cisco路由器ip協(xié)議配置的基本原則

1、IP協(xié)議配置的基本原則IP協(xié)議配置的基本原則Cisco路由器在IP網(wǎng)絡(luò)中正常工作，一般要遵循一些規(guī)則：如圖：中正常工作，一般要遵循一些規(guī)則：如圖：對于A，B來說，它們互為相鄰的路由器，其中A路由器的S與B路由器的S1為相鄰路由器的相鄰端口，但A路由器的S1口與B路的器的S1口并不是相鄰端口，A與D不是相鄰路由器。規(guī)則：1、一般地，路由器的物理網(wǎng)絡(luò)端口通常要有一個IP地址2、相鄰路由器的相鄰端口IP地址必須在同一IP網(wǎng)絡(luò)上3、同一路由器的不同端口的IP地址必須在不同IP網(wǎng)段上4、除了相鄰路由器的相鄰端口外，所有網(wǎng)絡(luò)中路由器所連接的網(wǎng)段即所有路由器的任何兩個非相鄰端口都必須不在同一網(wǎng)段上。3.IP

2、協(xié)議配置access-list標(biāo)識號碼deny或permit 源地址 通配符access-list標(biāo)識號碼deny或permit協(xié)議標(biāo)識 源地址 通配符 目地地址 通配符isco路由器中access-list規(guī)定的標(biāo)識號碼，如表：deny參數(shù)表示禁止，pernit表示允許。通配符也為32位二進制數(shù)字，并與相應(yīng)的地址一一對應(yīng)。路由器將檢查與通配符中的“0”（2進制）位置一樣的地址位，對于通配符中“1”（2進制）位置一致的地址位，將忽略不檢查。access-list語句，路由器將從最先定義的條件開始依次檢查，如數(shù)據(jù)包滿足某個條件，路由器將不再執(zhí)行下面的包過濾條件，如果數(shù)據(jù)包不滿足規(guī)則中的所有條件，

3、Cisco路由器缺省為禁止該數(shù)據(jù)包，即丟掉該數(shù)據(jù)包。IP協(xié)議配置的主要任務(wù)1 / 61、配置端口IP地址2、配置廣域網(wǎng)線路協(xié)議3、配置IP地址與物理網(wǎng)絡(luò)地址如何映射4、配置路由5、其它設(shè)置為端口設(shè)置一個IP地址，在端口設(shè)置狀態(tài)下IP協(xié)議的主要配置ip address 本端口IP地址 子網(wǎng)掩碼另外，在同一端口中可以設(shè)置兩個以上的不同網(wǎng)段的IP地址，這樣可以實現(xiàn)連接在同一局域網(wǎng)上不同網(wǎng)段之間的通訊。一般由于一個網(wǎng)段對于用戶來說不夠用，可以采用這種辦法。在端口設(shè)置狀態(tài)下ip address 本端口IP地址 子網(wǎng)掩碼 secondary注意：如果要實現(xiàn)連在同一路由器端口的不同網(wǎng)段的通訊，必須在端口設(shè)置

4、狀態(tài)下ip redirect一般地，Cisco路由器不允許從同一端口進來的IP包又發(fā)回到原端口中，ip redirect表示允許在同一端進入路由器的IP包由原端口發(fā)送回去。2、網(wǎng)絡(luò)中含有0的IP地址如138.0.0.1或192.1.0.2，強烈建議盡量不要使用這樣的IP地址，如要使用這的地址，在全局設(shè)置模式下必須設(shè)置ip subnet-zero包過濾配置包過濾功能可以幫助路由器控制數(shù)據(jù)包在網(wǎng)絡(luò)中的傳輸，通過包過濾可以限制網(wǎng)絡(luò)流量以及增加網(wǎng)絡(luò)安全性，包過濾功能對路由器本身產(chǎn)生的數(shù)據(jù)包不起作用，當(dāng)數(shù)據(jù)包進入某個端口時，路由器首先檢查是否該數(shù)據(jù)包可以通過路由或橋接方式送出去。如果不能，則路由器將丟掉

5、該數(shù)據(jù)包，如果該數(shù)據(jù)包可以傳送出去，則路由器將檢查該數(shù)據(jù)包是否滿足該端口中定義的包過濾規(guī)則，如果包過濾規(guī)則不允許該數(shù)據(jù)包通過，則路由器將丟掉該數(shù)據(jù)包。2 / 61、標(biāo)準(zhǔn)包過濾 該種包過濾只對數(shù)據(jù)包中的源地址進行檢查有兩種方式的包過濾規(guī)則：2、擴展包過濾 該種包過濾對數(shù)據(jù)包中的源地址，目的地址，協(xié)議及端口號進行檢查。3.1. 包過濾功能配置1、定義標(biāo)準(zhǔn)包過濾規(guī)則，在全局配置狀態(tài)下或在全局配置狀態(tài)下，定義擴展包過濾規(guī)則可以在指定范圍內(nèi)任意選擇一個標(biāo)識號碼定義相應(yīng)的包過濾規(guī)則，一個包過濾規(guī)則可以包含一系列檢查條件，即可以用同一標(biāo)識號碼定義一系列2、在需要包過濾功能的端口，引出包過濾規(guī)則ip acce

6、ss-group包過濾規(guī)則標(biāo)識號in或out其中in 表示對進入該端口的數(shù)據(jù)包進行檢查out表示對要從該端口送出的數(shù)據(jù)包進行檢查如果不進行步驟2的配置，則所定義的包過濾規(guī)則根本不會執(zhí)行。實例：Currrent configuration:!version 11.3no service password-encryption!hostname 2511-1!3 / 6enable password cisco!username 2505 password 0 ciscono ip domain-lookup!interface Ethernet0ip address 192.4.1.1 255.

7、255.255.0ip access-group 101 inip security dedicated confidential genserno ip security addip security implicit-labelling!interface Serial0ip address 192.3.1.1 255.255.255.0ip access-group 1 in!引用標(biāo)準(zhǔn)包過濾規(guī)則1，禁止外部的用戶采用IP欺騙的方式進入本地局域網(wǎng)ip security dedicated confidential genserencapsulation frame-relay IETFip

8、 ospf message-digest-key 1 md5 kimno ip mroute-cachebandwidth 2000frame-relay map ip 192.3.1.2 100 broadcastframe-relay lmi-type cisco4 / 6!interface Seriallip address 192.7.1.1 255.255.255.0ip access-group 1 inip security dedicated confidential genserencapsulation pppip ospf message-digest-key 1 md

9、5 kimip ospf network non-broadcastbandwidth 64ppp authentication chap!router ospf 1passive - interface Ethernet0network 192.3.1.0 0.0.0.255 area 0network 192.4.1.0 0.0.0.255 area 0network 192.7.1.0 0.0.0.255 area 0neighbor 192.7.1.2 priority 1neighbor 192.3.1.2 priority 1area 0 authentication messag

10、e-digest!no ip classlessaccess-list 1 deny 192.4.1.0 0.0.0.255access-list 1 permit any!定義標(biāo)準(zhǔn)包過濾，禁止192.1.4.0網(wǎng)段使用IP網(wǎng)絡(luò)5 / 6access-list 101 permit ip host 192.4.1.20 anyaccess-list 101 deny icmp any any!定義擴展包過濾規(guī)則只允許192.4.1.20的單機使用ping，其他所有計算機都不允許使用！ping 。這臺計算機為網(wǎng)管計算機。access-list 101 deny tcp any host 192.4.1.1access-list 101 deny tcp any host 192.7.1.1access-list 101 deny tcp any host 192.3.1.1access-list 101 perm