Download
1 / 16
170 likes | 378 Views
CISCO ROUTER 簡介與設定實做. 硬體簡介 設定實作 網路存取控制( ACL ). 路由器內部元件. 廣域網路 連接埠. 區域網路 連接埠. 輔助埠. 主控台. 對外連接介面. ROM. CPU. NVRAM. FLASH. 主記憶體( RAM ). 對外連接介面. WAN PORT ( Serial0 , Serial1 ) DB60 連接頭,連接中華電信 DSU/CSU 設備 LAN PORT ( Ethernet0 , Ethernet1 ) AUI 接頭 RJ45 區域網路
E N D
CISCO ROUTER簡介與設定實做 硬體簡介 設定實作 網路存取控制(ACL)
路由器內部元件 廣域網路 連接埠 區域網路 連接埠 輔助埠 主控台 對外連接介面 ROM CPU NVRAM FLASH 主記憶體(RAM)
對外連接介面 • WAN PORT(Serial0,Serial1) DB60連接頭,連接中華電信DSU/CSU設備 • LAN PORT(Ethernet0,Ethernet1) AUI接頭 RJ45 區域網路 • Console PORT RJ45接頭 COM1(Hypertrm 連線軟體)
Cisco IOS 檢視狀態指令 Show interface Show controllers 對外連接介面 NVRAM Show flash FLASH Show startup-config 主記憶體(RAM) Show memory Show running-config Show protocols Show ip route Show version Show sessions
操作模式 Router> 使用者模式 Router# 特權模式 Router(config)# 全域組態模式 特定組態模式
路由器啟動程序 • 通電後自我測試(POST)。 • 組態暫存器的開關欄位紀錄由何處載入作業系統,可能的位置有Flash、TFTP伺服器、ROM。 • 載入作業系統檔。 • 載入組態檔案。 • 如果找不到組態檔,將會執行交談式的起始組態設定程序。
路由器啟動程序 1、載入開機程序 啟動開機作業 主記憶體 (RAM) bootstrap ROM FLASH IOS TFTP 2、載入作業系統 ROM NVRAM configuration 3、載入組態設定檔 TFTP Console
控制存取清單(Access Control List ,ACL) • 提供過濾網路流量的功能,ACL是由允許流通和拒絕存取的敘述所組成的控制表。 • 標準式的ACL可以控管來源網路位址到本地的資料流通。 • 延伸式的ACL可以根據上層協定的服務種類,來控管從發送端網路到目的地網路的資料流通。
建立ACL關鍵工作 • 在全域組態模式下建立ACL條件敘述。 • 為每一組ACL敘述指定一個唯一的號碼。 • 在介面組態模式下放置ACL條件敘述。 • 如果想要變更一個編號的ACL敘述,須先刪除這個ACL的所有敘述,再重新寫過。
萬用遮罩(Wildcard Mask) • 位元0代表「要檢查相對應的位元值」。 • 位元1代表「不要檢查(忽略)相對應的位元值」。
Standard ACL • 建立ACL Router(config)#access-list 號碼 {deny | permit} 來源網址 萬用遮罩 • 移除ACL Router(config)#no access-list 號碼 • 檢驗ACL Router#show access-lists • 置入介面ACL Router(config-if)#ip access-group 號碼 {in | out} • 移除介面ACL Router(config-if)#no ip access-group 號碼 {in | out}
Extended ACL • 建立Extended ACL Router(config)#access-list 號碼 {permit | deny}協定種類 來源位址 來源遮罩 目的地位址 目的地遮罩 邏輯運算子 服務埠編號
實例練習01 • 假設所有學生都在網路192.192.132.0上 • 不要允許學生使用FTP到網際網路(病毒警告!!) • 允許學生到其他所有的網路 • 將這份控制清單應用到路由器介面的S1上 access-list 101 deny tcp 192.192.132.0 0.0.0.255 any eq ftp access-list 101 permit ip 192.192.132.0 0.0.0.255 any interface S1 ip access-group 101 out
實例練習02 • 假設行政教學電腦都在203.72.158.0上, • 允許到網路134.208.0.0收發電子郵件(SMTP) • 拒絕到網路134.208.0.0的任何其他權限 • 允許所有其他的網路交通 • 將這份控制清單應用到路由器介面的E0上 access-list 102 permit tcp 203.72.158.0 0.0.0.255 134.208.0.0 0.0.255.255 eq smtp access-list 102 deny ip 203.72.158.0 0.0.0.255 134.208.0.0 0.0.255.255 access-list 102 permit ip any any interface E0 ip access-group 102 out
