Ⅰ 怎樣配置思科路由器自反ACL 實現網段之間單向訪問
1、配置路由器,並在R1、R3上配置默認路由確保IP連通性。
R1(config)#interface s0/0/0
R1(config)#ip address 192.168.12.1 255.255.255.0
R1(config)#no shutdown
R1(config)#interface g0/0
R1(config)#ip address 172.16.1.1 255.255.255.0
R1(config)#no shutdown
R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.12.2
R2(config)#interface s0/0/0
R2(config)#ip address 192.168.12.2 255.255.255.0
R2(config)#no shutdown
R2(config)#interface s0/0/1
R2(config)#ip address 202.210.23.2 255.255.255.0
R2(config)#no shutdown
R3(config)#interface loopback 0
R3(config)#ip address 3.3.3.3 255.255.255.0
R3(config)#no shutdown
R3(config)#interface s0/0/1
R3(config)#ip address 202.210.23.3 255.255.255.0
R3(config)#no shutdown
R3(config)#ip route 0.0.0.0 0.0.0.0 202.210.23.2
2、在路由器R2上配置自反ACL
R2(config)#ip access-list extended ACLOUT
R2(config-ext-nacl)#permit tcp any any reflect REF //定義自反ACL
R2(config-ext-nacl)#permit udp any any reflect REF
R2(config)#ip access-list extended ACLIN
R2(config-ext-nacl)#evaluate REF //評估反射
R2(config)#int s0/0/1
R2(config-if)#ip access-group ACLOUT out
R2(config-if)#ip access-group ACLIN in
PS:(1)、自反ACL永遠是permit的;
(2)、自反ACL允許高層Session信息的IP包過濾;
(3)、利用自反ACL可以只允許出去的流量,但是阻止從外部網路產生的向內部網路的流量,從而可以更好地保護內部網路;
(4)、自反ACL是在有流量產生時(如出方向的流量)臨時自動產生的,並且當Session結束條目就刪除;
(5)、自反ACL不是直接被應用到某個介面下的,而是嵌套在一個擴展命名訪問列表下的。
3、調試
(1)同時在路由器R1和R3都打開TELNET服務,在R1(從內網到外網)TELNET路由器R3成功,同時在路由器R2上查看訪問控制列表:
R2#show access-lists
Extended IP access list ACLIN
10 evaluate REF
Extended IP access list ACLOUT
10 permit tcp any any reflect REF
20 permit udp any any reflect REF
Reflexive IP access list REF
permit tcp host 202.210.23.3 eq telnet host 192.168.12.1 eq 11002 (48 matches) (time left 268)
//以上輸出說明自反列表是在有內部到外部TELNET流量經過的時候,臨時自動產生一條列表。
(2)在路由器R1打開TELNET 服務,在R3(從外網到內網)TELNET路由器R1不能成功,同時在路由器R2上查看訪問控制列表:
R2#show access-lists
Extended IP access list ACLIN
10 evaluate REF
Extended IP access list ACLOUT
10 permit tcp any any reflect REF
20 permit udp any any reflect REF
Reflexive IP access list REF
Ⅱ 如何連接cisco路由器設置
cisco怎麼進入路由器設置界面?有網友提到自己不會設置思科的設備,該怎麼辦?我在網上找了一些教程及命令,需要的朋友可以參考下。
進入思科路由器配置,並安裝設置的步驟如下:
連接到控制埠的 方法
(1)連接線纜
連接到控制埠我們需要一根rollover線纜和RJ-45轉DB-9的適配器,這一般在思科路由器的產品附件中我們可以見到。
(2)終端模擬軟體
PC或者終端必須支持vt100模擬終端,通常我們在Windows OS環境下都使用的是HyperTerminal軟體。
(3)將PC連接到路由器上
1、配置終端模擬軟體參數,如下圖:
2、 2、將rollover線纜的一端連接到路由器的控制埠
3、將rollover線纜的一端連接到RJ-45到DB-9的轉換適配器。
4、將DB-9適配器的另一端連接到PC。Cisco路由器的基本配置(以2620為例)
1. 初始安裝
第一次安裝時系統會自動進入Dialog Setup,依屏幕提示,分別回答路由器名稱、加密超級登錄密碼、超級登錄密碼、遠程登錄密碼、動態路由協議以及各個介面的配置後,保存配置。在出現路由器名稱後,打入enable命令,鍵入超級登錄密碼,出現路由器名稱(這里假設路由器名稱為Cisco2620),待出現Cisco2620#提示符後,表示已經進入特權模式,此時就可以進行路由器的配置了。
2. 配置路由器
鍵入config terminal,出現提示符Cisco2620(config)#,進入配置模式。
(1) 設置密碼
Cisco2620(config)#enable secret 123123:設置特權模式密碼為123123
Cisco2620(config)#line console 0: 進入Console口配置模式
Cisco2620(config-line)#password 123123:設置Console口密碼為123123
Cisco2620(config-line)#login:使console口配置生效
Cisco2620(config-line)#line vty 0 5:切換至遠程登錄口
Cisco2620(config-line)#password 123123:設置遠程登錄密碼為123123
Cisco2620(config-line)#login:使配置生效
(2) 設置快速乙太網口
Cisco2620(config)#interface fastFastethernet 0/0:進入埠配置模式
Cisco2620(config-if)#ip address 192.168.1.6 255.255.255.0:設置IP地址及掩碼
Cisco2620(config-if)#no shutdown: 開啟埠
Cisco2620(config-if)#exit:從埠配置模式中退出
(3) 設置同步串口
Cisco2620(config)#interface serial 0/0:進入同步串口設置
Cisco2620(config-if)#ip unnumbered fastFastethernet 0/0:同步串口使用與快速乙太網口相同的IP地址
Cisco2620(config-if)#encapsulation ppp: 把數據鏈路層協議設為PPP
(4) 設置16口Modem撥號模塊,使用內部DHCP服務為撥入用戶分配地址
Cisco2620(config)#interface Group-Async1
Cisco2620(config-if)# ip unnumbered FastEthernet0/0
Cisco2620(config-if)# encapsulation ppp
Cisco2620(config-if)# ip tcp header-compression passive:啟用被動IP包頭壓縮
Cisco2620(config-if)# async mode dedicated:只在非同步模式下工作
Cisco2620(config-if)# peer default ip address dhcp:將IP地址請求轉發至DHCP伺服器
Cisco2620(config-if)# ppp authentication chap:將認證設為CHAP
Cisco2620(config-if)# group-range 33 48:撥號組包括16個口
Cisco的16AM模塊提供了高密度的模擬電路接入方式,不在辦公大樓的員工可以用Modem撥號聯入區域網、登錄伺服器,實現遠程辦公。
peer default ip address dhcp命令可以使撥入的工作站通過區域網內的DHCP伺服器動態地獲得IP地址,節約了IP地址資源,同時還接收了在DHCP伺服器上配置的參數,比如DNS伺服器的IP地址,並配合全局模式下配置的指向防火牆的靜態路由,使工作站同時也可以通過防火牆訪問Internet。
Cisco2620(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.4:設置到防火牆的靜態路由
(5) 對16AM模塊物理特性的設置
Cisco2620(config)#line 33 48: 進入Modem 口線模式
Cisco2620(config-line)# session-timeout 30:超時設為30分鍾
Cisco2620(config-line)# autoselect ring-login:自動登錄
Cisco2620(config-line)# autoselect ppp:自動選擇PPP協議
Cisco2620(config-line)# login local:允許本地口令檢查
Cisco2620(config-line)# modem InOut:允許撥入撥出
Cisco2620(config-line)# transport input all:指定傳輸協議
Cisco2620(config-line)# stopbits 1:設置一位停止位
Cisco2620(config-line)# flowcontrol hardware:設置硬體流控制
(6) 添加撥號用戶的用戶名和密碼
Cisco2620(config)#username shixuegang password abc123:增加用戶名shixuegang,口令為abc123
(7) 啟用rip路由
Cisco2620(config)#router rip:啟用rip路由
Cisco2620(config-rout)#version 2:第二版本
Cisco2620(config-rout)#network xxx.xxx.xxx.xxx:指定要轉發數據包的網路號
Cisco2620路由器故障判斷和故障排除
1. 判斷以太埠故障
對於以太埠故障的診斷,可以用show interface fastFastethernet 0/0(對於以太埠0的診斷)命令,它用來檢查一條鏈路的狀態,可能出現的結果如下:
如果乙太網埠工作正常,則出現如下顯示:Fastethernet 0/0 is up, line protocol is up;
如果存在連接故障,比如路由器未接到LAN上,則出現:Fastethernet 0/0 is up, line protocol is down;
如果介面出現故障,則出現:Fastethernet 0/0 is down, line protocol is down (disable) ;
介面被人為地關閉,則出現:Fastethernet 0/0 is administratively down, line protocol is down;
此外,當懷疑埠有物理性故障時,可用show version命令,該命令將顯示出物理性正常的埠,而出現物理性故障的埠將不被顯示出來。
2. 判斷同步串列埠故障
我們可以用show interface serial 0/0命令檢查一條鏈路的狀態,如出現Serial 0/0 is up, line protocol is up字樣,則表示工作正常;如出現serial 0/0 is up, line protocol is down字樣,則表示埠無物理故障,但上層協議未通(IP、IPX、X25等,此時應查看路由器的配置命令,檢查地址是否匹配);如出現Serial 0/0 is down, line protocol is down (disable) 字樣,則表示埠出現物理性故障,此時應更換埠;如出現Serial 0/0 is down, line protocol is down字樣,則表示DCE設備(Modem/DTU)未送來載波/時鍾信號;如出現Serial 0/0 is administratively down, line protocol is down字樣,則表示介面被人為地關閉,可在配置狀態中interface_mode下去掉shutdown命令。
3. 判斷模擬線路故障
可以先用電話直接撥打路由器中繼線號碼,聽見嘯叫聲則說明線路正常,反之則應先查看電話線路。排除線路故障後如依然無法正常工作,就應查看路由器關於16AM模塊的配置命令,確定配置命令無誤後,可採取如下方法:
將模塊重新良好接地;
升級路由器IOS版本;
更換16AM模塊。
Cisco2620路由器的密碼恢復和災難性恢復
在使用路由器的過程中,經常會出現忘記密碼的情況。同時,在操作過程中有時會因為一些不可預料的原因,使路由器內部的版本映像文件受到損壞,使路由器無法正常工作,導致路由器退回到監控狀態,而使用常用的版本拷貝命令無法更新版本。這兩個問題都是在日常維護中較為常見的問題。
1. 密碼恢復
(1) 將路由器的Console口和計算機串口相連,啟動計算機超級終端,開啟路由器電源,在開機60秒內按ctrl+break 使路由器進入rom monitor 狀態,並出現如下提示符:
rommon1>
(2) 重新配置組態寄存器。
rommon1>confreg
當出現do you wish to change the configuration (y/n) 時選擇y,當出現enable ignore system configuration information(y/n) 時選擇y。
(3) 重新啟動路由器。
rommon1>reset
(4) 啟動後進入特權模式,執行如下命令使原來的配置信息有效。
router(config)#config mem
(5) 可以進一步查看密碼或更改密碼。
2. 版本的災難性恢復
Cisco2620提供了兩種災難性恢復版本的方法:tftpdnld和xmodem方式。
(1) tftpdnld方式
將計算機串口和路由器Console口相連,計算機網口與路由器以太口(一定要與第一個以太口)相連。
啟動TFTP伺服器,將要下載的版本放於指定目錄下面。
開啟路由器電源,由於沒有有效版本,路由器啟動後將直接進入監控模式。
Rommon1>
按如下命令設置參數。
Rommon2>IP_ADDRESS=192.168.1.6: 將192.168.1.6地址配置到路由器的第一個以太埠
Rommon3>IP_SUBNET_MASK=255.255.255.0:設置掩碼
Rommon4>DEFAULT_GATEWAY=192.168.1.7:指定TFTP伺服器地址
Rommon5>TFTP_FILE=c2600-i-mz.121-3.T:指定IOS文件名
Rommon6>tftpdnld:下載IOS文件
組態配置寄存器
Rommon7>confreg
當出現do you wish to change the configuration y/n時選擇y,當出現 change the boot charaterist y/n時選擇y,選擇參數2。其他的選項選n。
啟動版本
Rommon8> reset以上內容來自互聯網,希望對大家有所幫助。