。

在这段时间里，我学到了很多知识，也得到了很多体会，对防火墙等相关技术有了更多的了解，我学会了独立的学习和试验，查看相关的资料和书籍，让自己头脑中模糊的概念逐渐清晰，使自己非常稚嫩的作品步步完善起来，每次改进都是我学习的收获。

虽然我的论文不是很成熟，还有很多不足之处，当看着自己的作品，我感觉到这次的经历也会使我终身受益，我感受到做论文是要真真正正用心去做的件事情，是真正的自己学习和研究的过程，没有学习就不可能有研究的能力，没有自己的研究，就不会有所突破，那也就不叫论文了。

希望这次的经历能让我在以后学习中激励我继续进步。

参考文献万振凯等网络操作系统管理与应用北京清华大学出版社北京交通大学出版社，高升，邵玉梅系统管理第二版北京清华大学出版社，刘化君网络安全技术北京机械工业出版社，陈萍网络服务器配置与管理，北京机械工业出版社，致谢时光如梭，转瞬即逝，伴随着这篇论文的完成，我的两年大学生活就这样悄然的画上了句号。

虽说这样短促的大学并不完美，但是他依然充实了我的生活，陶冶了我的情操，武装了我的思想。

在本文完成之际，无论我的设计是否真正成功，是否能够真正的投入使用，然而这里的面每个控件的绘制，每行语句的调试，每段文本的输入之中都有我求真的态度，务实的汗水。

设计时间虽然短暂，但我却从中学到了很多的东西。

我由衷地感谢关怀教诲帮助支持和鼓励我完成学业的老师朋友。

也许因为时间的短促，所以更懂得珍惜也许因为曾经的愚昧，所以更渴求对知识的汲取。

然而生活就这样，每每到了个阶段结束的时候，我们总是感慨时光飞逝的太过无情，惋惜曾经的我们还是错过了太多。

但是，生活毕竟是生活，我们无需花时间去悲悯时间的无情，锱铢生活的完缺。

我们依然要昂首向前看，向前走，怀着感恩的心对帮助关心爱护过自己的人以答谢。

因此，我首先由衷的感谢我的老师朱永超，个多月来他在学习项目上直对我悉心指导，严格要求热情鼓励，为我创造了很多锻炼提高的机会。

老师洞察全局高屋建瓴，为我的论文的顺利完成指出了很好的方向，朱永超老师渊博的知识兢兢业业的工作态度对生活的热爱，对家人的挚爱，对学生和朋友的关爱，都使我的人生受益匪浅。

其次，还要感谢和我起作毕业设计的同学们，他们在本次设计中勤奋工作，克服了许多困难来完成此次毕业设计，并承担了大部分的工作量。

如果没有他们的努力工作，此次设计的完成将变得非常困难。

然后还要感谢大学两年来所有的老师，为我们打下计算机网络技术专业知识的基础同时还要感谢所有的同学们，正是因为有了你们的支持和鼓励。

此次毕业设计才会顺利完成。

最后，我还要再次向我的老师同学们朋友们以及在毕业设计过程中给予我很大帮助的朱永超老师表示真心的感谢是路由器和交换机接口的指令列表，用来控制端口进出的数据包。

适用于所有的被路由协议，如等。

这张表中包含了匹配关系条件和查询语句，表只是个框架结构，其目的是为了对种访问进行控制。

信息点间通信，内外网络的通信都是企业网络中必不可少的业务需求，但是为了保证内网的安全性，需要通过安全策略来保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的。

简而言之，可以过滤网络中的流量，控制访问的种网络技术手段。

的定义也是基于每种协议的。

如果路由器接口配置成为支持三种协议以及的情况，那么，用户必须定义三种来分别控制这三种协议的数据包。

的分类目前有两种主要的标准和扩展通过命名通过时间。

标准的使用以及之间的数字作为表号，扩展的使用以及之间的数字作为表号。

标准可以阻止来自网络的所有通信流量，或者允许来自特定网络的所有通信流量，或者拒绝协议簇比如的所有通信流量。

扩展比标准提供了更广泛的控制范围。

例如，网络管理员如果希望做到允许外来的通信流量通过，拒绝外来的和等通信流量，那么，他可以使用扩展来达到目的，标准不能控制这么精确。

在标准与扩展访问控制列表中均要使用表号，而在命名访问控制列表中使用个字母或数字组合的字符串来代替前面所使用的数字。

使用命名访问控制列表可以用来删除条特定的控制条目，这样可以让我们在使用过程中方便地进行修改。

随着网络的发展和用户要求的变化，从开始，思科路由器新增加了种基于时间的访问列表。

通过它，可以根据天中的不同时间，或者根据星期中的不同日期，或二者相结合来控制网络数据包的转发。

这种基于时间的访问列表，就是在原来的标准访问列表和扩展访问列表中，加入有效的时间范围来更合理有效地控制网络。

首先定义个时间范围，然后在原来的各种访问列表的基础上应用它。

的特点可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。

可以限制网络流量提高网络性能。

可以根据数据包的协议，指定数据包的优先级提供对通信流量的控制手段是提供网络安全访问的基本手段防火墙所谓防火墙指的是个有软件和硬件设备组合而成在内部网和外部网之间专用网与公共网之间的界面上构造的保护屏障。

防火墙技术，最初是针对网络不安全因素所采取的种保护措施。

顾名思义，防火墙就是用来阻挡外部不安全因素影响的内部网络屏障，其目的就是防止外部网络用户未经授权的访问。

它是种计算机硬件和软件的结合，使与之间建立起个安全网关，从而保护内部网免受非法用户的侵入，防火墙主要由服务访问政策验证工具包过滤和应用网关个部分组成，防火墙就是个位于计算机和它所连接的网络之间的软件或硬件其中硬件防火墙用的很少只有国防部等地才用，因为它价格昂贵。

该计算机流入流出的所有网络通信均要经过此防火墙。

功能防火墙对流经它的网络通信进行扫描，这样能够过滤掉些攻击，以免其在目标计算机上被执行。

防火墙还可以关闭不使用的端口。

而且它还能禁止特定端口的流出通信，封锁特洛伊木马。

最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。

协议开放式最短路径优先，协议是种为网络开发的内部网关路由选择协议，由开发并推荐使用。

协议由三个子协议组成协议交换协议和扩散协议。

其中协议负责检查链路是否可用，并完成指定路由器及备份指定路由器交换协议完成主从路由器的指定并交换各自的路由数据库信息扩散协议完成各路由器中路由数据库的同步维护。

协议采用链路状态协议算法，每个路由器维护个相同的链路状态数据库，保存整个的拓扑结构在不划分的情况下。

旦每个路由器有了完整的链路状态数据库，该路由器就可以自己为根，构造最短路径路径树，然后再根据最短路径构造路径表。

对于大型的网络，为了进步减少路由协议通信流量，利于管理和计算。

将整个划分为若干个区域，区域内的路由器维护个相同的链路状态数据库，保存该区域的拓扑图结构。

路由器相互间交换信息，但交换的信息不是路由，而是链路状态。

定义了种分组分组用于建立和维护邻居关系数据库描述分组初始化路由器的网络拓扑数据库当发现数据库中的部分信息已经过时后，路由器发送链路状态请求分组，请求邻站提供更新信息路由器使用链路状态更新分组来主动扩展自己的链路状态数据库或对链路状态请求分组进行相应由于直接运行在层，协议本身要提供确认机制，链路状态应答分组状态更新分组进行确认。

相对于其他协议，有许多优点。

支持各种不同鉴别机制如简单口令验证，加密验证等，并且允许各个系统或区域采用互不相同的鉴别机制提供负载均衡功能，如果计算出道个目的站有若干条费用相同的路由，路由器会把通信流量均匀地分配给这几条路由，沿这几条路由把该分组发送出去在个自制系统内可划分出若干个区域，每个区域根据自己的拓扑结构计算最短路径，这样减少了路由实现的工作量属于动态的自适应协议，对于网络的拓扑结构变化可以迅速的作出反应，进行相应调整，提供短的收敛期，使路由表尽快稳定化，并且与其它路由协议相比，在对网络拓扑变化的处理过程中仅需要最少的通信流量提供点到多点接口，支持无类路由地址。

协议的优点能够在自己的链路状态数据库内表示整个网络，这极大地减少了收敛时间，并且支持大型异构网络的互联，提供了个异构网络间通过同种协议交换网络信息的途径，并且不容易出现的路由信息。

支持通往相同目的的多重路径。

使用路由标签区分不同的外部路由。

支持路由验证，只有互相通过路由验证的路由器之间才能交换路由信息并且可以对不同的区域定义不同的验证方式，从而提高了网络的安全性。

支持费用相同的多条链路上的负载均衡。

是个非族类路由协议，路由信息不受跳数的限制，减少了因分级路由带来的子网分离问题。

支持和非族类路由查表，有利于网络地址的有效管理使用对网络进行分层，减少了协议对处理时间和内存的需求。

的网络类型定义的种网络类型点到点网络广播型网络非广播型网络点到多点网络虚链接点到点网络，比如线路，是连接单独的对路由器的网络，点到点网络上的有效邻居总是可以形成邻接关系的，在这种网络上，包的目标地址使用的是，这个组播地址称为广播型网络，比如以太网，和，这样的网络上会选举个和，的发送的包的目标地址为，运载这些包的帧的目标地址为而除了以外发送的包的目标地址为，这个地址叫网络，比如和，不具备广播的能力，因此邻居要人工来指定，在这样的网络上要选举和，包采用的方式点到多点网络是网络的个特殊配置，可以看成是点到点链路的集合在这样的网络上不选举和虚链接包是以的方式发送第章设备简介路由器路由器由于采用模块化的设计风格，特别适合中型企业的款路由器。

作为系列的产品，能以线速为多条连接提供多种高质量并发服务。

它建立在思科年的领先地位及创新技术的基础之上，智能地将数据安全性和话音服务内嵌于单永续系统，能快速可扩展地提供关键任务业务应用。

缺省配置为，最大可达，配备了个