近几年来，网络的发展非常快。网络底层的带宽正在快速增加。与此同时，网络软环境（网
络管理和网络安全）的发展却相对落后于带宽的发展，就如同计算机软件的发展落后于硬件的
发展一样。
政府上网工程以来，国内对网络安全的呼声越来越高。译者认为，对于进行网络安全方面
工作的工程人员和研究人员而言，首先要了解现有网络设备的安全情况，才能够对网络的漏洞
进行补救。译者很幸运地参加了网络安全方面的一些研究工作，近两年的时间里，也花费了很
多时间研究Cisco和3COM网络设备的安全结构，对网络安全有一定的认识和见解。对于用户（网
络管理员）而言，熟练掌握所使用设备的安全特征是必要的，只有这样才能较好地保护自己所
在单位的网络安全。
目前，我国使用得最多的路由器是Cisco公司生产的，大量的随机文档虽然对管理员有一定
的帮助，但阅读英文毕竟是一件让人心烦的事情，我们希望本书能满足用户对网络安全的需要。
本书全面地介绍了Cisco在访问表方面的思想，以及这些思想在Cisco设备中的应用。作者
首先简单明了地说明了对Cisco路由器的操作和使用，然后对各种访问表进行了分别介绍，并介
绍了一些非访问表的安全控制方法。书中还包含了大量现实生活中的示例，以便读者可以参照
进行设备配置。书中还提到了一些可以用来增强网络安全的要点和技术。
本书由前导工作室的胡平、李化组织翻译，前导工作室的全体人员共同完成了本书的录入、
校对等工作。本书的出版是集体智慧的结晶。
译者在翻译的过程中，对原书存在的一些明显错误进行了修改，以便进行正确的翻译。
如果书中仍然存在疏忽与错误之处，恳请读者批评指正。

译者
2000年6月

下载

第1章引言

我们在序言中讲过，路由器的访问表是网络防御的前沿阵地。我们还讲过，访问表提供
了一种机制，可以控制通过路由器的不同接口的信息流。这种机制允许用户使用访问表来管
理信息流，以制定公司内网络相关策略。这些策略可以描述安全功能，并且反映流量的优先
级别。例如，某个组织可能希望允许或拒绝tenretnI对内部Wbe服务器的访问，或者允许内部
局域网（LocalAreaNetwork，NAL）上一个或多个工作站能够将流量发到广域网（Wedi
AreaNetwork，WNA）的AMT骨干网络上。这些情形，以及其他的一些功能，都可以通过访
问表来达到目的。
本章的目标是让读者了解全书的内容。首先，向读者介绍ocsiC专业领域的一些概念，先
简要描述路由器的功能，以及ocsiC访问表的一些基本知识。然后，对全书提供一个概括性的
描述，主要是讲述后续章节中将介绍的知识内容。
1.1Cisco专业参考指南

CiscocsiC专业参考指南系列提供了操作ocsiC设备的一些信息和一系列的实践实例，读者可以
使用这些知识来满足自己单位的特别需要。参考指南系列的第一本书集中阐述访问表，并提
供了各种类型的访问表的使用方法、访问表的创建和格式，以及应用到接口和进行操作的详
细信息。我们为各种截然不同的访问表类型提供了一系列的实例，在实例中，先给出一个通
用的格式，包括应用场景或问题的一个概括性描述，用来说明路由器NAL或WNA接口的网络
示意图。然后，再讲述访问表的SOI语句，这些SOI语句可以用来解决应用或问题。每一个访
问表实例都包括用来实现的访问表的基本原理。
1.2路由器的任务

从操作的观点上看来，路由器的作用是将报文（tekcaP）从一个网络传输到另外一个网络。
路由器工作于网络层，根据开放式系统互连（OpenSystemsInterconnection，ISO）参考模型，
它实现的是第三层的功能。通过检测报文的网络地址，路由器可以用来决定报文流的去向，
并且创建和维护路由表。在过去的02年中，人们开发了05多种路由协议，而路由信息协议
（RoutingInformationProtocol，PIR）、开放式最短路径优先（OpenShortestPathFirst，FPSO）、
边界网关协议（BorderGatewayProtocol）只是这05多种协议中的3种。从安全的角度上看来，
路由器是保护网络的“前沿阵地”。这种保护措施是通过创建访问表来允许或拒绝报文通过路
由器的接口来实现的。
CiscocsiC公司的路由器支持两种类型的访问表：基本访问表和扩展访问表。基本访问表控制
基于网络地址的信息流。扩展访问表通过网络地址和传输中的数据类型进行信息流控制。尽
管访问表可以认为是保护网络的第一关，当前实现的路由器并不实际检验报文中的信息域，
也不维护关于连接状态的信息。换句话说，每一个报文被分别检验，路由器并不判断某个报
文是否为一个合法对话流中的一部分。
2ocsiC访问表配置指南
下载

在过去的两年中，ocsiC系统公司对访