cisco路由器ip協(xié)議配置的基本原則_第1頁(yè)
cisco路由器ip協(xié)議配置的基本原則_第2頁(yè)
cisco路由器ip協(xié)議配置的基本原則_第3頁(yè)
cisco路由器ip協(xié)議配置的基本原則_第4頁(yè)
cisco路由器ip協(xié)議配置的基本原則_第5頁(yè)
已閱讀5頁(yè),還剩1頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、IP協(xié)議配置的基本原則IP協(xié)議配置的基本原則Cisco路由器在IP網(wǎng)絡(luò)中正常工作,一般要遵循一些規(guī)則:如圖:中正常工作,一般要遵循一些規(guī)則:如圖:對(duì)于A,B來(lái)說(shuō),它們互為相鄰的路由器,其中A路由器的S與B路由器的S1為相鄰路由器的相鄰端口,但A路由器的S1口與B路的器的S1口并不是相鄰端口,A與D不是相鄰路由器。規(guī)則:1、一般地,路由器的物理網(wǎng)絡(luò)端口通常要有一個(gè)IP地址2、相鄰路由器的相鄰端口IP地址必須在同一IP網(wǎng)絡(luò)上3、同一路由器的不同端口的IP地址必須在不同IP網(wǎng)段上4、除了相鄰路由器的相鄰端口外,所有網(wǎng)絡(luò)中路由器所連接的網(wǎng)段即所有路由器的任何兩個(gè)非相鄰端口都必須不在同一網(wǎng)段上。3.IP

2、協(xié)議配置access-list標(biāo)識(shí)號(hào)碼deny或permit 源地址 通配符access-list標(biāo)識(shí)號(hào)碼deny或permit協(xié)議標(biāo)識(shí) 源地址 通配符 目地地址 通配符isco路由器中access-list規(guī)定的標(biāo)識(shí)號(hào)碼,如表:deny參數(shù)表示禁止,pernit表示允許。通配符也為32位二進(jìn)制數(shù)字,并與相應(yīng)的地址一一對(duì)應(yīng)。路由器將檢查與通配符中的“0”(2進(jìn)制)位置一樣的地址位,對(duì)于通配符中“1”(2進(jìn)制)位置一致的地址位,將忽略不檢查。access-list語(yǔ)句,路由器將從最先定義的條件開(kāi)始依次檢查,如數(shù)據(jù)包滿足某個(gè)條件,路由器將不再執(zhí)行下面的包過(guò)濾條件,如果數(shù)據(jù)包不滿足規(guī)則中的所有條件,

3、Cisco路由器缺省為禁止該數(shù)據(jù)包,即丟掉該數(shù)據(jù)包。IP協(xié)議配置的主要任務(wù)1 / 61、配置端口IP地址2、配置廣域網(wǎng)線路協(xié)議3、配置IP地址與物理網(wǎng)絡(luò)地址如何映射4、配置路由5、其它設(shè)置為端口設(shè)置一個(gè)IP地址,在端口設(shè)置狀態(tài)下IP協(xié)議的主要配置ip address 本端口IP地址 子網(wǎng)掩碼另外,在同一端口中可以設(shè)置兩個(gè)以上的不同網(wǎng)段的IP地址,這樣可以實(shí)現(xiàn)連接在同一局域網(wǎng)上不同網(wǎng)段之間的通訊。一般由于一個(gè)網(wǎng)段對(duì)于用戶(hù)來(lái)說(shuō)不夠用,可以采用這種辦法。在端口設(shè)置狀態(tài)下ip address 本端口IP地址 子網(wǎng)掩碼 secondary注意:如果要實(shí)現(xiàn)連在同一路由器端口的不同網(wǎng)段的通訊,必須在端口設(shè)置

4、狀態(tài)下ip redirect一般地,Cisco路由器不允許從同一端口進(jìn)來(lái)的IP包又發(fā)回到原端口中,ip redirect表示允許在同一端進(jìn)入路由器的IP包由原端口發(fā)送回去。2、網(wǎng)絡(luò)中含有0的IP地址如138.0.0.1或192.1.0.2,強(qiáng)烈建議盡量不要使用這樣的IP地址,如要使用這的地址,在全局設(shè)置模式下必須設(shè)置ip subnet-zero包過(guò)濾配置包過(guò)濾功能可以幫助路由器控制數(shù)據(jù)包在網(wǎng)絡(luò)中的傳輸,通過(guò)包過(guò)濾可以限制網(wǎng)絡(luò)流量以及增加網(wǎng)絡(luò)安全性,包過(guò)濾功能對(duì)路由器本身產(chǎn)生的數(shù)據(jù)包不起作用,當(dāng)數(shù)據(jù)包進(jìn)入某個(gè)端口時(shí),路由器首先檢查是否該數(shù)據(jù)包可以通過(guò)路由或橋接方式送出去。如果不能,則路由器將丟掉

5、該數(shù)據(jù)包,如果該數(shù)據(jù)包可以傳送出去,則路由器將檢查該數(shù)據(jù)包是否滿足該端口中定義的包過(guò)濾規(guī)則,如果包過(guò)濾規(guī)則不允許該數(shù)據(jù)包通過(guò),則路由器將丟掉該數(shù)據(jù)包。2 / 61、標(biāo)準(zhǔn)包過(guò)濾 該種包過(guò)濾只對(duì)數(shù)據(jù)包中的源地址進(jìn)行檢查有兩種方式的包過(guò)濾規(guī)則:2、擴(kuò)展包過(guò)濾 該種包過(guò)濾對(duì)數(shù)據(jù)包中的源地址,目的地址,協(xié)議及端口號(hào)進(jìn)行檢查。3.1. 包過(guò)濾功能配置1、定義標(biāo)準(zhǔn)包過(guò)濾規(guī)則,在全局配置狀態(tài)下或在全局配置狀態(tài)下,定義擴(kuò)展包過(guò)濾規(guī)則可以在指定范圍內(nèi)任意選擇一個(gè)標(biāo)識(shí)號(hào)碼定義相應(yīng)的包過(guò)濾規(guī)則,一個(gè)包過(guò)濾規(guī)則可以包含一系列檢查條件,即可以用同一標(biāo)識(shí)號(hào)碼定義一系列2、在需要包過(guò)濾功能的端口,引出包過(guò)濾規(guī)則ip acce

6、ss-group包過(guò)濾規(guī)則標(biāo)識(shí)號(hào)in或out其中in 表示對(duì)進(jìn)入該端口的數(shù)據(jù)包進(jìn)行檢查out表示對(duì)要從該端口送出的數(shù)據(jù)包進(jìn)行檢查如果不進(jìn)行步驟2的配置,則所定義的包過(guò)濾規(guī)則根本不會(huì)執(zhí)行。實(shí)例:Currrent configuration:!version 11.3no service password-encryption!hostname 2511-1!3 / 6enable password cisco!username 2505 password 0 ciscono ip domain-lookup!interface Ethernet0ip address 192.4.1.1 255.

7、255.255.0ip access-group 101 inip security dedicated confidential genserno ip security addip security implicit-labelling!interface Serial0ip address 192.3.1.1 255.255.255.0ip access-group 1 in!引用標(biāo)準(zhǔn)包過(guò)濾規(guī)則1,禁止外部的用戶(hù)采用IP欺騙的方式進(jìn)入本地局域網(wǎng)ip security dedicated confidential genserencapsulation frame-relay IETFip

8、 ospf message-digest-key 1 md5 kimno ip mroute-cachebandwidth 2000frame-relay map ip 192.3.1.2 100 broadcastframe-relay lmi-type cisco4 / 6!interface Seriallip address 192.7.1.1 255.255.255.0ip access-group 1 inip security dedicated confidential genserencapsulation pppip ospf message-digest-key 1 md

9、5 kimip ospf network non-broadcastbandwidth 64ppp authentication chap!router ospf 1passive - interface Ethernet0network 192.3.1.0 0.0.0.255 area 0network 192.4.1.0 0.0.0.255 area 0network 192.7.1.0 0.0.0.255 area 0neighbor 192.7.1.2 priority 1neighbor 192.3.1.2 priority 1area 0 authentication messag

10、e-digest!no ip classlessaccess-list 1 deny 192.4.1.0 0.0.0.255access-list 1 permit any!定義標(biāo)準(zhǔn)包過(guò)濾,禁止192.1.4.0網(wǎng)段使用IP網(wǎng)絡(luò)5 / 6access-list 101 permit ip host 192.4.1.20 anyaccess-list 101 deny icmp any any!定義擴(kuò)展包過(guò)濾規(guī)則只允許192.4.1.20的單機(jī)使用ping,其他所有計(jì)算機(jī)都不允許使用!ping 。這臺(tái)計(jì)算機(jī)為網(wǎng)管計(jì)算機(jī)。access-list 101 deny tcp any host 192.4.1.1access-list 101 deny tcp any host 192.7.1.1access-list 101 deny tcp any host 192.3.1.1access-list 101 perm

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論