Cisco Router 设定与管理
============
Router之功能
============
1.Routing
2.阻隔广播封包〈Broadcast〉。
3.过滤封包。
===============
Cisco Ios文件系统
===============
以内存分类:cisco内部共有三种内存:(RAM)(NVRAM)(FLASH)
〈1〉EEPROM又称闪存〈flash〉:存放cisco Router所用之操作系统〈Ios〉。
〈2〉NVRAM〈非挥发性随机内存〉: 存放开机时之启动组态〈startup-config〉
在电源切断时其设定数据不会消失。
〈3〉RAM:用来存取执行中有关命令设定〈Running-config〉
copy running-config startup-config 将执行配置文件存成开机配置文件
copy startup-config running-config 还原为开机执行档
========================
Router基本设定与安全管理
========================
〈一〉IOS指定模式
Cisco设备IOS软件指令编辑器EXEC,分成两个层级
1.使用者EXEC层级(user EXEC level):
2.特权EXEC层级(privileged EXEC level):
在用户层级(Router>)只能显示信息而无法改变设备的设定,所有设备指令须在
权限EXEC层级设定(Router#)其切换指令为enable与disable两指令
(Router>enable → router #,router # disable→router>),
在权限EXEC层级〈Router#〉下输入总体设定模式下(global configuration Mode)
指令Configure Terminal各项指令。
〈二〉Router设定
1.路由器界面设定
(1)Ethernet(10M),Fast Ethernet(100M)gibabit界面其指令。
Router (config) # interface type slot/port
例:Router (config-if) # interface Ethernet 0/1
(2)序列界面设定(serial):除设定界面外另设定clock、Rate与Bandwidth指令。
Router (config) # interface serial 0
Router (config-if)# interface serial 0
# clock rate 64000
# Bandwidth 64
2.在「权限EXEC」模式下设定密码
(1) console下设定密码
Router (config) # line console 0
Router (config-line) # login
Router (config-Line) # password 密码名称
(2) Telnet下,由虚拟终端(Virtual Terminal)下设定密码
Router (config) # line vty 0 4
Router (config-Line) # login
Router (config-Line) # Password 密码名称
(3) 进入特权模式设定密码
Router (config) # enable password 密码名称
(4) 设定enable密码加密
Router (config)# enable secret 密码名称
(5) 所有设定密码加密在「权限EXEC模式下」设定使用
Router (config)# service password-encryption
〈三〉IP遶送:静态遶送(static routing)、
预设遶送(default routing)、
动态遶送(dynamic routing),
其中动态协议包括RIP、IGRP、EIGRP与OSPF等。
1.静态遶送(static routing):
每台路由器的路径表中手动加入路径。
ip route〔destination_ network〕〔mask〕〔next-hop-address〕
? ip route:用来建立静态路径的命令。
? destination_network:要放在路径表中的网络。
mask:该网络使用的子网掩码。
next-hop-address:负责接收封包并转送至远程网络之下一中继站路由器地址。
例:
(ROUTER-A)f0/0:192.168.10.1
s0/0:192.168.20.1
(ROUTER-B)s0/0:192.168.20.2 NET
s0/1:192.168.40.1
Router A (config) # ip route 192.168.40.0 255.255.255.0 192.168.20.2
2.预设遶送(default routing):
只能在残根型网络使用默认遶送,因残根型网络(stub network)只有一条离开路径
之网络。
ip route 0.0.0.0.0.0.0.0〈Next-hop router〉
例:Router B(config):ip route 0.0.0.0.0.0.0.0 192.168.20.1
3.动态遶送(Dynamic routing):
使用协议来寻找网络,并且更新路由器上之路径表。协议包括RIP、IGRP、EIGRIP、
OSPF等等。
(1)RIP (Routing information protocol):
距离向量协议其管理性距离为120,每隔30秒从所有作用中的界面送出完整之路径表,
RIP只使用中继站数目来判断通往远程之最佳路径,最大中继站数目为15,它属于有级
别遶送。
Router (config) # router rip
Router (config-router) # network network-number
例:
Router A (config) # router rip
Router A (config-router) # Network 192.168.10.0
Router A (config-router) # Network 192.168.20.0
(2)IGRP(interior gateway Routing protocol)内部网关遶送协议:
它属于cisco专属距离向量遶送协议,若在网络中使用IGRP,其所有路由器必须为
cisco路由器,IGRP最大中继站数目为255,管理距离为100,使用线路带宽与延迟
决定互连网络互连最佳路径的指针,IGRP使用自治系统编号启动,每隔90秒提供一
次完整路径表更新。
Router (config) # router IGRP AS (Autonomous system)
Router (config-router) # Network network-number
例:Router (config) # router IGRP 10
Router A (config-router) # Network 192.168.10.0
Router A (config-router) # Network 192.168.20.0
(3)OSPF(open shortest path First)开放式最短路径优先:
OSPF是一种链路状态协议(Link-state protocol)每台路由器会建立3个独立的表格
,其中之一会追踪直接相连的邻居,一个决定整个互连网络的拓扑,而最后一个是
路径表,属于一种链路状态IP绕送协议,OSPF利用成本(cost)当作衡量指标,
cisco使用计算公式是10^2/带宽,其管理距离为110。
Router (config)# Router OSPF process-id
Router (config-Router)# Network address mask Area area-id
(其中mask为通配符屏蔽wilcard mask,一般为0.0.0.0)
● 通配符屏蔽的位值为0,表示检查对应位内的值。
● 通配符屏蔽的位值为1,表示不需要检查对应位内的值。
(四)Router预设管理距离
路径来源 默认距离
连接界面(E0,S0) 0
静态传送路径 1
EIGRP 5
外部BGP 20
内部增强IGRP 90
IGRP 100
OSPF 110
RIP 120
EGP 140
==========================
IP资料管制(Access Lists)
==========================
用户数据透过网络从一地点传送到另一地点,为了控制网络上数据,所以需要有方法
加以确认与过滤网络上的数据,因此Access Lists被使用在路由器上检查网络数据。ACL有
两种型态:
(一)标准型态的ACL(standard access lists-检查封包的来源(source)地址,以决定
允许或拒绝该封包经由整套网络协议传送出去。
1.使用Access-List指令建立一个标准的IP数据过滤机制,语法如下:
Router(config)# Access-List Access-List-number{permit/deny}source-address〔wildcard mask〕
● Access-List-number表示该表列的号码,其standard IP lists是1到99。
● Permit/deny表示是否允许指定地址送出的数据在网络上传输。
● Source-address代表来源IP端地址。
● wildcard mask表示地址字段中有哪些位必须一致其default wildcard mask=0.0.0.0
2.利用ip access-group只存在一个ALC运用在一个接口上。
Router(config) # interface seria10(Ethernet0)
Router(config-if) # ip Access-group access-list-number{in/out}.
access-list-number 表示应用在该接口上的ACL号码。
in/out 用来选择ACL用在进来或出去的Packet 的筛选上,其系统Default=outbound。
(二)延伸型态ACL-检测来源与目的端的地址,并须指明检查网络协议与通信端口号码,
1.利用Access-list指令建立一个过滤数据机制,语法如下:
Router(config)#Access-list access-list-number{Permit/deny}protocol source source-wildcard〔operator port〕destination destination-wildcard〔operator port〕〔established〕〔log〕
access-list-number 表示该列使用值从100到199号码。
permit/deny 表示是否允许指定地址送出来的数据在网络上传输。
protocol是IP TCP UDP ICMP或IGRP之一。
Source与destination代表来源与目的端的IP地址。
Source-wildcard与destination-wildcard表示通配符屏蔽,0表示对应位置的位必
须一致,1表示对应位置的位可以是任意值。
Operator port可能是一个协议通讯端口的号码或者It(少于),gt(大于),eq(等于)
,neq(不等于)某个通讯端口的号码。
Established限用于TCP的数据传输。
Log表示将纪录讯息传送给控制台。
2.将ip access-group指令存在一个ACL运用在一个接口上。
Router(config)# interface serial0
Router(config-if)# ip access-group access-list-number{in/out}
access-list-number表示使用在该接口上ACL号码。
in/out用来选择ACL用在进来或出去的封包筛选,其默认值为out。
范例:
Router(config)# access-list 101 dency tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq log
Router(config)# access-list 101 permit ip any any
Router(config)# interface ethernet
Router(config)# ip access-group 101 out