Router 設定 B91902004 許雅婷 B91902116 呂東烜 B91902117 梁琨貿 B91902120 陳人豪
IP階層網路 用IP識別單一電腦 用IP識別一個網路(一群電腦) 起始IP 子網路遮罩 用以識別一個網路 子網路遮罩 用以定義一個網路的大小 EX:163.21.236.0/255.255.255.0
IP階層網路 計算某IP所屬網路 簡化的表示方法 163.21.236.0/24 10100011 00010101 11101100 01000111 = 163.21.236.71 AND) 11111111 11111111 11111111 00000000 = 255.255.255.0 -------------------------------------------------------------------------------------------------- 10100011 00010101 11101100 00000000 = 163.21.236.0
分割子網路 定義子網路所需的IP 子網路識別IP 為子網路的第一個IP 子網路廣播IP 為子網路的最後一個IP
分割子網路 分割163.21.236.xxx為兩個子網路 子網路一 : 163.21.236.0/25 子網路範圍 : 163.21.236.0 ~ 163.21.236.127 子網路識別IP : 163.21.236.0 子網路廣播IP : 163.21.236.127 子網路二 : 163.21.236.128/25 子網路範圍 : 163.21.236.128 ~ 163.21.236.255 子網路識別IP : 163.21.236.128 子網路廣播IP : 163.21.236.255
路徑(Route) 設定子網路的出入口 – 閘道(gateway) 路徑的定義 通常設為子網路中的最後一個可用IP
路徑 路徑範例 Host A : 163.21.236.71 Host B : 163.21.236.200 Route from A to B: 163.21.236.200/255.255.255.255 GATEWAY 163.21.236.126 Route from A to subnet of B 163.21.236.200/255.255.255.128 GATEWAY 163.21.236.126
預設閘道 若router中沒有可用的route,則採預設閘道 預設閘道設為能直接通往外界的某個IP 設定範例 0.0.0.0/0.0.0.0 GATEWAY 163.21.236.1 0.0.0.0/0.0.0.0代表適用於任何IP 163.21.236.1主機有對外的連線
設定範例
Cisco路由器1600系列硬體組成 Console port Auxiliary port AUI port Ethernet port Serial port ROM Flash NVRAM(Nonvolatile RAM) RAM Interfaces
Cisco的IOS軟體 IOS(Internetwork Operating System)軟體是Cisco網路的核心軟體,透過IOS的使用者介面可以啟動與設定Cisco的網路設備,IOS將這些設備互連起來,以提供最佳服務。 購買該公司的路由器基本都會安裝最基本的作業系統。但是額外的系統功能就得加裝了,換句話說不是所有看的到的指令都能執行。
Cisco的IOS軟體 管理者可以經由主控台(console)、數據機或telnet使用Cisco IOS的指令行介面(command-line interface),透過指令行介面管理Cisco的各種設備。 IOS指令模式 : - User EXEC(使用者模式) - Privileged EXEC(特權模式) - Global configuration(總體設定模式 )
‘show’指令 show version:顯示系統中硬體與軟體版本、設定檔的名稱與來源、以及boot檔案等 show running-configuration & show startup-configuration:查看設定檔 (儲存在RAM與不易變動的RAM [NVRAM] ) show interface:可以看到所有介面 show interface ethernet 0:可以看到指定的介面
show version Cisco Internetwork Operating System Software IOS (tm) 1600 Software (C1600-Y-M), Version 11.2(9)P, RELEASE SOFTWARE (fc1) Copyright (c) 1986-1997 by cisco Systems, Inc. Compiled Tue 30-Sep-97 18:29 by ccai Image text-base: 0x02005000, data-base: 0x023024F0 ROM: System Bootstrap, Version 11.1(12)XA, EARLY DEPLOYMENT RELEASE SOFTWARE (fc1) ROM: 1600 Software (C1600-RBOOT-R), Version 11.1(12)XA, EARLY DEPLOYMENT RELEASE SOFTWARE (fc1) Router uptime is 3 days, 19 hours, 34 minutes---------->路由器自上次啟動後迄今運作時間。 System restarted by reload---------------------------------->上一次路由器啟動的原因。 System image file is "flash:c1600-y-mz.112-9.P", booted via flash cisco 1605 (68360) processor (revision C) with 7680K/512K bytes of memory. Processor board ID 13291563, with hardware revision 00000000 Bridging software. 2 Ethernet/IEEE 802.3 interface(s)------------------------>有兩個乙太網路介面。 1 serial(sync/async) network interface(s)--------------->有一個序列介面。 System/IO memory with parity disabled 8192K bytes of DRAM onboard--------------------------->有8M的DRAM。 System running from RAM 8K bytes of non-volatile configuration memory. 2048K bytes of processor board PCMCIA flash (Read/Write) Configuration register is 0x2102
show interface Ethernet0 is up, line protocol is up---------------------------->可以看出介面,線路是否正常運作: 運作正常:up,up 連線問題:up,down 介面問題:down,down 被設定停止:administratively down,down Hardware is QUICC Ethernet, address is 0010.7bf9.4b48 (bia 0010.7bf9.4b48) Internet address is 163.20.136.190/26--------------------->顯示本介面是否有設定ip address MTU 1500 bytes, BW 10000 Kbit, DLY 1000 usec, rely 255/255, load 1/255 Encapsulation ARPA, loopback not set, keepalive set (10 sec) ARP type: ARPA, ARP Timeout 04:00:00 Last input 00:02:38, output 00:00:09, output hang never Last clearing of "show interface" counters never Queueing strategy: fifo Output queue 0/40, 0 drops; input queue 0/75, 0 drops 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 159808 packets input, 32375180 bytes, 0 no buffer …
global configuration mode Interface─可以在每個介面上作設定的指令 ,提示符號:Router(config – if)# Subinterface─支援在單一實體介面上可以設定多個虛擬介面的指令,提示符號:Router(config – subif)# Controller─支援在控制器(如,E1與T1控制器)上設定的指令,提示符號:Router(config – controller)# Line─支援在一個終端連線上設定的指令,提示符號:Router(config – line)# Router─支援在一個IP路由協定上設定的指令,這個設定模式的提示符號如下:Router(config – router)#
基本指令 為路由器命名 Router(config) # hostname ntuRouter ntuRouter(config) # 設定路由器的介面 ntuRouter(config) # interface fastEthernet 2/0/0 ntuRouter(config - if) # description EE Lan 可針對一個介面增加一段文字說明
密碼相關指令 設定路由器的主控台密碼 ntuRouter(config) # line console 0 ntuRouter(config - line) # login ntuRouter(config - line) # password cisco consol 0代表路由器的主控台連線 , login提示符號是要求管理者輸入密碼 設定路由器的虛擬終端的密碼 ntuRouter(config) # line vty 0 4 ntuRouter(config - line) # password nturwa 設定路由器的enable密碼 ntuRouter(config) # enable password cisco 設定路由器的enable secret密碼 (加密格式的enable密碼 ) ntuRouter(config) # enable secret nturwa 在『總體設定』模式中使用service password-encryption指令可以將所設定的所有密碼加密 去除密碼 ntuRouter(config) # no enable secret nturwa
停用/啟用 介面 停止使用路由器上的一個介面 ntuRouter # configure term ntuRouter(config) # interface fastEthernet 2/0/0 ntuRouter(config - if) # shutdown 重新啟動路由器上被停止使用的一個介面 ntuRouter(config - if) # no shutdown ntuRouter# show interfaces fastEthernet 2/0/0
收集鄰接設備與遠端設備的資訊 可以利用Cisco的CDP(Cisco Discovery Protocol)與Telnet幫助管理者瞭解實體網路架構的型態。 show cdp的選項,可以看到CDP的輸出結果, CDP提供好幾個關鍵字讓管理者可以取得不同型態的資訊。設備一開機,所有的介面都啟動CDP的功能,但是還是可以使用‘no cdp run’指令在設備上停止其功能。‘no cdp enable’指令,可以暫停某個介面的CDP功能 。
收集鄰接設備與遠端設備的資訊 在RouterA上執行show cdp neighbors指令 Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge S - Switch, H - Host, I - IGMP, r - Repeater Device ID Local Intrfce Holdtme Capability Platform Port ID Ntu_adsl Fas 10/1 122 R 3640 Fas 0/0 Switch Fas 5/1/0 134 S WS-C2916M-Fas 2/1 Device ID:鄰接設備的號碼 Local interface:本地路由器的介面名稱 Hold time:收到CDP封包的設備需要保留該封包多久才可以丟掉(時間以秒計算) Capability:鄰接設備的等級 Platform:鄰接設備的硬體平台 Port ID:鄰接設備的遠端通訊埠號碼
收集鄰接設備與遠端設備的資訊 顯示鄰接設備的詳細資訊 show cdp neighbors detail 或 show cdp entry * 鄰接設備的ID 第三層網路協定的資訊(如IP位址) 鄰接設備的等級 鄰接設備的硬體平台 本地路由器的介面型態與遠端的通訊埠號碼 收到CDP封包的設備需要保留該封包多久才可以丟掉(時間以秒計算) IOS的型態與版本
設備的資料傳輸及介面狀態與設定 顯示介面流量的資訊,送出與接收CDP封包的數量,以及檢查出錯誤的數量 RouterA#show cdp traffic 顯示本地設備的介面狀態與設定資訊 RouterA#show cdp interface
遠端設備的資訊 如果想要取得遠端設備(與本地設備無直接連接)的資訊,則需要仰賴其他的工具(Telnet)。 顯示建立Telnet連結的主機資訊,相關資訊如主機名稱、IP位址、位元數、連線主機的閒置時間、以及連線名稱等 RouterA#show sessions 顯示主控台的通訊埠(port)是否正在使用,並且列出所有的Telnet連線與建立連線主機的IP位址 RouterA#show users
偵測網路的狀態 確認設備的連結狀態 RouterA#ping 140.112.205.8 封包在設備之間傳送的路徑 RouterA#traceroute 140.112.205.8
設定檔的複製 使用Autoinstall或Setup公用程式載入或建立設定檔 ‘copy’指令 要複製正在RAM中執行的設定到TFTP server,可以使用‘copy running-configuration tftp’指令(或‘copy run tftp’) ‘copy running-configuration startup-configuration’指令(或‘copy running startup’)則可以將正在執行的設定複製到NVRAM,只要設定作變更而要儲存時,可以用這個指令。 不論從設定模式或檔案將設定內容複製到正在執行的設定中,都會與現有的資料作合併。但是如果是複製到NVRAM則是完全的覆蓋到原來的資料上。
靜態路由 靜態路由(static route)是由管理者定義的路由,指定封包在來源端與目的端之間移動的路徑。靜態路由是指以人工方式記載於路由器中的路徑。在這種情況下,網路的到達能力與網路狀態都沒有關係。不論某個目的地是開機或關機,這條靜態路由都會保存在路由表裡,資料也仍會向該目的地傳送。 ip route network [mask] {address | interface} [distance] [permanent] network是目的端網路或子網路。 mask是子網路遮罩。 address是路由器下一站的IP位址。 interface是用來到達目的端網路的介面名稱。 distance是個選擇性的參數,定義這條路由的距離向量。 permanent也是個選擇性的參數,即使當某個介面shutdown了,所指定的靜態路徑永遠存在。
IP資料管制(Access Lists) 資料透過網路從一個地點傳送到另一個地點,有時候我們會需要有方法可以確認與過濾網路上的資料。 ACLs(Access Control Lists)被使用在路由器上檢查網路資料。 ACL可以過濾封包在路由器介面的進出,以及限制特定使用者或設備才能使用該網路。
ACL的型態 標準型態的ACL(Standard access lists):檢查封包的來源(source)位址,以決定允許或拒絕該封包經由整套網路協定傳送出去。 延伸型態的ACL(Extended access lists):檢查封包的來源位址與目的(destination)位址,除此之外,也可以檢查特定的網路協定、通訊埠、或其他參數。
ACL的型態 傳入的ACL(Inbound access lists):傳進路由器的封包會在轉到輸出介面之前被處理。如果該封包經過測試後允許通過,依照其路徑作處理。 輸出的ACL(Outbound access lists):傳進路由器的封包選擇路徑到輸出的介面上,傳送出去之前先經由『輸出的ACL』作處理。
ACL的基本指令 access-list : 建立一個ACL Router(config)# access-list access-list-number {permit | deny} {test conditions} access-list-number :存取控制的號碼。 permit :允許封包通過該介面, deny :路由器會丟棄該封包。
ACL的基本指令 ip access-group:啟動介面上IP存取控制的功能 Router(config-if)# {protocol} access-group access-list-number {in | out }
TCP/IP的ACL 為了過濾TCP/IP封包,ACL檢查封包與表頭的資訊如下: 使用『標準型態的ACL』時,檢查來源IP端位址,使用的代號從1到99。 使用『延伸型態的ACL』時,檢查目的端與來源端的IP位址、特定的網路協定、以及TCP或UDP的通訊埠號碼。使用的代號從100到199。
TCP/IP的ACL 有時候存取控制檢測的對象是一組或一個範圍的IP位址,或者只是一個單一的IP位址。 可以利用萬用字元遮罩(wildcard mask)來達成 萬用字元遮罩的位元值為0,表示檢查對應位元內的值。 萬用字元遮罩的位元值為1,表示不需要檢查對應位元內的值。
『標準型態的ACL』設定 ACL應用在介面Ethernet 0與Ethernet 1上,防止來自非140.112.0.0網路的資料經過這些介面。 Router(config) # access-list 1 permit 140.112.0.0 0.0.255.255 Router(config) # interface ethernet 0 Router(config - if) # ip access-group 1 out Router(config) #interface ethernet 1
『延伸型態的ACL』設定 限制140.112.3.0子網路與140.112.4.0子網路建立Telnet連線 Router(config) # access-list 101 deny tcp 140.112.3.0 0.0.0.255 140.112.4.0 0.0.0.255 eq 23 Router(config) # access-list 101 permit ip any any Router(config) # interface ethernet 0 Router(config - if) # ip access-group 101 in