第七章
分组转发
分组转发主要是完成按照路由选择所指的路由转发数据分组从源节点转发到目的节点;
结论:在数据分组通过每一个路由器转发时,分组中的目的MAC地址是下一跳接口的MAC地址,但是它的目的网络地址是始终不变的。
例题1
如下图所示,网络站点A发送数据包给B,在数据包经过路由器转发的过程中,下列封装在数据包4中的目的IP地址和目的MAC地址,正确的是( )
A)212.138.40.200 0026.5aab.flcc
B)212.138.40.1 00e0.bcfl.ab78
C)212.138.40.200 00e0.4a3a.de5f
D)200.29.187.114 00e0.4a3a.de5f
答案:C
解析:目的IP地址时B站点的IP地址;数据包4的目的MAC地址是它的下一跳路由器的且距离数据包最近的接口MAC地址。
例题2
| 数据包 | 目的IP地址 | 目的MAC地址 |
|---|---|---|
| 1 | 211.68.69.254 | 00e0.737c.3490 |
| 2 | 211.68.69.254 | 00e0.63c3.3c41 |
| 3 | 211.68.69.254 | 00e0.84lf4bfc |
| 4 | 211.68.69.254 | 00e0.bcfl.abl4 |
| 5 | 211.68.69.254 | 0006. fl50.4900 |
路由表内容
出题点:
1.connected+端口名(如果是三层交换机,则+VALN ID)
2.via+目的网络地址(IP地址)
3.管理距离值(O-110;S-1;B-200;B-200;R-120等)
例题1
下列是一台三层交换机的部分路由信息,表中的路由信息完全正确的是( )
答案:D
解析:A 选项,题目已经描述是三层交换机,connected后面不是VLAN ID,所以错误;B 选项,O的管理距离值是120,应该是110,所以错误;C 选项,路由表的最后一条,应该是via+目的网络(IP地址)。
例题2
下列是一台Cisco路由器的部分路由表信息,表中的路由信息完全正确的是( )
答案:C
解析:A 选项中的BGP路由管理距离应该是200;B 选项在路由器中不可能出现VLAN这个关键词;D 选项,第三条路由的via加的不是IP地址。
配置IP访问列表
①IP访问控制列表有两种类型:一种是标准访问控制列表,只能检查数据包的源地址,表号范围是199**,**扩展的表号是13001999。第二种是扩展访问控制列表,除了可以检查数据包的源地址和目的地址,还可以检查指定的协议,根据数据包头中的协议类型进行过滤,表号范围是100199**,**扩展的表号范围是20002699。
②IP访问控制列表是一个连续的列表,至少有一个“permit”(允许)语句和一个或多个“deny”(拒绝)语句组成。
③配置IP访问控制列表的首要任务就是使用“access-list”或“ip access-list”命令,定义一个访问控制列表。“access-list”命令要求只能使用表号标识列表;而“ip access-list”命令,既可以使用表号,也可以使用名字标识一个访问控制列表。
④access-list语法是:access-list ACL表号permit/deny源端地址 源端反掩码 目的地址 目的端反掩码 操作 操作数。其中操作数有:“lt(小于)”、“gt(大于)”、“eq(等于)”、“neq(不等于)”,操作数指的是端口数。
⑤配置应用接口的语法:ip access-group 表号 in|out。
注意事项:在配置访问列表之后,还必须配置其应用的接口才能控制数据的流出或流入;ACL语句顺序:数据包只有在跟第一个判断条件不匹配时,才能被交给下一个条件语句进行比较。
比如:若要允许除202.204.4.3以外的所有源地址通过路由器,这是需要先配置“deny 202.204.4.3”再配置“permit any any”。
例题1
在一台Cisco路由器的g0/3端口上封禁ICMP协议,只允许222.29.86.0/24和202.38.97.128/26子网的ICMP数据包通过路由器,正确的access-list配置是( )
A)Router(config)#access-list 98 permit icmp 222.29.86.0 0.0.0.255 any
Router(config)#access-list 98 permit icmp 202.38.97.128 0.0.0.63 any
Router(config)#access-list 98 deny icmp any any
Router(config)#access-list 98 permit ip any any
Router(config)#interface g0/3
Router(config-if)#ip access-group 98 in
Router(config-if)#ip access-group 98 out
B)Router(config)#access-list 198 permit icmp 222.29.86.0 255.255.255.0 any
Router(config)#access-list 198 permit icmp 202.38.97.128 255.255.255.192 any
Router(config)#access-list 198 deny icmp any any
Router(config)#access-list 198 permit ip any any
Router(config)#interface g0/3
Router(config-if)#ip access-group 198 in
Router(config-if)#ip access-group 198 out
C)Router(config)#access-list 100 permit ip any any
Router(config)#access-list 100 permit icmp 222.29.86.0 0.0.0.255 any
Router(config)#access-list 100 permit icmp 202.38.97.128 0.0.0.63 any
Router(config)#access-list 100 deny icmp any any
Router(config)#interface g0/3
Router(config-if)#ip access-group 100 in
Router(config-if)#ip access-group 100 out
D)Router(config)#access-list 100 permit icmp 222.29.86.0 0.0.0.255 any
Router(config)#access-list 100 permit icmp 202.38.97.128 0.0.0.63 any
Router(config)#access-list 100 deny icmp any any
Router(config)#access-list 100 permit ip any any
Router(config)#interface g0/3
Router(config-if)#ip access-group 100 in
Router(config-if)#ip access-group 100 out
答案:D
解析:A 选项,题目要求禁封ICMP,所以得使用扩展访问控制列表(表号:100~1999;2000-2699);B 选项没有使用反掩码;C 选项,rule语序错误。
例题2
在一台Cisco路由器的g0/1端口上禁封ICMP协议,只允许195.151.59.0/24和202.124.168.0/24子网的ICMP数据包通过路由器,正确的access-list配置是( )
A)Router(config)#access-list 98 permit icmp 195.151.59.0 0.0.0.255 any
Router(config)#access-list 98 permit icmp 202.124.168.0 0.0.0.255 any
Router(config)#access-list 98 deny icmp any any
Router(config)#access-list 98 permit ip any any
Router(config)#interface g0/1
Router(config-if)#ip access-group 98 in
Router(config-if)#ip access-group 98 out
B)Router(config)#access-list 198 permit icmp 195.151.59.0 255.255.255.0 any
Router(config)#access-list 198 permit icmp 202.124.168.0 255.255.255.0 any
Router(config)#access-list 198 deny icmp any any
Router(config)#access-list 198 permit ip any any
Router(config)#interface g0/1
Router(config-if)#ip access-group 198 in
Router(config-if)#ip access-group 198 out
C)Router(config)#access-list 198 permit icmp 195.151.59.0 0.0.0.255 any
Router(config)#access-list 198 permit icmp 202.124.168.0 0.0.0.255 any
Router(config)#access-list 198 deny icmp any any
Router(config)#access-list 198 permit ip any any
Router(config)#interface g0/1
Router(config-if)#ip access-group 198 in
Router(config-if)#ip access-group 198 out
D)Router(config)#access-list 198 deny icmp any any
Router(config)#access-list 198 permit icmp 195.151.59.0 0.0.0.255 any
Router(config)#access-list 198 permit icmp 202.124.168.0 0.0.0.255 any
Router(config)#access-list 198 permit ip any any
Router(config)#interface g0/1
Router(config-if)#ip access-group 198 in
Router(config-if)#ip access-group 198 out
答案:D
解析:A 选项,题目要求禁封ICMP,所以得使用扩展访问控制列表(表号:100~1999;2000-2699);B 选项没有使用反掩码;D 选项,rule语序错误。
