企业网路由器基本设置下令
路由器基本设置
在本企业网中接纳的是CISCO3825的路由器,它经过本人的串行接口serial0/0使用DDN武艺接入Internet。其作用主要是在Internet和企业网之间路由数据包。除了完成主要的路由职责外,使用拜候控制列表(Access Control List,ACL),路由器ZZrouter还可用来完成以本身为中央的流量控制和过滤功效并完成一定的宁静功效。
其基本设置与接入层互换机的设置相似,设置下令如下:(需分析的是由平凡用户进入特权形式输入下令enable,由特权形式进入全局设置形式输入下令config t(全写为configure terminal))
Router#configure terminal
Router(config)#hostname R1-out
R1-OUT(config)#enable secret cisco
R1-OUT(config)#no ip domain-lookup
R1-OUT(config)#logging synchronous
R1-OUT(config)#line con 0
R1-OUT(config-line)#exec-timeout 5 30
R1-OUT(config-line)#line vty 0 4
R1-OUT(config-line)#password cisco
R1-OUT(config-line)#login
R1-OUT(config-line)#exec-timeout 5 30
R1-OUT(config-line)#exit
主要是对接口FastEthernet0/0以及接口serial0/0的IP地点、子网掩码的设置。设置下令如下:
R1-OUT(config)#interface fastethernet 0/0
R1-OUT(config-if)#ip address 192.168.1.254 255.255.255.0
R1-OUT(config-if)#no shutdown
R1-OUT(config-if)#interface serial 0/0
R1-OUT(config-if)#ip address 202.168.1.1
R1-OUT(config-if)#no shutdown
设置静态路由
在R1-OUT路由器上必要界说两个路由:到企业内里的静态路由和到Internet上的缺省路由。
R1-OUT(config)#ip route 0.0.0.0 0.0.0.0 202.168.1.1
到企业网内里的路由颠末路由汇总后构成两个路由条目如下所示:
R1-OUT(config)#ip route 192.168.0.0 255.255.240.0 192.168.1.3
R1-OUT(config)#ip route 192.168.0.0 255.255.240.0 192.168.1.4
设置NAT
由于现在IP地点资源十分稀缺,不成能给企业网内里的每台事情站都分派一个共有IP地点,为了处理一切事情站拜候Internet的必要,必需使用NAT(网络地点转换)武艺。
为了接入Internet,本企业网向当地的ISP哀求了10个IP地点。202.168.1.1.-202.168.1.10,此中202.168.1.1分派给了serial0/0,202.168.1.2和202.168.1.3分派给两个司理办公室。别的就举行NAT转换。
R1-OUT(config)#interface fastethernet 0/0
R1-OUT(config-if)#ip nat inside
R1-OUT(config-if)#interface serial 0/0
R1-OUT(config-if)#ip nat outside
R1-OUT(config)#ip access-list 1 permit 192.168.2.0 0.0.10.255(界说允许举行NAT转换的事情站的IP地点范围)
在路由器上设置拜候控制列表(ACL)
路由器是外网进入企业内网的第一道关卡,是网络防守的前沿阵地。路由器上的拜候控制列表(ACL)是保护内网宁静的好效伎俩。一个计划精良的拜候控制列表(ACL)不仅可以起到控制网络流量、流向的作用,还可以在不增长网络体系软、硬件投资的情况下完成寻常软、硬件防火墙产物的功效。
由于路由器介于企业内网和外网之间,是外网与内网举行通讯时的第一道屏蔽,以是即使在网络体系安装了防火墙产物后,仍旧有必要对路由器的拜候控制列表(ACL)举行缜密的计划,来对企业内网包含对防火墙本身实行保护。
屏蔽文件共享协议端口2049,长程实行(rsh)端口512,长程登录(rlogin)端口513,长程下令(rcmd) 端口514,长程历程调用(sunrpc)端口111。下令如下:
R1-OUT(config)#access-list 101 deny udp any any ep snmp
R1-OUT(config)#access-list 101 deny udp any any ep snmptrap
R1-OUT(config)#access-list 101 deny tcp any any ep telnet
R1-OUT(config)#access-list 101 deny tcp any any range 512 514/屏蔽长程实行(rsh)端口512和长程下令(rcmd) 端口514
R1-OUT(config)#access-list 101 deny tcp any any eq 111/屏蔽长程历程调用(sunrpc)端口111
R1-OUT(config)#access-list 101 deny udp any any eq 111/屏蔽长程历程调用(sunrpc)端口111
R1-OUT(config)#access-list 101 deny tcp any any eq 2049/屏蔽文件共享协议端口2049
R1-OUT(config)#access-list 101 permit ip any any
R1-OUT(config)#interface serial 0/0
R1-OUT(config-if)#ip access-group 101 in /acl端口使用
设置只允许来自办事器的IP地点才干拜候并设置路由器
下令如下:
R1-OUT(config)#line vty 0 4
R1-OUT(config-line)#access-class 2 in/创建拜候控制列表2(ACL2)
R1-OUT(config-line)#exit
R1-OUT(config)#access-list 2 permit 192.168.10.0 0.0.0.255
为了支持无种别网络以及全零子网举行如下的设置:
R1-OUT(config)#ip classless
R1-OUT(config)#ip subnet-zero
设置路由器的封装协媾和身份认证
R1-OUT(config)#interface serial 0/0
R1-OUT(config-if)#encapsulation ppp
Ppp提供了两种可选的身份验证办法:口令验证协议PAP(Password Authentication protocol, PAP)和质询握手验证协议CHAP(Challenge Handshake Authentication Protocol, CHAP)。CHAP比PAP更宁静,由于CHAP不在线路上发送明文暗码,而是发送颠末择要算法加工过的随机序列。
但CHAP对端体系要求很高,必要泯灭较多的CPU资源,寻常只用在对宁静性要求很高的场合。而PAP固然用户名和暗码是以明文的情势发送的,但它对端体系要求不高,以是我们广泛接纳这种身份验证机制。
设置下令如下:
起主要创建当地口令数据库
R1-OUT(config)#username remoteuser password zhangguoyou
R1-OUT(config)#interface serial 0/0
R1-OUT(config-if)#ppp authentication pap
到此路由器的设置就基本上完成了。
