CISCO路由器配置

1、第六章 cisco路由器配置6.1 路 由 器 配 置 基 礎(chǔ)6.1.1 基本設(shè)置方式如圖6-1所示一般來說，可以用5種方式來設(shè)置路由器： 圖6-1 5種方式來設(shè)置路由器1console口接終端或運(yùn)行終端仿真軟件的微機(jī)； 2aux口接modem，通過電話線與遠(yuǎn)方的終端或運(yùn)行終端仿真軟件的微機(jī)相連； 3通過ethernet上的tftp服務(wù)器； 4通過ethernet上的telnet程序； 5通過ethernet上的snmp網(wǎng)管工作站。 但路由器的第一次設(shè)置必須通過第一種方式進(jìn)行,此時(shí)終端的硬件設(shè)置如下: 波特率 ：9600 數(shù)據(jù)位 ：8 停止位 ：1 奇偶校驗(yàn): 無 6.1.2 命令狀態(tài)1. r

2、outer 路由器處于用戶命令狀態(tài)，這時(shí)用戶可以看路由器的連接狀態(tài)，訪問其它網(wǎng)絡(luò)和主機(jī)，但不能看到和更改路由器的設(shè)置內(nèi)容。 2. router# 在router提示符下鍵入enable,路由器進(jìn)入特權(quán)命令狀態(tài)router#，這時(shí)不但可以執(zhí)行所有的用戶命令，還可以看到和更改路由器的設(shè)置內(nèi)容。 3. router(config)# 在router#提示符下鍵入configure terminal,出現(xiàn)提示符router(config)#，此時(shí)路由器處于全局設(shè)置狀態(tài)，這時(shí)可以設(shè)置路由器的全局參數(shù)。 4. router(config-if)#; router(config-line)#; router

3、(config-router)#; 路由器處于局部設(shè)置狀態(tài)，這時(shí)可以設(shè)置路由器某個(gè)局部的參數(shù)。 5. 路由器處于rxboot狀態(tài)，在開機(jī)后60秒內(nèi)按ctrl-break可進(jìn)入此狀態(tài)，這時(shí)路由器不能完成正常的功能，只能進(jìn)行軟件升級和手工引導(dǎo)。 6. 設(shè)置對話狀態(tài) 這是一臺新路由器開機(jī)時(shí)自動(dòng)進(jìn)入的狀態(tài)，在特權(quán)命令狀態(tài)使用setup命令也可進(jìn)入此狀態(tài)，這時(shí)可通過對話方式對路由器進(jìn)行設(shè)置。6.1.3 設(shè)置對話過程1.顯示提示信息2.全局參數(shù)的設(shè)置3.接口參數(shù)的設(shè)置4.顯示結(jié)果利用設(shè)置對話過程可以避免手工輸入命令的煩瑣，但它還不能完全代替手工設(shè)置，一些特殊的設(shè)置還必須通過手工輸入的方式完成。進(jìn)入設(shè)置對話

4、過程后，路由器首先會顯示一些提示信息：- system configuration dialog - at any point you may enter a question mark ? for help. use ctrl-c to abort configuration dialog at any prompt. default settings are in square brackets . 這是告訴你在設(shè)置對話過程中的任何地方都可以鍵入“？”得到系統(tǒng)的幫助，按ctrl-c可以退出設(shè)置過程，缺省設(shè)置將顯示在中。然后路由器會問是否進(jìn)入設(shè)置對話：would you like to en

5、ter the initial configuration dialog? yes: 如果按y或回車，路由器就會進(jìn)入設(shè)置對話過程。首先你可以看到各端口當(dāng)前的狀況： first, would you like to see the current interface summary? yes: any interface listed with ok? value no does not have a valid configuration 表6-1interface ip-address ok? method status protocol ethernet0 unassigned no un

6、set up up serial0 unassigned no unset up up 然后，路由器就開始全局參數(shù)的設(shè)置： configuring global parameters: 1設(shè)置路由器名： enter host name router: 2設(shè)置進(jìn)入特權(quán)狀態(tài)的密文(secret)，此密文在設(shè)置以后不會以明文方式顯示： the enable secret is a one-way cryptographic secret used instead of the enable password when it exists. enter enable secret: cisco 3設(shè)置

7、進(jìn)入特權(quán)狀態(tài)的密碼(password)，此密碼只在沒有密文時(shí)起作用，并且在設(shè)置以后會以明文方式顯示： the enable password is used when there is no enable secret and when using older software and some boot images. enter enable password: pass 4設(shè)置虛擬終端訪問時(shí)的密碼： enter virtual terminal password: cisco 5詢問是否要設(shè)置路由器支持的各種網(wǎng)絡(luò)協(xié)議： configure snmp network management?

8、 yes: configure decnet? no: configure appletalk? no: configure ipx? no: configure ip? yes: configure igrp routing? yes: configure rip routing? no: 6如果配置的是撥號訪問服務(wù)器，系統(tǒng)還會設(shè)置異步口的參數(shù)： configure async lines? yes: 1) 設(shè)置線路的最高速度： async line speed 9600: 2) 是否使用硬件流控： configure for hw flow control? yes: 3) 是否設(shè)置mod

9、em： configure for modems? yes/no: yes 4) 是否使用默認(rèn)的modem命令： configure for default chat script? yes: 5) 是否設(shè)置異步口的ppp參數(shù)： configure for dial-in ip slip/ppp access? no: yes 6) 是否使用動(dòng)態(tài)ip地址： configure for dynamic ip addresses? yes: 7) 是否使用缺省ip地址： configure default ip addresses? no: yes 8) 是否使用tcp頭壓縮： configure

10、 for tcp header compression? yes: 9) 是否在異步口上使用路由表更新： configure for routing updates on async links? no: y 10) 是否設(shè)置異步口上的其它協(xié)議。 接下來，系統(tǒng)會對每個(gè)接口進(jìn)行參數(shù)的設(shè)置。 configuring interface ethernet0: 1)是否使用此接口： is this interface in use? yes: 2)是否設(shè)置此接口的ip參數(shù)： configure ip on this interface? yes: 3)設(shè)置接口的ip地址： ip address for

11、 this interface: 4)設(shè)置接口的ip子網(wǎng)掩碼： number of bits in subnet field 0: class c network is , 0 subnet bits; mask is /24 在設(shè)置完所有接口的參數(shù)后，系統(tǒng)會把整個(gè)設(shè)置對話過程的結(jié)果顯示出來： the following configuration command script was created: hostname router enable secret 5 $1$w5oh$p6j7tigrmboikvxvg53uh1 enable

12、 password pass 請注意在enable secret后面顯示的是亂碼，而enable password后面顯示的是設(shè)置的內(nèi)容。 顯示結(jié)束后，系統(tǒng)會問是否使用這個(gè)設(shè)置： use this configuration? yes/no: yes 如果回答yes，系統(tǒng)就會把設(shè)置的結(jié)果存入路由器的nvram中，然后結(jié)束設(shè)置對話過程，使路由器開始正常的工作。6.1.4 常用命令1.幫助在ios操作中，無論任何狀態(tài)和位置，都可以鍵入“？”得到系統(tǒng)的幫助。2.改變命令狀態(tài) 表6-2任務(wù) 命令 進(jìn)入特權(quán)命令狀態(tài) enable 退出特權(quán)命令狀態(tài) disable 進(jìn)入設(shè)置對話狀態(tài) setup 進(jìn)入全局設(shè)

13、置狀態(tài) config terminal 退出全局設(shè)置狀態(tài) end 進(jìn)入端口設(shè)置狀態(tài) interface type slot/number 進(jìn)入子端口設(shè)置狀態(tài) interface type number.subinterface point-to-point | multipoint 進(jìn)入線路設(shè)置狀態(tài) line type slot/number 進(jìn)入路由設(shè)置狀態(tài) router protocol 退出局部設(shè)置狀態(tài) exit 3.顯示命令表6-3任務(wù) 命令 查看版本及引導(dǎo)信息 show version 查看運(yùn)行設(shè)置 show running-config 查看開機(jī)設(shè)置 show startup-co

14、nfig 顯示端口信息 show interface type slot/number 顯示路由信息 show ip router 4.拷貝命令用于ios及config的備份和升級 圖6-2 路由器的備份5.網(wǎng)絡(luò)命令 表6-4任務(wù) 命令 登錄遠(yuǎn)程主機(jī) telnet hostname|ip address 網(wǎng)絡(luò)偵測 ping hostname|ip address 路由跟蹤 trace hostname|ip address 6. 基本設(shè)置命令表6-5任務(wù) 命令 全局設(shè)置 config terminal 設(shè)置訪問用戶及密碼 username username password password

15、設(shè)置特權(quán)密碼 enable secret password 設(shè)置路由器名 hostname name 設(shè)置靜態(tài)路由 ip route destination subnet-mask next-hop 啟動(dòng)ip路由 ip routing 啟動(dòng)ipx路由 ipx routing 端口設(shè)置 interface type slot/number 設(shè)置ip地址 ip address address subnet-mask 設(shè)置ipx網(wǎng)絡(luò) ipx network network 激活端口 no shutdown 物理線路設(shè)置 line type number 啟動(dòng)登錄進(jìn)程 login local|taca

16、cs server 設(shè)置登錄密碼 password password 6.1.5 配置ip尋址1. ip地址分類ip地址分為網(wǎng)絡(luò)地址和主機(jī)地址二個(gè)部分，a類地址前8位為網(wǎng)絡(luò)地址，后24位為主機(jī)地址，b類地址16位為網(wǎng)絡(luò)地址，后16位為主機(jī)地址，c類地址前24位為網(wǎng)絡(luò)地址，后8位為主機(jī)地址，網(wǎng)絡(luò)地址范圍如下表6-6所示：表6-6種類 網(wǎng)絡(luò)地址范圍 a 到有效 和保留 b 到有效 和保留 c 到有效 192.

17、0.0.0和保留 d 到55用于多點(diǎn)廣播 e 到54保留 55用于廣播 2.分配接口ip地址表6-7任務(wù) 命令 接口設(shè)置 interface type slot/number 為接口設(shè)置ip地址 ip address ip-address mask 掩瑪（mask）用于識別ip地址中的網(wǎng)絡(luò)地址位數(shù)，ip地址（ip-address）和掩碼（mask）相與即得到網(wǎng)絡(luò)地址。3.使用可變長的子網(wǎng)掩碼通過使用可變長的子網(wǎng)掩碼可以讓位于不同接口的同一網(wǎng)絡(luò)編號的網(wǎng)絡(luò)使用

18、不同的掩碼，這樣可以節(jié)省ip地址，充分利用有效的ip地址空間。如下圖6-3所示：圖6-3 可變長的子網(wǎng)掩碼 router1和router2的e0端口均使用了c類地址作為網(wǎng)絡(luò)地址，router1的e0的ip地址為28,掩碼為92, router2的e0的網(wǎng)絡(luò)地址為4,掩碼為92，這樣就將一個(gè)c類網(wǎng)絡(luò)地址分配給了二個(gè)網(wǎng)，既劃分了二個(gè)子網(wǎng)，起到了節(jié)約地址的作用。6.1.6 配置靜態(tài)路由通過配置靜態(tài)路由，用戶可以人為地指定對某一網(wǎng)絡(luò)訪問時(shí)所要經(jīng)過的路徑,在網(wǎng)絡(luò)結(jié)構(gòu)比較簡單，且一般到達(dá)某一網(wǎng)絡(luò)所經(jīng)過

19、的路徑唯一的情況下采用靜態(tài)路由。表6-8任務(wù)命令建立靜態(tài)路由ip route prefix mask address | interface distance tag tag permanentprefix :所要到達(dá)的目的網(wǎng)絡(luò)mask :子網(wǎng)掩碼address :下一個(gè)跳的ip地址，即相鄰路由器的端口地址。interface :本地網(wǎng)絡(luò)接口distance :管理距離（可選）tag tag :tag值（可選）permanent:指定此路由即使該端口關(guān)掉也不被移掉。圖6-4 以下在router1上設(shè)置了訪問4/26這個(gè)網(wǎng)下一跳地址為,即當(dāng)有目的地址屬于

20、4/26的網(wǎng)絡(luò)范圍的數(shù)據(jù)報(bào)，應(yīng)將其路由到地址為的相鄰路由器。在router3上設(shè)置了訪問28/26及/30這二個(gè)網(wǎng)下一跳地址為5。由于在router1上端口serial 0地址為，/30這個(gè)網(wǎng)屬于直連的網(wǎng)，已經(jīng)存在訪問/30的路徑，所以不需要在router1上添加靜態(tài)路由。router1:ip route 4 92 router3:ip route 192

21、.1.0.128 92 5ip route 52 5 同時(shí)由于路由器router3除了與路由器router2相連外，不再與其他路由器相連，所以也可以為它賦予一條默認(rèn)路由以代替以上的二條靜態(tài)路由，ip route 5即只要沒有在路由表里找到去特定目的地址的路徑,則數(shù)據(jù)均被路由到地址為5的相鄰路由器。6.2 rip 路 由 協(xié) 議 設(shè) 置rip(routing information protocol)是應(yīng)用較早、使用

22、較普遍的內(nèi)部網(wǎng)關(guān)協(xié)議(interior gateway protocol,簡稱igp)，適用于小型同類網(wǎng)絡(luò)，是典型的距離向量(distance-vector)協(xié)議。文檔見rfc1058、rfc1723。 rip通過廣播udp報(bào)文來交換路由信息，每30秒發(fā)送一次路由信息更新。rip提供跳躍計(jì)數(shù)(hop count)作為尺度來衡量路由距離，跳躍計(jì)數(shù)是一個(gè)包到達(dá)目標(biāo)所必須經(jīng)過的路由器的數(shù)目。如果到相同目標(biāo)有二個(gè)不等速或不同帶寬的路由器，但跳躍計(jì)數(shù)相同，則rip認(rèn)為兩個(gè)路由是等距離的。rip最多支持的跳數(shù)為15，即在源和目的網(wǎng)間所要經(jīng)過的最多路由器的數(shù)目為15，跳數(shù)16表示不可達(dá)。1. 有關(guān)命令表6-

23、9任務(wù) 命令 指定使用rip協(xié)議 router rip 指定rip版本 version 1|21 指定與該路由器相連的網(wǎng)絡(luò) network network 注：1.cisco的rip版本2支持驗(yàn)證、密鑰管理、路由匯總、無類域間路由(cidr)和變長子網(wǎng)掩碼(vlsms) 2. 舉例圖6-5 router1: router rip version 2 network network ！ 相關(guān)調(diào)試命令： show ip protocol show ip route6.3 ospf 協(xié) 議 配 置ospf(open shortest path fir

24、st)是一個(gè)內(nèi)部網(wǎng)關(guān)協(xié)議(interior gateway protocol,簡稱igp)，用于在單一自治系統(tǒng)(autonomous system,as)內(nèi)決策路由。與rip相對，ospf是鏈路狀態(tài)路有協(xié)議，而rip是距離向量路由協(xié)議。鏈路是路由器接口的另一種說法，因此ospf也稱為接口狀態(tài)路由協(xié)議。ospf通過路由器之間通告網(wǎng)絡(luò)接口的狀態(tài)來建立鏈路狀態(tài)數(shù)據(jù)庫，生成最短路徑樹，每個(gè)ospf路由器使用這些最短路徑構(gòu)造路由表。1有關(guān)命令全局設(shè)置表6-10任務(wù)命令指定使用ospf協(xié)議router ospf process-id1指定與該路由器相連的網(wǎng)絡(luò)network address wildcard

25、-mask area area-id2指定與該路由器相鄰的節(jié)點(diǎn)地址neighbor ip-address注：1、ospf路由進(jìn)程process-id必須指定范圍在1-65535，多個(gè)ospf進(jìn)程可以在同一個(gè)路由器上配置，但最好不這樣做。多個(gè)ospf進(jìn)程需要多個(gè)ospf數(shù)據(jù)庫的副本，必須運(yùn)行多個(gè)最短路徑算法的副本。process-id只在路由器內(nèi)部起作用，不同路由器的process-id可以不同。注：2、wildcard-mask 是子網(wǎng)掩碼的反碼, 網(wǎng)絡(luò)區(qū)域id area-id在0-4294967295內(nèi)的十進(jìn)制數(shù)，也可以是帶有ip地址格式的x.x.x.x。當(dāng)網(wǎng)絡(luò)區(qū)域id為0或時(shí)

26、為主干域。不同網(wǎng)絡(luò)區(qū)域的路由器通過主干域?qū)W習(xí)路由信息。2基本配置舉例圖6-6 router1:interface ethernet 0ip address 29 92!interface serial 0ip address 52!router ospf 100network area 0network 28 3 area 1!router2:interface ethernet 0ip address 5

27、92!interface serial 0ip address 52!router ospf 200network area 0network 4 3 area 2!router3:interface ethernet 0ip address 30 92!router ospf 300network 28 3 area 1!router4:interface ether

28、net 0ip address 6 92!router ospf 400network 4 3 area 1!相關(guān)調(diào)試命令：debug ip ospf eventsdebug ip ospf packetshow ip ospfshow ip ospf databaseshow ip ospf interfaceshow ip ospf neighborshow ip route6.4 路 由 器 訪 問 控 制 列 表 詳 解6.4.1 網(wǎng)絡(luò)安全保障的第一道關(guān)卡對于許多網(wǎng)管員來說，配置路由器的訪問控制列表是一件經(jīng)常性

29、的工作，可以說，路由器的訪問控制列表是網(wǎng)絡(luò)安全保障的第一道關(guān)卡。訪問列表提供了一種機(jī)制，它可以控制和過濾通過路由器的不同接口去往不同方向的信息流。這種機(jī)制允許用戶使用訪問表來管理信息流，以制定公司內(nèi)部網(wǎng)絡(luò)的相關(guān)策略。這些策略可以描述安全功能，并且反映流量的優(yōu)先級別。例如，某個(gè)組織可能希望允許或拒絕internet對內(nèi)部web服務(wù)器的訪問，或者允許內(nèi)部局域網(wǎng)上一個(gè)或多個(gè)工作站能夠?qū)?shù)據(jù)流發(fā)到廣域網(wǎng)上。這些情形，以及其他的一些功能都可以通過訪問表來達(dá)到目的。6.4.2 訪問列表的種類劃分目前的路由器一般都支持兩種類型的訪問表：基本訪問表和擴(kuò)展訪問表?；驹L問表控制基于網(wǎng)絡(luò)地址的信息流，且只允許過濾

30、源地址。擴(kuò)展訪問表通過網(wǎng)絡(luò)地址和傳輸中的數(shù)據(jù)類型進(jìn)行信息流控制，允許過濾源地址、目的地址和上層應(yīng)用數(shù)據(jù)。表6-11列出了路由器所支持的不同訪問表的號碼范圍。由于篇幅所限，本文只對標(biāo)準(zhǔn)訪問列表和擴(kuò)展訪問列表進(jìn)行討論。 1、標(biāo)準(zhǔn)ip訪問表標(biāo)準(zhǔn)ip訪問表的基本格式為：access-list list numberpermit|denyhost/anysourceaddresswildcard-masklog下面對標(biāo)準(zhǔn)ip訪問表基本格式中的各項(xiàng)參數(shù)進(jìn)行解釋：（1）list number-表號范圍標(biāo)準(zhǔn)ip訪問表的表號標(biāo)識是從1到99。（2）permit/deny-允許或拒絕關(guān)鍵字permit和deny用

31、來表示滿足訪問表項(xiàng)的報(bào)文是允許通過接口，還是要過濾掉。permit表示允許報(bào)文通過接口，而deny表示匹配標(biāo)準(zhǔn)ip訪問表源地址的報(bào)文要被丟棄掉。（3）source address-源地址對于標(biāo)準(zhǔn)的ip訪問表，源地址是主機(jī)或一組主機(jī)的點(diǎn)分十進(jìn)制表示，如:。（4）host/any-主機(jī)匹配host和any分別用于指定單個(gè)主機(jī)和所有主機(jī)。host表示一種精確的匹配，其屏蔽碼為。例如，假定我們希望允許從來的報(bào)文，則使用標(biāo)準(zhǔn)的訪問控制列表語句如下:access-list 1 permit 如果采用關(guān)鍵字hos

32、t，則也可以用下面的語句來代替：access-list 1 permithost 也就是說，host是0.0.0.o通配符屏蔽碼的簡寫。與此相對照，any是源地證/目標(biāo)地址0.o.o.o/55的簡寫。假定我們要拒絕從源地址來的報(bào)文，并且要允許從其他源地址來的報(bào)文，標(biāo)準(zhǔn)的ip訪問表可以使用下面的語句達(dá)到這個(gè)目的:access-list 1 deny host access-list 1 permit any注意，這兩條語句的順序;訪問表語句的處理順序是由上到下的。如果我們將兩個(gè)語句順序顛倒，將permit

33、語句放在deny語句的前面，則我們將不能過濾來自主機(jī)地址的報(bào)文，因?yàn)閜ermit語句將允許所有的報(bào)文通過。所以說訪問表中的語句順序是很重要的,因?yàn)椴缓侠碚Z句順序?qū)诰W(wǎng)絡(luò)中產(chǎn)生安全漏洞，或者使得用戶不能很好地利用公司的網(wǎng)絡(luò)策略。（5）wi1dcardmask-通配符屏蔽碼cisco訪問表功能所支持的通配符屏蔽碼與子網(wǎng)屏蔽碼的方式是剛好相反的，也就是說，二進(jìn)制的o表示一個(gè)匹配條件，二進(jìn)制的1表示一個(gè)不關(guān)心條件。假設(shè)組織機(jī)構(gòu)擁有一個(gè)c類網(wǎng)絡(luò)，若不使用子網(wǎng)，則當(dāng)配置網(wǎng)絡(luò)中的每一個(gè)工作站時(shí)，使用于網(wǎng)屏蔽碼255.255.255.o。在這種情況下，1表示一個(gè)

34、匹配，而0表示一個(gè)不關(guān)心的條件。因?yàn)閏isco通配符屏蔽碼與子網(wǎng)屏蔽碼是相反的，所以匹配源網(wǎng)絡(luò)地址中的所有報(bào)文的通配符屏蔽碼為:0.0.o.255。（6）log-日志記錄log關(guān)鍵字只在ios版本11.3中存在。如果該關(guān)鍵字用于訪問表中，則對那些能夠匹配訪問表中的permit和deny語句的報(bào)文進(jìn)行日志記錄。日志信息包含訪問表號、報(bào)文的允許或拒絕、源ip地址以及在顯示了第一個(gè)匹配以來每5分鐘間隔內(nèi)的報(bào)文數(shù)目。使用log關(guān)鍵字，會使控制臺日志提供測試和報(bào)警兩種功能。系統(tǒng)管理員可以使用日志來觀察不同活動(dòng)下的報(bào)文匹配情況，從而可以測試不同訪問表的設(shè)計(jì)情況。當(dāng)其用于報(bào)警時(shí)，管理員

35、可以察看顯示結(jié)果，以定位那些多次嘗試活動(dòng)被拒絕的訪問表語句。執(zhí)行一個(gè)訪問表語句的多次嘗試活動(dòng)被拒絕，很可能表明有潛在的黑客攻擊活動(dòng)。2、擴(kuò)展的ip訪問控制列表顧名思義，擴(kuò)展的ip訪問表用于擴(kuò)展報(bào)文過濾能力。一個(gè)擴(kuò)展的ip訪問表允許用戶根據(jù)如下內(nèi)容過濾報(bào)文:源和目的地址、協(xié)議、源和目的端口以及在特定報(bào)文字段中允許進(jìn)行特殊位比較等等。一個(gè)擴(kuò)展的ip訪問表的一般語法格或如下所示:access-listlist numberpermit/denyprotocolsource addresssource-wildcardsource portdestination addressdestination-

36、wildcarddestination portlogoption下面簡要介紹各個(gè)關(guān)鍵字的功能:（1）list number-表號范圍擴(kuò)展ip訪問表的表號標(biāo)識從l00到199。（2）protocol-協(xié)議協(xié)議項(xiàng)定義了需要被過濾的協(xié)議，例如ip、tcp、udp、1cmp等等。協(xié)議選項(xiàng)是很重要的，因?yàn)樵趖cp/ip協(xié)議棧中的各種協(xié)議之間有很密切的關(guān)系，如果管理員希望根據(jù)特殊協(xié)議進(jìn)行報(bào)文過濾，就要指定該協(xié)議。另外，管理員應(yīng)該注意將相對重要的過濾項(xiàng)放在靠前的位置。如果管理員設(shè)置的命令中，允許ip地址的語句放在拒絕tcp地址的語句前面，則后一個(gè)語句根本不起作用。但是如果將這兩條語句換一下位置，則在允許該

37、地址上的其他協(xié)議的同時(shí)，拒絕了tcp協(xié)議。（3）源端口號和目的端口號源端口號可以用幾種不同的方法來指定。它可以顯式地指定，使用一個(gè)數(shù)字或者使用一個(gè)可識別的助記符。例如，我們可以使用80或者h(yuǎn)ttp來指定web的超文本傳輸協(xié)議。對于tcp和udp，讀者可以使用操作符 (大于)=(等于)以及(不等于)來進(jìn)行設(shè)置。目的端口號的指定方法與源端口號的指定方法相同。讀者可以使用數(shù)字、助記符或者使用操作符與數(shù)字或助記符相結(jié)合的格式來指定一個(gè)端口范圍。下面的實(shí)例說明了擴(kuò)展ip訪問表中部分關(guān)鍵字使用方法:access-list 101 permit tcp any host eq smt

38、paccess-list 101 permit tcp any host eq www第一個(gè)語句允許來自任何主機(jī)的tcp報(bào)文到達(dá)特定主機(jī)的smtp服務(wù)端口(25);第二個(gè)語句允許任何來自任何主機(jī)的tcp報(bào)文到達(dá)指定的主機(jī)的www或http服務(wù)端口(80)。（4）選項(xiàng)擴(kuò)展的ip訪問表支持很多選項(xiàng)。其中一個(gè)常用的選項(xiàng)有l(wèi)og，它已在前面討論標(biāo)準(zhǔn)訪問表時(shí)介紹過了。另一個(gè)常用的選項(xiàng)是fistahlishfid，該選項(xiàng)只用于tcp協(xié)議并且只在tcp通信流的一個(gè)方向上來響應(yīng)由另一端發(fā)起的會話。為了實(shí)現(xiàn)該功能，使用estab1ished選項(xiàng)

39、的訪問表語句檢查每個(gè) tcp報(bào)文，以確定報(bào)文的ack或rst位是否已設(shè)置。例如，考慮如下擴(kuò)展的ip訪問表語句:access-list 101 permit tcp any host established該語句的作用是:只要報(bào)文的ack和rst位被設(shè)置，該訪問表語句就允許來自任何源地址的tcp報(bào)文流到指定的主機(jī)。這意味著主機(jī)此前必須發(fā)起tcp會話。（5）其他關(guān)鍵字deny/permit、源地址和通配符屏蔽碼、目的地址和通配符屏蔽碼以及host/any的使用均與標(biāo)準(zhǔn)ip訪問表中的相同。表6-12是對部分關(guān)鍵字的具體解釋。表 6-

40、12：3、管理和使用訪問表在一個(gè)接口上配置訪問表需要三個(gè)步驟：(1)定義訪問表;(2)指定訪問表所應(yīng)用的接口;(3)定義訪問表作用于接口上的方向。我們已經(jīng)討論了如何定義標(biāo)準(zhǔn)的和擴(kuò)展的ip訪問表，下面將討論如何指定訪問表所用的接口以及接口應(yīng)用的方向。一般地，采用interface命令指定一個(gè)接口。例如，為了將訪問表應(yīng)用于串口0，應(yīng)使用如下命令指定此端口:interface serial0類似地，為將訪問表應(yīng)用于路由器的以太網(wǎng)端口上時(shí)，假定端口為ethernet0，則應(yīng)使用如下命令來指定此端口：interface ethernet0在上述三個(gè)步驟中的第三步是定義訪問表所應(yīng)用的接口方向，通常使用ip

41、 access-group命令來指定。其中，列表號標(biāo)識訪問表，而關(guān)鍵字in或out則指明訪問表所使用的方向。方向用于指出是在報(bào)文進(jìn)入或離開路由器接口時(shí)對其進(jìn)行過濾。如下的實(shí)例將這三個(gè)步驟綜合在一起：intface serial0ip access-group 107 inaccess-list 107 remark allow traffic to toms pcaccess-list 107 ip any host access-list 107 remark allow only web traffic to webserveraccess-list 107 tcp

42、any host 2 eq 80access-list 107 remark block everything elseaccess-list 107 deny any any在本例中，先使用interface命令指定串行端口0，并使用ipaccess-group命令來將訪問表l07中的語句應(yīng)用于串行接口的向內(nèi)方向上。最后，輸入6個(gè)訪問表語句，其中三條訪問表語句使用關(guān)鍵字remark，以提供關(guān)于列表中后繼語句的注解說明。注意訪問表中的最后一條語句，它表示了每個(gè)訪問表相關(guān)的隱含denyall設(shè)置，并且如果不顯式地列出是不會看到該語句的。如果讀者希望從路由器的控制臺端口相連的

43、終端上直接輸入這些命令和語句，則應(yīng)該先使用exec特權(quán)命令。這個(gè)終端會話過程的實(shí)例如下圖6-7所示：圖6-7 此外，當(dāng)讀者配置訪問表后使用ios的show命令查看列表時(shí)，有時(shí)很容易被顯示出來的內(nèi)容所迷惑，這是由于當(dāng)通配符屏蔽碼位被置為1(無關(guān))時(shí)，1os將該訪問表表項(xiàng)的ip地址部分的該位設(shè)置為二進(jìn)制0。例如，輸入如下的配置命令，用于創(chuàng)建一個(gè)擴(kuò)展的ip訪問表，并將其列表內(nèi)容顯示出來：router# config terminalrouter(config)#access-list 101 permit ip 0 55 host rou

44、ter(config)#exitrouter#show access-list 101extended ip acces list 101permit ip 55 host 在本例中，由于c類地址的通配符屏蔽碼的主機(jī)子段被設(shè)置為全1(255)，所以網(wǎng)絡(luò)上的主機(jī)地址0被自動(dòng)轉(zhuǎn)換為網(wǎng)段地址。6.5 路 由 器 nat 功 能 配 置 簡 介隨著internet的網(wǎng)絡(luò)迅速發(fā)展，ip地址短缺已成為一個(gè)十分突出的問題。為了解決這個(gè)問題，出現(xiàn)了多種解決方案。下面幾紹一種在目前網(wǎng)絡(luò)環(huán)境中比較有效的方法

45、即地址轉(zhuǎn)換(nat)功能。 6.5.1 nat簡介nat(network address translation)的功能，就是指在一個(gè)網(wǎng)絡(luò)內(nèi)部，根據(jù)需要可以隨意自定義的ip地址，而不需要經(jīng)過申請。在網(wǎng)絡(luò)內(nèi)部，各計(jì)算機(jī)間通過內(nèi)部的ip地址進(jìn)行通訊。而當(dāng)內(nèi)部的計(jì)算機(jī)要與外部internet網(wǎng)絡(luò)進(jìn)行通訊時(shí)，具有nat功能的設(shè)備（比如：路由器）負(fù)責(zé)將其內(nèi)部的ip地址轉(zhuǎn)換為合法的ip地址（即經(jīng)過申請的ip地址）進(jìn)行通信。 6.5.2 nat的應(yīng)用環(huán)境情況1：一個(gè)企業(yè)不想讓外部網(wǎng)絡(luò)用戶知道自己的網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)，可以通過nat將內(nèi)部網(wǎng)絡(luò)與外部internet 隔離開，則外部用戶根本不知道通過nat設(shè)置的內(nèi)部i

46、p地址。 情況2：一個(gè)企業(yè)申請的合法internet ip地址很少，而內(nèi)部網(wǎng)絡(luò)用戶很多。可以通過nat功能實(shí)現(xiàn)多個(gè)用戶同時(shí)公用一個(gè)合法ip與外部internet 進(jìn)行通信。 6.5.3 設(shè)置nat所需路由器的硬件配置和軟件配置設(shè)置nat功能的路由器至少要有一個(gè)內(nèi)部端口（inside），一個(gè)外部端口（outside）。內(nèi)部端口連接的網(wǎng)絡(luò)用戶使用的是內(nèi)部ip地址。 內(nèi)部端口可以為任意一個(gè)路由器端口。外部端口連接的是外部的網(wǎng)絡(luò)，如internet 。外部端口可以為路由器上的任意端口。 設(shè)置nat功能的路由器的ios應(yīng)支持nat功能(本文事例所用路由器為isco2501，其ios為11.2版本以上支持

47、nat功能)。 6.5.4 關(guān)于nat的幾個(gè)概念內(nèi)部本地地址（inside local address）：分配給內(nèi)部網(wǎng)絡(luò)中的計(jì)算機(jī)的內(nèi)部ip地址。 內(nèi)部合法地址（inside global address）：對外進(jìn)入ip通信時(shí)，代表一個(gè)或多個(gè)內(nèi)部本地地址的合法ip地址。需要申請才可取得的ip地址。 6.5.5 nat的設(shè)置方法nat設(shè)置可以分為靜態(tài)地址轉(zhuǎn)換、動(dòng)態(tài)地址轉(zhuǎn)換、復(fù)用動(dòng)態(tài)地址轉(zhuǎn)換。 1、靜態(tài)地址轉(zhuǎn)換適用的環(huán)境 靜態(tài)地址轉(zhuǎn)換將內(nèi)部本地地址與內(nèi)部合法地址進(jìn)行一對一的轉(zhuǎn)換，且需要指定和哪個(gè)合法地址進(jìn)行轉(zhuǎn)換。如果內(nèi)部網(wǎng)絡(luò)有e-mail服務(wù)器或ftp服務(wù)器等可以為外部用戶提供的服務(wù)，這些服務(wù)器的

48、ip地址必須采用靜態(tài)地址轉(zhuǎn)換，以便外部用戶可以使用這些服務(wù)。 靜態(tài)地址轉(zhuǎn)換基本配置步驟： （1）、在內(nèi)部本地地址與內(nèi)部合法地址之間建立靜態(tài)地址轉(zhuǎn)換。在全局設(shè)置狀態(tài)下輸入： ip nat inside source static 內(nèi)部本地地址 內(nèi)部合法地址 （2）、指定連接網(wǎng)絡(luò)的內(nèi)部端口 在端口設(shè)置狀態(tài)下輸入： ip nat inside （3）、指定連接外部網(wǎng)絡(luò)的外部端口 在端口設(shè)置狀態(tài)下輸入： ip nat outside 注：可以根據(jù)實(shí)際需要定義多個(gè)內(nèi)部端口及多個(gè)外部端口。 實(shí)例1：本實(shí)例實(shí)現(xiàn)靜態(tài)nat地址轉(zhuǎn)換功能。將2501的以太口作為內(nèi)部端口，同步端口作為外部端口。其中

49、，，的內(nèi)部本地地址采用靜態(tài)地址轉(zhuǎn)換。其內(nèi)部合法地址分別對應(yīng)為，，。 路由器2501的配置： current configuration： version 11.3 no service password-encryption hostname 2501 ip nat inside source static ip nat inside source static ip nat inside source static

50、 interface ethernet0 ip address ip nat inside interface serial0 ip address ip nat outside interface serial1 no ip address shutdown no ip classless ip route serial0 end 配置完成后可以用以下語句進(jìn)行查看： show ip nat statistcs show ip nat transla

51、tions 2、動(dòng)態(tài)地址轉(zhuǎn)換適用的環(huán)境動(dòng)態(tài)地址轉(zhuǎn)換也是將本地地址與內(nèi)部合法地址一對一的轉(zhuǎn)換，但是動(dòng)態(tài)地址轉(zhuǎn)換是從內(nèi)部合法地址池中動(dòng)態(tài)地選擇一個(gè)末使用的地址對內(nèi)部本地地址進(jìn)行轉(zhuǎn)換。 動(dòng)態(tài)地址轉(zhuǎn)換基本配置步驟： （1）、在全局設(shè)置模式下，定義內(nèi)部合法地址池 ip nat pool 地址池名稱 起始ip地址 終止ip地址 子網(wǎng)掩碼 其中地址池名稱可以任意設(shè)定。 （2）、在全局設(shè)置模式下，定義一個(gè)標(biāo)準(zhǔn)的access-list規(guī)則以允許哪些內(nèi)部地址可以進(jìn)行動(dòng)態(tài)地址轉(zhuǎn)換。 access-list 標(biāo)號 permit 源地址 通配符 其中標(biāo)號為1-99之間的整數(shù)。 （3）、在全局設(shè)置模式下，將由access-list指定的內(nèi)部本地地址與指定的內(nèi)部合法地址池進(jìn)行地址轉(zhuǎn)換。 ip nat inside source list 訪問列表標(biāo)號 pool內(nèi)部合法地址池名字 （