Cisco常用指令
網路上蒐集的資訊,記錄下來避免自己忘記
1.
Config# enable password "明碼"
Config# enable Secret "暗碼"
Config# service password-encryption ← telnet 密碼加密
2.
Config# line console 0
Config-line# exec-timeout 0 0 ←保持console連線,注意有安全疑慮
Config-line# logging synchronous ←使游標還原到原來位置,重新顯示被覆蓋的命令
3.
# clock rate
DCE 設備的 interface 需設定 clock rate 64000 數字部分看狀況
4.
# sh process cpu ←查看 Process 的 CPU 使用狀態
# sh session ←看telnet的聯接
# clear line [號碼] ←清除telnet連接
5.關閉Debug
# no debug service ←關閉偵測除錯
# no debug all ←關閉所有偵測除錯
6.
# sh spanning-tree
檢查 switch 上每各 port 為 forwarding 還是 blocking,可在L2上使用
7.
Config# mac-address-table static 1111.1111.1111 fa0/9
設定靜態Mac對應來限制封包從哪些特定來源才能通過
# sh mac-address-table static
8.
Config# mac-address-table secure 1111.1111.1111 fa0/9
設定具有安全性的 mac 是要確保只有特殊設備才能連上指定的 port
# sh mac-address-table secure
9.
# sh port security ←檢查有安全性設定的port
10. VTP (VLAN trunking Protocol)
*範圍相同的VTP領域(domain)名稱,而且互相連結在一起的switch
*VTP mode有三種,Server, Transparent, Client
*Server mode可建立、刪除、修改vlan,並進行資訊同步化
*Client mode只可接收被同步化
*設定vlan domain與密碼
# vlan database
(vlan)# vtp domain magic password cisco
*設定VTP模式
# vlan database
(vlan)# vtp client (or # vtp server)
*顯示 VTP
# sh vtp status
*檢查 VLAN
# sh vlan
or
# sh vlan brief
11.在交換器上設定Vlan
Config-if# int fa0/2
Config-if# switchport access vlan 2
Config-if# int fa0/3
Config-if# switchport access vlan 3
Config-if# int fa0/4
Config-if# switchport access vlan 4
Config# vlan 2-10 ←同時建立 2-10 的vlan
Config-vlan# end
Config# no vlan 2-10 ←同時刪除 2-10 的vlan
注意:只可以同時對一個vlan進行命名
12.
設定 trunk(2960)
Config# int fa0/2
Config-if# switchport mode trunk
設定trunk(3750 or 6509)
Config# int fa0/2
Config-if# switchport mode trunk
設定trunk
Config-if# switchport trunk encapsulation dot1q
1.進入介面配置 Switch(config)
# interface fastethernet 5/8
2.關閉介面
Config-if# shutdown
3.選擇封裝類型
Config-if# switchport trunk encapsulation dot1q
4.配置介面允許通過 VLAN
Config-if# switchport trunk allowed vlan 1,5,11,1002-1005(add,all,except,none,remove)
5.配置界面為trunk
Config-if# switchport mode trunk
6.指定 trunking native vlan
Config-if# switchport trunk native vlan 99
7.Switch(config-if)# switchport nonegotiate
8.啟動介面
Config-if# no shutdown
9.檢查trunk配置
# show interfaces fastEthernet 5/8 switchport
fa5/8
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: Off
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 99 (trunk_only)
Trunking VLANs Enabled: 1,5,11,1002-1005
Pruning VLANs Enabled: 2-1001
13.Access Link 允許一個 Vlan 在線路上傳遞資料,Trunk Link 允許一個以上 Vlan 傳遞資料
14.CIDR指的是,192.168.1.1 和192.168.2.1 分別屬於兩各不同的 class C,若要整合進去同一筆,可向前借位,將原來要兩筆192.168.1.0/24,192.168.2.0/24 改成 192.168.1.0/23,打破原來class A, B, C的限制。
15.ip subnet-zero 告訴 Router 打破不能使用第一個與最後一個子網路的規則。
16.想在某一介面下新增第二筆IP,使用
Router(config-if)# ip address 172.16.20.2 255.255.255.0 secondary
17. # sh protocols ←可檢視每各介面的第一層與第二層狀態
18.static route:
# ip route [destination_network] [mask] [next-hop_address]
Ex:
(config)# ip route 172.16.3.0 255.255.255.0 192.168.2.4
*使用sh ip route,可看到S標記
# ip route 172.16.3.0(遠端,也就是要去哪個網段) 255.255.255.0 192.168.2.4(下個router ip)
19.
Jan 02 12:59:26 163.25.96.241 134: *Mar 1 01:49:23: %SYS-4-CONFIG_RESOLVE_FAILURE: System config parse from (tftp://255.255.255.255/network-confg) failed
Jan 02 13:00:04 163.25.96.241 135: *Mar 1 01:50:01: %SYS-4-CONFIG_RESOLVE_FAILURE: System config parse from (tftp://255.255.255.255/cisconet.cfg) failed
Jan 02 13:00:42 163.25.96.241 136: *Mar 1 01:50:39: %SYS-4-CONFIG_RESOLVE_FAILURE: System config parse from (tftp://255.255.255.255/eng4f-confg) failed
解決方式:(config)# no service config
20.OSPF設定
# Config t
# router ospf 1 (1無意義,可隨意選數字)
# network 10.1.1.1 0.0.0.0 area 0 (0為區域碼,需相同才能互通)
# network 10.5.2.1 0.0.0.0 area 0
檢查設定指令
# sh ip route
# sh ip ospf
# sh ip ospf database
# sh ip ospf interface
# sh ip ospf neighbor
# sh ip protocols
OSPF debug
# debug ip ospf events
# debug ip ospf packet
21.default route
# ip route 0.0.0.0 0.0.0.0 192.168.1.9(下個router IP,或自身要離開的介面,如s0/0)
使用 default route,必須加上ip classless
另一種寫法
# ip default-network 217.124.6.0
Config# sh ip route ←檢查
22.設定 domain server
# ip domain-lookup ←預設即打開,如未使用建議可關閉
# ip name-server 163.25.114.1
# ip domain-name cgu.edu.tw
23.不讓日誌消息打擾你的配置過程
Cisco IOS中另一個我認為的小毛病就是在我配置路由器時,控制臺介面就不斷彈出日誌消息(可能是控制台端口,AUX端口或VTY端口)。要預防這一點,你可以這樣做。所以在每一條端口線路上,我使用日誌同步命令。舉例如下:
Router(config)# line con 0
Router(config-line)# logging synchronous
Router(config)# line aux 0
Router(config-line)# logging synchronous
Router(config)# line vty 0 4
Router(config-line)# logging synchronous
除此之外,你可以在端口上修改這些端口的執行超時時間。例如,我們假設你想禁用 VTY線路上默認的十分鐘超時時間。在線路配置模式下使用 exec-timeout 0 0 命令,使路由器永不退出。
24.備份IOS
Router(config)# copy flash tftp
25. 升級IOS
Router(config)# copy tftp flash
轉載至:http://blog.yam.com/gavint/article/31571606
我只是個小小的入門者
==================================
建立VLAN共需要兩個步驟,先是建VLAN,然後,再將相關介面指定至該VLAN。這個過程跟先劃分若干部門,然後,再將人員一一分配至各部門非常相似。
1.建VLAN
進入全域模式。
Switch# configure terminal
Switch(config)# vlan vlan_id
Switch(config-vlan)# name vlan-name
Switch(config-vlan)# end
Switch# show vlan [id | name] vlan_name
輸入VLAN ID,進入VLAN配置模式。VLAN ID的範圍為1~1001。其中,VLAN 1為系統預設VLAN,不能被建立,也不能被刪除。
name vlan-name(可選)為VLAN命名。如果不為VLAN命名,預設在VLAN ID前加0作為VLAN名稱。例如,VLAN0004是VLAN查看並檢驗VLAN配置 show vlan [id | name] vlan_name
2.將埠指定至VLAN
當已經在Switch上建了VLAN之後,接下來,就需要根據規劃將相對應的埠指定至該VLAN。
進入全局配置模式。
Switch# config terminal
Switch(config)# interface interface-id
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan vlan_id
Switch(config-if)# end
Switch# show interface interface-id
Switch# copy running-config startup-config
指定欲配置的介面後,將埠定義為VLAN成員模式(switchport mode access),並將介面添加至指定的VLAN。
【提示】 若欲將多個埠指定至某個VLAN,必須一一重複執行上述命令。或者採用range指令,一次將多個埠指定至同一VLAN。
3.清除介面配置
將指定介面恢復為預設值,即可清除該介面的所有配置,當然也包括VLAN設置。
Switch# config terminal
Switch(config)# default interface interface-id
4.刪除VLAN
使用no vlan vlan_id,可刪除指定的VALN。
進入全局配置模式。
Switch# configure terminal
Switch(config)# vlan vlan_id
Switch(config-vlan)# no vlan vlan_id
Switch(config-vlan)# end
檢查VLAN的改變。
Switch(config-vlan)# show vlan brief
【提示】 刪除VLAN後,所有指定至VLAN的埠將無法使用,直到將埠指定至新VLAN為止。
5.Trunk
圖片來源:http://blog.yam.com/gavint/article/31571606
Trunk須在兩端點都要設定。
Switch(config)# interface interface-id
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport access vlan vlan_id
Switch(config-if)# switchport trunk allowed vlan {add | all | except | remove} vlan-list
配置Trunk上允許的VLAN。預設狀態下,Trunk埠允許所有VLAN的發送和介面傳輸。如需要,也可以將拒絕某些VLAN通過Trunk傳輸,將 該VLAN限制與其他Switch互通,或者拒絕某些VLAN對敏感資料的查詢。需要注意的是,不能從Trunk中移除預設的VLAN1。使用add、 all、except(除外)和remove關鍵字,可以定義允許在Trunk上傳輸的VLAN。VLAN列表既可以是一個VLAN,也可以是一個 VLAN Group。當同時指定多個VLAN時,不要在“,”或“-” 間使用空格。
Switch(config-if)# switchport trunk native vlan vlan_id(選項)
這是設定Native vlan,平常不太需要設定。
當在Swtich上劃分有多個VLAN時,若欲借助一條鏈路實現與其他Switch上相同VLAN互通,就必須要使用Trunk。
範例:
Switch(config)# interface fa0/1
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk allowed vlan remove 101-499
Switch(config-if)# switchport trunk allowed vlan add 250
Switch(config-if)# end
Switch# show interface fa0/1 switchport allowed-vlan
-------"1-100,250,500-1005"
也就是,只有 1-100,250,500-1005這些Vlan可以Trunk!
轉載至:http://blog.yam.com/gavint/article/31571606
我只是個小小的入門者
=================
以下是cisco設備的指令,有些指令在實機上會發生錯誤或許是設備不支援吧XD
使用者模式(User Mode)
Hostname>ping 192.168.168.168 測試網路指令
Hostname>traceroute 192.168.168.168 利用TTL(Time To Live,TTL)追蹤封包連線所經過路線
Hostname#en 進入特權模式(Privileged Mode)
Hostname#sh history 檢視在路由器上輸入的前十個命令
Hostname#sh terminal 確認終端機歷史緩衝區的長度 (History is enabled, history size is 10.)
Hostname#terminal history size 25 改變歷史緩衝區之大小 (History is enabled, history size is 25.)
Hostname #copy running-config stratup-config 將運行組態(DRAM),儲存至啟動組態(NVRAM)
Hostname #erase stratup-config 刪除啟動組態,*注意:此動作請勿執行*
Hostname#clear counters s0/0/0 清除介面上的計數器
Hostname#copy flash tftp 將 IOS 備份到 TFTP 伺服器
Hostname#debug ip rip 顯示路由器上傳送和接收到的RIP 更新
Hostname(config)#configure terminal 整體設定模式(Configuration Global Mode)
Hostname(config)#setup 執行 Continue with configuration dialog? [yes/no]: (對話框模式)
Hostname(config)#reload 重新載入startup-config(啟動組態)
Hostname(config)#banner motd * 標題訊息(* 為結束字元,不可為?字元);取消指令:no banner login
Hostname(config)#no ip domain-lookup 停用名稱解析服務,避免耗時的DNS查詢
Hostname(config)#hostname NAME 變更設備名稱為 NAME
Hostname(config)#service password-encryption 手動為密碼加密,解除前面請加上No
Hostname(config)#enable secret ***** 特權模式加密式密碼設定
Hostname(config)#config-register 0x2101 改變組態暫存器,於 rommon 1 >confreg 0x2142;rommon 2 >reset
Hostname(config)#ip host NAME X.X.X.X 建構名稱解析主機表,一台主機最多八個IP
Hostname(config)#ip classless 設定為無級別,使用預設路由有切割子網路就定要設定
Hostname(config)#default-gateway X.X.X.X 設定預設閘道 For Switch
Hostname(config)#default-network X.X.X.X 設定預設閘道 For Route
Hostname(config)#ip route 目的 遮罩 閘道 [AD] 設定靜態路由(例:ip route 192.168.1.0 255.255.255.0 172.16.1.254 或離開介面 s0/0/0 ) AD:0~255(越低優先)
Hostname(config)#vtp mode server 設定 VTP 運行模式為 Server或 Client 或 Transparent
Hostname(config)#vtp domain NAME 設定 VTP 網域名稱
Hostname(config)#vtp password XXX 設定 VTP 密碼
Hostname(config)#spanning-tree vlan 1 priority 4096 變更交換器優先權的設定值為 4096 (最低優先/倍數增加);0 表示永遠為根橋接器
Hostname(config)#ip ospf cost ? 變更 OSPF 成本值
Hostname(config-line)#line vty 0 XX 主要命令(Line)設定Console(RS-232) 及 Vty(Telnet連線)
Hostname(config-line)#exec-timeout 0 0 設定逾時計時器,預設值:10分鐘,0 0 絕對不會逾時
Hostname(config-line)#logging synchronous 防止控制台螢幕干擾您輸入的命令
Hostname(config-line)#password ***** 設定Line連線方式之密碼(明碼),需開啟提示認證 (config-line)#login
Hostname(config-if)#interface fastEthernet 0/0 介面模式(Interface Mode) 0/0
Hostname(config-if)#ip address X.X.X.X 255.255.255.0 設定介面的IP
Hostname(config-if)#description 針對介面加入註解描述,例:description *這是一個介面描述指令*
Hostname(config-if)#no shutdown 啟動介面 FastEthernet0/1 is administratively(管理性) down, line protocol is down (disabled)
Hostname(config-if)#clock rate 64000 為DCE端時才需要設定時脈
Hostname(config-if)#no cdp enable 關閉一個介面的CDP,全部關閉:no cdp run
Hostname(config-if)#int range fa0/1 - 10 一次設定範圍 fa0/1 至 fa0/10 的Port
Hostname(config-if)#switchport mode access 告訴交換器這是第二層的 Port
Hostname(config-if)#switchport mode trunk 設定該 Port 為主幹介面
Hostname(config-if)#switchport access vlan XX 指定某個 VLAN 給該介面的 Port
Hostname(config-if)#switchport trunk allowed vlan remove ? 丟棄 VLAN X 的傳送與接收資訊
Hostname(config-if)#mac-address-table static MAC vlan 1 int fa0/1 設定 MAC Address 給該 Port
Hostname(config-if)#switchport port-security maximum 1 表示該 Port 只能使用一個 MAC Address; violation shutdown 違反則 Shutdown
Hostname(config-if)#bandwidth 256 變更線路頻寬(單位:K)
Hostname(config-if)#delay 300000 變更延遲時間
Hostname(config-if)#ip ospf priority 設定 OSPF 優先權;預設為 1 越大越優先
Hostname(config-vlan)#vlan XX 建立一個 Vlan XX,指定名稱:name VLAN;開啟:no shutdown
Hostname(config-subif)#int fa0/0.1 建立子介面(Subinterface),該介面不能設有IP只能在子介面上設IP
Hostname(config-subif)#encapsulation dot1Q 1 讓子介面支援主幹通訊封裝(For Route 設定)
Hostname(config-router)#passive-interface s0/0/0 限制介面路由協定(RIP、RIP V2、EIGRP、OSPF)不宣傳,採被動式
Hostname(config-router)#route rip 路由設定模式(Route Mode For RIP),選擇版本(config-router)#version 2,宣告網段:network X.X.X.0
Hostname(config-router)#route ospf (AS) 建立 OSPF 路由協定;宣告網段network 10.0.0.0 0.255.255.255 area 0;AREA 0 為主幹
Hostname(config-router)#maximum-paths 變更路由數量,達到負載平衡
Hostname(config-router)#metric maximun-hop 變更中繼站(Hop)數量,最大 255 個
Hostname(config-router)#no auto-summary 告訴 EIGRP 要宣告該路由器之間的所有子網路
Hostname(config)#do sh XXXXX 於非特權模式下執行 Show的功能(do show)
Hostname#sh version 檢視IOS版本資訊
Hostname#sh hosts 檢視新建的主機名稱解析表
Hostname#sh sessions 檢視路由器與遠端裝置正在進行的連線,可用 disconnect 終止連線
Hostname#sh users 列出路由器上所有作用中的控制台與VTY的使用者,清除連線:clear line XXX
Hostname#sh protocols 檢視每片介面之第一層與第二層狀態,以及所用IP位置
Hostname#sh ip arp 檢視ARP快取
Hostname#sh ip route 顯示整個路由表
Hostname#sh ip route eigrp 只顯示路由表內 EIGRP 項目
Hostname#sh ip route eigrp neighbors 顯示所有 EIGRP 鄰居
Hostname#sh ip route eigrp topology 顯示 EIGRP 拓墣表
Hostname#sh ip interface brief 提供路由器介面之第三層設定的資訊;brief (精簡化參數)
Hostname#sh ip ospf 顯示 OSPF 運行資訊
Hostname#sh ip protocols 顯示目前路由器所執行的協定資訊
Hostname#sh mac-address-table 檢視 MAC 表
Hostname#sh controllers s0/0/0 顯示實體介面本身資訊,並查看路由介面是否有連接DCE纜線;(連線訊息:DCE V.35 clock rate 64000)
Hostname#sh cdp neighbors 使用CDP(Cisco發現協定)收集鄰居資訊
Hostname#sh cdp entry * version 可篩選只顯示 protocols 或 version
Hostname#sh int trunk 檢視所有 VLAN 狀態(Status),預設為 trunking
Hostname#sh vtp status 檢視 VTP 資訊
Hostname#sh vlan 查詢 VLAN 狀態
Hostname#sh running-config 檢視運行組態檔資訊
Hostname#sh processes 查詢目前裝置使用效能
Hostname#sh spanning-tree 顯示交換器優先權資訊
% Incomplete command. 非完整命令
% Invalid input detected at '^' marker. 標記為無效指令
% Ambiguous command:"XXX" 不清楚的指令
我只是個小小的入門者
==================
============
Router之功能
============
1.Routing
2.阻隔廣播封包〈Broadcast〉。
3.過濾封包。
===============
Cisco Ios檔系統
===============
以記憶體分類:cisco內部共有三種記憶體:(RAM)(NVRAM)(FLASH)
〈1〉EEPROM又稱快閃記憶體(flash):存放cisco Router所用之作業系統(Ios)。
〈2〉NVRAM(非揮發性隨機記憶體):存放開機時之啟動組態(startup-config)在電源切斷時其設定資料不會消失。
〈3〉RAM:用來存取執行中有關命令設定(Running-config)
copy running-config startup-config 將執行設定檔存成開機設定檔
copy startup-config running-config 還原為開機執行檔
========================
Router基本設定與安全管理
========================
〈一〉IOS指定模式
Cisco設備IOS軟體指令編輯器EXEC,分成兩個層級
1.使用者EXEC層級(user EXEC level):
2.特權EXEC層級(privileged EXEC level):
在使用者層級(Router>)只能顯示資訊而無法改變設備的設定,所有設備指令須在權限EXEC層級設定
(Router#)其切換指令為enable與disable兩指令(Router>enable → router #,router # disable→router>),
在權限EXEC層級〈Router#〉下輸入總體設定模式下(global configuration Mode)指令
Configure Terminal各項指令。
〈二〉Router設定
1.路由器界面設定
(1)Ethernet(10M),Fast Ethernet(100M)gibabit界面其指令。
Router (config) # interface type slot/port
例:Router (config-if) # interface Ethernet 0/1
(2)序列界面設定(serial):除設定界面外另設定clock、Rate與Bandwidth指令。
Router (config) # interface serial 0
Router (config-if)# interface serial 0
# clock rate 64000
# Bandwidth 64
2.在「權限EXEC」模式下設定密碼
(1) console下設定密碼
Router (config) # line console 0
Router (config-line) # login
Router (config-Line) # password 密碼名稱
(2) Telnet下,由虛擬終端(Virtual Terminal)下設定密碼
Router (config) # line vty 0 4
Router (config-Line) # login
Router (config-Line) # Password 密碼名稱
(3) 進入特權模式設定密碼
Router (config) # enable password 密碼名稱
(4) 設定enable密碼加密
Router (config)# enable secret 密碼名稱
(5) 所有設定密碼加密在「權限EXEC模式下」設定使用
Router (config)# service password-encryption
〈三〉IP遶送:
靜態遶送(static routing)、
預設遶送(default routing)、
動態遶送(dynamic routing),
其中動態協定包括RIP、IGRP、EIGRP與OSPF等。
1.靜態遶送(static routing):
每台路由器的路徑表中手動加入路徑。
ip route〔destination_ network〕〔mask〕〔next-hop-address〕
ip route:用來建立靜態路徑的命令。
destination_network:要放在路徑表中的網路。
mask:該網路使用的子網路遮罩。
next-hop-address:負責接收封包並轉送至遠端網路之下一中繼站路由器位址。
例:
(ROUTER-A)f0/0:192.168.10.1
s0/0:192.168.20.1
(ROUTER-B)s0/0:192.168.20.2 NET
s0/1:192.168.40.1
Router A (config) # ip route 192.168.40.0 255.255.255.0 192.168.20.2
2.預設遶送(default routing):
只能在殘根型網路使用預設遶送,因殘根型網路(stub network)只有一條離開路徑
之網路。
ip route 0.0.0.0.0.0.0.0〈Next-hop router〉
例:Router B(config):ip route 0.0.0.0.0.0.0.0 192.168.20.1
3.動態遶送(Dynamic routing):
使用協定來尋找網路,並且更新路由器上之路徑表。協定包括RIP、IGRP、EIGRIP、
OSPF等等。
(1)RIP (Routing information protocol):
距離向量協定其管理性距離為120,每隔30秒從所有作用中的界面送出完整之路徑表,
RIP只使用中繼站數目來判斷通往遠端之最佳路徑,最大中繼站數目為15,它屬於有級
別遶送。
Router (config) # router rip
Router (config-router) # network network-number
例:
Router A (config) # router rip
Router A (config-router) # Network 192.168.10.0
Router A (config-router) # Network 192.168.20.0
(2)IGRP(interior gateway Routing protocol)內部閘道遶送協定:
它屬於cisco專屬距離向量遶送協定,若在網路中使用IGRP,其所有路由器必須為
cisco路由器,IGRP最大中繼站數目為255,管理距離為100,使用線路頻寬與延遲
決定互連網路互連最佳路徑的指標,IGRP使用自治系統編號啟動,每隔90秒提供一
次完整路徑表更新。
Router (config) # router IGRP AS (Autonomous system)
Router (config-router) # Network network-number
例:Router (config) # router IGRP 10
Router A (config-router) # Network 192.168.10.0
Router A (config-router) # Network 192.168.20.0
(3)OSPF(open shortest path First)開放式最短路徑優先:
OSPF市一種鏈路狀態協定(Link-state protocol)每台路由器會建立3個獨立的表格
,其中之一會追蹤直接相連的鄰居,一個決定整個互連網路的拓樸,而最後一個是
路徑表,屬於一種鏈路狀態IP繞送協定,OSPF利用成本(cost)當作衡量指標,
cisco使用計算公式是10^2/頻寬,其管理距離為110。
Router (config)# Router OSPF process-id
Router (config-Router)# Network address mask Area area-id
(其中mask為萬用字元遮罩wilcard mask,一般為0.0.0.0)
● 萬用字元遮罩的位元值為0,表示檢查對應位元內的值。
● 萬用字元遮罩的位元值為1,表示不需要檢查對應位元內的值。
(四)Router預設管理距離
路徑來源 預設距離
連接界面(E0,S0) 0
靜態傳送路徑 1
EIGRP 5
外部BGP 20
內部增強IGRP 90
IGRP 100
OSPF 110
RIP 120
EGP 140
==========================
IP資料管制(Access Lists)
==========================
使用者資料透過網路從一地點傳送到另一地點,為了控制網路上資料,所以需要有方法
加以確認與過濾網路上的資料,因此Access Lists被使用在路由器上檢查網路資料。ACL有
兩種型態:
(一)標準型態的ACL(standard access lists-檢查封包的來源(source)位址,以決定
允許或拒絕該封包經由整套網路協定傳送出去。
1.使用Access-List指令建立一個標準的IP資料過濾機制,語法如下:
Router(config)# Access-List Access-List-number{permit/deny}source-address〔wildcard mask〕
● Access-List-number表示該表列的號碼,其standard IP lists是1到99。
● Permit/deny表示是否允許指定位址送出的資料在網路上傳輸。
● Source-address代表來源IP端位址。
● wildcard mask表示位址欄位中有哪些位元必須一致其default wildcard mask=0.0.0.0
2.利用ip access-group指存在一個ALC運用在一個介面上。
Router(config) # interface seria10(Ethernet0)
Router(config-if) # ip Access-group access-list-number{in/out}.
access-list-number 表示應用在該介面上的ACL號碼。
in/out 用來選擇ACL用在進來或出去的Packet 的篩選上,其系統Default=outbound。
(二)延伸型態ACL-檢測來源與目的端的位址,並須指明檢查網路協定與通信埠號碼,
1.利用Access-list指令建立一個過濾資料機制,語法如下:
Router(config)#Access-list access-list-number{Permit/deny}protocol source source-wildcard〔operator port〕destination
destination-wildcard〔operator port〕〔established〕〔log〕
access-list-number 表示該列使用值從100到199號碼。
permit/deny 表示是否允許指定位址送出來的資料在網路上傳輸。
protocol是IP TCP UDP ICMP或IGRP之一。
Source與destination代表來源與目的端的IP位址。
Source-wildcard與destination-wildcard表示萬用字元遮罩,0表示對應位置的位元必須一致,1表示對應位置的
位元可以是任意值。
Operator port可能是一個協定通訊埠的號碼或者It(少於),gt(大於),eq(等於),neq(不等於)某個
通訊埠的號碼。
Established限用於TCP的資料傳輸。
Log表示將紀錄訊息傳送給主控台。
2.將ip access-group指令存在一個ACL運用在一個介面上。
Router(config)# interface serial0
Router(config-if)# ip access-group access-list-number{in/out}
access-list-number表示使用在該介面上ACL號碼。
in/out用來選擇ACL用在進來或出去的封包篩選,其預設值為out。
範例:
Router(config)# access-list 101 dency tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq log
Router(config)# access-list 101 permit ip any any
Router(config)# interface ethernet
Router(config)# ip access-group 101 out
========================
留言
張貼留言