路由器的原理和分析毕业论文.pdf

《路由器的原理和分析毕业论文.pdf》由会员分享，可在线阅读，更多相关《路由器的原理和分析毕业论文.pdf（14页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、姓姓 名名专业专业:班级班级:题题 目目路由器的原理和分析路由器的原理和分析设设计计任任务务指指导导教教师师签签字字：20112011年年6 6 月月 1010 日日目录摘要.3前言.4第一章绪论.51.1背景知识介绍.51.2路由器的简述.5第二章路由器基本知识.62.1 路由器的定义.62.2 路由器的作用.62.3 路由器的基本原理.7第三章路由器的应用.83.1 路由器的工作原理.83.2 路由协议.83.3 路由算法.10第四章 安全配置.12【摘摘要要】随着网络时代的发展，电脑用户的增多，特别是在集团内部更是明显，这个时候需要一种设备将各种不同的网段互相连接起来，并 且对这些用户进

2、行一个安全性的控制，早在 40 多年前就已经出现了对路由技术的讨论，但是直到 80 年代路由技术才逐渐进入商业化的应用。路由技术之所以在问世之初没有被广泛使用主要是因为 80 年代之前的网络结构都非常简单，路 由技术没有用武之地。直 到最近十几年，大 规模的互联网络才逐渐流行起来，为路由技术的发展提供了良好的基础和平台。【关关键键词词】安全控制，安全设置，路由器的原理，安全协议前言前言网络，作 为当今社会必不可缺少的一个组成成分，人 们的工作生活已经完全离不开网络。它从 20 世纪 50 年代起步至今已经有60 年的发展历程,在 20 世纪 50 年代以前,因为计算机主机相当昂贵,而通信线路和

3、通信设备相对便宜,为了共享计算机主机资源和进行信息的综合处理,形成了第一代的以单主机为中心的联机终端系统。随着计算机网络技术的发展,到 20 世纪 60 年代中期,计算机网络不再极限于单计算机网络,许多单计算机网络相互连接形成了有多个单主机系统相连接的计算机网络。这样连接起来的计算机网络体系有两个特点：多个终端联机系统互联，形成了多主机互联网络；网络结构体系由主机到终端变为主机到主机。后来这样的计算机网络体系在慢慢演变,向两种形式演变,第一种就是把主机的通信任务从主机中分离出来,由专门的CCP(通信控制处理机)来完成,CCP 组成了一个单独的网络体系,我们称它为通信子网,而在通信子网连基础上接

4、起来的计算机主机和终端则形成了资源子网,导致两层结构体现出现.第二种就是通信子网逐规模渐扩大成为社会公用的计算机网络,原来的 CCP 成为了公共数据通用网信息科技的迅速发展，Internet 已成为全球重要的信息传播工具。据不完全统计，Internet 现在遍及 186 个国家，容纳近 60 万个网络，提供了包括 600 个大型联网图书馆，400 个联网的学术文献库，2000 种网上杂志，900 种网上新闻报纸，50 多万个 Web 网站在内的多种服务，总共近 100 万个信息源为世界各地的网民提供大量信息资源交流和共享的空间。为了让这些局域网可以互相交换信息，需要一种设备安全的连接这些局域网

5、广域网。而路由器的主要作用就是连接因特网中各局域网、广域网的设备，它会根据信道的情况自动选择和设定路由，以最佳路径，按前后顺序发送信号的设备。路由器英文名 Router，路由器是互互联网络的枢纽、交通警察。目前路由器已经广泛应用于各行各业，各种不同档次的产品已经成为实现各种骨干网内部连接、骨干网间互联和骨干网与互联网互联互通业务的主力军。第一章第一章绪绪论论1.11.1 背景知识介绍背景知识介绍路由器是互联网基础设施的重要组成部分，网络的快速发展对路由器性能和功能要求不断提高，路由器体系结构如何适应技术和应用发展的需求，成为了网络领域的研究热点。近年来，虽然研究人员先后提出了主动网络、可编程网

6、络、开 放控制式路由器、软 件可扩展路由器和面向用户控制的路由器等多种路由器体系结构，但 从总体上讲，路 由器体系结构技术进展仍不能适应网络技术的快速发展和网络规模不断扩大，在控制开放性、功 能可扩展性、规 模可伸缩性、系 统可用性和应用感知性等方面仍面临诸多挑战。当 前基于 IP 协议的计算机网络用户数量剧增，网络流量每六个月翻一番，比计算机 CPU 速度每 18 个月提高一倍还要发展得快得多。为了使网络状况更加适应用户的需要，作为网络核心器件的路由器的不断升级换代也就成为大势所趋。1.21.2 路由器的简述路由器的简述网络的发展，目前主要是应用的多样化，对于网络流量控制和带宽管理提出了新的

7、要求，从简单地针对 IP 或端口的带宽管理到针对不同应用，满足不同需求的流量控制。通过带宽管理来改善网络状况，可以采取扩大带宽容量和控制网络流量的方法。由于扩容的花费较大，因此，通过控制网络流量来改善网络状况，成为了人们研究的热点。目前，在局域网接人互联网的方式中，接人路由器是其中的一种关键设备，所以在接人路由器中实现对局域网访问外网的流量进行控制是一种较为有效的方法。虽然商业路由器能够实现流量控制的基本功能，但固件的更新慢，可扩展性差，不能适应因网络应用不断丰富而对流量控制个性化实现的要求。而且，商业路由器源代码不公开，因此不能由第三方软件开发者开发特定软件。而目前出现了多种开源的路由器软件

8、，可以运行在某些特定型号的路由器上。因此可以在开源路由器软件的基础上，根据需求实现流量控制功能的定制开发。第二章第二章路由器基本知识路由器基本知识2.12.1 路由器的定义路由器的定义路由器英文名字叫 Router，连接因特网中各局域网、广域网的设备，它会根据信道的情况自动选择和设定路由，以最佳路径，按前后顺序发送信号的设备。路由器是互互联网络的枢纽、交通警察。目前路由器已经广泛应用于各行各业，各种不同档次的产品已经成为实现各种骨干网内部连接、骨干网间互联和骨干网与互联网互联互通业务的主力军。2.22.2 路由器的作用路由器的作用路由器的一个作用是连通不同的网络，另一个作用是选择信息传送的线路

9、。选择通畅快捷的近路，能大大提高通信速度，减轻网络系统通信负荷，节约网络系统资源，提高网络系统畅通率，从而让网络系统发挥出更大的效益来。从过滤网络流量的角度来看，路由器的作用与交换机和网桥非常相似。但是与工作在网络物理层，从物理上划分网段的交换机不同，路由器使用专门的软件协议从逻辑上对整个网络进行划分。例如，一台支持 IP 协议的路由器可以把网络划分成多个子网段，只有指向特殊 IP 地址的网络流量才可以通过路由器。对于每一个接收到的数据包，路由器都会重新计算其校验值，并写入新的物理地址。因此，使用路由器转发和过滤数据的速度往往要比只查看数据包物理地址的交换机慢。但是，对于那些结构复杂的网络，使

10、用路由器可以提高网络的整体效率。路由器的另外一个明显优势就是可以自动过滤网络广播。从总体上说，在网络中添加路由器的整个安装过程要比即插即用的交换机复杂很多。一般说来，异种网络互联与多个子网互联都应采用路由器来完成。路由器的主要工作就是为经过路由器的每个数据帧寻找一条最佳传输路径，并将该数据有效地传送到目的站点。由此可见，选择最佳路径的策略即路由算法是路由器的关键所在。为了完成；这项工作，在路由器中保存着各种传输路径的相关数据路径表（Routing Table），供路由选择；时使用。路径表中保存着子网的标志信息、网上路由器的个数和下一个路由器的名字等内容。路径表可以是由系统管理员固定设置好的，也

11、可以由系统动态修改，可以由路由器自动调整，也可以由主机控制。1静态路径表由系统管理员事先设置好固定的路径表称之为静态（static）路径表，一般是在系统安装时就根据网络的配置情况预先设定的，它不会随未来网络结构的改变而改变。2动态路径表动态（Dynamic）路径表是路由器根据网络系统的运行情况而自动调整的路径表。路由器根据路由选择协议（Routing Protocol）提供的功能，自动学习和记忆网络运行情况，在需要时自动计算数据传输的最佳路径。2.32.3 路由器的基本原理路由器的基本原理当 IP 子网中的一台主机发送 IP 分组给同一 IP 子网的另一台主机时，它将直接把 IP 分组送到网络

12、上，对方就能收到。而要送给不同 IP 子网上的主机时，它要选择一个能到达目的子网上的路由器，把 IP 分组送给该路由器，由路由器负责把 IP 分组送到目的地。如果没有找到这样的路由器，主机就把 IP 分组送给一个称为“缺省网关（defaultgateway）”的路由器上。“缺省网关”是每台主机上的一个配置参数，它是接在同一个网络上的某个路由器端口的 IP 地址。路由器转发 IP 分组时，只根据 IP 分组目的 IP 地址的网络号部分，选择合适的端口，把 IP 分组送出去。同主机一样，路由器也要判定端口所接的是否是目的子网，如果是，就直接把分组通过端口送到网络上，否则，也要选择下一个路由器来传送

13、分组。路由器也有它的缺省网关，用来传送不知道往哪儿送的IP 分组。这样，通过路由器把知道如何传送的 IP 分组正确转发出去，不知道的 IP 分组送给“缺省网关”路由器，这样一级级地传送，IP 分组最终将送到目的地，送不到目的地的 IP 分组则被网络丢弃了。目前 TCPIP 网络，全部是通过路由器互连起来的，Internet 就是成千上万个 IP子网通过路由器互连起来的国际性网络。这种网络称为以路由器为基础的网络（routerbased network），形成了以路由器为节点的“网间网”。在“网间网”中，路由器不仅负责对 IP 分组的转发，还要负责与别的路由器进行联络，共同确定“网间网”的路由选

14、择和维护路由表。路由动作包括两项基本内容：寻径和转发。寻径即判定到达目的地的最佳路径，由路由选择算法来实现。由于涉及到不同的路由选择协议和路由选择算法，要相对复杂一些。为了判定最佳路径，路由选择算法必须启动并维护包含路由信息的路由表，其中路由信息依赖于所用的路由选择算法而不尽相同。路由选择算法将收集到的不同信息填入路由表中，根据路由表可将目的网络与下一站（nexthop）的关系告诉路由器。路由器间互通信息进行路由更新，更新维护路由表使之正确反映网络的拓扑变化，并由路由器根据量度来决定最佳路径。这就是路由选择协议（routing protocol），例如路由信息协议（RIP）、开放式最短路径优先

15、协议（OSPF）和边界网关协议（BGP）等。转发即沿寻径好的最佳路径传送信息分组。路由器首先在路由表中查找，判明是否知道如何将分组发送到下一个站点（路由器或主机），如果路由器不知道如何发送分组，通常将该分组丢弃；否则就根据路由表的相应表项将分组发送到下一个站点，如果目的网络直接与路由器相连，路由器就把分组直接送到相应的端口上。这就是路由转发协议（routed protocol）。路由转发协议和路由选择协议是相互配合又相互独立的概念，前者使用后者维护的路由表，同时后者要利用前者提供的功能来发布路由协议数据分组。下文中提到的路由协议，除非特别说明，都是指路由选择协议，这也是普遍的习惯。第三章第三章

16、路由器的应用路由器的应用3.13.1 路由器的工作原理路由器的工作原理路由器工作在 OSI 模型中的第三层，即网络层。路由器利用网络层定义的“逻辑”上的网络地址（即IP 地址）来区别不同的网络，实现网络的互连和隔离，保持各个网络的独立性。路由器不转发广播消息，而把广播消息限制在各自的网络内部。发送到其他网络的数据先被送到路由器，再由路由器转发出去。IP 路由器只转发 IP 分组，把其余的部分挡在网内（包括广播），从而保持各个网络具有相对的独立性，这样可以组成具有许多网络（子网）互连的大型的网络。由于是在网络层的互连，路由器可方便地连接不同类型的网络，只要网络层运行的是 IP 协议，通过路由器就

17、可互连起来。网络中的设备用它们的网络地址（TCPIP 网络中为 IP 地址）互相通信。IP 地址是与硬件地址无关的“逻辑”地址。路由器只根据 IP 地址来转发数据。IP 地址的结构有两部分，一部分定义网络号，另一部分定义网络内的主机号。目前，在Internet 网络中采用子网掩码来确定 IP 地址中网络地址和主机地址。子网掩码与 IP 地址一样也是32bit，并且两者是一一对应的，并规定，子网掩码中数字为“1”所对应的 IP 地址中的部分为网络号，为“0”所对应的则为主机号。网络号和主机号合起来，才构成一个完整的 IP 地址。同一个网络中的主机IP 地址，其网络号必须是相同的，这个网络称为IP

18、 子网。通信只能在具有相同网络号的 IP 地址之间进行，要与其它 IP 子网的主机进行通信，则必须经过同一网络上的某个路由器或网关（gateway）出去。不同网络号的 IP 地址不能直接通信，即使它们接在一起，也不能通信。路由器有多个端口，用于连接多个 IP 子网。每个端口的 IP 地址的网络号要求与所连接的 IP 子网的网络号相同。不同的端口为不同的网络号，对应不同的 IP 子网，这样才能使各子网中的主机通过自己子网的 IP 地址把要求出去的 IP 分组送到路由器上。3.23.2 路由协议路由协议典型的路由选择方式有两种：静态路由和动态路由。静态路由是在路由器中设置的固定的路由表。除非网络管

19、理员干预，否则静态路由不会发生变化。由于静态路由不能对网络的改变作出反映，一般用于网络规模不大、拓扑结构固定的网络中。静态路由的优点是简单、高效、可靠。在所有的路由中，静态路由优先级最高。当动态路由与静态路由发生冲突时，以静态路由为准。动态路由是网络中的路由器之间相互通信，传递路由信息，利用收到的路由信息更新路由器表的过程。它能实时地适应网络结构的变化。如果路由更新信息表明发生了网络变化，路由选择软件就会重新计算路由，并发出新的路由更新信息。这些信息通过各个网络，引起各路由器重新启动其路由算法，并更新各自的路由表以动态地反映网络拓扑变化。动态路由适用于网络规模大、网络拓扑复杂的网络。当然，各种

20、动态路由协议会不同程度地占用网络带宽和 CPU 资源。静态路由和动态路由有各自的特点和适用范围，因此在网络中动态路由通常作为静态路由的补充。当一个分组在路由器中进行寻径时，路由器首先查找静态路由，如果查到则根据相应的静态路由转发分组；否则再查找动态路由。根据是否在一个自治域内部使用，动态路由协议分为内部网关协议（IGP）和外部网关协议（EGP）。这里的自治域指一个具有统一管理机构、统一路由策略的网络。自治域内部采用的路由选择协议称为内部网关协议，常用的有 RIP、OSPF；外部网关协议主要用于多个自治域之间的路由选择，常用的是 BGP 和 BGP-4。下面分别进行简要介绍：RIP 协议最初是为

21、 Xerox 网络系统的 Xerox parc 通用协议而设计的，是 Internet中常用的路由协议。RIP 采用距离向量算法，即路由器根据距离选择路由，所以也称为距离向量协议。路由器收集所有可到达目的地的不同路径，并且保存有关到达每个目的地的最少站点数的路径信息，除到达目的地的最佳路径外，任何其它信息均予以丢弃。同时路由器也把所收集的路由信息用 RIP 协议通知相邻的其它路由器。这样，正确的路由信息逐渐扩散到了全网。RIP 使用非常广泛，它简单、可靠，便于配置。但是 RIP 只适用于小型的同构网络，因为它允许的最大站点数为 15，任何超过 15 个站点的目的地均被标记为不可达。而且 RIP

22、 每隔 30s 一次的路由信息广播也是造成网络的广播风暴的重要原因之一。80 年代中期，RIP 已不能适应大规模异构网络的互连，0SPF 随之产生。它是网间工程任务组织（IETF）的内部网关协议工作组为 IP 网络而开发的一种路由协议。0SPF 是一种基于链路状态的路由协议，需要每个路由器向其同一管理域的所有其它路由器发送链路状态广播信息。在 OSPF 的链路状态广播中包括所有接口信息、所有的量度和其它一些变量。利用 0SPF 的路由器首先必须收集有关的链路状态信息，并根据一定的算法计算出到每个节点的最短路径。而基于距离向量的路由协议仅向其邻接路由器发送有关路由更新信息。与 RIP 不同，OS

23、PF 将一个自治域再划分为区，相应地即有两种类型的路由选择方式：当源和目的地在同一区时，采用区内路由选择；当源和目的地在不同区时，则采用区间路由选择。这就大大减少了网络开销，并增加了网络的稳定性。当一个区内的路由器出了故障时并不影响自治域内其它区路由器的正常工作，这也给网络的管理、维护带来方便。BGP 是为 TCPIP 互联网设计的外部网关协议，用于多个自治域之间。它既不是基于纯粹的链路状态算法，也不是基于纯粹的距离向量算法。它的主要功能是与其它自治域的 BGP 交换网络可达信息。各个自治域可以运行不同的内部网关协议。BGP 更新信息包括网络号自治域路径的成对信息。自治域路径包括到达某个特定网

24、络须经过的自治域串，这些更新信息通过 TCP 传送出去，以保证传输的可靠性。为了满足 Internet 日益扩大的需要，BGP 还在不断地发展。在最新的 BGp4 中，还可以将相似路由合并为一条路由。3.33.3 路由算法路由算法路由算法在路由协议中起着至关重要的作用，采用何种算法往往决定了最终的寻径结果，因此选择路由算法一定要仔细。通常需要综合考虑以下几个设计目标：（1）最优化：指路由算法选择最佳路径的能力。（2）简洁性：算法设计简洁，利用最少的软件和开销，提供最有效的功能。（3）坚固性：路由算法处于非正常或不可预料的环境时，如硬件故障、负载过高或*作失误时，都能正确运行。由于路由器分布在网

25、络联接点上，所以在它们出故障时会产生严重后果。最好的路由器算法通常能经受时间的考验，并在各种网络环境下被证实是可靠的。（4）快速收敛：收敛是在最佳路径的判断上所有路由器达到一致的过程。当某个网络事件引起路由可用或不可用时，路由器就发出更新信息。路由更新信息遍及整个网络，引发重新计算最佳路径，最终达到所有路由器一致公认的最佳路径。收敛慢的路由算法会造成路径循环或网络中断。（5）灵活性：路由算法可以快速、准确地适应各种网络环境。例如，某个网段发生故障，路由算法要能很快发现故障，并为使用该网段的所有路由选择另一条最佳路径。路由算法按照种类可分为以下几种：静态和动态、单路和多路、平等和分级、源路由和透

26、明路由、域内和域间、链路状态和距离向量。前面几种的特点与字面意思基本一致，下面着重介绍链路状态和距离向量算法。链路状态算法（也称最短路径算法）发送路由信息到互联网上所有的结点，然而对于每个路由器，仅发送它的路由表中描述了其自身链路状态的那一部分。距离向量算法（也称为 Bellman-Ford 算法）则要求每个路由器发送其路由表全部或部分信息，但仅发送到邻近结点上。从本质上来说，链路状态算法将少量更新信息发送至网络各处，而距离向量算法发送大量更新信息至邻接路由器。由于链路状态算法收敛更快，因此它在一定程度上比距离向量算法更不易产生路由循环。但另一方面，链路状态算法要求比距离向量算法有更强的 CP

27、U 能力和更多的内存空间，因此链路状态算法将会在实现时显得更昂贵一些。除了这些区别，两种算法在大多数环境下都能很好地运行。最后需要指出的是，路由算法使用了许多种不同的度量标准去决定最佳路径。复杂的路由算法可能采用多种度量来选择路由，通过一定的加权运算，将它们合并为单个的复合度量、再填入路由表中，作为寻径的标准。通常所使用的度量有：路径长度、可靠性、时延、带宽、负载、通信成本等。路由交换算法：1、过程交换：采用集中式 CPU 处理所有的包，通过共享总线传到 CPU，CPU 通过路由查找，再通过总线传到适当的线路上。2、快速交换：一次路由，多次交换。定义数据流：当数据包的目的网络和源网络与路由器中

28、已生成的条目相同时，就直接封装转发不经过路由。3、基于 cef 交换：cef 是一种没有路由只有交换的快速交换技术。在 cef 中有控制平面和数据转发平面。控制平面中有路由表和 ARP 表。路由表中包含了路由协议、计量、目的地、前缀和下一跳。ARP 表包含了 IP 与 MAC。数据转发平面中有 FIB 表和邻接关系表。FIB 表包含了地址、前缀和邻接。邻接表包含了 IP 与 MAC。控制平面了解网络拓扑形成路由表，并把形成的路由表和 ARP 表传到数据转发平面形成 FIB 与邻接关系表。数据在经过路由器时查找 FIB 表，找到相应的条目后使用邻接关系表相对应的条目进行封装然后转发出去。这就达到

29、了快速交换的效果。第四章第四章 安全配置安全配置路由器是网络系统的主要设备之一。它的主要功能就是寻址和路由。提起网络安全，我们想到的就是防火墙和防病毒，其实许多网络瘫痪都与路由器有关,路由器作为互联网络的中枢，也是网络安全的前沿关口。本文以 Cisco 路由器为例浅谈路由器安全方面的设置。一、设置密码首先，路由器一般有 Consle、Aux 和 Ethernet 口可以登录到路由器对它进行配置，这为网络管理员对它进行管理提供了很大的方便，同时也给不速之客提供了可乘之机。为此，首先我们应该给相应的端口加上密码。要注意密码的长度以及数字、字母、符号是否相混合，以防止黑客利用口令或默认口令进行攻击。

30、具体配置如下：Router(config)#line vty 0 4Router(config-line)#loginRouter(config-line)#password xxxxxxxRouter(config)-#line aux 0Router(config-line)#loginRouter(config-line)#password xxxxxxxRouter(config)#line con 0Router(config-line)#password xxxxxxx其次，对超级用户密码的设置应防止配置被修改，一般不要用 enable password 命令，该命令存在极大的安全

31、漏洞。我们可以利用 enable secret 命令采用了 MD5 散列算法进行加密，具体配置如下：Router#conf termRouter(config)#enable secret xxxxxxx再次，要注意路由器的物理安全，不要让管理员以外的其他人随便接近路由器。如果攻击者物理接触路由器后，断电重启，实施“密码修复流程”，进而登录路由器，就可以完全控制路由器。二、屏蔽 HTTP 服务Telnet 为管理员提供了一个远程调试路由器的工具，但必须限制登录访问路由器的主机或网段。可通过访问列表的方式来设置，以保证特定主机或网段对 VTY（Telnet）端口的访问控制。其配置如下，建立一个标

32、准的访问控制列表（编号从 1 到 99 任意选择）access-list 99 permit 172.16.25.5该访问列表仅允许以上 IP 地址的主机对路由器进行 Telnet 访问。注意：创建该列表。必须指定到路由器端口某个端口上，具体指定方法如下line vty E0 4access-class 99 in其加密机制是 IOS，以上配置是入站到 E0 端口的 Telnet 示例，出站配置采用 Out，为了保护路由器的安全设置，也可以限制其Telnet 访问的权限。另外，也可以通过访问时间来限制所有端口的登录访问情况，在超时的情况下，将自动断开。现在许多 Cisco 设备，都允许使用 W

33、eb 界面来进行控制了，这样可以为初学者提供方便的管理，但是在方便的背后，却隐藏了很大的危机（使用“ip http server”命令可以打开 HTTP 服务，使用“no ip http server”命令可以关闭 HTTP 服务）。如果必须使用 HTTP 服务来管理路由器，为安全考虑最好是配合访问控制列表和 AAA 认证来做。利用相应访问控制列表“ip http access-class”命令，严格过滤允许的 IP 地址。建议没有特殊需要，就关闭 HTTP 服务。三、配置访问控制列表使用访问控制列表的目的是为了保护路由器的安全和优化网络的流量。访问列表的作用就是当数据包经过路由器某一个端口时

34、，该数据包在转发通过时，必须先在访问控制列表里边查找，如果允许，则通过。访问列表分为标准访问列表和扩展访问列表。标准的访问列表只允许过滤源地址，且功能十分有限；扩展的访问列表允许过滤源地址、目的地址和上层应用数据。扩展的IP 访问列表，顾名思义，扩展的 IP 访问列表用于扩展过滤能力。一个扩展的 IP 访问列表允许用户根据如下内容过滤：（1）创建标准访问列表access-list listnumber1 permit|deny source-addr source-mask（2）创建扩展访问列表access-list listnumber2 permit|deny protocol sourc

35、e-addr source-maskoperator port1 ort2 dest-addr dest-mask operator port1port2logaccess-list listnumber 是定义访问列表编号的一个值范围从 1 到 99。参数 deny或 permit 指定了允许还是拒绝数据包。source 是发送数据包的主机地址。source-wildcard 则是发送数据包的主机的通配符。在实际应用中，如果数据包的源地址在访问列表中未能找到，或者找到了未被允许转发，则该数据包将会被拒绝。protocol为协议类型，支持 ICMP、TCP、UDP 等，其它的协议也支持。ope

36、rator 指端口操作符。配置了访问列表后，就要启用访问控制列表，我们必须在接口配置模式下使用access-group 或 ip access-class 命令来指定访问列表应用于某个接口。使用关键字in(out)来定义该接口是出站数据包还是入站数据包。四、配置最小化 IOS对于路由器来说，服务器的设备越少越安全，因此配置最小化 IOS，禁止不必要的功能和服务，可获得最大化的安全。CDP(Cisco Discovery Protocol)CISCO 查找协议，该协议存在于 CISCO 11.0 以后的版本中，都是默认启动的。在 OSI 二层（链路层）协议的基础上可发现对端路由器的设备平台、操作系统版本、端口、IP 地址等重要信息。可禁止其运行，加强安全性，命令如下：no cdp run。管理员也可以指定禁止某端口的 CDP，比如为了让路由器内部网络使用 CDP，而禁止路由器对外网的 CDP 应答，可以输入相应外网接口命令 no cdp enable。当然，以上措施保护路由器并不完全，在很多实际应用中，还需要很多辅助配置。为了保护路由器，可采用多种安全产品，比如给路由器添加硬件防火墙、配置 AAA 服务认证、设置 IDS 入侵检测等，再加上网管高度的责任心，一定可筑起网络安全的长城。