cisco router 設定與管理

============
Router之功能
============

1.Routing
2.阻隔廣播封包〈Broadcast〉。
3.過濾封包。

===============
Cisco Ios文件系統
===============

以內存分類：cisco內部共有三種內存：（RAM）（NVRAM）（FLASH）

〈1〉EEPROM又稱閃存〈flash〉：存放cisco Router所用之操作系統〈Ios〉。
〈2〉NVRAM〈非揮發性隨機內存〉：　存放開機時之啟動組態〈startup-config〉
　　　　　　　　　　　　　　　　 在電源切斷時其設定數據不會消失。
〈3〉RAM：用來存取執行中有關命令設定〈Running-config〉
　　　copy running-config startup-config　將執行配置文件存成開機配置文件
　　　　　copy startup-config running-config　還原為開機執行檔

========================
Router基本設定與安全管理
========================

〈一〉IOS指定模式
　　　Cisco設備IOS軟件指令編輯器EXEC，分成兩個層級
　　　１．使用者EXEC層級（user EXEC level）：
　　　２．特權EXEC層級（privileged EXEC level）：
　　　在用戶層級（Router>）只能顯示信息而無法改變設備的設定，所有設備指令須在
　　　權限EXEC層級設定（Router#）其切換指令為enable與disable兩指令
　　　（Router＞enable → router #，router # disable→router>），
　　　在權限EXEC層級〈Router#〉下輸入總體設定模式下（global configuration Mode）
　　　指令Configure Terminal各項指令。

〈二〉Router設定

　１．路由器界面設定

（１）Ethernet（10M），Fast Ethernet（100M）gibabit界面其指令。

　　　Router (config) # interface type slot/port
　　　例：Router (config-if) # interface Ethernet 0/1

（２）序列界面設定（serial）：除設定界面外另設定clock、Rate與Bandwidth指令。

　　　Router (config) # interface serial 0
　　　Router (config-if)# interface serial 0
　 # clock rate 64000
　 # Bandwidth 64

　２．在「權限EXEC」模式下設定密碼

（１） console下設定密碼

　　　　Router (config) # line console 0
　　　　Router (config-line) # login
　　　　Router (config-Line) # password 密碼名稱

（２） Telnet下，由虛擬終端（Virtual Terminal）下設定密碼

　　　　Router (config) # line vty 0 4
　　　　Router (config-Line) # login
　　　　Router (config-Line) # Password 密碼名稱

（３） 進入特權模式設定密碼

　　　　Router (config) # enable password 密碼名稱

（４） 設定enable密碼加密

　　　　Router (config)# enable secret 密碼名稱

（５） 所有設定密碼加密在「權限EXEC模式下」設定使用

　　　　Router (config)# service password-encryption

〈三〉IP遶送：靜態遶送（static routing）、
　　　　　　　預設遶送（default routing）、
　　　　　　　動態遶送（dynamic routing），
　　　　　　　其中動態協議包括RIP、IGRP、EIGRP與OSPF等。

　１．靜態遶送（static routing）：

　　　每臺路由器的路徑表中手動加入路徑。
　　　ip route〔destination_ network〕〔mask〕〔next-hop-address〕

?　　ip route：用來建立靜態路徑的命令。
　?　destination_network：要放在路徑表中的網絡。
　　　mask：該網絡使用的子網掩碼。
　　　next-hop-address：負責接收封包并轉送至遠程網絡之下一中繼站路由器地址。

例：
　　　　　　　（ROUTER－A）f0/0:192.168.10.1
　　　　　　　　　　　　　 s0/0:192.168.20.1
　　　　　　　（ROUTER－B）s0/0:192.168.20.2 NET
　　　　　　　　　　　　　 s0/1:192.168.40.1

　　　Router A (config) # ip route 192.168.40.0 255.255.255.0 192.168.20.2

　２．預設遶送（default routing）：

　　　只能在殘根型網絡使用默認遶送，因殘根型網絡（stub network）只有一條離開路徑
　　　之網絡。

　　　ip route 0.0.0.0.0.0.0.0〈Next-hop router〉
　　　例：Router B(config)：ip route 0.0.0.0.0.0.0.0 192.168.20.1

　３．動態遶送（Dynamic routing）：

　　　使用協議來尋找網絡，并且更新路由器上之路徑表。協議包括RIP、IGRP、EIGRIP、
　　　OSPF等等。

　（１）RIP (Routing information protocol)：

　　　距離向量協議其管理性距離為120，每隔30秒從所有作用中的界面送出完整之路徑表，
　　　RIP只使用中繼站數目來判斷通往遠程之最佳路徑，最大中繼站數目為15，它屬于有級
　　　別遶送。

　　　Router (config) # router rip
　　　Router (config-router) # network network-number

　　　例：
　　　Router A (config) # router rip
　　　Router A (config-router) # Network 192.168.10.0
　　　Router A (config-router) # Network 192.168.20.0

　（２）IGRP（interior gateway Routing protocol）內部網關遶送協議：

　　　它屬于cisco專屬距離向量遶送協議，若在網絡中使用IGRP，其所有路由器必須為
　　　cisco路由器，IGRP最大中繼站數目為255，管理距離為100，使用線路帶寬與延遲
　　　決定互連網絡互連最佳路徑的指針，IGRP使用自治系統編號啟動，每隔90秒提供一
　　　次完整路徑表更新。

　　　Router (config) # router IGRP AS (Autonomous system)
　　　Router (config-router) # Network network-number

　　　例：Router (config) # router IGRP 10
　　　　　Router A (config-router) # Network 192.168.10.0
　　　　　Router A (config-router) # Network 192.168.20.0

　（３）OSPF(open shortest path First)開放式最短路徑優先：

　　　OSPF是一種鏈路狀態協議(Link-state protocol)每臺路由器會建立３個獨立的表格
　　　，其中之一會追蹤直接相連的鄰居，一個決定整個互連網絡的拓撲，而最后一個是
　　　路徑表，屬于一種鏈路狀態IP繞送協議，OSPF利用成本（cost）當作衡量指標，
　　　cisco使用計算公式是10^2/帶寬，其管理距離為110。

　　　　Router (config)# Router OSPF process-id
　　　　Router (config-Router)# Network address mask Area area-id
　　　　　　　　　　　　　　（其中mask為通配符屏蔽wilcard mask，一般為0.0.0.0）

　　　● 通配符屏蔽的位值為0，表示檢查對應位內的值。
　　　● 通配符屏蔽的位值為1，表示不需要檢查對應位內的值。

（四）Router預設管理距離
路徑來源 默認距離
連接界面（E0，S0） 0
靜態傳送路徑 1
EIGRP 5
外部BGP 20
內部增強IGRP 90
IGRP 100
OSPF 110
RIP 120
EGP 140

==========================
IP資料管制（Access Lists）
==========================

　　用戶數據透過網絡從一地點傳送到另一地點，為了控制網絡上數據，所以需要有方法
加以確認與過濾網絡上的數據，因此Access Lists被使用在路由器上檢查網絡數據。ACL有
兩種型態：

（一）標準型態的ACL（standard access lists－檢查封包的來源（source）地址，以決定
允許或拒絕該封包經由整套網絡協議傳送出去。

１．使用Access-List指令建立一個標準的IP數據過濾機制，語法如下：

　　Router(config)# Access-List Access-List-number{permit/deny}source-address〔wildcard mask〕

　　● Access-List-number表示該表列的號碼，其standard IP lists是1到99。
　　● Permit/deny表示是否允許指定地址送出的數據在網絡上傳輸。
　　● Source-address代表來源IP端地址。
　　● wildcard mask表示地址字段中有哪些位必須一致其default wildcard mask＝0.0.0.0

２．利用ip access-group只存在一個ALC運用在一個接口上。

　　Router(config) # interface seria10(Ethernet0)
　　Router(config-if) # ip Access-group access-list-number｛in/out｝.

　　access-list-number 表示應用在該接口上的ACL號碼。
　　in/out 用來選擇ACL用在進來或出去的Packet 的篩選上，其系統Default=outbound。

（二）延伸型態ACL－檢測來源與目的端的地址，并須指明檢查網絡協議與通信端口號碼，

１．利用Access-list指令建立一個過濾數據機制，語法如下：

　　Router（config）#Access-list access-list-number｛Permit/deny｝protocol source source-wildcard〔operator port〕destination destination-wildcard〔operator port〕〔established〕〔log〕

　　access-list-number 表示該列使用值從100到199號碼。
　　permit/deny 表示是否允許指定地址送出來的數據在網絡上傳輸。
　　protocol是IP TCP UDP ICMP或IGRP之一。
　　Source與destination代表來源與目的端的IP地址。
　　Source-wildcard與destination-wildcard表示通配符屏蔽，0表示對應位置的位必
須一致，1表示對應位置的位可以是任意值。
　　Operator port可能是一個協議通訊端口的號碼或者It（少于），gt（大于），eq（等于）
，neq（不等于）某個通訊端口的號碼。
　　Established限用于TCP的數據傳輸。
　　Log表示將紀錄訊息傳送給控制臺。

２．將ip access-group指令存在一個ACL運用在一個接口上。

　　Router（config）# interface serial0
　　Router（config-if）# ip access-group access-list-number｛in/out｝

　　access-list-number表示使用在該接口上ACL號碼。
　　in/out用來選擇ACL用在進來或出去的封包篩選，其默認值為out。

　　范例：
　　Router（config）# access-list 101 dency tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq log
　　Router（config）# access-list 101 permit ip any any
　　Router（config）# interface ethernet
　　Router（config）# ip access-group 101 out