用訪問列表時，還需要補充如下重要的規則: 在需要創建訪問列表的時候，需要選擇適當的list number參數。

---- （2）允許/拒絕數據包通過

---- 在標準型IP訪問列表中，使用permit語句可以使得和訪問列表項目匹配的數據包通過接口，而deny語句可以在接口過濾掉和訪問列表項目匹配的數據包。source address代表主機的IP地址，利用不同掩碼的組合可以指定主機。

---- 為了更好地了解IP地址和通配符掩碼的作用，這里舉一個例子。假設您的公司有一個分支機構，其IP地址為C類的192.46.28.0。在您的公司，每個分支機構都需要通過總部的路由器訪問Internet。要實現這點，您就可以使用一個通配符掩碼 0.0.0.255。因為C類IP地址的最后一組數字代表主機，把它們都置1即允許總部訪問網絡上的每一臺主機。因此，您的標準型IP訪問列表中的access-list語句如下：

---- access-list 1 permit 192.46.28.0 0.0.0.255

---- 注意，通配符掩碼是子網掩碼的補充。因此，如果您是網絡高手，您可以先確定子網掩碼，然后把它轉換成可應用的通配符掩碼。這里，又可以補充一條訪問列表的規則5。

---- （3）指定地址

---- 如果您想要指定一個特定的主機，可以增加一個通配符掩碼0.0.0.0。例如，為了讓來自IP地址為192.46.27.7的數據包通過，可以使用下列語句：

---- Access-list 1 permit 192.46.27.7 0.0.0.0

---- 在Cisco的訪問列表中，用戶除了使用上述的通配符掩碼0.0.0.0來指定特定的主機外，還可以使用"host"這一關鍵字。例如，為了讓來自IP地址為192.46.27.7的數據包通過，您可以使用下列語句：

---- Access-list 1 permit host 192.46.27.7

---- 除了可以利用關鍵字"host"來代表通配符掩碼0.0.0.0外，關鍵字"any"可以作為源地址的縮寫，并代表通配符掩碼0.0.0.0 255.255.255.255。例如，如果希望拒絕來自IP地址為192.46.27.8的站點的數據包，可以在訪問列表中增加以下語句：

---- Access-list 1 deny host 192.46.27.8

---- Access-list 1 permit any

---- 注意上述2條訪問列表語句的次序。第1條語句把來自源地址為192.46.27.8的數據包過濾掉，第2條語句則允許來自任何源地址的數據包通過訪問列表作用的接口。如果改變上述語句的次序，那么訪問列表將不能夠阻止來自源地址為192.46.27.8的數據包通過接口。因為訪問列表是按從上到下的次序執行語句的。這樣，如果第1條語句是:

---- Access-list 1 permit any

---- 的話，那么來自任何源地址的數據包都會通過接口。

---- （4）拒絕的奧秘

---- 在默認情況下，除非明確規定允許通過，訪問列表總是阻止或拒絕一切數據包的通過，即實際上在每個訪問列表的最后，都隱含有一條"deny any"的語句。假設我們使用了前面創建的標準IP訪問列表，從路由器的角度來看，這條語句的實際內容如下：

---- access-list 1 deny host 192.46.27.8

---- access-list 1 permit any

---- access-list 1 deny any

---- 在上述例子里面，由于訪問列表中第2條語句明確允許任何數據包都通過，所以隱含的拒絕語句不起作用，但實際情況并不總是如此。例如，如果希望來自源地址為192.46.27.8和192.46.27.12的數據包通過路由器的接口，同時阻止其他一切數據包通過，則訪問列表的代碼如下：

---- access-list 1 permit host 192.46.27.8

---- access-list 1 permit host 192.46.27.12

---- 注意，因為所有的訪問列表會自動在最后包括該語句.

---- 順便討論一下標準型IP訪問列表的參數"log"，它起日志的作用。一旦訪問列表作用于某個接口，那么包括關鍵字"log"的語句將記錄那些滿足訪問列表中"permit"和"deny"條件的數據包。第一個通過接口并且和訪問列表語句匹配的數據包將立即產生一個日志信息。后續的數據包根據記錄日志的方式，或者在控制臺上顯示日志，或者在內存中記錄日志。通過Cisco IOS的控制臺命令可以選擇記錄日志方式。 

擴展型IP訪問列表

---- 擴展型IP訪問列表在數據包的過濾方面增加了不少功能和靈活性。除了可以基于源地址和目標地址過濾外，還可以根據協議、源端口和目的端口過濾，甚至可以利用各種選項過濾。這些選項能夠對數據包中某些域的信息進行讀取和比較。擴展型IP訪問列表的通用格式如下：

---- access-list[list number][permit|deny]

---- [protocol|protocol key word]

---- [source address source-wildcard mask][source port]

---- [destination address destination-wildcard mask]

---- [destination port][log options]

---- 和標準型IP訪問列表類似，"list number"標志了訪問列表的類型。數字100～199用于確定100個惟一的擴展型IP訪問列表。"protocol"確定需要過濾的協議，其中包括IP、TCP、UDP和ICMP等等。

---- 如果我們回顧一下數據包是如何形成的，我們就會了解為什么協議會影響數據包的過濾，盡管有時這樣會產生副作用。圖2表示了數據包的形成。請注意，應用數據通常有一個在傳輸層增加的前綴，它可以是TCP協議或UDP協議的頭部，這樣就增加了一個指示應用的端口標志。當數據流入協議棧之后，網絡層再加上一個包含地址信息的IP協議的頭部。

由于IP頭部傳送TCP、UDP、路由協議和ICMP協議，所以在訪問列表的語句中，IP協議的級別比其他協議更為重要。但是，在有些應用中，您可能需要改變這種情況，您需要基于某個非IP協議進行過濾

例子

---- 為了更好地說明，下面列舉2個擴展型IP訪問列表的語句來說明。假設我們希望阻止TCP協議的流量訪問IP地址為192.78.46.8的服務器，同時允許其他協議的流量訪問該服務器。那么以下訪問列表語句能滿足這一要求嗎？

---- access-list 101 permit host 192.78.46.8

---- access-list 101 deny host 192.78.46.12

---- 回答是否定的。第一條語句允許所有的IP流量、同時包括TCP流量通過指定的主機地址。這樣，第二條語句將不起任何作用。可是，如果改變上面2條語句的次序即可實現目標。