Ⅰ 怎样配置思科路由器自反ACL 实现网段之间单向访问
1、配置路由器,并在R1、R3上配置默认路由确保IP连通性。
R1(config)#interface s0/0/0
R1(config)#ip address 192.168.12.1 255.255.255.0
R1(config)#no shutdown
R1(config)#interface g0/0
R1(config)#ip address 172.16.1.1 255.255.255.0
R1(config)#no shutdown
R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.12.2
R2(config)#interface s0/0/0
R2(config)#ip address 192.168.12.2 255.255.255.0
R2(config)#no shutdown
R2(config)#interface s0/0/1
R2(config)#ip address 202.210.23.2 255.255.255.0
R2(config)#no shutdown
R3(config)#interface loopback 0
R3(config)#ip address 3.3.3.3 255.255.255.0
R3(config)#no shutdown
R3(config)#interface s0/0/1
R3(config)#ip address 202.210.23.3 255.255.255.0
R3(config)#no shutdown
R3(config)#ip route 0.0.0.0 0.0.0.0 202.210.23.2
2、在路由器R2上配置自反ACL
R2(config)#ip access-list extended ACLOUT
R2(config-ext-nacl)#permit tcp any any reflect REF //定义自反ACL
R2(config-ext-nacl)#permit udp any any reflect REF
R2(config)#ip access-list extended ACLIN
R2(config-ext-nacl)#evaluate REF //评估反射
R2(config)#int s0/0/1
R2(config-if)#ip access-group ACLOUT out
R2(config-if)#ip access-group ACLIN in
PS:(1)、自反ACL永远是permit的;
(2)、自反ACL允许高层Session信息的IP包过滤;
(3)、利用自反ACL可以只允许出去的流量,但是阻止从外部网络产生的向内部网络的流量,从而可以更好地保护内部网络;
(4)、自反ACL是在有流量产生时(如出方向的流量)临时自动产生的,并且当Session结束条目就删除;
(5)、自反ACL不是直接被应用到某个接口下的,而是嵌套在一个扩展命名访问列表下的。
3、调试
(1)同时在路由器R1和R3都打开TELNET服务,在R1(从内网到外网)TELNET路由器R3成功,同时在路由器R2上查看访问控制列表:
R2#show access-lists
Extended IP access list ACLIN
10 evaluate REF
Extended IP access list ACLOUT
10 permit tcp any any reflect REF
20 permit udp any any reflect REF
Reflexive IP access list REF
permit tcp host 202.210.23.3 eq telnet host 192.168.12.1 eq 11002 (48 matches) (time left 268)
//以上输出说明自反列表是在有内部到外部TELNET流量经过的时候,临时自动产生一条列表。
(2)在路由器R1打开TELNET 服务,在R3(从外网到内网)TELNET路由器R1不能成功,同时在路由器R2上查看访问控制列表:
R2#show access-lists
Extended IP access list ACLIN
10 evaluate REF
Extended IP access list ACLOUT
10 permit tcp any any reflect REF
20 permit udp any any reflect REF
Reflexive IP access list REF
Ⅱ 如何连接cisco路由器设置
cisco怎么进入路由器设置界面?有网友提到自己不会设置思科的设备,该怎么办?我在网上找了一些教程及命令,需要的朋友可以参考下。
进入思科路由器配置,并安装设置的步骤如下:
连接到控制端口的 方法
(1)连接线缆
连接到控制端口我们需要一根rollover线缆和RJ-45转DB-9的适配器,这一般在思科路由器的产品附件中我们可以见到。
(2)终端仿真软件
PC或者终端必须支持vt100仿真终端,通常我们在Windows OS环境下都使用的是HyperTerminal软件。
(3)将PC连接到路由器上
1、配置终端仿真软件参数,如下图:
2、 2、将rollover线缆的一端连接到路由器的控制端口
3、将rollover线缆的一端连接到RJ-45到DB-9的转换适配器。
4、将DB-9适配器的另一端连接到PC。Cisco路由器的基本配置(以2620为例)
1. 初始安装
第一次安装时系统会自动进入Dialog Setup,依屏幕提示,分别回答路由器名称、加密超级登录密码、超级登录密码、远程登录密码、动态路由协议以及各个接口的配置后,保存配置。在出现路由器名称后,打入enable命令,键入超级登录密码,出现路由器名称(这里假设路由器名称为Cisco2620),待出现Cisco2620#提示符后,表示已经进入特权模式,此时就可以进行路由器的配置了。
2. 配置路由器
键入config terminal,出现提示符Cisco2620(config)#,进入配置模式。
(1) 设置密码
Cisco2620(config)#enable secret 123123:设置特权模式密码为123123
Cisco2620(config)#line console 0: 进入Console口配置模式
Cisco2620(config-line)#password 123123:设置Console口密码为123123
Cisco2620(config-line)#login:使console口配置生效
Cisco2620(config-line)#line vty 0 5:切换至远程登录口
Cisco2620(config-line)#password 123123:设置远程登录密码为123123
Cisco2620(config-line)#login:使配置生效
(2) 设置快速以太网口
Cisco2620(config)#interface fastFastethernet 0/0:进入端口配置模式
Cisco2620(config-if)#ip address 192.168.1.6 255.255.255.0:设置IP地址及掩码
Cisco2620(config-if)#no shutdown: 开启端口
Cisco2620(config-if)#exit:从端口配置模式中退出
(3) 设置同步串口
Cisco2620(config)#interface serial 0/0:进入同步串口设置
Cisco2620(config-if)#ip unnumbered fastFastethernet 0/0:同步串口使用与快速以太网口相同的IP地址
Cisco2620(config-if)#encapsulation ppp: 把数据链路层协议设为PPP
(4) 设置16口Modem拨号模块,使用内部DHCP服务为拨入用户分配地址
Cisco2620(config)#interface Group-Async1
Cisco2620(config-if)# ip unnumbered FastEthernet0/0
Cisco2620(config-if)# encapsulation ppp
Cisco2620(config-if)# ip tcp header-compression passive:启用被动IP包头压缩
Cisco2620(config-if)# async mode dedicated:只在异步模式下工作
Cisco2620(config-if)# peer default ip address dhcp:将IP地址请求转发至DHCP服务器
Cisco2620(config-if)# ppp authentication chap:将认证设为CHAP
Cisco2620(config-if)# group-range 33 48:拨号组包括16个口
Cisco的16AM模块提供了高密度的模拟电路接入方式,不在办公大楼的员工可以用Modem拨号联入局域网、登录服务器,实现远程办公。
peer default ip address dhcp命令可以使拨入的工作站通过局域网内的DHCP服务器动态地获得IP地址,节约了IP地址资源,同时还接收了在DHCP服务器上配置的参数,比如DNS服务器的IP地址,并配合全局模式下配置的指向防火墙的静态路由,使工作站同时也可以通过防火墙访问Internet。
Cisco2620(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.4:设置到防火墙的静态路由
(5) 对16AM模块物理特性的设置
Cisco2620(config)#line 33 48: 进入Modem 口线模式
Cisco2620(config-line)# session-timeout 30:超时设为30分钟
Cisco2620(config-line)# autoselect ring-login:自动登录
Cisco2620(config-line)# autoselect ppp:自动选择PPP协议
Cisco2620(config-line)# login local:允许本地口令检查
Cisco2620(config-line)# modem InOut:允许拨入拨出
Cisco2620(config-line)# transport input all:指定传输协议
Cisco2620(config-line)# stopbits 1:设置一位停止位
Cisco2620(config-line)# flowcontrol hardware:设置硬件流控制
(6) 添加拨号用户的用户名和密码
Cisco2620(config)#username shixuegang password abc123:增加用户名shixuegang,口令为abc123
(7) 启用rip路由
Cisco2620(config)#router rip:启用rip路由
Cisco2620(config-rout)#version 2:第二版本
Cisco2620(config-rout)#network xxx.xxx.xxx.xxx:指定要转发数据包的网络号
Cisco2620路由器故障判断和故障排除
1. 判断以太端口故障
对于以太端口故障的诊断,可以用show interface fastFastethernet 0/0(对于以太端口0的诊断)命令,它用来检查一条链路的状态,可能出现的结果如下:
如果以太网端口工作正常,则出现如下显示:Fastethernet 0/0 is up, line protocol is up;
如果存在连接故障,比如路由器未接到LAN上,则出现:Fastethernet 0/0 is up, line protocol is down;
如果接口出现故障,则出现:Fastethernet 0/0 is down, line protocol is down (disable) ;
接口被人为地关闭,则出现:Fastethernet 0/0 is administratively down, line protocol is down;
此外,当怀疑端口有物理性故障时,可用show version命令,该命令将显示出物理性正常的端口,而出现物理性故障的端口将不被显示出来。
2. 判断同步串行端口故障
我们可以用show interface serial 0/0命令检查一条链路的状态,如出现Serial 0/0 is up, line protocol is up字样,则表示工作正常;如出现serial 0/0 is up, line protocol is down字样,则表示端口无物理故障,但上层协议未通(IP、IPX、X25等,此时应查看路由器的配置命令,检查地址是否匹配);如出现Serial 0/0 is down, line protocol is down (disable) 字样,则表示端口出现物理性故障,此时应更换端口;如出现Serial 0/0 is down, line protocol is down字样,则表示DCE设备(Modem/DTU)未送来载波/时钟信号;如出现Serial 0/0 is administratively down, line protocol is down字样,则表示接口被人为地关闭,可在配置状态中interface_mode下去掉shutdown命令。
3. 判断模拟线路故障
可以先用电话直接拨打路由器中继线号码,听见啸叫声则说明线路正常,反之则应先查看电话线路。排除线路故障后如依然无法正常工作,就应查看路由器关于16AM模块的配置命令,确定配置命令无误后,可采取如下方法:
将模块重新良好接地;
升级路由器IOS版本;
更换16AM模块。
Cisco2620路由器的密码恢复和灾难性恢复
在使用路由器的过程中,经常会出现忘记密码的情况。同时,在操作过程中有时会因为一些不可预料的原因,使路由器内部的版本映像文件受到损坏,使路由器无法正常工作,导致路由器退回到监控状态,而使用常用的版本拷贝命令无法更新版本。这两个问题都是在日常维护中较为常见的问题。
1. 密码恢复
(1) 将路由器的Console口和计算机串口相连,启动计算机超级终端,开启路由器电源,在开机60秒内按ctrl+break 使路由器进入rom monitor 状态,并出现如下提示符:
rommon1>
(2) 重新配置组态寄存器。
rommon1>confreg
当出现do you wish to change the configuration (y/n) 时选择y,当出现enable ignore system configuration information(y/n) 时选择y。
(3) 重新启动路由器。
rommon1>reset
(4) 启动后进入特权模式,执行如下命令使原来的配置信息有效。
router(config)#config mem
(5) 可以进一步查看密码或更改密码。
2. 版本的灾难性恢复
Cisco2620提供了两种灾难性恢复版本的方法:tftpdnld和xmodem方式。
(1) tftpdnld方式
将计算机串口和路由器Console口相连,计算机网口与路由器以太口(一定要与第一个以太口)相连。
启动TFTP服务器,将要下载的版本放于指定目录下面。
开启路由器电源,由于没有有效版本,路由器启动后将直接进入监控模式。
Rommon1>
按如下命令设置参数。
Rommon2>IP_ADDRESS=192.168.1.6: 将192.168.1.6地址配置到路由器的第一个以太端口
Rommon3>IP_SUBNET_MASK=255.255.255.0:设置掩码
Rommon4>DEFAULT_GATEWAY=192.168.1.7:指定TFTP服务器地址
Rommon5>TFTP_FILE=c2600-i-mz.121-3.T:指定IOS文件名
Rommon6>tftpdnld:下载IOS文件
组态配置寄存器
Rommon7>confreg
当出现do you wish to change the configuration y/n时选择y,当出现 change the boot charaterist y/n时选择y,选择参数2。其他的选项选n。
启动版本
Rommon8> reset以上内容来自互联网,希望对大家有所帮助。