CISCO 2500、1600系列路由器使用手册--IP协议配置

gggrreet

　3.IP协议配置IP协议配置的主要任务1、配置端口IP地址2、配置广域网线路协议3、配置IP地址与物理网络地址如何映射4、配置路由5、其它设置　IP协议的主要配置为端口设置一个IP地址，在端口设置状态下ipaddress本端口IP地址子网掩码另外，在同一端口中可以设置两个以上的不同网段的IP地址，这样可以实现连接在同一局域网上不同网段之间的通讯。一般由于一个网段对于用户来说不够用，可以采用这种办法。在端口设置状态下ipaddress本端口IP地址子网掩码secondary　留意：假如要实现连在同一路由器端口的不同网段的通讯，必须在端口设置状态下ipredirect一般地，Cisco路由器不答应从同一端口进来的IP包又发回到原端口中，ipredirect表示答应在同一端进入路由器的IP包由原端口发送回去。2、网络中含有0的IP地址如138.0.0.1或192.1.0.2，强烈建议尽量不要使用这样的IP地址，如要使用这的地址，在全局设置模式下必须设置ipsubnet-zero　包过滤配置包过滤功能可以帮助路由器控制数据包在网络中的传输，通过包过滤可以限制网络流量以及增加网络安全性，包过滤功能对路由器本身产生的数据包不起作用，当数据包进入某个端口时，路由器首先检查是否该数据包可以通过路由或桥接方式送出去。假如不能，则路由器将丢掉该数据包，假如该数据包可以传送出去，则路由器将检查该数据包是否满足该端口中定义的包过滤规则，假如包过滤规则不答应该数据包通过，则路由器将丢掉该数据包。　有两种方式的包过滤规则：1、标准包过滤该种包过滤只对数据包中的源地址进行检查2、扩展包过滤该种包过滤对数据包中的源地址，目的地址，协议及端口号进行检查。3.1.包过滤功能配置1、定义标准包过滤规则，在全局配置状态下access-list标识号码deny或permit源地址通配符或在全局配置状态下，定义扩展包过滤规则access-list标识号码deny或permit协议标识源地址通配符目地地址通配符Cisco路由器中access-list规定的标识号码，如表：　　　　　　可以在指定范围内任意选择一个标识号码定义相应的包过滤规则，deny参数表示禁止，pernit表示答应。通配符也为32位二进制数字，并与相应的地址逐一对应。路由器将检查与通配符中的“0”（2进制）位置一样的地址位，对于通配符中“1”（2进制）位置一致的地址位，将忽略不检查。一个包过滤规则可以包含一系列检查条件，即可以用同一标识号码定义一系列access-list语句，路由器将从最先定义的条件开始依次检查，如数据包满足某个条件，路由器将不再执行下面的包过滤条件，假如数据包不满足规则中的所有条件，Cisco路由器缺省为禁止该数据包，即丢掉该数据包。2、在需要包过滤功能的端口，引出包过滤规则ipaccess-group包过滤规则标识号in或out其中in表示对进入该端口的数据包进行检查out表示对要从该端口送出的数据包进行检查假如不进行步骤2的配置，则所定义的包过滤规则根本不会执行。　实例：Currrentconfiguration:!version11.3noservicepassword-encryption!hostname2511-1!enablepasswordcisco!username2505password0cisconoipdomain-lookup!inte***ceEthernet0ipaddress192.4.1.1255.255.255.0ipaccess-group101inipsecuritydedicatedconfidentialgensernoipsecurityaddipsecurityimplicit-labelling!inte***ceSerial0ipaddress192.3.1.1255.255.255.0ipaccess-group1in!引用标准包过滤规则1，禁止外部的用户采用IP欺骗的方式进入本地局域网ip      1/2 12下一页尾页