CISCO路由器配置

1、第六章 cisco路由器配置6.1 路 由 器 配 置 基 礎(chǔ)6.1.1 基本設(shè)置方式如圖6-1所示一般來(lái)說(shuō)，可以用5種方式來(lái)設(shè)置路由器： 圖6-1 5種方式來(lái)設(shè)置路由器1console口接終端或運(yùn)行終端仿真軟件的微機(jī)； 2aux口接modem，通過(guò)電話(huà)線(xiàn)與遠(yuǎn)方的終端或運(yùn)行終端仿真軟件的微機(jī)相連； 3通過(guò)ethernet上的tftp服務(wù)器； 4通過(guò)ethernet上的telnet程序； 5通過(guò)ethernet上的snmp網(wǎng)管工作站。 但路由器的第一次設(shè)置必須通過(guò)第一種方式進(jìn)行,此時(shí)終端的硬件設(shè)置如下: 波特率 ：9600 數(shù)據(jù)位 ：8 停止位 ：1 奇偶校驗(yàn): 無(wú) 6.1.2 命令狀態(tài)1. r

2、outer 路由器處于用戶(hù)命令狀態(tài)，這時(shí)用戶(hù)可以看路由器的連接狀態(tài)，訪(fǎng)問(wèn)其它網(wǎng)絡(luò)和主機(jī)，但不能看到和更改路由器的設(shè)置內(nèi)容。 2. router# 在router提示符下鍵入enable,路由器進(jìn)入特權(quán)命令狀態(tài)router#，這時(shí)不但可以執(zhí)行所有的用戶(hù)命令，還可以看到和更改路由器的設(shè)置內(nèi)容。 3. router(config)# 在router#提示符下鍵入configure terminal,出現(xiàn)提示符router(config)#，此時(shí)路由器處于全局設(shè)置狀態(tài)，這時(shí)可以設(shè)置路由器的全局參數(shù)。 4. router(config-if)#; router(config-line)#; router

3、(config-router)#; 路由器處于局部設(shè)置狀態(tài)，這時(shí)可以設(shè)置路由器某個(gè)局部的參數(shù)。 5. 路由器處于rxboot狀態(tài)，在開(kāi)機(jī)后60秒內(nèi)按ctrl-break可進(jìn)入此狀態(tài)，這時(shí)路由器不能完成正常的功能，只能進(jìn)行軟件升級(jí)和手工引導(dǎo)。 6. 設(shè)置對(duì)話(huà)狀態(tài) 這是一臺(tái)新路由器開(kāi)機(jī)時(shí)自動(dòng)進(jìn)入的狀態(tài)，在特權(quán)命令狀態(tài)使用setup命令也可進(jìn)入此狀態(tài)，這時(shí)可通過(guò)對(duì)話(huà)方式對(duì)路由器進(jìn)行設(shè)置。6.1.3 設(shè)置對(duì)話(huà)過(guò)程1.顯示提示信息2.全局參數(shù)的設(shè)置3.接口參數(shù)的設(shè)置4.顯示結(jié)果利用設(shè)置對(duì)話(huà)過(guò)程可以避免手工輸入命令的煩瑣，但它還不能完全代替手工設(shè)置，一些特殊的設(shè)置還必須通過(guò)手工輸入的方式完成。進(jìn)入設(shè)置對(duì)話(huà)

4、過(guò)程后，路由器首先會(huì)顯示一些提示信息：- system configuration dialog - at any point you may enter a question mark ? for help. use ctrl-c to abort configuration dialog at any prompt. default settings are in square brackets . 這是告訴你在設(shè)置對(duì)話(huà)過(guò)程中的任何地方都可以鍵入“？”得到系統(tǒng)的幫助，按ctrl-c可以退出設(shè)置過(guò)程，缺省設(shè)置將顯示在中。然后路由器會(huì)問(wèn)是否進(jìn)入設(shè)置對(duì)話(huà)：would you like to en

5、ter the initial configuration dialog? yes: 如果按y或回車(chē)，路由器就會(huì)進(jìn)入設(shè)置對(duì)話(huà)過(guò)程。首先你可以看到各端口當(dāng)前的狀況： first, would you like to see the current interface summary? yes: any interface listed with ok? value no does not have a valid configuration 表6-1interface ip-address ok? method status protocol ethernet0 unassigned no un

6、set up up serial0 unassigned no unset up up 然后，路由器就開(kāi)始全局參數(shù)的設(shè)置： configuring global parameters: 1設(shè)置路由器名： enter host name router: 2設(shè)置進(jìn)入特權(quán)狀態(tài)的密文(secret)，此密文在設(shè)置以后不會(huì)以明文方式顯示： the enable secret is a one-way cryptographic secret used instead of the enable password when it exists. enter enable secret: cisco 3設(shè)置

7、進(jìn)入特權(quán)狀態(tài)的密碼(password)，此密碼只在沒(méi)有密文時(shí)起作用，并且在設(shè)置以后會(huì)以明文方式顯示： the enable password is used when there is no enable secret and when using older software and some boot images. enter enable password: pass 4設(shè)置虛擬終端訪(fǎng)問(wèn)時(shí)的密碼： enter virtual terminal password: cisco 5詢(xún)問(wèn)是否要設(shè)置路由器支持的各種網(wǎng)絡(luò)協(xié)議： configure snmp network management?

8、 yes: configure decnet? no: configure appletalk? no: configure ipx? no: configure ip? yes: configure igrp routing? yes: configure rip routing? no: 6如果配置的是撥號(hào)訪(fǎng)問(wèn)服務(wù)器，系統(tǒng)還會(huì)設(shè)置異步口的參數(shù)： configure async lines? yes: 1) 設(shè)置線(xiàn)路的最高速度： async line speed 9600: 2) 是否使用硬件流控： configure for hw flow control? yes: 3) 是否設(shè)置mod

9、em： configure for modems? yes/no: yes 4) 是否使用默認(rèn)的modem命令： configure for default chat script? yes: 5) 是否設(shè)置異步口的ppp參數(shù)： configure for dial-in ip slip/ppp access? no: yes 6) 是否使用動(dòng)態(tài)ip地址： configure for dynamic ip addresses? yes: 7) 是否使用缺省ip地址： configure default ip addresses? no: yes 8) 是否使用tcp頭壓縮： configure

10、 for tcp header compression? yes: 9) 是否在異步口上使用路由表更新： configure for routing updates on async links? no: y 10) 是否設(shè)置異步口上的其它協(xié)議。 接下來(lái)，系統(tǒng)會(huì)對(duì)每個(gè)接口進(jìn)行參數(shù)的設(shè)置。 configuring interface ethernet0: 1)是否使用此接口： is this interface in use? yes: 2)是否設(shè)置此接口的ip參數(shù)： configure ip on this interface? yes: 3)設(shè)置接口的ip地址： ip address for

11、 this interface: 4)設(shè)置接口的ip子網(wǎng)掩碼： number of bits in subnet field 0: class c network is , 0 subnet bits; mask is /24 在設(shè)置完所有接口的參數(shù)后，系統(tǒng)會(huì)把整個(gè)設(shè)置對(duì)話(huà)過(guò)程的結(jié)果顯示出來(lái)： the following configuration command script was created: hostname router enable secret 5 $1$w5oh$p6j7tigrmboikvxvg53uh1 enable

12、 password pass 請(qǐng)注意在enable secret后面顯示的是亂碼，而enable password后面顯示的是設(shè)置的內(nèi)容。 顯示結(jié)束后，系統(tǒng)會(huì)問(wèn)是否使用這個(gè)設(shè)置： use this configuration? yes/no: yes 如果回答yes，系統(tǒng)就會(huì)把設(shè)置的結(jié)果存入路由器的nvram中，然后結(jié)束設(shè)置對(duì)話(huà)過(guò)程，使路由器開(kāi)始正常的工作。6.1.4 常用命令1.幫助在ios操作中，無(wú)論任何狀態(tài)和位置，都可以鍵入“？”得到系統(tǒng)的幫助。2.改變命令狀態(tài) 表6-2任務(wù) 命令 進(jìn)入特權(quán)命令狀態(tài) enable 退出特權(quán)命令狀態(tài) disable 進(jìn)入設(shè)置對(duì)話(huà)狀態(tài) setup 進(jìn)入全局設(shè)

13、置狀態(tài) config terminal 退出全局設(shè)置狀態(tài) end 進(jìn)入端口設(shè)置狀態(tài) interface type slot/number 進(jìn)入子端口設(shè)置狀態(tài) interface type number.subinterface point-to-point | multipoint 進(jìn)入線(xiàn)路設(shè)置狀態(tài) line type slot/number 進(jìn)入路由設(shè)置狀態(tài) router protocol 退出局部設(shè)置狀態(tài) exit 3.顯示命令表6-3任務(wù) 命令 查看版本及引導(dǎo)信息 show version 查看運(yùn)行設(shè)置 show running-config 查看開(kāi)機(jī)設(shè)置 show startup-co

14、nfig 顯示端口信息 show interface type slot/number 顯示路由信息 show ip router 4.拷貝命令用于ios及config的備份和升級(jí) 圖6-2 路由器的備份5.網(wǎng)絡(luò)命令 表6-4任務(wù) 命令 登錄遠(yuǎn)程主機(jī) telnet hostname|ip address 網(wǎng)絡(luò)偵測(cè) ping hostname|ip address 路由跟蹤 trace hostname|ip address 6. 基本設(shè)置命令表6-5任務(wù) 命令 全局設(shè)置 config terminal 設(shè)置訪(fǎng)問(wèn)用戶(hù)及密碼 username username password password

15、設(shè)置特權(quán)密碼 enable secret password 設(shè)置路由器名 hostname name 設(shè)置靜態(tài)路由 ip route destination subnet-mask next-hop 啟動(dòng)ip路由 ip routing 啟動(dòng)ipx路由 ipx routing 端口設(shè)置 interface type slot/number 設(shè)置ip地址 ip address address subnet-mask 設(shè)置ipx網(wǎng)絡(luò) ipx network network 激活端口 no shutdown 物理線(xiàn)路設(shè)置 line type number 啟動(dòng)登錄進(jìn)程 login local|taca

16、cs server 設(shè)置登錄密碼 password password 6.1.5 配置ip尋址1. ip地址分類(lèi)ip地址分為網(wǎng)絡(luò)地址和主機(jī)地址二個(gè)部分，a類(lèi)地址前8位為網(wǎng)絡(luò)地址，后24位為主機(jī)地址，b類(lèi)地址16位為網(wǎng)絡(luò)地址，后16位為主機(jī)地址，c類(lèi)地址前24位為網(wǎng)絡(luò)地址，后8位為主機(jī)地址，網(wǎng)絡(luò)地址范圍如下表6-6所示：表6-6種類(lèi) 網(wǎng)絡(luò)地址范圍 a 到有效 和保留 b 到有效 和保留 c 到有效 192.

17、0.0.0和保留 d 到55用于多點(diǎn)廣播 e 到54保留 55用于廣播 2.分配接口ip地址表6-7任務(wù) 命令 接口設(shè)置 interface type slot/number 為接口設(shè)置ip地址 ip address ip-address mask 掩瑪（mask）用于識(shí)別ip地址中的網(wǎng)絡(luò)地址位數(shù)，ip地址（ip-address）和掩碼（mask）相與即得到網(wǎng)絡(luò)地址。3.使用可變長(zhǎng)的子網(wǎng)掩碼通過(guò)使用可變長(zhǎng)的子網(wǎng)掩碼可以讓位于不同接口的同一網(wǎng)絡(luò)編號(hào)的網(wǎng)絡(luò)使用

18、不同的掩碼，這樣可以節(jié)省ip地址，充分利用有效的ip地址空間。如下圖6-3所示：圖6-3 可變長(zhǎng)的子網(wǎng)掩碼 router1和router2的e0端口均使用了c類(lèi)地址作為網(wǎng)絡(luò)地址，router1的e0的ip地址為28,掩碼為92, router2的e0的網(wǎng)絡(luò)地址為4,掩碼為92，這樣就將一個(gè)c類(lèi)網(wǎng)絡(luò)地址分配給了二個(gè)網(wǎng)，既劃分了二個(gè)子網(wǎng)，起到了節(jié)約地址的作用。6.1.6 配置靜態(tài)路由通過(guò)配置靜態(tài)路由，用戶(hù)可以人為地指定對(duì)某一網(wǎng)絡(luò)訪(fǎng)問(wèn)時(shí)所要經(jīng)過(guò)的路徑,在網(wǎng)絡(luò)結(jié)構(gòu)比較簡(jiǎn)單，且一般到達(dá)某一網(wǎng)絡(luò)所經(jīng)過(guò)

19、的路徑唯一的情況下采用靜態(tài)路由。表6-8任務(wù)命令建立靜態(tài)路由ip route prefix mask address | interface distance tag tag permanentprefix :所要到達(dá)的目的網(wǎng)絡(luò)mask :子網(wǎng)掩碼address :下一個(gè)跳的ip地址，即相鄰路由器的端口地址。interface :本地網(wǎng)絡(luò)接口distance :管理距離（可選）tag tag :tag值（可選）permanent:指定此路由即使該端口關(guān)掉也不被移掉。圖6-4 以下在router1上設(shè)置了訪(fǎng)問(wèn)4/26這個(gè)網(wǎng)下一跳地址為,即當(dāng)有目的地址屬于

20、4/26的網(wǎng)絡(luò)范圍的數(shù)據(jù)報(bào)，應(yīng)將其路由到地址為的相鄰路由器。在router3上設(shè)置了訪(fǎng)問(wèn)28/26及/30這二個(gè)網(wǎng)下一跳地址為5。由于在router1上端口serial 0地址為，/30這個(gè)網(wǎng)屬于直連的網(wǎng)，已經(jīng)存在訪(fǎng)問(wèn)/30的路徑，所以不需要在router1上添加靜態(tài)路由。router1:ip route 4 92 router3:ip route 192

21、.1.0.128 92 5ip route 52 5 同時(shí)由于路由器router3除了與路由器router2相連外，不再與其他路由器相連，所以也可以為它賦予一條默認(rèn)路由以代替以上的二條靜態(tài)路由，ip route 5即只要沒(méi)有在路由表里找到去特定目的地址的路徑,則數(shù)據(jù)均被路由到地址為5的相鄰路由器。6.2 rip 路 由 協(xié) 議 設(shè) 置rip(routing information protocol)是應(yīng)用較早、使用

22、較普遍的內(nèi)部網(wǎng)關(guān)協(xié)議(interior gateway protocol,簡(jiǎn)稱(chēng)igp)，適用于小型同類(lèi)網(wǎng)絡(luò)，是典型的距離向量(distance-vector)協(xié)議。文檔見(jiàn)rfc1058、rfc1723。 rip通過(guò)廣播udp報(bào)文來(lái)交換路由信息，每30秒發(fā)送一次路由信息更新。rip提供跳躍計(jì)數(shù)(hop count)作為尺度來(lái)衡量路由距離，跳躍計(jì)數(shù)是一個(gè)包到達(dá)目標(biāo)所必須經(jīng)過(guò)的路由器的數(shù)目。如果到相同目標(biāo)有二個(gè)不等速或不同帶寬的路由器，但跳躍計(jì)數(shù)相同，則rip認(rèn)為兩個(gè)路由是等距離的。rip最多支持的跳數(shù)為15，即在源和目的網(wǎng)間所要經(jīng)過(guò)的最多路由器的數(shù)目為15，跳數(shù)16表示不可達(dá)。1. 有關(guān)命令表6-

23、9任務(wù) 命令 指定使用rip協(xié)議 router rip 指定rip版本 version 1|21 指定與該路由器相連的網(wǎng)絡(luò) network network 注：1.cisco的rip版本2支持驗(yàn)證、密鑰管理、路由匯總、無(wú)類(lèi)域間路由(cidr)和變長(zhǎng)子網(wǎng)掩碼(vlsms) 2. 舉例圖6-5 router1: router rip version 2 network network ！ 相關(guān)調(diào)試命令： show ip protocol show ip route6.3 ospf 協(xié) 議 配 置ospf(open shortest path fir

24、st)是一個(gè)內(nèi)部網(wǎng)關(guān)協(xié)議(interior gateway protocol,簡(jiǎn)稱(chēng)igp)，用于在單一自治系統(tǒng)(autonomous system,as)內(nèi)決策路由。與rip相對(duì)，ospf是鏈路狀態(tài)路有協(xié)議，而rip是距離向量路由協(xié)議。鏈路是路由器接口的另一種說(shuō)法，因此ospf也稱(chēng)為接口狀態(tài)路由協(xié)議。ospf通過(guò)路由器之間通告網(wǎng)絡(luò)接口的狀態(tài)來(lái)建立鏈路狀態(tài)數(shù)據(jù)庫(kù)，生成最短路徑樹(shù)，每個(gè)ospf路由器使用這些最短路徑構(gòu)造路由表。1有關(guān)命令全局設(shè)置表6-10任務(wù)命令指定使用ospf協(xié)議router ospf process-id1指定與該路由器相連的網(wǎng)絡(luò)network address wildcard

25、-mask area area-id2指定與該路由器相鄰的節(jié)點(diǎn)地址neighbor ip-address注：1、ospf路由進(jìn)程process-id必須指定范圍在1-65535，多個(gè)ospf進(jìn)程可以在同一個(gè)路由器上配置，但最好不這樣做。多個(gè)ospf進(jìn)程需要多個(gè)ospf數(shù)據(jù)庫(kù)的副本，必須運(yùn)行多個(gè)最短路徑算法的副本。process-id只在路由器內(nèi)部起作用，不同路由器的process-id可以不同。注：2、wildcard-mask 是子網(wǎng)掩碼的反碼, 網(wǎng)絡(luò)區(qū)域id area-id在0-4294967295內(nèi)的十進(jìn)制數(shù)，也可以是帶有ip地址格式的x.x.x.x。當(dāng)網(wǎng)絡(luò)區(qū)域id為0或時(shí)

26、為主干域。不同網(wǎng)絡(luò)區(qū)域的路由器通過(guò)主干域?qū)W習(xí)路由信息。2基本配置舉例圖6-6 router1:interface ethernet 0ip address 29 92!interface serial 0ip address 52!router ospf 100network area 0network 28 3 area 1!router2:interface ethernet 0ip address 5

27、92!interface serial 0ip address 52!router ospf 200network area 0network 4 3 area 2!router3:interface ethernet 0ip address 30 92!router ospf 300network 28 3 area 1!router4:interface ether

28、net 0ip address 6 92!router ospf 400network 4 3 area 1!相關(guān)調(diào)試命令：debug ip ospf eventsdebug ip ospf packetshow ip ospfshow ip ospf databaseshow ip ospf interfaceshow ip ospf neighborshow ip route6.4 路 由 器 訪(fǎng) 問(wèn) 控 制 列 表 詳 解6.4.1 網(wǎng)絡(luò)安全保障的第一道關(guān)卡對(duì)于許多網(wǎng)管員來(lái)說(shuō)，配置路由器的訪(fǎng)問(wèn)控制列表是一件經(jīng)常性

29、的工作，可以說(shuō)，路由器的訪(fǎng)問(wèn)控制列表是網(wǎng)絡(luò)安全保障的第一道關(guān)卡。訪(fǎng)問(wèn)列表提供了一種機(jī)制，它可以控制和過(guò)濾通過(guò)路由器的不同接口去往不同方向的信息流。這種機(jī)制允許用戶(hù)使用訪(fǎng)問(wèn)表來(lái)管理信息流，以制定公司內(nèi)部網(wǎng)絡(luò)的相關(guān)策略。這些策略可以描述安全功能，并且反映流量的優(yōu)先級(jí)別。例如，某個(gè)組織可能希望允許或拒絕internet對(duì)內(nèi)部web服務(wù)器的訪(fǎng)問(wèn)，或者允許內(nèi)部局域網(wǎng)上一個(gè)或多個(gè)工作站能夠?qū)?shù)據(jù)流發(fā)到廣域網(wǎng)上。這些情形，以及其他的一些功能都可以通過(guò)訪(fǎng)問(wèn)表來(lái)達(dá)到目的。6.4.2 訪(fǎng)問(wèn)列表的種類(lèi)劃分目前的路由器一般都支持兩種類(lèi)型的訪(fǎng)問(wèn)表：基本訪(fǎng)問(wèn)表和擴(kuò)展訪(fǎng)問(wèn)表?；驹L(fǎng)問(wèn)表控制基于網(wǎng)絡(luò)地址的信息流，且只允許過(guò)濾

30、源地址。擴(kuò)展訪(fǎng)問(wèn)表通過(guò)網(wǎng)絡(luò)地址和傳輸中的數(shù)據(jù)類(lèi)型進(jìn)行信息流控制，允許過(guò)濾源地址、目的地址和上層應(yīng)用數(shù)據(jù)。表6-11列出了路由器所支持的不同訪(fǎng)問(wèn)表的號(hào)碼范圍。由于篇幅所限，本文只對(duì)標(biāo)準(zhǔn)訪(fǎng)問(wèn)列表和擴(kuò)展訪(fǎng)問(wèn)列表進(jìn)行討論。 1、標(biāo)準(zhǔn)ip訪(fǎng)問(wèn)表標(biāo)準(zhǔn)ip訪(fǎng)問(wèn)表的基本格式為：access-list list numberpermit|denyhost/anysourceaddresswildcard-masklog下面對(duì)標(biāo)準(zhǔn)ip訪(fǎng)問(wèn)表基本格式中的各項(xiàng)參數(shù)進(jìn)行解釋?zhuān)海?）list number-表號(hào)范圍標(biāo)準(zhǔn)ip訪(fǎng)問(wèn)表的表號(hào)標(biāo)識(shí)是從1到99。（2）permit/deny-允許或拒絕關(guān)鍵字permit和deny用

31、來(lái)表示滿(mǎn)足訪(fǎng)問(wèn)表項(xiàng)的報(bào)文是允許通過(guò)接口，還是要過(guò)濾掉。permit表示允許報(bào)文通過(guò)接口，而deny表示匹配標(biāo)準(zhǔn)ip訪(fǎng)問(wèn)表源地址的報(bào)文要被丟棄掉。（3）source address-源地址對(duì)于標(biāo)準(zhǔn)的ip訪(fǎng)問(wèn)表，源地址是主機(jī)或一組主機(jī)的點(diǎn)分十進(jìn)制表示，如:。（4）host/any-主機(jī)匹配host和any分別用于指定單個(gè)主機(jī)和所有主機(jī)。host表示一種精確的匹配，其屏蔽碼為。例如，假定我們希望允許從來(lái)的報(bào)文，則使用標(biāo)準(zhǔn)的訪(fǎng)問(wèn)控制列表語(yǔ)句如下:access-list 1 permit 如果采用關(guān)鍵字hos

32、t，則也可以用下面的語(yǔ)句來(lái)代替：access-list 1 permithost 也就是說(shuō)，host是0.0.0.o通配符屏蔽碼的簡(jiǎn)寫(xiě)。與此相對(duì)照，any是源地證/目標(biāo)地址0.o.o.o/55的簡(jiǎn)寫(xiě)。假定我們要拒絕從源地址來(lái)的報(bào)文，并且要允許從其他源地址來(lái)的報(bào)文，標(biāo)準(zhǔn)的ip訪(fǎng)問(wèn)表可以使用下面的語(yǔ)句達(dá)到這個(gè)目的:access-list 1 deny host access-list 1 permit any注意，這兩條語(yǔ)句的順序;訪(fǎng)問(wèn)表語(yǔ)句的處理順序是由上到下的。如果我們將兩個(gè)語(yǔ)句順序顛倒，將permit

33、語(yǔ)句放在deny語(yǔ)句的前面，則我們將不能過(guò)濾來(lái)自主機(jī)地址的報(bào)文，因?yàn)閜ermit語(yǔ)句將允許所有的報(bào)文通過(guò)。所以說(shuō)訪(fǎng)問(wèn)表中的語(yǔ)句順序是很重要的,因?yàn)椴缓侠碚Z(yǔ)句順序?qū)?huì)在網(wǎng)絡(luò)中產(chǎn)生安全漏洞，或者使得用戶(hù)不能很好地利用公司的網(wǎng)絡(luò)策略。（5）wi1dcardmask-通配符屏蔽碼cisco訪(fǎng)問(wèn)表功能所支持的通配符屏蔽碼與子網(wǎng)屏蔽碼的方式是剛好相反的，也就是說(shuō)，二進(jìn)制的o表示一個(gè)匹配條件，二進(jìn)制的1表示一個(gè)不關(guān)心條件。假設(shè)組織機(jī)構(gòu)擁有一個(gè)c類(lèi)網(wǎng)絡(luò)，若不使用子網(wǎng)，則當(dāng)配置網(wǎng)絡(luò)中的每一個(gè)工作站時(shí)，使用于網(wǎng)屏蔽碼255.255.255.o。在這種情況下，1表示一個(gè)

34、匹配，而0表示一個(gè)不關(guān)心的條件。因?yàn)閏isco通配符屏蔽碼與子網(wǎng)屏蔽碼是相反的，所以匹配源網(wǎng)絡(luò)地址中的所有報(bào)文的通配符屏蔽碼為:0.0.o.255。（6）log-日志記錄log關(guān)鍵字只在ios版本11.3中存在。如果該關(guān)鍵字用于訪(fǎng)問(wèn)表中，則對(duì)那些能夠匹配訪(fǎng)問(wèn)表中的permit和deny語(yǔ)句的報(bào)文進(jìn)行日志記錄。日志信息包含訪(fǎng)問(wèn)表號(hào)、報(bào)文的允許或拒絕、源ip地址以及在顯示了第一個(gè)匹配以來(lái)每5分鐘間隔內(nèi)的報(bào)文數(shù)目。使用log關(guān)鍵字，會(huì)使控制臺(tái)日志提供測(cè)試和報(bào)警兩種功能。系統(tǒng)管理員可以使用日志來(lái)觀(guān)察不同活動(dòng)下的報(bào)文匹配情況，從而可以測(cè)試不同訪(fǎng)問(wèn)表的設(shè)計(jì)情況。當(dāng)其用于報(bào)警時(shí)，管理員

35、可以察看顯示結(jié)果，以定位那些多次嘗試活動(dòng)被拒絕的訪(fǎng)問(wèn)表語(yǔ)句。執(zhí)行一個(gè)訪(fǎng)問(wèn)表語(yǔ)句的多次嘗試活動(dòng)被拒絕，很可能表明有潛在的黑客攻擊活動(dòng)。2、擴(kuò)展的ip訪(fǎng)問(wèn)控制列表顧名思義，擴(kuò)展的ip訪(fǎng)問(wèn)表用于擴(kuò)展報(bào)文過(guò)濾能力。一個(gè)擴(kuò)展的ip訪(fǎng)問(wèn)表允許用戶(hù)根據(jù)如下內(nèi)容過(guò)濾報(bào)文:源和目的地址、協(xié)議、源和目的端口以及在特定報(bào)文字段中允許進(jìn)行特殊位比較等等。一個(gè)擴(kuò)展的ip訪(fǎng)問(wèn)表的一般語(yǔ)法格或如下所示:access-listlist numberpermit/denyprotocolsource addresssource-wildcardsource portdestination addressdestination-

36、wildcarddestination portlogoption下面簡(jiǎn)要介紹各個(gè)關(guān)鍵字的功能:（1）list number-表號(hào)范圍擴(kuò)展ip訪(fǎng)問(wèn)表的表號(hào)標(biāo)識(shí)從l00到199。（2）protocol-協(xié)議協(xié)議項(xiàng)定義了需要被過(guò)濾的協(xié)議，例如ip、tcp、udp、1cmp等等。協(xié)議選項(xiàng)是很重要的，因?yàn)樵趖cp/ip協(xié)議棧中的各種協(xié)議之間有很密切的關(guān)系，如果管理員希望根據(jù)特殊協(xié)議進(jìn)行報(bào)文過(guò)濾，就要指定該協(xié)議。另外，管理員應(yīng)該注意將相對(duì)重要的過(guò)濾項(xiàng)放在靠前的位置。如果管理員設(shè)置的命令中，允許ip地址的語(yǔ)句放在拒絕tcp地址的語(yǔ)句前面，則后一個(gè)語(yǔ)句根本不起作用。但是如果將這兩條語(yǔ)句換一下位置，則在允許該

37、地址上的其他協(xié)議的同時(shí)，拒絕了tcp協(xié)議。（3）源端口號(hào)和目的端口號(hào)源端口號(hào)可以用幾種不同的方法來(lái)指定。它可以顯式地指定，使用一個(gè)數(shù)字或者使用一個(gè)可識(shí)別的助記符。例如，我們可以使用80或者h(yuǎn)ttp來(lái)指定web的超文本傳輸協(xié)議。對(duì)于tcp和udp，讀者可以使用操作符 (大于)=(等于)以及(不等于)來(lái)進(jìn)行設(shè)置。目的端口號(hào)的指定方法與源端口號(hào)的指定方法相同。讀者可以使用數(shù)字、助記符或者使用操作符與數(shù)字或助記符相結(jié)合的格式來(lái)指定一個(gè)端口范圍。下面的實(shí)例說(shuō)明了擴(kuò)展ip訪(fǎng)問(wèn)表中部分關(guān)鍵字使用方法:access-list 101 permit tcp any host eq smt

38、paccess-list 101 permit tcp any host eq www第一個(gè)語(yǔ)句允許來(lái)自任何主機(jī)的tcp報(bào)文到達(dá)特定主機(jī)的smtp服務(wù)端口(25);第二個(gè)語(yǔ)句允許任何來(lái)自任何主機(jī)的tcp報(bào)文到達(dá)指定的主機(jī)的www或http服務(wù)端口(80)。（4）選項(xiàng)擴(kuò)展的ip訪(fǎng)問(wèn)表支持很多選項(xiàng)。其中一個(gè)常用的選項(xiàng)有l(wèi)og，它已在前面討論標(biāo)準(zhǔn)訪(fǎng)問(wèn)表時(shí)介紹過(guò)了。另一個(gè)常用的選項(xiàng)是fistahlishfid，該選項(xiàng)只用于tcp協(xié)議并且只在tcp通信流的一個(gè)方向上來(lái)響應(yīng)由另一端發(fā)起的會(huì)話(huà)。為了實(shí)現(xiàn)該功能，使用estab1ished選項(xiàng)

39、的訪(fǎng)問(wèn)表語(yǔ)句檢查每個(gè) tcp報(bào)文，以確定報(bào)文的ack或rst位是否已設(shè)置。例如，考慮如下擴(kuò)展的ip訪(fǎng)問(wèn)表語(yǔ)句:access-list 101 permit tcp any host established該語(yǔ)句的作用是:只要報(bào)文的ack和rst位被設(shè)置，該訪(fǎng)問(wèn)表語(yǔ)句就允許來(lái)自任何源地址的tcp報(bào)文流到指定的主機(jī)。這意味著主機(jī)此前必須發(fā)起tcp會(huì)話(huà)。（5）其他關(guān)鍵字deny/permit、源地址和通配符屏蔽碼、目的地址和通配符屏蔽碼以及host/any的使用均與標(biāo)準(zhǔn)ip訪(fǎng)問(wèn)表中的相同。表6-12是對(duì)部分關(guān)鍵字的具體解釋。表 6-

40、12：3、管理和使用訪(fǎng)問(wèn)表在一個(gè)接口上配置訪(fǎng)問(wèn)表需要三個(gè)步驟：(1)定義訪(fǎng)問(wèn)表;(2)指定訪(fǎng)問(wèn)表所應(yīng)用的接口;(3)定義訪(fǎng)問(wèn)表作用于接口上的方向。我們已經(jīng)討論了如何定義標(biāo)準(zhǔn)的和擴(kuò)展的ip訪(fǎng)問(wèn)表，下面將討論如何指定訪(fǎng)問(wèn)表所用的接口以及接口應(yīng)用的方向。一般地，采用interface命令指定一個(gè)接口。例如，為了將訪(fǎng)問(wèn)表應(yīng)用于串口0，應(yīng)使用如下命令指定此端口:interface serial0類(lèi)似地，為將訪(fǎng)問(wèn)表應(yīng)用于路由器的以太網(wǎng)端口上時(shí)，假定端口為ethernet0，則應(yīng)使用如下命令來(lái)指定此端口：interface ethernet0在上述三個(gè)步驟中的第三步是定義訪(fǎng)問(wèn)表所應(yīng)用的接口方向，通常使用ip

41、 access-group命令來(lái)指定。其中，列表號(hào)標(biāo)識(shí)訪(fǎng)問(wèn)表，而關(guān)鍵字in或out則指明訪(fǎng)問(wèn)表所使用的方向。方向用于指出是在報(bào)文進(jìn)入或離開(kāi)路由器接口時(shí)對(duì)其進(jìn)行過(guò)濾。如下的實(shí)例將這三個(gè)步驟綜合在一起：intface serial0ip access-group 107 inaccess-list 107 remark allow traffic to toms pcaccess-list 107 ip any host access-list 107 remark allow only web traffic to webserveraccess-list 107 tcp

42、any host 2 eq 80access-list 107 remark block everything elseaccess-list 107 deny any any在本例中，先使用interface命令指定串行端口0，并使用ipaccess-group命令來(lái)將訪(fǎng)問(wèn)表l07中的語(yǔ)句應(yīng)用于串行接口的向內(nèi)方向上。最后，輸入6個(gè)訪(fǎng)問(wèn)表語(yǔ)句，其中三條訪(fǎng)問(wèn)表語(yǔ)句使用關(guān)鍵字remark，以提供關(guān)于列表中后繼語(yǔ)句的注解說(shuō)明。注意訪(fǎng)問(wèn)表中的最后一條語(yǔ)句，它表示了每個(gè)訪(fǎng)問(wèn)表相關(guān)的隱含denyall設(shè)置，并且如果不顯式地列出是不會(huì)看到該語(yǔ)句的。如果讀者希望從路由器的控制臺(tái)端口相連的

43、終端上直接輸入這些命令和語(yǔ)句，則應(yīng)該先使用exec特權(quán)命令。這個(gè)終端會(huì)話(huà)過(guò)程的實(shí)例如下圖6-7所示：圖6-7 此外，當(dāng)讀者配置訪(fǎng)問(wèn)表后使用ios的show命令查看列表時(shí)，有時(shí)很容易被顯示出來(lái)的內(nèi)容所迷惑，這是由于當(dāng)通配符屏蔽碼位被置為1(無(wú)關(guān))時(shí)，1os將該訪(fǎng)問(wèn)表表項(xiàng)的ip地址部分的該位設(shè)置為二進(jìn)制0。例如，輸入如下的配置命令，用于創(chuàng)建一個(gè)擴(kuò)展的ip訪(fǎng)問(wèn)表，并將其列表內(nèi)容顯示出來(lái)：router# config terminalrouter(config)#access-list 101 permit ip 0 55 host rou

44、ter(config)#exitrouter#show access-list 101extended ip acces list 101permit ip 55 host 在本例中，由于c類(lèi)地址的通配符屏蔽碼的主機(jī)子段被設(shè)置為全1(255)，所以網(wǎng)絡(luò)上的主機(jī)地址0被自動(dòng)轉(zhuǎn)換為網(wǎng)段地址。6.5 路 由 器 nat 功 能 配 置 簡(jiǎn) 介隨著internet的網(wǎng)絡(luò)迅速發(fā)展，ip地址短缺已成為一個(gè)十分突出的問(wèn)題。為了解決這個(gè)問(wèn)題，出現(xiàn)了多種解決方案。下面幾紹一種在目前網(wǎng)絡(luò)環(huán)境中比較有效的方法

45、即地址轉(zhuǎn)換(nat)功能。 6.5.1 nat簡(jiǎn)介nat(network address translation)的功能，就是指在一個(gè)網(wǎng)絡(luò)內(nèi)部，根據(jù)需要可以隨意自定義的ip地址，而不需要經(jīng)過(guò)申請(qǐng)。在網(wǎng)絡(luò)內(nèi)部，各計(jì)算機(jī)間通過(guò)內(nèi)部的ip地址進(jìn)行通訊。而當(dāng)內(nèi)部的計(jì)算機(jī)要與外部internet網(wǎng)絡(luò)進(jìn)行通訊時(shí)，具有nat功能的設(shè)備（比如：路由器）負(fù)責(zé)將其內(nèi)部的ip地址轉(zhuǎn)換為合法的ip地址（即經(jīng)過(guò)申請(qǐng)的ip地址）進(jìn)行通信。 6.5.2 nat的應(yīng)用環(huán)境情況1：一個(gè)企業(yè)不想讓外部網(wǎng)絡(luò)用戶(hù)知道自己的網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)，可以通過(guò)nat將內(nèi)部網(wǎng)絡(luò)與外部internet 隔離開(kāi)，則外部用戶(hù)根本不知道通過(guò)nat設(shè)置的內(nèi)部i

46、p地址。 情況2：一個(gè)企業(yè)申請(qǐng)的合法internet ip地址很少，而內(nèi)部網(wǎng)絡(luò)用戶(hù)很多?？梢酝ㄟ^(guò)nat功能實(shí)現(xiàn)多個(gè)用戶(hù)同時(shí)公用一個(gè)合法ip與外部internet 進(jìn)行通信。 6.5.3 設(shè)置nat所需路由器的硬件配置和軟件配置設(shè)置nat功能的路由器至少要有一個(gè)內(nèi)部端口（inside），一個(gè)外部端口（outside）。內(nèi)部端口連接的網(wǎng)絡(luò)用戶(hù)使用的是內(nèi)部ip地址。 內(nèi)部端口可以為任意一個(gè)路由器端口。外部端口連接的是外部的網(wǎng)絡(luò)，如internet 。外部端口可以為路由器上的任意端口。 設(shè)置nat功能的路由器的ios應(yīng)支持nat功能(本文事例所用路由器為isco2501，其ios為11.2版本以上支持

47、nat功能)。 6.5.4 關(guān)于nat的幾個(gè)概念內(nèi)部本地地址（inside local address）：分配給內(nèi)部網(wǎng)絡(luò)中的計(jì)算機(jī)的內(nèi)部ip地址。 內(nèi)部合法地址（inside global address）：對(duì)外進(jìn)入ip通信時(shí)，代表一個(gè)或多個(gè)內(nèi)部本地地址的合法ip地址。需要申請(qǐng)才可取得的ip地址。 6.5.5 nat的設(shè)置方法nat設(shè)置可以分為靜態(tài)地址轉(zhuǎn)換、動(dòng)態(tài)地址轉(zhuǎn)換、復(fù)用動(dòng)態(tài)地址轉(zhuǎn)換。 1、靜態(tài)地址轉(zhuǎn)換適用的環(huán)境 靜態(tài)地址轉(zhuǎn)換將內(nèi)部本地地址與內(nèi)部合法地址進(jìn)行一對(duì)一的轉(zhuǎn)換，且需要指定和哪個(gè)合法地址進(jìn)行轉(zhuǎn)換。如果內(nèi)部網(wǎng)絡(luò)有e-mail服務(wù)器或ftp服務(wù)器等可以為外部用戶(hù)提供的服務(wù)，這些服務(wù)器的

48、ip地址必須采用靜態(tài)地址轉(zhuǎn)換，以便外部用戶(hù)可以使用這些服務(wù)。 靜態(tài)地址轉(zhuǎn)換基本配置步驟： （1）、在內(nèi)部本地地址與內(nèi)部合法地址之間建立靜態(tài)地址轉(zhuǎn)換。在全局設(shè)置狀態(tài)下輸入： ip nat inside source static 內(nèi)部本地地址 內(nèi)部合法地址 （2）、指定連接網(wǎng)絡(luò)的內(nèi)部端口 在端口設(shè)置狀態(tài)下輸入： ip nat inside （3）、指定連接外部網(wǎng)絡(luò)的外部端口 在端口設(shè)置狀態(tài)下輸入： ip nat outside 注：可以根據(jù)實(shí)際需要定義多個(gè)內(nèi)部端口及多個(gè)外部端口。 實(shí)例1：本實(shí)例實(shí)現(xiàn)靜態(tài)nat地址轉(zhuǎn)換功能。將2501的以太口作為內(nèi)部端口，同步端口作為外部端口。其中

49、，，的內(nèi)部本地地址采用靜態(tài)地址轉(zhuǎn)換。其內(nèi)部合法地址分別對(duì)應(yīng)為，，。 路由器2501的配置： current configuration： version 11.3 no service password-encryption hostname 2501 ip nat inside source static ip nat inside source static ip nat inside source static

50、 interface ethernet0 ip address ip nat inside interface serial0 ip address ip nat outside interface serial1 no ip address shutdown no ip classless ip route serial0 end 配置完成后可以用以下語(yǔ)句進(jìn)行查看： show ip nat statistcs show ip nat transla

51、tions 2、動(dòng)態(tài)地址轉(zhuǎn)換適用的環(huán)境動(dòng)態(tài)地址轉(zhuǎn)換也是將本地地址與內(nèi)部合法地址一對(duì)一的轉(zhuǎn)換，但是動(dòng)態(tài)地址轉(zhuǎn)換是從內(nèi)部合法地址池中動(dòng)態(tài)地選擇一個(gè)末使用的地址對(duì)內(nèi)部本地地址進(jìn)行轉(zhuǎn)換。 動(dòng)態(tài)地址轉(zhuǎn)換基本配置步驟： （1）、在全局設(shè)置模式下，定義內(nèi)部合法地址池 ip nat pool 地址池名稱(chēng) 起始ip地址 終止ip地址 子網(wǎng)掩碼 其中地址池名稱(chēng)可以任意設(shè)定。 （2）、在全局設(shè)置模式下，定義一個(gè)標(biāo)準(zhǔn)的access-list規(guī)則以允許哪些內(nèi)部地址可以進(jìn)行動(dòng)態(tài)地址轉(zhuǎn)換。 access-list 標(biāo)號(hào) permit 源地址 通配符 其中標(biāo)號(hào)為1-99之間的整數(shù)。 （3）、在全局設(shè)置模式下，將由access-list指定的內(nèi)部本地地址與指定的內(nèi)部合法地址池進(jìn)行地址轉(zhuǎn)換。 ip nat inside source list 訪(fǎng)問(wèn)列表標(biāo)號(hào) pool內(nèi)部合法地址池名字 （