![[ 永遠的UNIX::UNIX技術資料的寶庫 ]](/images/title.gif) GB | BIG5
|
| 首頁 > 網絡管理 > 網絡設備 > 正文 |
 |
| CISCO 2500、1600系列路由器使用手冊--IP協議配置 |
| 不詳 (2001-05-02 01:20:38) |
3.IP協議配置
IP協議配置的主要任務
1、配置端口IP地址
2、配置廣域網線路協議
3、配置IP地址與物理網絡地址如何映射
4、配置路由
5、其它設置
IP協議的主要配置
為端口設置一個IP地址,在端口設置狀態下
ip address 本端口IP地址 子網掩碼
另外,在同一端口中可以設置兩個以上的不同網段的IP地址,這樣可以實現連接在同一局域網上不同網段之間的通訊。一般由一個網段對用戶來說不夠用,可以採用這種辦法。
在端口設置狀態下
ip address 本端口IP地址 子網掩碼 secondary
注意:如果要實現連在同一路由器端口的不同網段的通訊,必須在端口設置狀態下
ip redirect
一般地,Cisco路由器不允許從同一端口進來的IP包又發回到原端口中,ip redirect表示允許在同一端進入路由器的IP包由原端口發送回去。
2、網絡中含有0的IP地址如138.0.0.1或192.1.0.2,強烈建議盡量不要使用這樣的IP地址,如要使用這的地址,在全局設置模式下必須設置
ip subnet-zero
包過濾配置
包過濾功能可以幫助路由器控制數據包在網絡中的傳輸,通過包過濾可以限制網絡流量以及增加網絡安全性,包過濾功能對路由器本身產生的數據包不起作用,當數據包進入某個端口時,路由器首先檢查是否該數據包可以通過路由或橋接方式送出去。如果不能,則路由器將丟掉該數據包,如果該數據包可以傳送出去,則路由器將檢查該數據包是否滿足該端口中定義的包過濾規則,如果包過濾規則不允許該數據包通過,則路由器將丟掉該數據包。
有兩種方式的包過濾規則:
1、標準包過濾 該種包過濾只對數據包中的源地址進行檢查
2、擴展包過濾 該種包過濾對數據包中的源地址,目的地址,協議及端口號進行檢查。
3.1. 包過濾功能配置
1、定義標準包過濾規則,在全局配置狀態下
access-list 標識號碼 deny 或permit 源地址 通配符
或
在全局配置狀態下,定義擴展包過濾規則
access-list 標識號碼 deny或permit 協議標識 源地址 通配符 目地地址 通配符
Cisco 路由器中access-list規定的標識號碼,如表:
可以在指定范圍內任意選擇一個標識號碼定義相應的包過濾規則,deny參數表示禁止,pernit表示允許。通配符也為32位二進制數字,並與相應的地址一一對應。路由器將檢查與通配符中的“0”(2進制)位置一樣的地址位,對通配符中“1”(2進制)位置一致的地址位,將忽略不檢查。
一個包過濾規則可以包含一系列檢查條件,即可以用同一標識號碼定義一系列access-list語句,路由器將從最先定義的條件開始依次檢查,如數據包滿足某個條件,路由器將不再執行下面的包過濾條件,如果數據包不滿足規則中的所有條件,Cisco路由器缺省為禁止該數據包,即丟掉該數據包。
2、在需要包過濾功能的端口,引出包過濾規則
ip access-group包過濾規則標識號in或out
其中in 表示對進入該端口的數據包進行檢查
out表示對要從該端口送出的數據包進行檢查
如果不進行步驟2的配置,則所定義的包過濾規則根本不會執行。
實例:
Currrent configuration:
!
version 11.3
no service password-encryption
!
hostname 2511-1
!
enable password cisco
!
username 2505 password 0 cisco
no ip domain-lookup
!
interface Ethernet0
ip address 192.4.1.1 255.255.255.0
ip access-group 101 in
ip security dedicated confidential genser
no ip security add
ip security implicit-labelling
!
interface Serial0
ip address 192.3.1.1 255.255.255.0
ip access-group 1 in
!引用標準包過濾規則1,禁止外部的用戶採用IP欺騙的方式進入本地局域網
ip security dedicated confidential genser
encapsulation frame-relay IETF
ip ospf message-digest-key 1 md5 kim
no ip mroute-cache
bandwidth 2000
frame-relay map ip 192.3.1.2 100 broadcast
frame-relay lmi-type cisco
!
interface Seriall
ip address 192.7.1.1 255.255.255.0
ip access-group 1 in
ip security dedicated confidential genser
encapsulation ppp
ip ospf message-digest-key 1 md5 kim
ip ospf network non-broadcast
bandwidth 64
ppp authentication chap
!
router ospf 1
passive - interface Ethernet0
network 192.3.1.0 0.0.0.255 area 0
network 192.4.1.0 0.0.0.255 area 0
network 192.7.1.0 0.0.0.255 area 0
neighbor 192.7.1.2 priority 1
neighbor 192.3.1.2 priority 1
area 0 authentication message-digest
!
no ip classless
access-list 1 deny 192.4.1.0 0.0.0.255
access-list 1 permit any
!定義標準包過濾,禁止192.1.4.0網段使用IP網絡
access-list 101 permit ip host 192.4.1.20 any
access-list 101 deny icmp any any
!定義擴展包過濾規則只允許192.4.1.20的單機使用ping,其他所有計算機都不允許使用
!ping 。這台計算機為網管計算機。
access-list 101 deny tcp any host 192.4.1.1
access-list 101 deny tcp any host 192.7.1.1
access-list 101 deny tcp any host 192.3.1.1
access-list 101 permit ip 192.4.1.0 0.0.0.255 any
!
line con 0
line 1 8
line aux 0
line vty 0 4
password cisco
login
!
end
(http://www.fanqiang.com)
進入【UNIX論壇】
|
|
| 相關文章 |
cisco的異步回撥命令集 (2001-10-18 08:00:00)
Cisco PIX防火牆的安裝流程 (2001-10-18 07:00:00)
Cisco IOS 基本命令集 (2001-10-17 15:00:02)
Cisco HSRP的配置 (2001-10-17 12:00:01)
備份Cisco路由器用戶配置 (2001-08-17 15:00:01)
Cisco路由器密碼忘了該怎辦? (2001-07-22 16:12:35)
Linux 網管 123 --- 第8章. 備份及回存程序 -3.Cisco 路由器組態備份 (2001-07-02 20:10:00)
CISCO2501,2522的詳細配置與調試 (2001-06-28 10:08:00)
Cisco路由器上如何防止DDoS (2001-06-25 07:00:00)
Cisco路由器配置實例 --反轉多路復用的妙用 (2001-06-08 17:04:00)
|
===更多相關=== |
|
|
|
★ 樊強制作 歡迎分享 ★ |