1、01-IPSec VPN的基本配置环境:接口地址都已经配置完,路由也配置了,双方可以互相通信.密钥认证的算法2种:md5和sha1加密算法2种: des和3desIPsec传输模式3种:AH验证参数:ah-md5-hmac(md5验证)、ah-sha-hmac(sha1验证)ESP加密参数:esp-des(des加密)、esp-3des(3des加密)、esp-null(不对数据进行加密)ESP验证参数:esp-md5-hmac(md5验证)、esp-sha-hmac(采用sha1验证)1 启用IKE协商路由器ArouterA(config)#crypto isakmp policy 1 /建
2、立IKE协商策略(1是策略编号1-1000,号越小,优先级越高)routerA(config-isakmap)#hash md5 /选用md5密钥认证的算法routerA(config-isakmap)#authentication pre-share /告诉路由使用预先共享的密钥routerA(config)#crypto isakmp key 12345 address 20.20.20.22 /12345是设置的共享密钥,20.20.20.22是对端的IP路由器BrouterB(config)#crypto isakmp policy 1routerB(config-isakmap)#h
3、ash md5routerB(config-isakmap)#authentication pre-sharerouterB(config)#crypto isakmp key 12345 address 20.20.20.21 /路由B和A的配置除了这里的对端IP地址,其它都要一样的)。2 配置IPSec相关参数路由器ArouterA(config)#crypto ipsec transform-set test ah-md5-hamc esp-des/test传输模式的名称。ah-md5-hamc esp-des表示传输模式中采用的验证参数和加密参数。routerA(config)#ace
4、ss-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255/定义哪些地址的报文加密或是不加密。路由器BrouterB(config)#crypto ipsec transform-set test ah-md5-hamc esp-desrouterB(config)#acess-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255/路由器B和A的配置除了这里的源和目的IP地址变了,其它都一样。3 设置crypto map (目的把IKE的协商信息和IP
5、Sec的参数,整合到一起,起一个名字)路由器ArouterA(config)#crypto map testmap 1 ipsec-isakmp/testmap:给crypto map起的名字。1:优先级。ipsec-isakmp:表示此IPSec链接采用IKE自动协商routerA(config-crypto-map)#set peer 20.20.20.22 /指定此VPN链路,对端的IP地址routerA(config-crypto-map)#set transform-set test /IPSec传输模式的名字。routerA(config-crypto-map)#match add
6、ress 101 /上面定义的ACL列表号路由器BrouterB(config)#crypto map testmap 1 ipsec-isakmprouterB(config-crypto-map)#set peer 20.20.20.21 (和A路由的配置只有这里的对端IP不一样)routerB(config-crypto-map)#set transform-set testrouterB(config-crypto-map)#match address 1014 把crypto map 的名字应用到端口routerA(config)#inter s0/0 (进入应用VPN的接口)rou
7、terA(config-if)#crypto map testmap (testmap:crypto map的名字)B路由器和A设置完全一样。5 查看VPN的配置Router#show crypto ipsec sa /查看安全联盟(SA)router#show crypto map /显示crypto map 内的所有配置router#show crypto isakmp policy /查看优先级02-IPSec VPN的基本配置PIX配置专题六个基本命令PIX是CISCO公司开发的防火墙系列设备,主要起到策略过滤,隔离内外网,根据用户实际需求设置DMZ(停火区)。它和一般硬件防火墙一样具
8、有转发数据包速度快,可设定的规则种类多,配置灵活的特点。配置PIX防火墙有六个基本命令:nameif,interface,ip address,nat,global,route。我们先掌握这六个基本命令,然后再学习更高级的配置语句。1、nameif配置防火墙接口的名字,并指定安全级别:Pix525(config)#nameif ethernet0 outside security0 /命名e0为outside,安全级别为0。该名称在后面使用Pix525(config)#nameif ethernet1 inside security100 /命名e1为inside,安全级别为100。安全系数最
9、高Pix525(config)#nameif dmz security50 /设置DMZ接口为停火区,安全级别50。安全系数居中。在该配置中,e0被命名为外部接口(outside),安全级别是0;以e1被命名为内部接口(inside),安全级别是100。安全级别取值范围为1到99,数字越大安全级别越高。2、配置以太口参数(interface):Pix525(config)#interface ethernet0 auto /设置e0为AUTO模式,auto选项表明系统网卡速度工作模式等为自动适应,这样该接口会自动在10M/100M,单工/半双工/全双工直接切换。Pix525(config)#i
10、nterface ethernet1 100 full /强制设置以太接口1为100Mbit/s全双工通信。Pix525(config)#shutdown /关闭端口小提示:在节假日需要关闭停火区的服务器的服务时可以在PIX设备上使用interface dmz 100full shutdown,这样DMZ区会关闭对外服务。3、配置内外网卡的IP地址(ip address)Pix525(config)#ip address outside 61.144.51.42 255.255.255.248 /设置外网接口为61.144.51.42,子网掩码为255.255.255.248Pix525(co
11、nfig)#ip address inside 192.168.0.1 255.255.255.0 /设置内网接口IP地址、子网掩码。你可能会问为什么用的是outside和inside而没有使用ethernet1,ethernet0呢?其实这样写是为了方便我们配置,不容易出错误。只要我们通过nameif设置了各个接口的安全级别和接口类别,接口类别就代表了相应的端口,也就是说outside=ethernet0,inside=ethernet1。4、指定要进行转换的内部地址(nat)NAT的作用是将内网的私有ip转换为外网的公有ip,Nat命令总是与global命令一起使用,这是因为nat命令可以
12、指定一台主机或一段范围的主机访问外网,访问外网时需要利用global所指定的地址池进行对外访问。nat命令配置语法:nat (if_name) nat_id local_ip netmark其中(if_name)表示内网接口名字,如inside,Nat_id用来标识全局地址池,使它与其相应的global命令相匹配,local_ip表示内网被分配的ip地址。例如0.0.0.0表示内网所有主机可以对外访问。netmark表示内网ip地址的子网掩码。示例语句如下:Pix525(config)#nat (inside) 1 0.0.0.0 0.0.0.0 /启用nat,内网的所有主机都可以访问外网,可
13、以用0代表0.0.0.0Pix525(config)#nat (inside) 1 172.16.5.0 255.255.0.0 /设置只有172.16.5.0这个网段内的主机可以访问外网。5、指定外部地址范围(global)global命令把内网的ip地址翻译成外网的ip地址或一段地址范围。Global命令的配置语法:global (if_name) nat_id ip_address-ip_address netmark global_mask其中(if_name)表示外网接口名字,如outside;Nat_id用来标识全局地址池,使它与其相应的nat命令相匹配;ip_address-ip
14、_address表示翻译后的单个ip地址或一段ip地址范围;netmark global_mask表示全局ip地址的网络掩码。示例语句如下:Pix525(config)#global (outside) 1 61.144.51.42-61.144.51.48 /设置内网的主机通过pix防火墙要访问外网时,pix防火墙将使用61.144.51.42-61.144.51.48这段ip地址池为要访问外网的主机分配一个全局ip地址。Pix525(config)#global (outside) 1 61.144.51.42 /设置内网要访问外网时,pix防火墙将为访问外网的所有主机统一使用61.144
15、.51.42这个单一ip地址。Pix525(config)#no global (outside) 1 61.144.51.42 /删除global中对61.144.51.42的宣告,也就是说数据包通过NAT向外传送时将不使用该IP,这个全局表项被删除。6、设置指向内网和外网的静态路由(route)route命令定义一条静态路由。route命令配置语法:route (if_name) 0 0 gateway_ip metric其中(if_name)表示接口名字,例如inside,outside。Gateway_ip表示网关路由器的ip地址。metric表示到gateway_ip的跳数。通常缺省
16、是1。示例语句如下:Pix525(config)#route outside 0 0 61.144.51.168 1 /设置一条指向边界路由器(ip地址61.144.51.168)的缺省路由。Pix525(config)#route inside 10.1.1.0 255.255.255.0 172.16.0.1 1 /设置一条指向内部的路由。Pix525(config)#route inside 10.2.0.0 255.255.0.0 172.16.0.1 1 /设置另一条指向内部的路由。总结:目前我们已经掌握了设置PIX的六大基本命令,通过这六个命令我们已经可以让PIX为我们的网络服务了
17、。不过让网络运行还远远不够,我们要有效的利用网络,合理的管理网络,这时候就需要一些高级命令了。PIX防火墙高级配置命令1、配置静态IP地址翻译(static):如果从外网发起一个会话,会话目的地址是一个内网的ip地址,static就把内部地址翻译成一个指定的全局地址,允许这个会话建立。static命令配置语法:static (internal_if_name,external_if_name) outside_ip_address inside_ ip_address其中internal_if_name表示内部网络接口,安全级别较高。如inside.。external_if_name为外部网络
18、接口,安全级别较低,如outside等。outside_ip_address为正在访问的较低安全级别的接口上的ip地址。inside_ ip_address为内部网络的本地ip地址。 示例语句如下:Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.8 /ip地址为192.168.0.8的主机,对于通过pix防火墙建立的每个会话,都被翻译成61.144.51.62这个全局地址,也可以理解成static命令创建了内部ip地址192.168.0.8和外部ip地址61.144.51.62之间的静态映射。PIX将把192.168
19、.0.8映射为61.144.51.62以便NAT更好的工作。小提示:使用static命令可以让我们为一个特定的内部ip地址设置一个永久的全局ip地址。这样就能够为具有较低安全级别的指定接口创建一个入口,使它们可以进入到具有较高安全级别的指定接口。2、管道命令(conduit):使用static命令可以在一个本地ip地址和一个全局ip地址之间创建了一个静态映射,但从外部到内部接口的连接仍然会被pix防火墙的自适应安全算法(ASA)阻挡,conduit命令用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口,例如允许从外部到DMZ或内部接口的入方向的会话。对于向内部接口的连接,stat
20、ic和conduit命令将一起使用,来指定会话的建立。说得通俗一点管道命令(conduit)就相当于以往CISCO设备的访问控制列表(ACL)。conduit命令配置语法:conduit permit|deny global_ip port-port protocol foreign_ip netmask其中permit|deny为允许|拒绝访问,global_ip指的是先前由global或static命令定义的全局ip地址,如果global_ip为0,就用any代替0;如果global_ip是一台主机,就用host命令参数。port指的是服务所作用的端口,例如www使用80,smtp使用25
21、等等,我们可以通过服务名称或端口数字来指定端口。protocol指的是连接协议,比如:TCP、UDP、ICMP等。foreign_ip表示可访问global_ip的外部ip。对于任意主机可以用any表示。如果foreign_ip是一台主机,就用host命令参数。示例语句如下:Pix525(config)#conduit permit tcp host 192.168.0.8 eq www any /表示允许任何外部主机对全局地址192.168.0.8的这台主机进行http访问。其中使用eq和一个端口来允许或拒绝对这个端口的访问。Eq ftp就是指允许或拒绝只对ftp的访问。Pix525(con
22、fig)#conduit deny tcp any eq ftp host 61.144.51.89 /设置不允许外部主机61.144.51.89对任何全局地址进行ftp访问。Pix525(config)#conduit permit icmp any any /设置允许icmp消息向内部和外部通过。Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.3Pix525(config)#conduit permit tcp host 61.144.51.62 eq www any这两句是将static和conduit语句结合
23、而生效的,192.168.0.3在内网是一台web服务器,现在希望外网的用户能够通过pix防火墙得到web服务。所以先做static静态映射把内部IP192.168.0.3转换为全局IP61.144.51.62,然后利用conduit命令允许任何外部主机对全局地址61.144.51.62进行http访问。小提示:对于上面的情况不使用conduit语句设置容许访问规则是不可以的,因为默认情况下PIX不容许数据包主动从低安全级别的端口流向高安全级别的端口。3、配置fixup协议:fixup命令作用是启用,禁止,改变一个服务或协议通过pix防火墙,由fixup命令指定的端口是pix防火墙要侦听的服务
24、。示例例子如下:Pix525(config)#fixup protocol ftp 21 /启用ftp协议,并指定ftp的端口号为21Pix525(config)#fixup protocol http 80Pix525(config)#fixup protocol http 1080 /为http协议指定80和1080两个端口。Pix525(config)#no fixup protocol smtp 80 /禁用smtp协议。4、设置telnet:在pix5.0之前只能从内部网络上的主机通过telnet访问pix。在pix 5.0及后续版本中,可以在所有的接口上启用telnet到pix的访
25、问。当从外部接口要telnet到pix防火墙时,telnet数据流需要用ipsec提供保护,也就是说用户必须配置pix来建立一条到另外一台pix,路由器或vpn客户端的ipsec隧道。另外就是在PIX上配置SSH,然后用SSH client从外部telnet到PIX防火墙。我们可以使用telnet语句管理登录PIX的权限。telnet配置语法:telnet local_ip netmasklocal_ip 表示被授权通过telnet访问到pix的ip地址。如果不设此项,pix的配置方式只能由console进行。也就是说默认情况下只有通过console口才能配置PIX防火墙。小提示:由于管理PI
26、X具有一定的危险性,需要的安全级别非常高,所以不建议大家开放提供外网IP的telnet管理PIX的功能。如果实际情况一定要通过外网IP管理PIX则使用SSH加密手段来完成。03-Vlan配置一、虚拟局域网VLAN配置1配置VTP服务器S1#vlan database /进入vlan配置模式S1(vlan)#vtp server /设置该交换机为VTP服务器模式,考试时选默认是透明模式,但思科是默认为服务器模式。S1(vlan)#vtp domain domain-name /设置VTP管理域名称S1(vlan)#vtp pruning /启用VTP修剪功能S1(vlan)#exitS1#sho
27、w vtp status /显示VTP状态信息2配置VTP客户端S2#vlan databaseS2(vlan)#vtp client /设置该交换机为VTP客户端模式S2(vlan)#vtp domain domain-name /这里域名必须和上面的vtp服务器设置的domain名称一样S2(vlan)#exit3配置两个交换机之间的Trunk端口。S(config)#interface f0/1S(config-if)#switchport mode trunk /配置该端口为Trunk中继模式。S(config-if)#switchport trunk allowed vlan all
28、 /设置允许从该接口交换数据的vlanS(config-if)#Z4在VTP服务器上创建VLANS1#vlan databaseS1(vlan)#vlan 2 name vlan2 /创建一个Vlan 2 命名为vlan2S1(vlan)#vlan 3 name /创建一个Vlan 3,系统会自动命名为Vlan003S1(vlan)#exit4分配交换机端口到各个Vlan S(config)#interface f0/3 S(config-if)#switchport mode access /设置端口为静态VLAN访问模式S(config-if)#switchport access allo
29、wed vlan 2 /设置允许从该接口交换数据的vlanS(config-if)#Z 二、交换机基本配置-mac地址配置Switch(config)#mac-address-table aging-time 100 /设置学习的MAC地址的超时时间,默认300sSwitch(config)#mac-address-table permanent 0050.8DCB.FBD1 f0/3 /添加永久地址Switch(config)#mac-address-table resticted static 0050.8DCB.FBD2 f0/6 f0/7 /加入限制性静态地址,它是在设置永久性地址的基
30、础上,同时限制了源端口,它只允许所static配置的接口(f0/6)与指定的端口(f0/7)通信,提高安全性。Switch(config)#endSwitch#show mac-address-table (查看MAC地址表)Switch#clear mac-address-table dynamic (清除动态学习的MAC地址表项)Switch#clear mac-address-table resticted static (清除配置的限制性MAC地址表项)三、生成树快速端口(PortFast)配置STP PortFast是一个Catalyst的一个特性。在STP中,只有forwardin
31、g状态,port才能发送用户数据。如果一个port一开始是没有接pc,一旦pc接上,就会经历blocking(20s)-listening(15s)-learing(15s)-forwarding状态的变化。这样从pc接上网线,到能发送用户数据,缺省的配置下需要等50秒的时间,但如果设置了portfast,就使得该端口不再应用STP算法,一旦该端口物理上能工作,就立即将其置为“转发”状态。在基于IOS交换机上,PortFast只能用于连接到终端设备的接入层交换机端口上。开启PortFast命令:Switch(config)#interface f0/1Switch(config-if)#spa
32、nning-tree portfast如果把批次开启可以用:Switch(config)#interface range f0/1 3Switch(config-if-range)#spanning-tree portfast /注:只有在确认不会产生环路的端口上开启快速端口。四、STP的负载均衡配置1、使用STP端口权值(优先级)实现负载均衡当交换机的两个口形成环路时,STP端口优先级用来决定那个口是转发状态,那个处于阻塞的。可以通过修改Vlan对应端口的优先级来决定该VLAN的流量走两对Trunk链路中那一条。如上图,我们用端口F0/23做Trunk1,用f0/24做Trunk2。具体配置
33、如下:、配置VTP、VLAN及Trunk(和上面VLAN配置过程一样,我们把S1设成服务器模式,S2设为客户端模式)(配置vtp-在S1、S2上)S1#vlan database /进入VLAN配置子模式S1(vlan)#vtp serverS1(vlan)#vtp domain vtpserver /这三步也要在S2上执行,只是把第二步的Vtp server 换成vtp client(配置Trunk-在S1、S2上)S1(config)#interface f0/23S1(config-if)#switchport mode trunkS1(config-if)#exitS1(config)
34、#interface f0/24S1(config-if)#switchport mode trunk /在S2上执行同样的这几步操作。(配置VLAN-只在S1上)S1#vlan databaseS1(vlan)#vlan 2 name vlan2S1(vlan)#vlan 3 name vlan3 /依次创建2-5 vlan。S1(vlan)#exit、配置STP优先级-在vtp服务器S1上配置S1(config)#interface f0/23 /进入f0/23端口配置模式,Trunk1S1(config-if)#spanning-tree vlan 1 port-priority 10
35、/将vlan 1的端口优先级设为10(值越小,优先级越高!)S1(config-if)#spanning-tree vlan 2 port-priority 10 /将vlan 2的设为10,vlan3-5在该端口上是默认的128S1(config-if)#exitS1(config)#interface f0/24 /进入f0/24,Trunk2S1(config-if)#spanning-tree vlan 3 port-priority 10S1(config-if)#spanning-tree vlan 4 port-priority 10S1(config-if)#spanning-
36、tree vlan 5 port-priority 10 /同上,将vlan3-5的端口优先级设为10由于我们分别设置了不同Trunk上不同VLAN的优先级。而默认是128,这样,STP协议就可以根据这个优先级的大小来使Trunk1发送接收vlan1-2的数据;Trunk2发接vlan3-5的数据,从而实现负载均衡。2、使用STP路径值实现负载均衡如图示:Trunk1走VLAN1-2的数据,而Trunk2走VLAN3-5的数据。其中vtp、vlan、和trunk端口的配置都和上面一样,不再列出。各项都配置好后,在服务器模式的交换机S1上执行路径值的配置(路径值也叫端口开销,IEEE802.1d
37、规定默认值:10Gbps=2;1Gbps=4;100Mbps=19;10Mbps=100)S1(config)#interface f0/23S1(config-if)#spanning-tree vlan 3 cost 30S1(config-if)#spanning-tree vlan 4 cost 30S1(config-if)#spanning-tree vlan 5 cost 30 /分别设置vlan 3-5生成树路径值为30S1(config-if)#exitS1(config)#interface f0/24S1(config-if)#spanning-tree vlan 1 c
38、ost 30S1(config-if)#spanning-tree vlan 2 cost 30这样,通过将希望阻断的VLAN的生成树路径设大,stp协议就会阻断该VLAN从该Trunk上通过。五、EtherChannelEtherChannel有两个版本,Cisco的称为端口聚合协议PAgP(Port Aggregation Protocol),IEEE的802.3ad标准称为链路汇聚控制协议LACP(Link Aggregation Control Protocol),他们的配置有些不同。为避免有冗余链路的网络环境里出现环路,我们采用STP技术,但Spanning Tree冗余连接的工作方
39、式是:除了一条链路工作外,其余链路实际上是处于待机(Stand By)状态。那么能不能把这些冗余的链路利用起来以增加带宽呢?又如何让两条或多条链路同时工作呢?这就是在网络工程中常用的EtherChannel技术。Etherchannel特性在交换机到交换机、交换机到路由器、交换机到服务器之间提供冗余的、高速的连接方式,简单说就是将两个设备间多条FE或GE物理链路捆在一起组成一条设备间逻辑链路,从而达到增加带宽,提供冗余的目的。该技术容错能力好, 实体线路中断可以在数秒内切换至别条线路使用。以太channel在交换机间或者交换机和主机间提供最多800Mbps(fast etherchnnel)或
40、者最多8Gbps(Gigabit etherchannel)的全双工带宽。一个以太channel 最多由八个配置正确的端口构成。所有在同一个以太channel 中的接口必须具有相同的特性(如双工模式、速度、同为FE或GE端口、native VLAN,、VLAN range,、and trunking status and type.等),并且都要同时配置成二层接口或者三层接口。设定范例:S1(config)#interface range f0/1 - 2S1(config-if-range)#channel-group 1 mode passive/表示将Fa0/1,Fa0/2设成同一个gr
41、oup, 使用LACP的被动模式!S2(config)#interface range f0/1 - 2S2(config-if-range)#channel-group 1 mode active/将另一边的端口也以同样方式设定, 但mode设成active即可, 交换机会自己新增一个虚拟端口: Port-channel1(Po1), 它和实体接口一样使用,其成本为12。检查其状态,可用命令:show etherchannel detail;show etherchannel load-balance;show etherchannel portshow etherchannel port-
42、channel;show etherchannel protocol;show etherchannel summary04-ACL配置ACL命令和过滤规则访问控制列表(ACL)是应用在路由器接口上的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来判断决定。将数据包和访问列表进行比较时应遵循的重要规则:1. 数据包到来,则按顺序比较访问列表的每一行。2. 按顺序比较访问列表的各行,直到找到匹配的一行,一旦数据包和某行匹配,执行该行规则,不再进行后续比较。3. 最后一行隐含“deny”的意
43、义。如果数据包与访问列表中的所有行都不匹配,将被丢弃。4. IP访问控制列表会发送一个ICMP主机不可达的消息到数据包的发送者,然后丢弃数据包。5. 如果某个列表挂接在实际接口上,删除列表后,默认的deny any 规则会阻断那个接口的所有数据流量。有两种类型的ACL:标准的访问列表和扩展的访问列表标准访问控制列表控制基于过滤源地址的信息流。编号范围1-99,举例:router(config)#access-list 10 permit 172.16.0.0 0.0.255.255router(config)#access-list 20 deny 192.168.1.0 0.0.0.255r
44、outer(config)#access-list 20 permit any /注意这个编号20的ACL的顺序,如果调换顺序,就不起任何作用。router(config)#access-list 30 deny host 192.168.1.1 /host表精确匹配,默认掩码码为0.0.0.0,指定单个主机。注意:在访问列表的最后默认定义了一条deny any any 语句。扩展访问控制列表比标准访问控制列表具有更多的匹配项,包括协议类型、源地址、目的地址、源端口、目的端口、IP优先级等。编号范围是从100到199,格式一般为:access-list ACL号 permit|deny 协议
45、定义过滤源主机范围 定义过滤源端口 定义过滤目的主机访问 定义过滤目的端口access-list 100 permit ip 172.16.0.0 0.0.255.255 192.168.1.0 0.0.0.255access-list 101 deny tcp any host 192.168.1.1 eq www /这句命令是将所有主机访问192.168.1.1上网页服务(WWW)TCP连接的数据包丢弃。access-list 101 permit tcp any host 198.78.46.8 eq smtp /允许来自任何主机的TCP报文到达特定主机198.78.46.8的smtp服
46、务端口(25)注意:这里eq 就是等于的意思。端口号的指定可以用几种不同的方法。可以用数字或一个可识别的助记符。可以使用80或http或www来指定Web的超文本传输协议。对于使用数字的端口号,还可以用、=以及不等于来进行设置。命名访问列表只是创建标准或扩展访问列表的另一种方法而已。所谓命名是以列表名代替列表编号来定义IP访问控制列表的。举例如下:Router(config)#ip access-list extended http-notRouter(config-ext-nacl)#deny tcp 172.16.10.0 0.0.0.255 host 172.16.1.2 eq 23Router(config-ext-nacl)# permit ip any anyRouter(config-ext-nacl)#exit入口访问列表和出口访问列表:通过上面方法创建的访问列表,要应用到路由器的一个要进行过滤的接口上,并且指定将它应用到哪一个方向的流量上时,才真正的被激活而
