本文關(guān)鍵詞：ip協(xié)議，由筆耕文化傳播整理發(fā)布。

ip協(xié)議配置的主要任務(wù)：

1、配置端口IP地址

2、配置廣域網(wǎng)線路協(xié)議

3、配置IP地址與物理網(wǎng)絡(luò)地址如何映射

4、配置路由

5、其它設(shè)置

ip協(xié)議的主要配置

為端口設(shè)置一個IP地址，在端口設(shè)置狀態(tài)下
ip address 本端口IP地址 子網(wǎng)掩碼

另外，在同一端口中可以設(shè)置兩個以上的不同網(wǎng)段的IP地址，這樣可以實現(xiàn)連接在同一局域網(wǎng)上不同網(wǎng)段之間的通訊。一般由于一個網(wǎng)段對于用戶來說不夠用，可以采用這種辦法。

在端口設(shè)置狀態(tài)下：

ip address 本端口IP地址 子網(wǎng)掩碼 secondary

ip redirect

一般地，Cisco路由器不答應(yīng)從同一端口進來的IP包又發(fā)回到原端口中，ip redirect表示答應(yīng)在同一端進入路由器的IP包由原端口發(fā)送回去。

2、網(wǎng)絡(luò)中含有0的IP地址如138.0.0.1或192.1.0.2，強烈建議盡量不要使用這樣的IP地址，如要使用這的地址，在全局設(shè)置模式下必須設(shè)置

ip subnet-zero

包過濾配置

包過濾功能可以幫助路由器控制數(shù)據(jù)包在網(wǎng)絡(luò)中的傳輸，通過包過濾可以限制網(wǎng)絡(luò)流量以及增加網(wǎng)絡(luò)安全性，包過濾功能對路由器本身產(chǎn)生的數(shù)據(jù)包不起作用，當數(shù)據(jù)包進入某個端口時，路由器首先檢查是否該數(shù)據(jù)包可以通過路由或橋接方式送出去。假如不能，則路由器將丟掉該數(shù)據(jù)包，假如該數(shù)據(jù)包可以傳送出去，則路由器將檢查該數(shù)據(jù)包是否滿足該端口中定義的包過濾規(guī)則，假如包過濾規(guī)則不答應(yīng)該數(shù)據(jù)包通過，則路由器將丟掉該數(shù)據(jù)包。

有兩種方式的包過濾規(guī)則：

1、標準包過濾 該種包過濾只對數(shù)據(jù)包中的源地址進行檢查

2、擴展包過濾 該種包過濾對數(shù)據(jù)包中的源地址，目的地址，協(xié)議及端口號進行檢查。

1、定義標準包過濾規(guī)則，在全局配置狀態(tài)下：

access-list 標識號碼 deny 或permit 源地址 通配符

或

在全局配置狀態(tài)下，定義擴展包過濾規(guī)則：

access-list 標識號碼 deny或permit 協(xié)議標識 源地址 通配符 目地地址 通配符

Cisco 路由器中access-list規(guī)定的標識號碼。

　 可以在指定范圍內(nèi)任意選擇一個標識號碼定義相應(yīng)的包過濾規(guī)則，，deny參數(shù)表示禁止，pernit表示答應(yīng)。通配符也為32位二進制數(shù)字，并與相應(yīng)的地址一一對應(yīng)。路由器將檢查與通配符中的“0”（2進制）位置一樣的地址位，對于通配符中“1”（2進制）位置一致的地址位，將忽略不檢查。

一個包過濾規(guī)則可以包含一系列檢查條件，即可以用同一標識號碼定義一系列access-list語句，路由器將從最先定義的條件開始依次檢查，如數(shù)據(jù)包滿足某個條件，路由器將不再執(zhí)行下面的包過濾條件，假如數(shù)據(jù)包不滿足規(guī)則中的所有條件，Cisco路由器缺省為禁止該數(shù)據(jù)包，即丟掉該數(shù)據(jù)包。

2、在需要包過濾功能的端口，引出包過濾規(guī)則

ip access-group包過濾規(guī)則標識號in或out

其中in 表示對進入該端口的數(shù)據(jù)包進行檢查

out表示對要從該端口送出的數(shù)據(jù)包進行檢查

假如不進行步驟2的配置，則所定義的包過濾規(guī)則根本不會執(zhí)行。

實例：

Currrent configuration:

!

version 11.3

no service passWord-encryption

!

hostname 2511-1

!

enable password cisco

!

username 2505 password 0 cisco

no ip domain-lookup

!

interface Ethernet0

ip address 192.4.1.1 255.255.255.0

ip access-group 101 in

ip security dedicated confidential genser

no ip security add

ip security implicit-labelling

!

interface Serial0

ip address 192.3.1.1 255.255.255.0

ip access-group 1 in

!引用標準包過濾規(guī)則1，禁止外部的用戶采用IP欺騙的方式進入本地局域網(wǎng)

ip security dedicated confidential genser

encapsulation frame-relay IETF

ip ospf message-digest-key 1 md5 kim

no ip mroute-cache

bandwidth 2000

frame-relay map ip 192.3.1.2 100 broadcast

frame-relay lmi-type cisco

!

interface Seriall

ip address 192.7.1.1 255.255.255.0

ip access-group 1 in

ip security dedicated confidential genser

encapsulation ppp

ip ospf message-digest-key 1 md5 kim

ip ospf network non-broadcast

bandwidth 64

ppp authentication chap

!

router ospf 1

passive - interface Ethernet0

network 192.3.1.0 0.0.0.255 area 0

network 192.4.1.0 0.0.0.255 area 0

network 192.7.1.0 0.0.0.255 area 0

neighbor 192.7.1.2 PRiority 1

neighbor 192.3.1.2 priority 1

area 0 authentication message-digest

!

no ip classless

access-list 1 deny 192.4.1.0 0.0.0.255

access-list 1 permit any

!定義標準包過濾，禁止192.1.4.0網(wǎng)段使用IP網(wǎng)絡(luò)

access-list 101 permit ip host 192.4.1.20 any

access-list 101 deny icmp any any

!定義擴展包過濾規(guī)則只答應(yīng)192.4.1.20的單機使用ping，其他所有計算機都不答應(yīng)使用

！ping 。這臺計算機為網(wǎng)管計算機。

access-list 101 deny tcp any host 192.4.1.1

access-list 101 deny tcp any host 192.7.1.1

access-list 101 deny tcp any host 192.3.1.1

access-list 101 permit ip 192.4.1.0 0.0.0.255 any

!

line con 0

line 1 8

line aux 0

line vty 0 4

password cisco

login

!

end

  本文關(guān)鍵詞：ip協(xié)議，由筆耕文化傳播整理發(fā)布。