Router 設定 B91902004 許雅婷 B91902116 呂東烜 B91902117 梁琨貿 B91902120 陳人豪

IP階層網路 用IP識別單一電腦 用IP識別一個網路(一群電腦) 起始IP 子網路遮罩 用以識別一個網路 子網路遮罩 用以定義一個網路的大小 EX:163.21.236.0/255.255.255.0

IP階層網路 計算某IP所屬網路 簡化的表示方法 163.21.236.0/24 10100011    00010101    11101100    01000111    =    163.21.236.71 AND) 11111111   11111111    11111111    00000000    =    255.255.255.0 -------------------------------------------------------------------------------------------------- 10100011    00010101    11101100    00000000    =    163.21.236.0

分割子網路 定義子網路所需的IP 子網路識別IP 為子網路的第一個IP 子網路廣播IP 為子網路的最後一個IP

分割子網路 分割163.21.236.xxx為兩個子網路 子網路一 : 163.21.236.0/25 子網路範圍 : 163.21.236.0 ~ 163.21.236.127 子網路識別IP : 163.21.236.0 子網路廣播IP : 163.21.236.127 子網路二 : 163.21.236.128/25 子網路範圍 : 163.21.236.128 ~ 163.21.236.255 子網路識別IP : 163.21.236.128 子網路廣播IP : 163.21.236.255

路徑(Route) 設定子網路的出入口 – 閘道(gateway) 路徑的定義 通常設為子網路中的最後一個可用IP

路徑 路徑範例 Host A : 163.21.236.71 Host B : 163.21.236.200 Route from A to B: 163.21.236.200/255.255.255.255 GATEWAY 163.21.236.126 Route from A to subnet of B 163.21.236.200/255.255.255.128 GATEWAY 163.21.236.126

預設閘道 若router中沒有可用的route，則採預設閘道 預設閘道設為能直接通往外界的某個IP 設定範例 0.0.0.0/0.0.0.0 GATEWAY 163.21.236.1 0.0.0.0/0.0.0.0代表適用於任何IP 163.21.236.1主機有對外的連線

設定範例

Cisco路由器1600系列硬體組成 Console port Auxiliary port AUI port Ethernet port Serial port ROM Flash NVRAM（Nonvolatile RAM） RAM Interfaces

Cisco的IOS軟體 IOS（Internetwork Operating System）軟體是Cisco網路的核心軟體，透過IOS的使用者介面可以啟動與設定Cisco的網路設備，IOS將這些設備互連起來，以提供最佳服務。 購買該公司的路由器基本都會安裝最基本的作業系統。但是額外的系統功能就得加裝了，換句話說不是所有看的到的指令都能執行。

Cisco的IOS軟體 管理者可以經由主控台（console）、數據機或telnet使用Cisco IOS的指令行介面（command-line interface），透過指令行介面管理Cisco的各種設備。 IOS指令模式 ： - User EXEC（使用者模式） - Privileged EXEC（特權模式） - Global configuration（總體設定模式 ）

‘show’指令 show version：顯示系統中硬體與軟體版本、設定檔的名稱與來源、以及boot檔案等 show running-configuration & show startup-configuration：查看設定檔 （儲存在RAM與不易變動的RAM [NVRAM] ） show interface：可以看到所有介面 show interface ethernet 0：可以看到指定的介面

show version Cisco Internetwork Operating System Software IOS (tm) 1600 Software (C1600-Y-M), Version 11.2(9)P, RELEASE SOFTWARE (fc1) Copyright (c) 1986-1997 by cisco Systems, Inc. Compiled Tue 30-Sep-97 18:29 by ccai Image text-base: 0x02005000, data-base: 0x023024F0 ROM: System Bootstrap, Version 11.1(12)XA, EARLY DEPLOYMENT RELEASE SOFTWARE (fc1) ROM: 1600 Software (C1600-RBOOT-R), Version 11.1(12)XA, EARLY DEPLOYMENT RELEASE SOFTWARE (fc1) Router uptime is 3 days, 19 hours, 34 minutes---------->路由器自上次啟動後迄今運作時間。 System restarted by reload---------------------------------->上一次路由器啟動的原因。 System image file is "flash:c1600-y-mz.112-9.P", booted via flash cisco 1605 (68360) processor (revision C) with 7680K/512K bytes of memory. Processor board ID 13291563, with hardware revision 00000000 Bridging software. 2 Ethernet/IEEE 802.3 interface(s)------------------------>有兩個乙太網路介面。 1 serial(sync/async) network interface(s)--------------->有一個序列介面。 System/IO memory with parity disabled 8192K bytes of DRAM onboard--------------------------->有8M的DRAM。 System running from RAM 8K bytes of non-volatile configuration memory. 2048K bytes of processor board PCMCIA flash (Read/Write) Configuration register is 0x2102

show interface Ethernet0 is up, line protocol is up---------------------------->可以看出介面，線路是否正常運作: 運作正常：up，up 連線問題：up，down 介面問題：down，down 被設定停止：administratively down，down Hardware is QUICC Ethernet, address is 0010.7bf9.4b48 (bia 0010.7bf9.4b48) Internet address is 163.20.136.190/26--------------------->顯示本介面是否有設定ip address MTU 1500 bytes, BW 10000 Kbit, DLY 1000 usec, rely 255/255, load 1/255 Encapsulation ARPA, loopback not set, keepalive set (10 sec) ARP type: ARPA, ARP Timeout 04:00:00 Last input 00:02:38, output 00:00:09, output hang never Last clearing of "show interface" counters never Queueing strategy: fifo Output queue 0/40, 0 drops; input queue 0/75, 0 drops 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 159808 packets input, 32375180 bytes, 0 no buffer …

global configuration mode Interface─可以在每個介面上作設定的指令 ，提示符號：Router(config – if)# Subinterface─支援在單一實體介面上可以設定多個虛擬介面的指令，提示符號：Router(config – subif)# Controller─支援在控制器（如，E1與T1控制器）上設定的指令，提示符號：Router(config – controller)# Line─支援在一個終端連線上設定的指令，提示符號：Router(config – line)# Router─支援在一個IP路由協定上設定的指令，這個設定模式的提示符號如下：Router(config – router)#

基本指令 為路由器命名 Router(config) # hostname ntuRouter ntuRouter(config) # 設定路由器的介面 ntuRouter(config) # interface fastEthernet 2/0/0 ntuRouter(config - if) # description EE Lan 可針對一個介面增加一段文字說明

密碼相關指令 設定路由器的主控台密碼 ntuRouter(config) # line console 0 ntuRouter(config - line) # login ntuRouter(config - line) # password cisco consol 0代表路由器的主控台連線 ， login提示符號是要求管理者輸入密碼 設定路由器的虛擬終端的密碼 ntuRouter(config) # line vty 0 4 ntuRouter(config - line) # password nturwa 設定路由器的enable密碼 ntuRouter(config) # enable password cisco 設定路由器的enable secret密碼 (加密格式的enable密碼 ) ntuRouter(config) # enable secret nturwa 在『總體設定』模式中使用service password-encryption指令可以將所設定的所有密碼加密 去除密碼 ntuRouter(config) # no enable secret nturwa

停用/啟用 介面 停止使用路由器上的一個介面 ntuRouter # configure term ntuRouter(config) # interface fastEthernet 2/0/0 ntuRouter(config - if) # shutdown 重新啟動路由器上被停止使用的一個介面 ntuRouter(config - if) # no shutdown ntuRouter# show interfaces fastEthernet 2/0/0

收集鄰接設備與遠端設備的資訊 可以利用Cisco的CDP（Cisco Discovery Protocol）與Telnet幫助管理者瞭解實體網路架構的型態。 show cdp的選項，可以看到CDP的輸出結果， CDP提供好幾個關鍵字讓管理者可以取得不同型態的資訊。設備一開機，所有的介面都啟動CDP的功能，但是還是可以使用‘no cdp run’指令在設備上停止其功能。‘no cdp enable’指令，可以暫停某個介面的CDP功能 。

收集鄰接設備與遠端設備的資訊 在RouterA上執行show cdp neighbors指令 Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge S - Switch, H - Host, I - IGMP, r - Repeater Device ID Local Intrfce Holdtme Capability Platform Port ID Ntu_adsl Fas 10/1 122 R 3640 Fas 0/0 Switch Fas 5/1/0 134 S WS-C2916M-Fas 2/1 Device ID：鄰接設備的號碼 Local interface：本地路由器的介面名稱 Hold time：收到CDP封包的設備需要保留該封包多久才可以丟掉（時間以秒計算） Capability：鄰接設備的等級 Platform：鄰接設備的硬體平台 Port ID：鄰接設備的遠端通訊埠號碼

收集鄰接設備與遠端設備的資訊 顯示鄰接設備的詳細資訊 show cdp neighbors detail 或 show cdp entry * 鄰接設備的ID 第三層網路協定的資訊（如IP位址） 鄰接設備的等級 鄰接設備的硬體平台 本地路由器的介面型態與遠端的通訊埠號碼 收到CDP封包的設備需要保留該封包多久才可以丟掉（時間以秒計算） IOS的型態與版本

設備的資料傳輸及介面狀態與設定 顯示介面流量的資訊，送出與接收CDP封包的數量，以及檢查出錯誤的數量 RouterA#show cdp traffic 顯示本地設備的介面狀態與設定資訊 RouterA#show cdp interface

遠端設備的資訊 如果想要取得遠端設備（與本地設備無直接連接）的資訊，則需要仰賴其他的工具(Telnet)。 顯示建立Telnet連結的主機資訊，相關資訊如主機名稱、IP位址、位元數、連線主機的閒置時間、以及連線名稱等 RouterA#show sessions 顯示主控台的通訊埠（port）是否正在使用，並且列出所有的Telnet連線與建立連線主機的IP位址 RouterA#show users

偵測網路的狀態 確認設備的連結狀態 RouterA#ping 140.112.205.8 封包在設備之間傳送的路徑 RouterA#traceroute 140.112.205.8

設定檔的複製 使用Autoinstall或Setup公用程式載入或建立設定檔 ‘copy’指令 要複製正在RAM中執行的設定到TFTP server，可以使用‘copy running-configuration tftp’指令（或‘copy run tftp’） ‘copy running-configuration startup-configuration’指令（或‘copy running startup’）則可以將正在執行的設定複製到NVRAM，只要設定作變更而要儲存時，可以用這個指令。 不論從設定模式或檔案將設定內容複製到正在執行的設定中，都會與現有的資料作合併。但是如果是複製到NVRAM則是完全的覆蓋到原來的資料上。

靜態路由 靜態路由（static route）是由管理者定義的路由，指定封包在來源端與目的端之間移動的路徑。靜態路由是指以人工方式記載於路由器中的路徑。在這種情況下，網路的到達能力與網路狀態都沒有關係。不論某個目的地是開機或關機，這條靜態路由都會保存在路由表裡，資料也仍會向該目的地傳送。 ip route network [mask] {address | interface} [distance] [permanent] network是目的端網路或子網路。 mask是子網路遮罩。 address是路由器下一站的IP位址。 interface是用來到達目的端網路的介面名稱。 distance是個選擇性的參數，定義這條路由的距離向量。 permanent也是個選擇性的參數，即使當某個介面shutdown了，所指定的靜態路徑永遠存在。

IP資料管制（Access Lists） 資料透過網路從一個地點傳送到另一個地點，有時候我們會需要有方法可以確認與過濾網路上的資料。 ACLs（Access Control Lists）被使用在路由器上檢查網路資料。 ACL可以過濾封包在路由器介面的進出，以及限制特定使用者或設備才能使用該網路。

ACL的型態 標準型態的ACL（Standard access lists）：檢查封包的來源（source）位址，以決定允許或拒絕該封包經由整套網路協定傳送出去。 延伸型態的ACL（Extended access lists）：檢查封包的來源位址與目的（destination）位址，除此之外，也可以檢查特定的網路協定、通訊埠、或其他參數。

ACL的型態 傳入的ACL（Inbound access lists）：傳進路由器的封包會在轉到輸出介面之前被處理。如果該封包經過測試後允許通過，依照其路徑作處理。 輸出的ACL（Outbound access lists）：傳進路由器的封包選擇路徑到輸出的介面上，傳送出去之前先經由『輸出的ACL』作處理。

ACL的基本指令 access-list ： 建立一個ACL Router(config)# access-list access-list-number {permit | deny} {test conditions} access-list-number ：存取控制的號碼。 permit ：允許封包通過該介面， deny ：路由器會丟棄該封包。

ACL的基本指令 ip access-group：啟動介面上IP存取控制的功能 Router(config-if)# {protocol} access-group access-list-number {in | out }

TCP/IP的ACL 為了過濾TCP/IP封包，ACL檢查封包與表頭的資訊如下： 使用『標準型態的ACL』時，檢查來源IP端位址，使用的代號從1到99。 使用『延伸型態的ACL』時，檢查目的端與來源端的IP位址、特定的網路協定、以及TCP或UDP的通訊埠號碼。使用的代號從100到199。

TCP/IP的ACL 有時候存取控制檢測的對象是一組或一個範圍的IP位址，或者只是一個單一的IP位址。 可以利用萬用字元遮罩（wildcard mask）來達成 萬用字元遮罩的位元值為0，表示檢查對應位元內的值。 萬用字元遮罩的位元值為1，表示不需要檢查對應位元內的值。

『標準型態的ACL』設定 ACL應用在介面Ethernet 0與Ethernet 1上，防止來自非140.112.0.0網路的資料經過這些介面。 Router(config) # access-list 1 permit 140.112.0.0 0.0.255.255 Router(config) # interface ethernet 0 Router(config - if) # ip access-group 1 out Router(config) #interface ethernet 1

『延伸型態的ACL』設定 限制140.112.3.0子網路與140.112.4.0子網路建立Telnet連線 Router(config) # access-list 101 deny tcp 140.112.3.0 0.0.0.255 140.112.4.0 0.0.0.255 eq 23 Router(config) # access-list 101 permit ip any any Router(config) # interface ethernet 0 Router(config - if) # ip access-group 101 in