概念介绍：POE供电交换机、tcpip模型、OSI七层模型、路由协议、网关、访问列表(待整理)

PoE供电交换机

       是指可以经过网线为远端受电终端提供网络供电的交换机，包含网络交换机和PoE供电两个功能，是PoE供电系统中比较常见的供电设备，端口支持输出功率达15.4W，符合IEEE802.3af标准，端口支持输出功率达30W，符合IEEE802.3at标准，经过网线供电的方式为标准的POE终端设备供电，免去额外的电源布线。符合IEEE802.3aT 标准的POE交换机，端口输出功率能够达到15-60W。

poe供电的工做过程

   当在一个网络中布置 POE供电端设备时,POE以太网供电工做过程以下所示。

1. 检测：一开始,POE设备在端口输出很小的电压,直到其检测到线缆终端的链接为一个支持IEEE802.3af标准的受电端设备。

2. PD端设备分类：当检测到受电端设备PD以后,POE设备可能会为PD设备进行分类,而且评估此PD设备所需的功率损耗。

3. 开始供电：在一个可配置时间(通常小于15μs)的启动期内,PSE设备开始从低电压向PD设备供电,直至提供48V的直流电源。

4. 供电：为PD设备提供稳定可靠48V的直流电,知足PD设备不越过 15.4W的功率消耗。

5. 断电：若PD设备从网络上断开时,PSE就会快速地(通常在300～400ms以内)中止为PD设备供电,并重复检测过程以检测线缆的终端是否链接PD设备。

     一个完整的POE系统包括供电端设备(PSE, Power Sourcing Equipment)和受电端设备(PD, Power Device)两部分。PSE设备是为以太网客户端设备供电的设备,同时也是整个POE以太网供电过程的管理者。而PD设备是接受供电的PSE负载,即POE系统的客户端。

OSI

OSI(Open System Interconnection)，开放式系统互联参考模型 ，它把网络协议从逻辑上分为了7层。每一层都有相关、相对应的物理设备，好比常规的路由器是三层交换设备，常规的交换机是二层交换设备。

OSI七层模型是一种框架性的设计方法 ，创建七层模型的主要目的是为解决异种网络互连时所遇到的兼容性问题，其最主要的功能就是帮助不一样类型的主机实现数据传输。它的最大优势是将服务、接口和协议这三个概念明确地区分开来，经过七个层次化的结构模型使不一样的系统不一样的网络之间实现可靠的通信。

中文名

开放式系统互联参考模型

外文名

Open System Interconnection

英文缩写

OSI

分    类

开放式系统互联参考模型

目录

模型优势

创建七层模型的主要目的是为解决异种网络互连时所遇到的兼容性问题。它的最大优势是将服务、接口和协议这三个概念明确地区分开来：服务说明某一层为上一层提供一些什么功能，接口说明上一层如何使用下层的服务，而协议涉及如何实现本层的服务；这样各层之间具备很强的独立性，互连网络中各实体采用什么样的协议是没有限制的，只要向上提供相同的服务而且不改变相邻层的接口就能够了。网络七层的划分也是为了使网络的不一样功能模块（不一样层次）分担起不一样的职责，从而带来以下好处：

● 减轻问题的复杂程度，一旦网络发生故障，可迅速定位故障所处层次，便于查找和纠错；

● 在各层分别定义标准接口，使具有相同对等层的不一样网络设备能实现互操做，各层之间相对独立，一种高层协议可在多种低层协议上运行；

● 能有效刺激网络技术革新，由于每次更新均可以在小范围内进行，不需对整个网络动大手术；

物理层

Physical Layer，OSI参考模型的最底层或第一层。 该层包括物理连网媒介，如电缆连线链接器。物理层的协议产生并检测电压以便发送和接收携带数据的信号。在PC上插入网络接口卡，就创建了计算机连网的基础。尽管物理层不提供纠错服务，但它可以设定数据传输速率并监测数据出错率。

    用户要传递信息就要利用一些物理媒体，如双绞线、同轴电缆等，但具体的物理媒体并不在OSI的7层以内，有人把物理媒体当作第0层，物理层的任务就是为它的上一层提供一个物理链接，以及它们的机械、电气、功能和规程特性。如规定使用电缆和接头的类型、传送信号的电压等。在这一层，数据尚未被组织，仅做为原始的位流或电气电压处理，单位是bit。

    @@@@网卡，网线，集线器，中继器，调制解调器－－－－物理层。

数据链路层

Datalink Layer，OSI参考模型的第二层，它控制网络层与物理层之间的通讯。其主要功能是如何在不可靠的物理线路上进行数据的可靠传递。为了保证传输，从网络层接收到的数据被分割成特定的可被物理层传输的帧。帧是用来移动数据的结构包，它不只包括原始数据，还包括发送方和接收方的物理地址以及检错和控制信息。其中的地址肯定了帧将发送到何处，而纠错和控制信息则确保帧无差错到达。 若是在传送数据时，接收点检测到所传数据中有差错，就要通知发送方重发这一帧。

数据链路层的功能独立于网络和它的节点和所采用的物理层类型，也不关心是否正在运行Word 、Excel或使用Internet 。有一些链接设备，如交换机，因为它们要对帧解码并使用帧信息将数据发送到正确的接收方，因此它们是工做在数据链路层的。

数据链路层在物理层提供比特流服务的基础上，创建相邻结点之间的数据链路，经过差错控制提供数据帧在信道上无差错的传输，并进行各电路上的动做系列。

数据链路层在不可靠的物理介质上提供可靠的传输。该层的做用包括：物理地址寻址、数据的成帧、流量控制、数据的检错、重发等。

数据链路层协议的表明包括：SDLC、HDLC、PPP、STP、帧中继等。 

网桥，交换机－－－－数据链路。

网络层

Network Layer，OSI参考模型的第三层。其主要功能是将网络地址翻译成对应的物理地址，并决定如何将数据从发送方路由到接收方。

网络层经过综合考虑发送优先权、网络拥塞程度、服务质量以及可选路由的花费来决定从一个网络中节点A 到另外一个网络中节点B 的最佳路径。因为网络层处理，并智能指导数据传送，路由器链接网络各段，因此路由器属于网络层。在网络中，“路由”是基于编址方案、使用模式以及可达性来指引数据的发送。

网络层负责在源机器和目标机器之间创建它们所使用的路由。这一层自己没有任何错误检测和修正机制，所以，网络层必须依赖于端端之间的由DLL提供的可靠传输服务。

网络层用于本地LAN网段之上的计算机系统创建通讯，它之因此能够这样作，是由于它有本身的路由地址结构，这种结构与第二层机器地址是分开的、独立的。这种协议称为路由或可路由协议。可路由协议包括IP、Novell公司的IPX以及AppleTalk协议，路由协议是为了肯定最终路径使用的协议，如：RIP、OSPF、IS-IS、BGP等。

网络层是可选的，它只用于当两个计算机系统处于不一样的由路由器分割开的网段这种状况，或者当通讯应用要求某种网络层或传输层提供的服务、特性或者能力时。例如，当两台主机处于同一个LAN网段的直接相连这种状况，它们之间的通讯只使用LAN的通讯机制就能够了(即OSI 参考模型的一二层)。

路由器－－－－－网络层。

传输层

Transport Layer，OSI参考模型的第四层。传输协议同时进行流量控制或是基于接收方可接收数据的快慢程度规定适当的发送速率。除此以外，传输层按照网络能处理的最大尺寸将较长的数据包进行强制分割。例如，以太网没法接收大于1500字节(Byte)的数据包。发送方节点的传输层将数据分割成较小的数据片，同时对每一数据片安排一序列号，以便数据到达接收方节点的传输层时，能以正确的顺序重组。

工做在传输层的一种服务是TCP/IP协议套中的TCP(传输控制协议)，另外一项传输层服务是IPX/SPX协议集的SPX(序列包交换)。

网关工做在第四层及其以上。

会话层

Session Layer，OSI参考模型的第五层。负责在网络中的两节点之间创建、维持和终止通讯。 会话层的功能包括：创建通讯连接，保持会话过程通讯连接的畅通，同步两个节点之间的对话，决定通讯是否被中断以及通讯中断时决定从何处从新发送。

你可能经常听到有人把会话层称做网络通讯的“交通警察”。当经过拨号向你的ISP(因特网服务提供商)请求链接到因特网时，ISP 服务器上的会话层向你与你的 PC 客户机上的会话层进行协商链接。若你的电话线偶然从墙上插孔脱落时，你终端机上的会话层将检测到链接中断并从新发起链接。会话层经过决定节点通讯的优先级和通讯时间的长短来设置通讯期限。

表示层

Presentation Layer，OSI参考模型中的第六层。应用程序和网络之间的翻译官，在表示层，数据将按照网络能理解的方案进行格式化；这种格式化也因所使用网络的类型不一样而不一样。

表示层管理数据的解密与加密，如系统口令的处理。例如：在Internet上查询你银行帐户，使用的便是一种安全链接。你的帐户数据在发送前被加密，在网络的另外一端，表示层将对接收到的数据解密。除此以外，表示层协议还对图片和文件格式信息进行解码和编码。

应用层

Application Layer，OSI参考模型中的最高层，即第七层。应用层也称为应用实体(AE)，它由若干个特定应用服务元素(SASE）和一个或多个公共应用服务元素(CASE)组成。每一个SASE提供特定的应用服务，例如文件运输访问和管理(FTAM)、电子文电处理(MHS)、虚拟终端协议(VAP)等。CASE提供一组公共的应用服务，例如联系控制服务元素(ACSE)、可靠运输服务元素(RTSE)和远程操做服务元素(ROSE)等。主要负责对软件提供接口以使程序能使用网络服务。术语“应用层”并非指运行在网络上的某个特别应用程序 ，应用层提供的服务包括文件传输、文件管理以及电子邮件的信息处理。

模型简版总结：

1. 物理层：主要定义物理设备标准，如网线的接口类型、光纤的接口类型、各类传输介质的传输速率等。它的主要做用是传输比特流(就是由一、0转化为电流强弱来进行传输，到达目的地后再转化为一、0，也就是咱们常说的数模转换与模数转换)。这一层的数据叫作比特。

2. 数据链路层：定义了如何让格式化数据以进行传输，以及如何让控制对物理介质的访问。这一层一般还提供错误检测和纠正，以确保数据的可靠传输。数据链路层的传输单元是帧。

3.网络层：在位于不一样地理位置的网络中的两个主机系统之间提供链接和路径选择。Internet的发展使得从世 界各站点访问信息的用户数大大增长，而网络层正是管理这种链接的层。网络层将数据链路层提供的帧组 成数据包，所以网络层的传输单元是数据包。

4.传输层：定义了一些传输数据的协议和端口号(WWW端口80等)，如：TCP(传输控制协议，传输效率低， 可靠性强，用于传输可靠性要求高，数据量大的数据)，UDP(用户数据报协议，与TCP特性偏偏相反，用于 传输可靠性要求不高，数据量小的数据，如QQ聊天数据就是经过这种方式传输的）。 主要是将从下层接收 的数据进行分段和传输，到达目的地址后再进行重组。经常把这一层数据叫作段。传输层的传输单元是报 文。

5.会话层：经过传输层(端口号：传输端口与接收端口)创建数据传输的通路。主要在你的系统之间发起会话或 者接受会话请求(设备之间须要互相认识能够是IP也能够是MAC或者是主机名)。

6.表示层：可确保一个系统的应用层所发送的信息能够被另外一个系统的应用层读取。例如，PC程序与另外一台 计算机进行通讯，其中一台计算机使用扩展二一十进制交换码(EBCDIC)，而另外一台则使用美国信息交换标 准码（ASCII）来表示相同的字符。若有必要，表示层会经过使用一种通格式来实现多种数据格式之间的转 换。

7.应用层：是最靠近用户的OSI层。这一层为用户的应用程序(例如电子邮件、文件传输和终端仿真)提供网络 服务。

TCP/IP协议

        TCP/IP参考模型是计算机网络的祖父ARPANET和其后继的因特网使用的参考模型。ARPANET是由美国国防部DoD（U.S.Department of Defense）赞助的研究网络。逐渐地它经过租用的电话线连结了数百所大学和政府部门。当无线网络和卫星出现之后，现有的协议在和它们相连的时候出现了问题，因此须要一种新的参考体系结构。这个体系结构在它的两个主要协议出现之后，被称为TCP/IP参考模型（TCP/IP reference model）。

四层协议

    TCP/IP是一组用于实现网络互连的通讯协议。Internet网络体系结构以TCP/IP为核心。基于TCP/IP的参考模型将协议分红四个层次，它们分别是：网络访问层、网际互联层、传输层（主机到主机）、和应用层。

    1. 应用层

应用层对应于OSI参考模型的高层，为用户提供所须要的各类服务，例如：FTP、Telnet、DNS、SMTP等.

    2. 传输层

传输层对应于OSI参考模型的传输层，为应用层实体提供端到端的通讯功能，保证了数据包的顺序传送及数据的完整性。该层定义了两个主要的协议：传输控制协议（TCP）和用户数据报协议（UDP).

TCP协议提供的是一种可靠的、经过“三次握手”来链接的数据传输服务；而UDP协议提供的则是不保证可靠的（并非不可靠）、无链接的数据传输服务.

    3. 网际互联层

网际互联层对应于OSI参考模型的网络层，主要解决主机到主机的通讯问题。它所包含的协议设计数据包在整个网络上的逻辑传输。注重从新赋予主机一个IP地址来完成对主机的寻址，它还负责数据包在多种网络中的路由。该层有三个主要协议：网际协议（IP）、互联网组管理协议（IGMP）和互联网控制报文协议（ICMP）。

IP协议是网际互联层最重要的协议，它提供的是一个可靠、无链接的数据报传递服务。

    4. 网络接入层（即主机-网络层）

网络接入层与OSI参考模型中的物理层和数据链路层相对应。它负责监视数据在主机和网络之间的交换。事实上，TCP/IP自己并未定义该层的协议，而由参与互连的各网络使用本身的物理层和数据链路层协议，而后与TCP/IP的网络接入层进行链接。地址解析协议（ARP）工做在此层，即OSI参考模型的数据链路层。

模型比较

共同点

（1）OSI参考模型和TCP/IP参考模型都采用了层次结构的概念。

（2）都可以提供面向链接和无链接两种通讯服务机制。

不一样点

（1）OSI采用的七层模型，而TCP/IP是四层结构。

（2）TCP/IP参考模型的网络接口层实际上并无真正的定义，只是一些概念性的描述。而OSI参考模型不只分了两层，并且每一层的功能都很详尽，甚至在数据链路层又分出一个介质访问子层，专门解决局域网的共享介质问题。

（3）OSI模型是在协议开发前设计的，具备通用性。TCP/IP是先有协议集而后创建模型，不适用于非TCP/IP网络。

（4）OSI参考模型与TCP/IP参考模型的传输层功能基本类似，都是负责为用户提供真正的端对端的通讯服务，也对高层屏蔽了底层网络的实现细节。所不一样的是TCP/IP参考模型的传输层是创建在网络互联层基础之上的，而网络互联层只提供无链接的网络服务，因此面向链接的功能彻底在TCP协议中实现，固然TCP/IP的传输层还提供无链接的服务，如UDP；相反OSI参考模型的传输层是创建在网络层基础之上的，网络层既提供面向链接的服务，又提供无链接的服务，但传输层只提供面向链接的服务。

（5）OSI参考模型的抽象能力高，适合与描述各类网络；而TCP/IP是先有了协议，才制定TCP/IP模型的。

（6）OSI参考模型的概念划分清晰，但过于复杂；而TCP/IP参考模型在服务、接口和协议的 区别上不清楚，功能描述和实现细节混在一块儿。

（7）TCP/IP参考模型的网络接口层并非真正的一层；OSI参考模型的缺点是层次过多，划分意义不大但增长了复杂性。

（8）OSI参考模型虽然被看好，因为没把握好时机，技术不成熟，实现困难；相反，TCP/IP参考模型虽然有许多不尽人意的地方，但仍是比较成功的。

路由协议

路由器提供了异构网互联的机制，实现将一个网络的数据包发送到另外一个网络。而路由就是指导IP数据包发送的路径信息。路由协议就是在路由指导IP数据包发送过程当中事先约定好的规定和标准。

原理

路由协议经过在路由器之间共享路由信息来支持可路由协议。路由信息在相邻路由器之间传递，确保全部路由器知道到其它路由器的路径。总之，路由协议建立了路由表，描述了网络拓扑结构；路由协议与路由器协同工做，执行路由选择和数据包转发功能。

做用

路由协议主要运行于路由器上，路由协议是用来肯定到达路径的，它包括RIP，IGRP（Cisco私有协议），EIGRP（Cisco私有协议），OSPF，IS-IS，BGP。起到一个地图导航，负责找路的做用。它工做在网络层。

路由选择协议主要是运行在路由器上的协议，主要用来进行路径选择。

网关

网关(Gateway)又称网间链接器、协议转换器。网关在网络层以上实现网络互连，是最复杂的网络互连设备，仅用于两个高层协议不一样的网络互连。网关既能够用于广域网互连，也能够用于局域网互连。 网关是一种充当转换重任的计算机系统或设备。使用在不一样的通讯协议、数据格式或语言，甚至体系结构彻底不一样的两种系统之间，网关是一个翻译器。与网桥只是简单地传达信息不一样，网关对收到的信息要从新打包，以适应目的系统的需求。同层--应用层。

路由（网络工程术语）

概念

一、路由是指路由器从一个接口上收到数据包，根据数据

包的目的地址进行定向并转发到另外一个接口的过程。路由一般与桥接来对比，在粗心的人看来，它们彷佛完成的是一样的事。它们的主要区别在于桥接发生在OSI参考模型的第二层（数据链路层），而路由发生在第三层（网络层）。这一区别使两者在传递信息的过程当中使用不一样的信息，从而以不一样的方式来完成其任务。

路由的话题早已在计算机界出现，但直到八十年代中期才得到商业成功。究其主要缘由是七十年代的网络广泛很简单，发展到后来大型的网络才较为广泛。

二、工程术语。指道路状况，包括道路宽度、深度、方向等信息。

原理算法

路由工做包含两个基本的动做：

一、肯定最佳路径

二、经过网络传输信息

在路由的过程当中，后者也称为（数据）交换。交换相对来讲比较简单，而选择路径很复杂。

路径选择

metric是路由算法用以肯定到达目的地的最佳路径的计量标准，如路径长度。为了帮助选路，路由算法初始化并维护包含路径信息的路由表，路径信息根据使用的路由算法不一样而不一样。

路由算法根据许多信息来填充路由表。目的/下一跳地址对告知路由器到达该目的最佳方式是把分组发送给表明“下一跳”的路由器，当路由器收到一个分组，它就检查其目标地址，尝试将此地址与其“下一跳”相联系。下表为一个目的/下一跳路由表的例子。

路由表还能够包括其它信息。路由表比较metric以肯定最佳路径，这些metric根据所用的路由算法而不一样。路由器彼此通讯，经过交换路由信息维护其路由表，路由更新信息一般包含所有或部分路由表，经过分析来自其它路由器的路由更新信息，该路由器能够创建网络拓扑图。路由器间发送的另外一个信息是连接状态广播信息，它通知其它路由器发送者的连接状态，连接信息用于创建完整的拓扑图，使路由器能够肯定最佳路径。

交换算法

交换算法相对而言较简单，对大多数路由协议而言是相同的，多数状况下，某主机决定向另外一个主机发送数据，经过某些方法得到路由器的地址后，源主机发送指向该路由器的物理（MAC）地址的数据包，其协议地址是指向目的主机的。

路由器查看了数据包的目的协议地址后，肯定是否知道如何转发该包，若是路由器不知道如何转发，一般就将之丢弃。若是路由器知道如何转发，就把目的物理地址变成下一跳的物理地址并向之发送。下一跳可能就是最终的目的主机，若是不是，一般为另外一个路由器，它将执行一样的步骤。当分组在网络中流动时，它的物理地址在改变，但其协议地址始终不变。

ISO定义了用于描述此过程的分层的术语。在该术语中，没有转发分组能力的网络设备称为端系统（ES--end system），有此能力的称为中介系统（IS--intermediate system）。IS又进一步分红可在路由域内通讯的域内IS（intradomain IS）和既可在路由域内又可在域间通讯的域间IS（interdomain IS）。路由域一般被认为是统一管理下的一部分网络，遵照特定的一组管理规则，也称为自治系统（autonomous system）。在某些协议中，域内路由协议仍可用于在区间内和区间之间交换数据。

访问列表（access list)

路由器和交换机所保持的列表用来针对一些进出路由器或交换机的服务（如组织某个IP地址的分组从路由器或交换机的特定端口出发）作访问控制。

访问列表本质上是一系列对包进行分类的条件

分类

access-list（访问列表）最基本的有两种，分别是标准访问列表和扩展访问列表，两者的区别主要是前者是基于源地址的数据包过滤，然后者是基于目标地址、源地址和网络协议及其端口的数据包过滤。

（1）标准型IP访问列表的格式

---- 标准型IP访问列表的格式以下：

---- access-list[list number][permit|deny][source address]

---- [address][wildcard mask][log]

---- 下面解释一下标准型IP访问列表的关键字和参数。首先，在access和list这2个关键字之间必须有一个连字符"-"；其次，list number的范围在0～99之间，这代表该access-list语句是一个普通的标准型IP访问列表语句。由于对于Cisco IOS，在0～99之间的数字指示出该访问列表和IP协议有关，因此list number参数具备双重功能: （1）定义访问列表的操做协议; （2）通知IOS在处理access-list语句时，把相同的list number参数做为同一实体对待。正如本文在后面所讨论的，扩展型IP访问列表也是经过list number（范围是100～199之间的数字）而表现其特色的。所以，当运用访问列表时，还须要补充以下重要的规则: 在须要建立访问列表的时候，须要选择适当的list number参数。

---- （2）容许/拒绝数据包经过

---- 在标准型IP访问列表中，使用permit语句可使得和访问列表项目匹配的数据包经过接口，而deny语句能够在接口过滤掉和访问列表项目匹配的数据包。source address表明主机的IP地址，利用不一样掩码的组合能够指定主机。

---- 为了更好地了解IP地址和通配符掩码的做用，这里举一个例子。假设您的公司有一个分支机构，其IP地址为C类的192.46.28.0。在您的公司，每一个分支机构都须要经过总部的路由器访问Internet。要实现这点，您就可使用一个通配符掩码 0.0.0.255。由于C类IP地址的最后一组数字表明主机，把它们都置1即容许总部访问网络上的每一台主机。所以，您的标准型IP访问列表中的access-list语句以下：

---- access-list 1 permit 192.46.28.0 0.0.0.255

---- 注意，通配符掩码是子网掩码的补充。所以，若是您是网络高手，您能够先肯定子网掩码，而后把它转换成可应用的通配符掩码。这里，又能够补充一条访问列表的规则5。

---- （3）指定地址

---- 若是您想要指定一个特定的主机，能够增长一个通配符掩码0.0.0.0。例如，为了让来自IP地址为192.46.27.7的数据包经过，可使用下列语句：

---- Access-list 1 permit 192.46.27.7 0.0.0.0

---- 在Cisco的访问列表中，用户除了使用上述的通配符掩码0.0.0.0来指定特定的主机外，还可使用"host"这一关键字。例如，为了让来自IP地址为192.46.27.7的数据包经过，您可使用下列语句：

---- Access-list 1 permit host 192.46.27.7

---- 除了能够利用关键字"host"来表明通配符掩码0.0.0.0外，关键字"any"能够做为源地址的缩写，并表明通配符掩码0.0.0.0 255.255.255.255。例如，若是但愿拒绝来自IP地址为192.46.27.8的站点的数据包，能够在访问列表中增长如下语句：

---- Access-list 1 deny host 192.46.27.8

---- Access-list 1 permit any

---- 注意上述2条访问列表语句的次序。第1条语句把来自源地址为192.46.27.8的数据包过滤掉，第2条语句则容许来自任何源地址的数据包经过访问列表做用的接口。若是改变上述语句的次序，那么访问列表将不可以阻止来自源地址为192.46.27.8的数据包经过接口。由于访问列表是按从上到下的次序执行语句的。这样，若是第1条语句是:

---- Access-list 1 permit any

---- 的话，那么来自任何源地址的数据包都会经过接口。

---- （4）拒绝的奥秘

---- 在默认状况下，除非明确规定容许经过，访问列表老是阻止或拒绝一切数据包的经过，即实际上在每一个访问列表的最后，都隐含有一条"deny any"的语句。假设咱们使用了前面建立的标准IP访问列表，从路由器的角度来看，这条语句的实际内容以下：

---- access-list 1 deny host 192.46.27.8

---- access-list 1 permit any

---- access-list 1 deny any

---- 在上述例子里面，因为访问列表中第2条语句明确容许任何数据包都经过，因此隐含的拒绝语句不起做用，但实际状况并不老是如此。例如，若是但愿来自源地址为192.46.27.8和192.46.27.12的数据包经过路由器的接口，同时阻止其余一切数据包经过，则访问列表的代码以下：

---- access-list 1 permit host 192.46.27.8

---- access-list 1 permit host 192.46.27.12

---- 注意，由于全部的访问列表会自动在最后包括该语句.

---- 顺便讨论一下标准型IP访问列表的参数"log"，它起日志的做用。一旦访问列表做用于某个接口，那么包括关键字"log"的语句将记录那些知足访问列表中"permit"和"deny"条件的数据包。第一个经过接口而且和访问列表语句匹配的数据包将当即产生一个日志信息。后续的数据包根据记录日志的方式，或者在控制台上显示日志，或者在内存中记录日志。经过Cisco IOS的控制台命令能够选择记录日志方式。 

扩展型IP访问列表

---- 扩展型IP访问列表在数据包的过滤方面增长了很多功能和灵活性。除了能够基于源地址和目标地址过滤外，还能够根据协议、源端口和目的端口过滤，甚至能够利用各类选项过滤。这些选项可以对数据包中某些域的信息进行读取和比较。扩展型IP访问列表的通用格式以下：

---- access-list[list number][permit|deny]

---- [protocol|protocol key word]

---- [source address source-wildcard mask][source port]

---- [destination address destination-wildcard mask]

---- [destination port][log options]

---- 和标准型IP访问列表相似，"list number"标志了访问列表的类型。数字100～199用于肯定100个唯一的扩展型IP访问列表。"protocol"肯定须要过滤的协议，其中包括IP、TCP、UDP和ICMP等等。

---- 若是咱们回顾一下数据包是如何造成的，咱们就会了解为何协议会影响数据包的过滤，尽管有时这样会产生反作用。图2表示了数据包的造成。请注意，应用数据一般有一个在传输层增长的前缀，它能够是TCP协议或UDP协议的头部，这样就增长了一个指示应用的端口标志。当数据流入协议栈以后，网络层再加上一个包含地址信息的IP协议的头部。

因为IP头部传送TCP、UDP、路由协议和ICMP协议，因此在访问列表的语句中，IP协议的级别比其余协议更为重要。可是，在有些应用中，您可能须要改变这种状况，您须要基于某个非IP协议进行过滤

例子

---- 为了更好地说明，下面列举2个扩展型IP访问列表的语句来讲明。假设咱们但愿阻止TCP协议的流量访问IP地址为192.78.46.8的服务器，同时容许其余协议的流量访问该服务器。那么如下访问列表语句能知足这一要求吗？

---- access-list 101 permit host 192.78.46.8

---- access-list 101 deny host 192.78.46.12

---- 回答是否认的。第一条语句容许全部的IP流量、同时包括TCP流量经过指定的主机地址。这样，第二条语句将不起任何做用。但是，若是改变上面2条语句的次序便可实现目标。