IP協議配置的基本原則IP協議配置的基本原則Cisco路由器在IP網絡中正常工作，一般要遵循一些規則：如圖：

中正常工作，一般要遵循一些規則：如圖：

對于A，B來說，它們互為相鄰的路由器，其中A路由器的S０與B路由器的S1為相鄰路由器的相鄰端口，但A路由器的S1口與B路的器的S1口并不是相鄰端口，A與D不是相鄰路由器。

規則：

1、一般地，路由器的物理網絡端口通常要有一個IP地址

2、相鄰路由器的相鄰端口IP地址必須在同一IP網絡上

3、同一路由器的不同端口的IP地址必須在不同IP網段上

4、除了相鄰路由器的相鄰端口外，所有網絡中路由器所連接的網段即所有路由器的任何兩個非相鄰端口都必須不在同一網段上。

3.IP協議配置access-list標識號碼deny或permit 源地址 通配符access-list標識號碼deny或permit協議標識 源地址 通配符 目地地址 通配符isco路由器中access-list規定的標識號碼，如表：deny參數表示禁止，pernit表示允許。通配符也為32位二進制數字，并與相應的地址一一對應。路由器將檢查與通配符中的“0”（2進制）位置一樣的地址位，對于通配符中“1”（2進制）位置一致的地址位，將忽略不檢查。access-list語句，路由器將從最先定義的條件開始依次檢查，如數據包滿足某個條件，路由器將不再執行下面的包過濾條件，如果數據包不滿足規則中的所有條件，Cisco路由器缺省為禁止該數據包，即丟掉該數據包。

IP協議配置的主要任務

1、配置端口IP地址

2、配置廣域網線路協議

3、配置IP地址與物理網絡地址如何映射

4、配置路由

5、其它設置

為端口設置一個IP地址，在端口設置狀態下

IP協議的主要配置

ip address 本端口IP地址 子網掩碼

另外，在同一端口中可以設置兩個以上的不同網段的IP地址，這樣可以實現連接在同一局域網上不同網段之間的通訊。一般由于一個網段對于用戶來說不夠用，可以采用這種辦法。

在端口設置狀態下

ip address 本端口IP地址 子網掩碼 secondary

注意：如果要實現連在同一路由器端口的不同網段的通訊，必須在端口設置狀態下

ip redirect

一般地，Cisco路由器不允許從同一端口進來的IP包又發回到原端口中，ip redirect表示允許在同一端進入路由器的IP包由原端口發送回去。

2、網絡中含有0的IP地址如138.0.0.1或192.1.0.2，強烈建議盡量不要使用這樣的IP地址，如要使用這的地址，在全局設置模式下必須設置

ip subnet-zero

包過濾配置

包過濾功能可以幫助路由器控制數據包在網絡中的傳輸，通過包過濾可以限制網絡流量以及增加網絡安全性，包過濾功能對路由器本身產生的數據包不起作用，當數據包進入某個端口時，路由器首先檢查是否該數據包可以通過路由或橋接方式送出去。如果不能，則路由器將丟掉該數據包，如果該數據包可以傳送出去，則路由器將檢查該數據包是否滿足該端口中定義的包過濾規則，如果包過濾規則不允許該數據包通過，則路由器將丟掉該數據包。

1、標準包過濾 該種包過濾只對數據包中的源地址進行檢查

有兩種方式的包過濾規則：

2、擴展包過濾 該種包過濾對數據包中的源地址，目的地址，協議及端口號進行檢查。

3.1. 包過濾功能配置

1、定義標準包過濾規則，在全局配置狀態下

或

在全局配置狀態下，定義擴展包過濾規則

可以在指定范圍內任意選擇一個標識號碼定義相應的包過濾規則，

一個包過濾規則可以包含一系列檢查條件，即可以用同一標識號碼定義一系列

2、在需要包過濾功能的端口，引出包過濾規則

ip access-group包過濾規則標識號in或out

其中in 表示對進入該端口的數據包進行檢查

out表示對要從該端口送出的數據包進行檢查

如果不進行步驟2的配置，則所定義的包過濾規則根本不會執行。

實例：

Currrent configuration:

!

version 11.3

no service password-encryption

!

hostname 2511-1

!

enable password cisco

!

username 2505 password 0 cisco

no ip domain-lookup

!

interface Ethernet0

ip address 192.4.1.1 255.255.255.0

ip access-group 101 in

ip security dedicated confidential genser

no ip security add

ip security implicit-labelling

!

interface Serial0

ip address 192.3.1.1 255.255.255.0

ip access-group 1 in

!引用標準包過濾規則1，禁止外部的用戶采用IP欺騙的方式進入本地局域網

ip security dedicated confidential genser

encapsulation frame-relay IETF

ip ospf message-digest-key 1 md5 kim

no ip mroute-cache

bandwidth 2000

frame-relay map ip 192.3.1.2 100 broadcast

frame-relay lmi-type cisco

!

interface Seriall

ip address 192.7.1.1 255.255.255.0

ip access-group 1 in

ip security dedicated confidential genser

encapsulation ppp

ip ospf message-digest-key 1 md5 kim

ip ospf network non-broadcast

bandwidth 64

ppp authentication chap

!

router ospf 1

passive - interface Ethernet0

network 192.3.1.0 0.0.0.255 area 0

network 192.4.1.0 0.0.0.255 area 0

network 192.7.1.0 0.0.0.255 area 0

neighbor 192.7.1.2 priority 1

neighbor 192.3.1.2 priority 1

area 0 authentication message-digest

!

no ip classless

access-list 1 deny 192.4.1.0 0.0.0.255

access-list 1 permit any

!定義標準包過濾，禁止192.1.4.0網段使用IP網絡

access-list 101 permit ip host 192.4.1.20 any

access-list 101 deny icmp any any

!定義擴展包過濾規則只允許192.4.1.20的單機使用ping，其他所有計算機都不允許使用

！ping 。這臺計算機為網管計算機。

access-list 101 deny tcp any host 192.4.1.1

access-list 101 deny tcp any host 192.7.1.1

access-list 101 deny tcp any host 192.3.1.1

access-list 101 permit ip 192.4.1.0 0.0.0.255 any

!

line con 0

line 1 8

line aux 0

line vty 0 4

password cisco

login

!

end