3.IP协议配置

IP协议配置的主要任务

1、配置端口IP地址

2、配置广域网线路协议

3、配置IP地址与物理网络地址如何映射

4、配置路由

5、其它设置

 

IP协议的主要配置

  1. 为端口设置一个IP地址,在端口设置状态下

ip address 本端口IP地址 子网掩码

另外,在同一端口中可以设置两个以上的不同网段的IP地址,这样可以实现连接在同一局域网上不同网段之间的通讯。一般由于一个网段对于用户来说不够用,可以采用这种办法。

在端口设置状态下

ip address 本端口IP地址 子网掩码 secondary

 

注意:如果要实现连在同一路由器端口的不同网段的通讯,必须在端口设置状态下

ip redirect

一般地,Cisco路由器不允许从同一端口进来的IP包又发回到原端口中,ip redirect表示允许在同一端进入路由器的IP包由原端口发送回去。

2、网络中含有0的IP地址如138.0.0.1或192.1.0.2,强烈建议尽量不要使用这样的IP地址,如要使用这的地址,在全局设置模式下必须设置

ip subnet-zero

 

包过滤配置

包过滤功能可以帮助路由器控制数据包在网络中的传输,通过包过滤可以限制网络流量以及增加网络安全性,包过滤功能对路由器本身产生的数据包不起作用,当数据包进入某个端口时,路由器首先检查是否该数据包可以通过路由或桥接方式送出去。如果不能,则路由器将丢掉该数据包,如果该数据包可以传送出去,则路由器将检查该数据包是否满足该端口中定义的包过滤规则,如果包过滤规则不允许该数据包通过,则路由器将丢掉该数据包。

 

有两种方式的包过滤规则:

1、标准包过滤 该种包过滤只对数据包中的源地址进行检查

2、扩展包过滤 该种包过滤对数据包中的源地址,目的地址,协议及端口号进行检查。

3.1. 包过滤功能配置

1、定义标准包过滤规则,在全局配置状态下

access-list 标识号码 deny 或permit 源地址 通配符

在全局配置状态下,定义扩展包过滤规则

access-list 标识号码 denypermit 协议标识 源地址 通配符 目地地址 通配符

Cisco 路由器中access-list 规定的标识号码,如表:

 

 

 

 

 

 

可以在指定范围内任意选择一个标识号码定义相应的包过滤规则,deny 参数表示禁止,pernit 表示允许。通配符也为32位二进制数字,并与相应的地址一一对应。路由器将检查与通配符中的