[網路管理]Cisco Router 設定與管理

2011-01-19

63587
0

摘要:[網路管理]Cisco Router 設定與管理

============
Router之功能
============

1.Routing
2.阻隔廣播封包〈Broadcast〉。
3.過濾封包。

===============
Cisco Ios檔系統
===============

以記憶體分類：cisco內部共有三種記憶體：（RAM）（NVRAM）（FLASH）

〈1〉EEPROM又稱快閃記憶體(flash):存放cisco Router所用之作業系統(Ios)。

〈2〉NVRAM(非揮發性隨機記憶體):存放開機時之啟動組態(startup-config)在電源切斷時其設定資料不會消失。

〈3〉RAM：用來存取執行中有關命令設定(Running-config)
　　　 copy running-config startup-config　將執行設定檔存成開機設定檔
　　　　　 copy startup-config running-config　還原為開機執行檔

========================
Router基本設定與安全管理
========================

〈一〉IOS指定模式
　　　Cisco設備IOS軟體指令編輯器EXEC，分成兩個層級
　　　１．使用者EXEC層級（user EXEC level）:
　　　２．特權EXEC層級（privileged EXEC level）:
　　　在使用者層級（Router>）只能顯示資訊而無法改變設備的設定，所有設備指令須在權限EXEC層級設定
（Router#）其切換指令為enable與disable兩指令（Router＞enable → router #，router # disable→router>），
　　　在權限EXEC層級〈Router#〉下輸入總體設定模式下（global configuration Mode）指令
Configure Terminal各項指令。

〈二〉Router設定

　１．路由器界面設定

（１）Ethernet（10M），Fast Ethernet（100M）gibabit界面其指令。

　　　Router (config) # interface type slot/port

　　　例：Router (config-if) # interface Ethernet 0/1

（２）序列界面設定（serial）：除設定界面外另設定clock、Rate與Bandwidth指令。

　　　Router (config) # interface serial 0
　　　Router (config-if)# interface serial 0
　 # clock rate 64000
　 # Bandwidth 64

　２．在「權限EXEC」模式下設定密碼

（１） console下設定密碼

　　　　Router (config) # line console 0
　　　　Router (config-line) # login
　　　　Router (config-Line) # password 密碼名稱

（２） Telnet下，由虛擬終端（Virtual Terminal）下設定密碼

　　　　Router (config) # line vty 0 4
　　　　Router (config-Line) # login
　　　　Router (config-Line) # Password 密碼名稱

（３）進入特權模式設定密碼

　　　　Router (config) # enable password 密碼名稱

（４）設定enable密碼加密

　　　　Router (config)# enable secret 密碼名稱

（５）所有設定密碼加密在「權限EXEC模式下」設定使用

　　　　Router (config)# service password-encryption

〈三〉IP遶送：
靜態遶送（static routing）、
　　　　　　　預設遶送（default routing）、
　　　　　　　動態遶送（dynamic routing），
　　　　　　　其中動態協定包括RIP、IGRP、EIGRP與OSPF等。

　１．靜態遶送（static routing）：

　　　每台路由器的路徑表中手動加入路徑。
　　　ip route〔destination_ network〕〔mask〕〔next-hop-address〕

　　ip route：用來建立靜態路徑的命令。
　　destination_network：要放在路徑表中的網路。
　　　mask：該網路使用的子網路遮罩。
　　　next-hop-address：負責接收封包並轉送至遠端網路之下一中繼站路由器位址。

例：
　　（ROUTER－A）f0/0:192.168.10.1
　　　　　　　　　 s0/0:192.168.20.1
　　（ROUTER－B）s0/0:192.168.20.2 NET
　　　　　　　　 s0/1:192.168.40.1

　　 Router A (config) # ip route 192.168.40.0 255.255.255.0 192.168.20.2

　２．預設遶送（default routing）：

　　　只能在殘根型網路使用預設遶送，因殘根型網路（stub network）只有一條離開路徑
　　　之網路。

　　　ip route 0.0.0.0.0.0.0.0〈Next-hop router〉
　　　例：Router B(config)：ip route 0.0.0.0.0.0.0.0 192.168.20.1

　３．動態遶送（Dynamic routing）：

　　　使用協定來尋找網路，並且更新路由器上之路徑表。協定包括RIP、IGRP、EIGRIP、
　　　OSPF等等。

　（１）RIP (Routing information protocol)：

　　　距離向量協定其管理性距離為120，每隔30秒從所有作用中的界面送出完整之路徑表，
　　　RIP只使用中繼站數目來判斷通往遠端之最佳路徑，最大中繼站數目為15，它屬於有級
　　　別遶送。

　　　Router (config) # router rip
　　　Router (config-router) # network network-number

　　　例：
　　　Router A (config) # router rip
　　　Router A (config-router) # Network 192.168.10.0
　　　Router A (config-router) # Network 192.168.20.0

　（２）IGRP（interior gateway Routing protocol）內部閘道遶送協定：

　　　它屬於cisco專屬距離向量遶送協定，若在網路中使用IGRP，其所有路由器必須為
　　　cisco路由器，IGRP最大中繼站數目為255，管理距離為100，使用線路頻寬與延遲
　　　決定互連網路互連最佳路徑的指標，IGRP使用自治系統編號啟動，每隔90秒提供一
　　　次完整路徑表更新。

　　　Router (config) # router IGRP AS (Autonomous system)
　　　Router (config-router) # Network network-number

　　　例：Router (config) # router IGRP 10
　　　　　Router A (config-router) # Network 192.168.10.0
　　　　　Router A (config-router) # Network 192.168.20.0

　（３）OSPF(open shortest path First)開放式最短路徑優先：

　　　OSPF市一種鏈路狀態協定(Link-state protocol)每台路由器會建立３個獨立的表格
　　　，其中之一會追蹤直接相連的鄰居，一個決定整個互連網路的拓樸，而最後一個是
　　　路徑表，屬於一種鏈路狀態IP繞送協定，OSPF利用成本（cost）當作衡量指標，
　　　cisco使用計算公式是10^2/頻寬，其管理距離為110。

　　　　Router (config)# Router OSPF process-id
　　　　Router (config-Router)# Network address mask Area area-id
　　　（其中mask為萬用字元遮罩wilcard mask，一般為0.0.0.0）

　　　● 萬用字元遮罩的位元值為0，表示檢查對應位元內的值。
　　　● 萬用字元遮罩的位元值為1，表示不需要檢查對應位元內的值。

（四）Router預設管理距離
      路徑來源                          預設距離
      連接界面（E0，S0） 0
      靜態傳送路徑 1
      EIGRP 5
      外部BGP 20
      內部增強IGRP 90
      IGRP 100
      OSPF 110
      RIP 120
      EGP 140

==========================
IP資料管制（Access Lists）
==========================

　　使用者資料透過網路從一地點傳送到另一地點，為了控制網路上資料，所以需要有方法
加以確認與過濾網路上的資料，因此Access Lists被使用在路由器上檢查網路資料。ACL有
兩種型態：

（一）標準型態的ACL（standard access lists－檢查封包的來源（source）位址，以決定
允許或拒絕該封包經由整套網路協定傳送出去。

１．使用Access-List指令建立一個標準的IP資料過濾機制，語法如下：

　　Router(config)# Access-List Access-List-number{permit/deny}source-address〔wildcard mask〕

　　● Access-List-number表示該表列的號碼，其standard IP lists是1到99。
　　● Permit/deny表示是否允許指定位址送出的資料在網路上傳輸。
　　● Source-address代表來源IP端位址。
　　● wildcard mask表示位址欄位中有哪些位元必須一致其default wildcard mask＝0.0.0.0

２．利用ip access-group指存在一個ALC運用在一個介面上。

　　Router(config) # interface seria10(Ethernet0)
　　Router(config-if) # ip Access-group access-list-number｛in/out｝.

　　access-list-number 表示應用在該介面上的ACL號碼。
　　in/out 用來選擇ACL用在進來或出去的Packet 的篩選上，其系統Default=outbound。

（二）延伸型態ACL－檢測來源與目的端的位址，並須指明檢查網路協定與通信埠號碼，

１．利用Access-list指令建立一個過濾資料機制，語法如下：

　　Router（config）#Access-list access-list-number｛Permit/deny｝protocol source source-wildcard〔operator port〕destination
destination-wildcard〔operator port〕〔established〕〔log〕

　　access-list-number 表示該列使用值從100到199號碼。
　　permit/deny 表示是否允許指定位址送出來的資料在網路上傳輸。
　　protocol是IP TCP UDP ICMP或IGRP之一。
　　Source與destination代表來源與目的端的IP位址。
　　Source-wildcard與destination-wildcard表示萬用字元遮罩，0表示對應位置的位元必須一致，1表示對應位置的
位元可以是任意值。
　　Operator port可能是一個協定通訊埠的號碼或者It（少於），gt（大於），eq（等於），neq（不等於）某個
通訊埠的號碼。
　　Established限用於TCP的資料傳輸。
　　Log表示將紀錄訊息傳送給主控台。

２．將ip access-group指令存在一個ACL運用在一個介面上。

　　Router（config）# interface serial0
　　Router（config-if）# ip access-group access-list-number｛in/out｝

　　access-list-number表示使用在該介面上ACL號碼。
　　in/out用來選擇ACL用在進來或出去的封包篩選，其預設值為out。

　　範例：
　　Router（config）# access-list 101 dency tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq log
　　Router（config）# access-list 101 permit ip any any
　　Router（config）# interface ethernet
　　Router（config）# ip access-group 101 out

資料來源：http://blog.xuite.net/jorgeyen/20050527/27862628

我只是個小小的入門者

[網路管理]

回首頁