概念介紹：POE供電交換機、tcpip模型、OSI七層模型、路由協議、網關、訪問列表(待整理)

PoE供電交換機

       是指可以經過網線爲遠端受電終端提供網絡供電的交換機，包含網絡交換機和PoE供電兩個功能，是PoE供電系統中比較常見的供電設備，端口支持輸出功率達15.4W，符合IEEE802.3af標準，端口支持輸出功率達30W，符合IEEE802.3at標準，經過網線供電的方式爲標準的POE終端設備供電，免去額外的電源佈線。符合IEEE802.3aT 標準的POE交換機，端口輸出功率能夠達到15-60W。

poe供電的工做過程

   當在一個網絡中佈置 POE供電端設備時,POE以太網供電工做過程以下所示。

1. 檢測：一開始,POE設備在端口輸出很小的電壓,直到其檢測到線纜終端的鏈接爲一個支持IEEE802.3af標準的受電端設備。

2. PD端設備分類：當檢測到受電端設備PD以後,POE設備可能會爲PD設備進行分類,而且評估此PD設備所需的功率損耗。

3. 開始供電：在一個可配置時間(通常小於15μs)的啓動期內,PSE設備開始從低電壓向PD設備供電,直至提供48V的直流電源。

4. 供電：爲PD設備提供穩定可靠48V的直流電,知足PD設備不越過 15.4W的功率消耗。

5. 斷電：若PD設備從網絡上斷開時,PSE就會快速地(通常在300～400ms以內)中止爲PD設備供電,並重複檢測過程以檢測線纜的終端是否鏈接PD設備。

     一個完整的POE系統包括供電端設備(PSE, Power Sourcing Equipment)和受電端設備(PD, Power Device)兩部分。PSE設備是爲以太網客戶端設備供電的設備,同時也是整個POE以太網供電過程的管理者。而PD設備是接受供電的PSE負載,即POE系統的客戶端。

OSI

OSI(Open System Interconnection)，開放式系統互聯參考模型 ，它把網絡協議從邏輯上分爲了7層。每一層都有相關、相對應的物理設備，好比常規的路由器是三層交換設備，常規的交換機是二層交換設備。

OSI七層模型是一種框架性的設計方法 ，創建七層模型的主要目的是爲解決異種網絡互連時所遇到的兼容性問題，其最主要的功能就是幫助不一樣類型的主機實現數據傳輸。它的最大優勢是將服務、接口和協議這三個概念明確地區分開來，經過七個層次化的結構模型使不一樣的系統不一樣的網絡之間實現可靠的通信。

中文名

開放式系統互聯參考模型

外文名

Open System Interconnection

英文縮寫

OSI

分    類

開放式系統互聯參考模型

目錄

模型優勢

創建七層模型的主要目的是爲解決異種網絡互連時所遇到的兼容性問題。它的最大優勢是將服務、接口和協議這三個概念明確地區分開來：服務說明某一層爲上一層提供一些什麼功能，接口說明上一層如何使用下層的服務，而協議涉及如何實現本層的服務；這樣各層之間具備很強的獨立性，互連網絡中各實體採用什麼樣的協議是沒有限制的，只要向上提供相同的服務而且不改變相鄰層的接口就能夠了。網絡七層的劃分也是爲了使網絡的不一樣功能模塊（不一樣層次）分擔起不一樣的職責，從而帶來以下好處：

● 減輕問題的複雜程度，一旦網絡發生故障，可迅速定位故障所處層次，便於查找和糾錯；

● 在各層分別定義標準接口，使具有相同對等層的不一樣網絡設備能實現互操做，各層之間相對獨立，一種高層協議可在多種低層協議上運行；

● 能有效刺激網絡技術革新，由於每次更新均可以在小範圍內進行，不需對整個網絡動大手術；

物理層

Physical Layer，OSI參考模型的最底層或第一層。 該層包括物理連網媒介，如電纜連線鏈接器。物理層的協議產生並檢測電壓以便發送和接收攜帶數據的信號。在PC上插入網絡接口卡，就創建了計算機連網的基礎。儘管物理層不提供糾錯服務，但它可以設定數據傳輸速率並監測數據出錯率。

    用戶要傳遞信息就要利用一些物理媒體，如雙絞線、同軸電纜等，但具體的物理媒體並不在OSI的7層以內，有人把物理媒體當作第0層，物理層的任務就是爲它的上一層提供一個物理鏈接，以及它們的機械、電氣、功能和規程特性。如規定使用電纜和接頭的類型、傳送信號的電壓等。在這一層，數據尚未被組織，僅做爲原始的位流或電氣電壓處理，單位是bit。

    @@@@網卡，網線，集線器，中繼器，調制解調器－－－－物理層。

數據鏈路層

Datalink Layer，OSI參考模型的第二層，它控制網絡層與物理層之間的通訊。其主要功能是如何在不可靠的物理線路上進行數據的可靠傳遞。爲了保證傳輸，從網絡層接收到的數據被分割成特定的可被物理層傳輸的幀。幀是用來移動數據的結構包，它不只包括原始數據，還包括髮送方和接收方的物理地址以及檢錯和控制信息。其中的地址肯定了幀將發送到何處，而糾錯和控制信息則確保幀無差錯到達。 若是在傳送數據時，接收點檢測到所傳數據中有差錯，就要通知發送方重發這一幀。

數據鏈路層的功能獨立於網絡和它的節點和所採用的物理層類型，也不關心是否正在運行Word 、Excel或使用Internet 。有一些鏈接設備，如交換機，因爲它們要對幀解碼並使用幀信息將數據發送到正確的接收方，因此它們是工做在數據鏈路層的。

數據鏈路層在物理層提供比特流服務的基礎上，創建相鄰結點之間的數據鏈路，經過差錯控制提供數據幀在信道上無差錯的傳輸，並進行各電路上的動做系列。

數據鏈路層在不可靠的物理介質上提供可靠的傳輸。該層的做用包括：物理地址尋址、數據的成幀、流量控制、數據的檢錯、重發等。

數據鏈路層協議的表明包括：SDLC、HDLC、PPP、STP、幀中繼等。 

網橋，交換機－－－－數據鏈路。

網絡層

Network Layer，OSI參考模型的第三層。其主要功能是將網絡地址翻譯成對應的物理地址，並決定如何將數據從發送方路由到接收方。

網絡層經過綜合考慮發送優先權、網絡擁塞程度、服務質量以及可選路由的花費來決定從一個網絡中節點A 到另外一個網絡中節點B 的最佳路徑。因爲網絡層處理，並智能指導數據傳送，路由器鏈接網絡各段，因此路由器屬於網絡層。在網絡中，「路由」是基於編址方案、使用模式以及可達性來指引數據的發送。

網絡層負責在源機器和目標機器之間創建它們所使用的路由。這一層自己沒有任何錯誤檢測和修正機制，所以，網絡層必須依賴於端端之間的由DLL提供的可靠傳輸服務。

網絡層用於本地LAN網段之上的計算機系統創建通訊，它之因此能夠這樣作，是由於它有本身的路由地址結構，這種結構與第二層機器地址是分開的、獨立的。這種協議稱爲路由或可路由協議。可路由協議包括IP、Novell公司的IPX以及AppleTalk協議，路由協議是爲了肯定最終路徑使用的協議，如：RIP、OSPF、IS-IS、BGP等。

網絡層是可選的，它只用於當兩個計算機系統處於不一樣的由路由器分割開的網段這種狀況，或者當通訊應用要求某種網絡層或傳輸層提供的服務、特性或者能力時。例如，當兩臺主機處於同一個LAN網段的直接相連這種狀況，它們之間的通訊只使用LAN的通訊機制就能夠了(即OSI 參考模型的一二層)。

路由器－－－－－網絡層。

傳輸層

Transport Layer，OSI參考模型的第四層。傳輸協議同時進行流量控制或是基於接收方可接收數據的快慢程度規定適當的發送速率。除此以外，傳輸層按照網絡能處理的最大尺寸將較長的數據包進行強制分割。例如，以太網沒法接收大於1500字節(Byte)的數據包。發送方節點的傳輸層將數據分割成較小的數據片，同時對每一數據片安排一序列號，以便數據到達接收方節點的傳輸層時，能以正確的順序重組。

工做在傳輸層的一種服務是TCP/IP協議套中的TCP(傳輸控制協議)，另外一項傳輸層服務是IPX/SPX協議集的SPX(序列包交換)。

網關工做在第四層及其以上。

會話層

Session Layer，OSI參考模型的第五層。負責在網絡中的兩節點之間創建、維持和終止通訊。 會話層的功能包括：創建通訊連接，保持會話過程通訊連接的暢通，同步兩個節點之間的對話，決定通訊是否被中斷以及通訊中斷時決定從何處從新發送。

你可能經常聽到有人把會話層稱做網絡通訊的「交通警察」。當經過撥號向你的ISP(因特網服務提供商)請求鏈接到因特網時，ISP 服務器上的會話層向你與你的 PC 客戶機上的會話層進行協商鏈接。若你的電話線偶然從牆上插孔脫落時，你終端機上的會話層將檢測到鏈接中斷並從新發起鏈接。會話層經過決定節點通訊的優先級和通訊時間的長短來設置通訊期限。

表示層

Presentation Layer，OSI參考模型中的第六層。應用程序和網絡之間的翻譯官，在表示層，數據將按照網絡能理解的方案進行格式化；這種格式化也因所使用網絡的類型不一樣而不一樣。

表示層管理數據的解密與加密，如系統口令的處理。例如：在Internet上查詢你銀行帳戶，使用的便是一種安全鏈接。你的帳戶數據在發送前被加密，在網絡的另外一端，表示層將對接收到的數據解密。除此以外，表示層協議還對圖片和文件格式信息進行解碼和編碼。

應用層

Application Layer，OSI參考模型中的最高層，即第七層。應用層也稱爲應用實體(AE)，它由若干個特定應用服務元素(SASE）和一個或多個公共應用服務元素(CASE)組成。每一個SASE提供特定的應用服務，例如文件運輸訪問和管理(FTAM)、電子文電處理(MHS)、虛擬終端協議(VAP)等。CASE提供一組公共的應用服務，例如聯繫控制服務元素(ACSE)、可靠運輸服務元素(RTSE)和遠程操做服務元素(ROSE)等。主要負責對軟件提供接口以使程序能使用網絡服務。術語「應用層」並非指運行在網絡上的某個特別應用程序 ，應用層提供的服務包括文件傳輸、文件管理以及電子郵件的信息處理。

模型簡版總結：

1. 物理層：主要定義物理設備標準，如網線的接口類型、光纖的接口類型、各類傳輸介質的傳輸速率等。它的主要做用是傳輸比特流(就是由一、0轉化爲電流強弱來進行傳輸，到達目的地後再轉化爲一、0，也就是咱們常說的數模轉換與模數轉換)。這一層的數據叫作比特。

2. 數據鏈路層：定義瞭如何讓格式化數據以進行傳輸，以及如何讓控制對物理介質的訪問。這一層一般還提供錯誤檢測和糾正，以確保數據的可靠傳輸。數據鏈路層的傳輸單元是幀。

3.網絡層：在位於不一樣地理位置的網絡中的兩個主機系統之間提供鏈接和路徑選擇。Internet的發展使得從世 界各站點訪問信息的用戶數大大增長，而網絡層正是管理這種鏈接的層。網絡層將數據鏈路層提供的幀組 成數據包，所以網絡層的傳輸單元是數據包。

4.傳輸層：定義了一些傳輸數據的協議和端口號(WWW端口80等)，如：TCP(傳輸控制協議，傳輸效率低， 可靠性強，用於傳輸可靠性要求高，數據量大的數據)，UDP(用戶數據報協議，與TCP特性偏偏相反，用於 傳輸可靠性要求不高，數據量小的數據，如QQ聊天數據就是經過這種方式傳輸的）。 主要是將從下層接收 的數據進行分段和傳輸，到達目的地址後再進行重組。經常把這一層數據叫作段。傳輸層的傳輸單元是報 文。

5.會話層：經過傳輸層(端口號：傳輸端口與接收端口)創建數據傳輸的通路。主要在你的系統之間發起會話或 者接受會話請求(設備之間須要互相認識能夠是IP也能夠是MAC或者是主機名)。

6.表示層：可確保一個系統的應用層所發送的信息能夠被另外一個系統的應用層讀取。例如，PC程序與另外一臺 計算機進行通訊，其中一臺計算機使用擴展二一十進制交換碼(EBCDIC)，而另外一臺則使用美國信息交換標 準碼（ASCII）來表示相同的字符。若有必要，表示層會經過使用一種通格式來實現多種數據格式之間的轉 換。

7.應用層：是最靠近用戶的OSI層。這一層爲用戶的應用程序(例如電子郵件、文件傳輸和終端仿真)提供網絡 服務。

TCP/IP協議

        TCP/IP參考模型是計算機網絡的祖父ARPANET和其後繼的因特網使用的參考模型。ARPANET是由美國國防部DoD（U.S.Department of Defense）贊助的研究網絡。逐漸地它經過租用的電話線連結了數百所大學和政府部門。當無線網絡和衛星出現之後，現有的協議在和它們相連的時候出現了問題，因此須要一種新的參考體系結構。這個體系結構在它的兩個主要協議出現之後，被稱爲TCP/IP參考模型（TCP/IP reference model）。

四層協議

    TCP/IP是一組用於實現網絡互連的通訊協議。Internet網絡體系結構以TCP/IP爲核心。基於TCP/IP的參考模型將協議分紅四個層次，它們分別是：網絡訪問層、網際互聯層、傳輸層（主機到主機）、和應用層。

    1. 應用層

應用層對應於OSI參考模型的高層，爲用戶提供所須要的各類服務，例如：FTP、Telnet、DNS、SMTP等.

    2. 傳輸層

傳輸層對應於OSI參考模型的傳輸層，爲應用層實體提供端到端的通訊功能，保證了數據包的順序傳送及數據的完整性。該層定義了兩個主要的協議：傳輸控制協議（TCP）和用戶數據報協議（UDP).

TCP協議提供的是一種可靠的、經過「三次握手」來鏈接的數據傳輸服務；而UDP協議提供的則是不保證可靠的（並非不可靠）、無鏈接的數據傳輸服務.

    3. 網際互聯層

網際互聯層對應於OSI參考模型的網絡層，主要解決主機到主機的通訊問題。它所包含的協議設計數據包在整個網絡上的邏輯傳輸。注重從新賦予主機一個IP地址來完成對主機的尋址，它還負責數據包在多種網絡中的路由。該層有三個主要協議：網際協議（IP）、互聯網組管理協議（IGMP）和互聯網控制報文協議（ICMP）。

IP協議是網際互聯層最重要的協議，它提供的是一個可靠、無鏈接的數據報傳遞服務。

    4. 網絡接入層（即主機-網絡層）

網絡接入層與OSI參考模型中的物理層和數據鏈路層相對應。它負責監視數據在主機和網絡之間的交換。事實上，TCP/IP自己並未定義該層的協議，而由參與互連的各網絡使用本身的物理層和數據鏈路層協議，而後與TCP/IP的網絡接入層進行鏈接。地址解析協議（ARP）工做在此層，即OSI參考模型的數據鏈路層。

模型比較

共同點

（1）OSI參考模型和TCP/IP參考模型都採用了層次結構的概念。

（2）都可以提供面向鏈接和無鏈接兩種通訊服務機制。

不一樣點

（1）OSI採用的七層模型，而TCP/IP是四層結構。

（2）TCP/IP參考模型的網絡接口層實際上並無真正的定義，只是一些概念性的描述。而OSI參考模型不只分了兩層，並且每一層的功能都很詳盡，甚至在數據鏈路層又分出一個介質訪問子層，專門解決局域網的共享介質問題。

（3）OSI模型是在協議開發前設計的，具備通用性。TCP/IP是先有協議集而後創建模型，不適用於非TCP/IP網絡。

（4）OSI參考模型與TCP/IP參考模型的傳輸層功能基本類似，都是負責爲用戶提供真正的端對端的通訊服務，也對高層屏蔽了底層網絡的實現細節。所不一樣的是TCP/IP參考模型的傳輸層是創建在網絡互聯層基礎之上的，而網絡互聯層只提供無鏈接的網絡服務，因此面向鏈接的功能徹底在TCP協議中實現，固然TCP/IP的傳輸層還提供無鏈接的服務，如UDP；相反OSI參考模型的傳輸層是創建在網絡層基礎之上的，網絡層既提供面向鏈接的服務，又提供無鏈接的服務，但傳輸層只提供面向鏈接的服務。

（5）OSI參考模型的抽象能力高，適合與描述各類網絡；而TCP/IP是先有了協議，才制定TCP/IP模型的。

（6）OSI參考模型的概念劃分清晰，但過於複雜；而TCP/IP參考模型在服務、接口和協議的 區別上不清楚，功能描述和實現細節混在一塊兒。

（7）TCP/IP參考模型的網絡接口層並非真正的一層；OSI參考模型的缺點是層次過多，劃分意義不大但增長了複雜性。

（8）OSI參考模型雖然被看好，因爲沒把握好時機，技術不成熟，實現困難；相反，TCP/IP參考模型雖然有許多不盡人意的地方，但仍是比較成功的。

路由協議

路由器提供了異構網互聯的機制，實現將一個網絡的數據包發送到另外一個網絡。而路由就是指導IP數據包發送的路徑信息。路由協議就是在路由指導IP數據包發送過程當中事先約定好的規定和標準。

原理

路由協議經過在路由器之間共享路由信息來支持可路由協議。路由信息在相鄰路由器之間傳遞，確保全部路由器知道到其它路由器的路徑。總之，路由協議建立了路由表，描述了網絡拓撲結構；路由協議與路由器協同工做，執行路由選擇和數據包轉發功能。

做用

路由協議主要運行於路由器上，路由協議是用來肯定到達路徑的，它包括RIP，IGRP（Cisco私有協議），EIGRP（Cisco私有協議），OSPF，IS-IS，BGP。起到一個地圖導航，負責找路的做用。它工做在網絡層。

路由選擇協議主要是運行在路由器上的協議，主要用來進行路徑選擇。

網關

網關(Gateway)又稱網間鏈接器、協議轉換器。網關在網絡層以上實現網絡互連，是最複雜的網絡互連設備，僅用於兩個高層協議不一樣的網絡互連。網關既能夠用於廣域網互連，也能夠用於局域網互連。 網關是一種充當轉換重任的計算機系統或設備。使用在不一樣的通訊協議、數據格式或語言，甚至體系結構徹底不一樣的兩種系統之間，網關是一個翻譯器。與網橋只是簡單地傳達信息不一樣，網關對收到的信息要從新打包，以適應目的系統的需求。同層--應用層。

路由（網絡工程術語）

概念

一、路由是指路由器從一個接口上收到數據包，根據數據

包的目的地址進行定向並轉發到另外一個接口的過程。路由一般與橋接來對比，在粗心的人看來，它們彷佛完成的是一樣的事。它們的主要區別在於橋接發生在OSI參考模型的第二層（數據鏈路層），而路由發生在第三層（網絡層）。這一區別使兩者在傳遞信息的過程當中使用不一樣的信息，從而以不一樣的方式來完成其任務。

路由的話題早已在計算機界出現，但直到八十年代中期纔得到商業成功。究其主要緣由是七十年代的網絡廣泛很簡單，發展到後來大型的網絡才較爲廣泛。

二、工程術語。指道路狀況，包括道路寬度、深度、方向等信息。

原理算法

路由工做包含兩個基本的動做：

一、肯定最佳路徑

二、經過網絡傳輸信息

在路由的過程當中，後者也稱爲（數據）交換。交換相對來講比較簡單，而選擇路徑很複雜。

路徑選擇

metric是路由算法用以肯定到達目的地的最佳路徑的計量標準，如路徑長度。爲了幫助選路，路由算法初始化並維護包含路徑信息的路由表，路徑信息根據使用的路由算法不一樣而不一樣。

路由算法根據許多信息來填充路由表。目的/下一跳地址對告知路由器到達該目的最佳方式是把分組發送給表明「下一跳」的路由器，當路由器收到一個分組，它就檢查其目標地址，嘗試將此地址與其「下一跳」相聯繫。下表爲一個目的/下一跳路由表的例子。

路由表還能夠包括其它信息。路由表比較metric以肯定最佳路徑，這些metric根據所用的路由算法而不一樣。路由器彼此通訊，經過交換路由信息維護其路由表，路由更新信息一般包含所有或部分路由表，經過分析來自其它路由器的路由更新信息，該路由器能夠創建網絡拓撲圖。路由器間發送的另外一個信息是連接狀態廣播信息，它通知其它路由器發送者的連接狀態，連接信息用於創建完整的拓撲圖，使路由器能夠肯定最佳路徑。

交換算法

交換算法相對而言較簡單，對大多數路由協議而言是相同的，多數狀況下，某主機決定向另外一個主機發送數據，經過某些方法得到路由器的地址後，源主機發送指向該路由器的物理（MAC）地址的數據包，其協議地址是指向目的主機的。

路由器查看了數據包的目的協議地址後，肯定是否知道如何轉發該包，若是路由器不知道如何轉發，一般就將之丟棄。若是路由器知道如何轉發，就把目的物理地址變成下一跳的物理地址並向之發送。下一跳可能就是最終的目的主機，若是不是，一般爲另外一個路由器，它將執行一樣的步驟。當分組在網絡中流動時，它的物理地址在改變，但其協議地址始終不變。

ISO定義了用於描述此過程的分層的術語。在該術語中，沒有轉發分組能力的網絡設備稱爲端系統（ES--end system），有此能力的稱爲中介系統（IS--intermediate system）。IS又進一步分紅可在路由域內通訊的域內IS（intradomain IS）和既可在路由域內又可在域間通訊的域間IS（interdomain IS）。路由域一般被認爲是統一管理下的一部分網絡，遵照特定的一組管理規則，也稱爲自治系統（autonomous system）。在某些協議中，域內路由協議仍可用於在區間內和區間之間交換數據。

訪問列表（access list)

路由器和交換機所保持的列表用來針對一些進出路由器或交換機的服務（如組織某個IP地址的分組從路由器或交換機的特定端口出發）作訪問控制。

訪問列表本質上是一系列對包進行分類的條件

分類

access-list（訪問列表）最基本的有兩種，分別是標準訪問列表和擴展訪問列表，兩者的區別主要是前者是基於源地址的數據包過濾，然後者是基於目標地址、源地址和網絡協議及其端口的數據包過濾。

（1）標準型IP訪問列表的格式

---- 標準型IP訪問列表的格式以下：

---- access-list[list number][permit|deny][source address]

---- [address][wildcard mask][log]

---- 下面解釋一下標準型IP訪問列表的關鍵字和參數。首先，在access和list這2個關鍵字之間必須有一個連字符"-"；其次，list number的範圍在0～99之間，這代表該access-list語句是一個普通的標準型IP訪問列表語句。由於對於Cisco IOS，在0～99之間的數字指示出該訪問列表和IP協議有關，因此list number參數具備雙重功能: （1）定義訪問列表的操做協議; （2）通知IOS在處理access-list語句時，把相同的list number參數做爲同一實體對待。正如本文在後面所討論的，擴展型IP訪問列表也是經過list number（範圍是100～199之間的數字）而表現其特色的。所以，當運用訪問列表時，還須要補充以下重要的規則: 在須要建立訪問列表的時候，須要選擇適當的list number參數。

---- （2）容許/拒絕數據包經過

---- 在標準型IP訪問列表中，使用permit語句可使得和訪問列表項目匹配的數據包經過接口，而deny語句能夠在接口過濾掉和訪問列表項目匹配的數據包。source address表明主機的IP地址，利用不一樣掩碼的組合能夠指定主機。

---- 爲了更好地瞭解IP地址和通配符掩碼的做用，這裏舉一個例子。假設您的公司有一個分支機構，其IP地址爲C類的192.46.28.0。在您的公司，每一個分支機構都須要經過總部的路由器訪問Internet。要實現這點，您就可使用一個通配符掩碼 0.0.0.255。由於C類IP地址的最後一組數字表明主機，把它們都置1即容許總部訪問網絡上的每一臺主機。所以，您的標準型IP訪問列表中的access-list語句以下：

---- access-list 1 permit 192.46.28.0 0.0.0.255

---- 注意，通配符掩碼是子網掩碼的補充。所以，若是您是網絡高手，您能夠先肯定子網掩碼，而後把它轉換成可應用的通配符掩碼。這裏，又能夠補充一條訪問列表的規則5。

---- （3）指定地址

---- 若是您想要指定一個特定的主機，能夠增長一個通配符掩碼0.0.0.0。例如，爲了讓來自IP地址爲192.46.27.7的數據包經過，可使用下列語句：

---- Access-list 1 permit 192.46.27.7 0.0.0.0

---- 在Cisco的訪問列表中，用戶除了使用上述的通配符掩碼0.0.0.0來指定特定的主機外，還可使用"host"這一關鍵字。例如，爲了讓來自IP地址爲192.46.27.7的數據包經過，您可使用下列語句：

---- Access-list 1 permit host 192.46.27.7

---- 除了能夠利用關鍵字"host"來表明通配符掩碼0.0.0.0外，關鍵字"any"能夠做爲源地址的縮寫，並表明通配符掩碼0.0.0.0 255.255.255.255。例如，若是但願拒絕來自IP地址爲192.46.27.8的站點的數據包，能夠在訪問列表中增長如下語句：

---- Access-list 1 deny host 192.46.27.8

---- Access-list 1 permit any

---- 注意上述2條訪問列表語句的次序。第1條語句把來自源地址爲192.46.27.8的數據包過濾掉，第2條語句則容許來自任何源地址的數據包經過訪問列表做用的接口。若是改變上述語句的次序，那麼訪問列表將不可以阻止來自源地址爲192.46.27.8的數據包經過接口。由於訪問列表是按從上到下的次序執行語句的。這樣，若是第1條語句是:

---- Access-list 1 permit any

---- 的話，那麼來自任何源地址的數據包都會經過接口。

---- （4）拒絕的奧祕

---- 在默認狀況下，除非明確規定容許經過，訪問列表老是阻止或拒絕一切數據包的經過，即實際上在每一個訪問列表的最後，都隱含有一條"deny any"的語句。假設咱們使用了前面建立的標準IP訪問列表，從路由器的角度來看，這條語句的實際內容以下：

---- access-list 1 deny host 192.46.27.8

---- access-list 1 permit any

---- access-list 1 deny any

---- 在上述例子裏面，因爲訪問列表中第2條語句明確容許任何數據包都經過，因此隱含的拒絕語句不起做用，但實際狀況並不老是如此。例如，若是但願來自源地址爲192.46.27.8和192.46.27.12的數據包經過路由器的接口，同時阻止其餘一切數據包經過，則訪問列表的代碼以下：

---- access-list 1 permit host 192.46.27.8

---- access-list 1 permit host 192.46.27.12

---- 注意，由於全部的訪問列表會自動在最後包括該語句.

---- 順便討論一下標準型IP訪問列表的參數"log"，它起日誌的做用。一旦訪問列表做用於某個接口，那麼包括關鍵字"log"的語句將記錄那些知足訪問列表中"permit"和"deny"條件的數據包。第一個經過接口而且和訪問列表語句匹配的數據包將當即產生一個日誌信息。後續的數據包根據記錄日誌的方式，或者在控制檯上顯示日誌，或者在內存中記錄日誌。經過Cisco IOS的控制檯命令能夠選擇記錄日誌方式。 

擴展型IP訪問列表

---- 擴展型IP訪問列表在數據包的過濾方面增長了很多功能和靈活性。除了能夠基於源地址和目標地址過濾外，還能夠根據協議、源端口和目的端口過濾，甚至能夠利用各類選項過濾。這些選項可以對數據包中某些域的信息進行讀取和比較。擴展型IP訪問列表的通用格式以下：

---- access-list[list number][permit|deny]

---- [protocol|protocol key word]

---- [source address source-wildcard mask][source port]

---- [destination address destination-wildcard mask]

---- [destination port][log options]

---- 和標準型IP訪問列表相似，"list number"標誌了訪問列表的類型。數字100～199用於肯定100個唯一的擴展型IP訪問列表。"protocol"肯定須要過濾的協議，其中包括IP、TCP、UDP和ICMP等等。

---- 若是咱們回顧一下數據包是如何造成的，咱們就會了解爲何協議會影響數據包的過濾，儘管有時這樣會產生反作用。圖2表示了數據包的造成。請注意，應用數據一般有一個在傳輸層增長的前綴，它能夠是TCP協議或UDP協議的頭部，這樣就增長了一個指示應用的端口標誌。當數據流入協議棧以後，網絡層再加上一個包含地址信息的IP協議的頭部。

因爲IP頭部傳送TCP、UDP、路由協議和ICMP協議，因此在訪問列表的語句中，IP協議的級別比其餘協議更爲重要。可是，在有些應用中，您可能須要改變這種狀況，您須要基於某個非IP協議進行過濾

例子

---- 爲了更好地說明，下面列舉2個擴展型IP訪問列表的語句來講明。假設咱們但願阻止TCP協議的流量訪問IP地址爲192.78.46.8的服務器，同時容許其餘協議的流量訪問該服務器。那麼如下訪問列表語句能知足這一要求嗎？

---- access-list 101 permit host 192.78.46.8

---- access-list 101 deny host 192.78.46.12

---- 回答是否認的。第一條語句容許全部的IP流量、同時包括TCP流量經過指定的主機地址。這樣，第二條語句將不起任何做用。但是，若是改變上面2條語句的次序便可實現目標。