# 企業資訊網路期末全攻略(請善用Ctrl+F搜尋) ## 路由器基本設定: ### 1. 新增路由器motd: ``` 1. en 2. config t 3. banner motd [結尾字元] 4. [內容]+[結尾字元] ------------------------------ 3. banner motd [結尾字元] [內容] [結尾字元] ex banner motd # This is my router # ```  --- ### 2. 修改路由器hostname: ``` 1. en 2. config t 3. hostname [名稱] ```  --- ### 3. 設定路由器序列port時脈(serial clock rate): ``` 1. en 2. config t 3. interface [序列port ex:s0/0/0] 4. clock rate [速度] ```  **sh run結果:**  --- ### 4-1. 設定路由器密碼(SSH): ``` 1. en 2. config t 3. hostname [名稱] 4. ip domain-name [網域名稱] 5. username [使用者名稱] password [密碼] 6. crypto key generate rsa 7. ip ssh version 2 8. line vty 0 15 9. transport input ssh ```  ### 4-2. 設定路由器密碼(enable密碼): ``` 1. en 2. config t 3. enable password [密碼] 5. login //表示可以透過此登入方式登入 ```  **sh run結果:**  ### 4-3. 設定路由器密碼(enable secret密碼): secret：這是較新的、加過密的密碼，如果有設定，則會蓋掉 enable 密碼。 ``` 1. en 2. config t 3. enable secret [密碼] 5. login //表示可以透過此登入方式登入 ```  **sh run結果:**  ### 4-4. 設定路由器密碼(line console密碼): ``` 1. en 2. config t 3. line console 0 4. password [密碼] 5. login //表示可以透過此登入方式登入 ```  **sh run結果:**  ### 4-5. 設定路由器密碼(line vty密碼 telnet): ``` 1. en 2. config t 3. line vty [0-15] [0-15] ex line vty 0 4 4. password [密碼] 5. login //表示可以透過此登入方式登入 ```  **sh run結果:**  ### 4-6. 設定路由器密碼(line aux密碼 輔助密碼): ``` 1. en 2. config t 3. line aux 0 4. password [密碼] 5. login //表示可以透過此登入方式登入 ```  **sh run結果:**  --- ### 5. 對密碼加密: ``` 1. en 2. config t 3. service password-encryption ```    --- ### 6. 設定路由器ip-address: ``` 1. en 2. config t 3. interface [介面名稱] 4. ip address [ip] [子網路遮罩] 5. no shutdown (啟用介面) ```  --- ## 設定PC ip-address: **1.點選PC後點選Desktop:**  **2.點選第1個選項 IP-Configuration:**  **3.輸入IP-address跟子網路遮罩:**  --- ## 設定DHCP伺服器(包含路由器部分): ### 1.DHCP伺服器版本:   ``` 1. en 2. config t 3. interface [介面] 4. ip helper-address [DHCP 伺服器ip] ```  --- ### 2.DHCP路由器版本:  ``` 1. en 2. config t 3. ip dhcp excluded-address [主機位址] // 看發放位址範圍有沒有包含已佔用的IP，如果有，請填入已占用ip 4. ip dhcp pool [名稱] 5. network [網路位址] [子網路遮罩] -> 發放位址範圍 6. default-router [路由器ip] 7. dns-server [DNS 主機ip] ```  此範例因為**發放範圍為192.168.10.0 255.255.255.0**，有包含路由器ip **192.168.10.1**，因此需要輸入**ip dhcp excluded-address 192.168.10.1**來過濾。(pool sf_lan) 此範例因為**發放範圍為192.168.20.0 255.255.255.0**，有包含路由器ip **192.168.20.1**，因此需要輸入**ip dhcp excluded-address 192.168.20.1**來過濾。(pool la_lan) --- ## 設定NTP/Syslog 伺服器(包含路由器部分):   ``` 1. en 2. config t 3. logging host [Syslog 伺服器ip] 4. service timestamps log datetime msec 5. ntp server [ntp 伺服器ip] ```  --- ## ip繞送: **管理性距離 (administrative distance，AD)** 是用來評比路由器從鄰接路由器所收之路徑資訊的可信度，其值為 0 到 255 間的整數，0 代表最值得信任，255 則表示沒有交通會透過這條路徑傳送。  --- ### 1. 靜態繞送:  ``` 1. 設定路由器config-line可以設定 logging sync //輸入了才不會指令打到一半被跳出的訊息中斷 2. 每一個路由器的config都要設定不設定DNS no ip domain-lookup ``` 靜態遶送是指在每台路由器的路徑表中手動地加入路徑。 #### 優點: * **不會造成路由器 CPU 資源的額外負擔** * **路由器之間沒有消耗額外的頻寬** * **增加安全性** #### 缺點: * **管理者必須確實熟悉整個互連網路，以及每台路由器的連結方式，才能正確地設定路由器。** * **如果要新增網路到互連網路中，管理者必須手動在所有路由器中加入通往新網路的路徑。** #### 指令(路由器): ``` 1. en 2. config t 3. ip route [目的網路位址] [目的網路遮罩] [跳躍點/離開介面] [管理性距離(數字)] [參數] ``` 以上圖為例子說明 我要設定**Corp的s0/0/0介面可以連到192.168.10.0的網段**，我就要輸入以下指令(在Corp路由器上): ``` 1. en 2. config t 3. ip route 192.168.10.0 255.255.255.0 172.16.10.2 150 //下個跳躍點為SF的s0/0/0，所以跳躍點設為172.16.10.2 ``` 以上圖為例子說明 我要設定**Corp的s0/0/1介面可以連到192.168.20.0的網段**，我就要輸入以下指令(在Corp路由器上): ``` 1. en 2. config t 3. ip route 192.168.20.0 255.255.255.0 s0/0/1 150 //離開介面為Corp的s0/0/1，所以離開介面設為s0/0/1 ``` ### 2. 動態繞送: 動態遶送是使用協定來尋找網路，並且更新路由器上的路徑表。 遶送協定有 2 種，包括： 1. **內部閘道協定 (IGP，Interior gateway protocol)** 2. **外部閘道協定 (EGP，Exterior gateway protocol)** 繞送協定狀態有 3 種，包括： 1. **鏈路狀態協定 (link-state protocol) 又稱為最短路徑優先協定 (shortest-path-first protocol)** 2. **距離向量協定 (distance-vector protocol)** 3. **混合式協定同時使用距離向量與鏈路狀態**，例如 EIGRP—雖然 Cisco 通常把 EIGRP 稱為進階式距離向量遶送協定。 ### 2-1. RIP繞送: ``` 1. en 2. config t 3. router rip //router [動態路由協定] 4. network [相連的網路位址] 5. version 2 //允許使用可變長度的遮罩 6. no auto-summary //不允許自動合併成較大的遮罩 //auto-summary的意思就是彙總到主類邊界，10.0.0.0/8或者172.16.0.0/16或者192.168.1.0/24這樣的主類邊界，但是如果關閉了自動彙總以後，那麼就可以按照路由的遮罩來發送。 ``` 以**上面靜態路由的拓樸圖**為例子說明 我要設定**Corp的RIP動態路由協定**，我就要輸入以下指令(在Corp路由器上): ``` 1. en 2. config t 3. router rip 4. network 172.16.10.0 5. network 172.16.10.4 6. network 10.10.10.0 7. version 2 8. no auto-summary ``` ### 2-2. OSPF(Open Shortest Path First)(開放式最短路徑優先協定): #### 優點： 1. **允許建立區域與自治系統。** 2. **使路徑更新交通減到最少。** 3. **非常有彈性、用途廣泛、且具有擴充性。** 4. **支援 VLSM/CIDR。** 5. **不限制中繼站數目。** 6. **可佈建多種廠牌的設備 (開放式標準)。** #### 充分利用階層式設計來建置 OSPF 的 3 大理由包括： 1. **降低遶送引起的額外負擔 (overhead) 。** 2. **加速收斂。** 3. **將網路的不穩定性限制在單個區域的網路內。** **下圖顯示一個典型而簡單的 OSPF 設計。請注意每部路由器如何連結骨幹 (稱為區域 0，或骨幹區域)**  #### OSPF的術語: 1. **鏈路 (link)**：鏈路是一個網路或指定給某個網路的路由器介面。 2. **路由器 ID**：路由器 ID (RID) 是用來識別路由器的 IP 位址。 3. **鄰居 (neighbor)**：鄰居是有介面在相同網路上的 2 部或更多部路由器，例如連到點對點序列鏈路的 2 部路由器。(以下選項設定要一樣): * **區域 ID** * **殘根區域旗標** * **認證密碼 (如果有採用)** * **Hello 與 Dead 計時器的間隔** 4. **緊鄰關係 (adjacency)**：兩部 OSPF 路由器之間能直接交換路徑更新的關係。 5. **委任路由器 (designated router，DR)**：每當 OSPF 路由器連到相同的廣播網路時，就會選出一部 DR 以最小化形成的緊鄰關係數量，並且將接收到的遶送資訊公告給廣播網路或鏈路上的其餘路由器。 6. **備援委任路由器 (backup designated router，BDR)**：BDR 是多方存取鏈路 (請記住 Cisco 有時候喜歡稱它為廣播網路) 上的 DR 熱備援，BDR 只會從 OSPF 緊鄰路由器接收所有的遶送更新，但不會散播 LSA 更新。 7. **hello 協定**：OSPF 的 hello協定 可動態地發現鄰居，並維護鄰居關係。 8. **鄰居關係資料庫 (neighborship database)**：這是從一份 Hello封包 看到的所有 OSPF 路由器的清單，資料庫維護了每部路由器的各種細節，包括路由器 ID 與狀態。 9. **拓樸資料庫 (topology database)**：拓樸資料庫包含路由器針對某個區域所接收之所有 LSA封包 中的資訊。 10. **鏈路狀態宣傳 (Link State Advertisement，LSA)**：這是一種 OSPF 資料封包，包含要與其他 OSPF 路由器分享的鏈路狀態與路徑資訊。 11. **OSPF 區域 (OSPF area)**：OSPF 區域是一群鄰近的網路與路由器。 12. **廣播 (多方存取，multi-access)**：廣播(多方存取) 網路如乙太網路，可允許多個裝置連結(或存取)相同的網路，並提供廣播的能力，將單個封包傳送給網路上的所有節點。 13. **非廣播多方存取 (nonbroadcast multi-access，NBMA)**：NBMA 網路如訊框中繼(frame relay)、X.25、與ATM等，這些網路允許多方存取，但沒有如乙太網路的廣播能力。 14. **點對點(point-to-point)**：這種網路拓樸由兩部路由器之間的直接連線組成，提供單一的通訊線路。 15. **點對多點 (point-to-multipoint)**：這種網路拓樸由一部路由器上的單個介面，與多部目的路由器之間的一組連線所組成，共享點對多點連線之所有路由器上的介面都屬於同一個網路。 #### OSPF的運作: **OSPF 的運作基本上可以分成 3 個部份：** * 鄰居和緊鄰關係的初始化 * LSA 的洪泛 (flooding) * SPF 樹 (SPF Tree)的計算 **LSA 的洪泛法**: OSPF 使用 LSA 洪泛法來分享遶送資訊。透過 LSU 封包，包含鏈路狀態資料的 LSA 資訊會分享給區域內的所有 OSPF 路由器。 **計算 SPF 樹狀結構**: 在區域內的每部路由器會計算它抵達同一個區域內之每個網路的最佳/最短路徑。 **OSPF 衡量指標**: OSPF 利用成本(cost)當作衡量指標，SPF 樹中的每個離開介面會結合一個成本，而整條路徑的成本則是沿著該路徑所經過之離開介面的成本總和。 #### OSPF的設定(路由器): **通配遮罩 = (Block size -1)** **指令:** ``` 1. en 2. config t 3. router ospf [ProcessID 1-65536] 4. network [相連的網路位址] [通配遮罩(Wild Card)] area [數字/IP] or network [相連的主機位址] 0.0.0.0 area [數字/IP] network 命令是非常直觀的，我們輸入每個介面的 IP 位址， 並利用通配遮罩 0.0.0.0，這表示 IP 位址的每個位元組都必須完全符合才行 ``` ### 重要:是填入網路位址，不是主機位址 #### 範例1: 假設一台路由器有 4 個不同的介面分別連到下面 4 個子網路： * 192.168.10.64/28 (區塊大小為16) * 192.168.10.80/28 (區塊大小為16) * 192.168.10.96/28 (區塊大小為16) * 192.168.10.8/30 (區塊大小為4) **以上皆為網路位址** ``` 1. en 2. config t 3. router ospf 1 4. network 192.168.10.64 0.0.0.15 area 0 5. network 192.168.10.80 0.0.0.15 area 0 6. network 192.168.10.96 0.0.0.15 area 0 7. network 192.168.10.8 0.0.0.3 area 0 ``` #### 範例2: 有一拓樸圖如下圖所示，請設定其OSPF動態路由:  **上圖皆為主機位址** ``` LAB_A 1. en 2. config t 3. router ospf 1 4. network 192.168.10.64 0.0.0.7 area 0 5. network 10.255.255.80 0.0.0.3 area 0 LAB_B 1. en 2. config t 3. router ospf 1 4. network 192.168.10.48 0.0.0.7 area 0 5. network 10.255.255.80 0.0.0.3 area 0 6. network 10.255.255.8 0.0.0.3 area 0 LAB_C 1. en 2. config t 3. router ospf 1 4. network 192.168.10.16 0.0.0.7 area 0 5. network 10.255.255.8 0.0.0.3 area 0 ``` #### OSPF 與回繞介面: 在使用 OSPF 時，設定**回繞 (loopback) 介面**是很重要的，Cisco 建議，在路由器上設定 OSPF 時最好使用它們以求穩定。 **回繞介面**是一種邏輯介面，它是虛擬的、純軟體式的介面，這表示它們並非實體的路由器介面。 **指令:** ``` 1. en 2. config t 3. int loopback 0 4. ip address [ip位址] [子網路遮罩] ------------------------------------ 無須重新開機便可以更換/設定RID的指令: 1. en 2. config t 3. router ospf [要修改的程序ID 1-65536] 4. router-id [ip位址] 5. do clear ip ospf process 6. yes ``` 這裡使用什麼樣的 IP 結構其實無關緊要，但**每部路由器得屬於不同的子網路才行。(要重新開機才會有效更換Router ID)** 所以我們得到這樣的順序： 1. **預設是最高的作用中介面。** 2. **最高的邏輯介面覆蓋過實體介面。** 3. **router-id 覆蓋過介面和回繞介面。** ### 2-3. OSPF與RIP比較圖:  --- ## 第2層交換: **橋接器**使用**軟體**來產生與管理「內容可定址記憶體(CAM，Content Addressable Memory)」過濾表格 (filter table)。 **交換器**則以應用專屬的**積體電路 (Application-Specific Integrated Circuits，ASIC)** 來建構與維護他們的過濾表格。 ### 優點: 1. **硬體式的橋接 (ASIC)** 2. **線路速度 (wire speed)** 3. **低延遲 (latency)** 4. **低成本** ### 3項交換功能: 1. **位址學習**：第 2 層交換器與橋接器會記住它從介面接收之每個訊框的來源硬體位址，然後輸入這種資訊到一個稱為轉送/過濾表的 MAC 資料庫。  2. **轉送或過濾決策**：當交換器從介面收到訊框時，會檢視其目的硬體位址，找尋它在 MAC 資料庫中所學到的離開介面，該訊框只會從特定的目的埠轉送出去。  **以下列文字說明解釋圖10.2如何產生轉送/過濾表:** 1. **A 主機送一個訊框給 B 主機，A 主機的 MAC 位址是 0000.8C01.000A，而 B 主機的 MAC 位址是 0000.8C01.000B。** 2. **交換器從 Fa0/0 介面收到訊框，並且將來源位址放入 MAC 位址表中。** 3. **因為目的位址不在 MAC 資料庫中，於是將訊框轉送到所有的介面 - 除了來源埠之外。** 4. **B 主機收到該訊框並回應給 A 主機，交換器從 Fa0/1 收到這個訊框，並且將其來源硬體位址放入 MAC 資料庫中。** 5. **A 主機與 B 主機現在可以進行點對點的連線，而且只有這兩部裝置可收到訊框。** 3. **避免迴圈**：如果為了達到冗餘的目而在交換器之間建置多重連線，則有可能發生網路迴圈(STP)。   ### 設定埠安全性組態(交換器): ``` 1. en 2. config t 3. int [介面] or int range [介面範圍] // int range fa0/1 - 24 = 一次選取該設備fa0/1 ~ fa0/24介面，並且以下設定皆會全部套用。 4. switchport mode [access / dynamic auto / trunk] 1. access: 主要用來接入終端設備，如PC機、伺服器、列印伺服器等。 2. trunk: 主要用在連接其它交換機，以便在線路上承載多個vlan。 3. dynamic auto: 這個模式讓介面能夠將鏈路轉換成主幹鏈路。如果鄰接介面設定為 trunk 或 desirable 模式，該介面就會成為主幹介面。 5. switchport port-security //啟用switchport中port-security功能 6. switchport port-security mac-address [sticky / aa:bb:cc:dd:ee:ff(mac-address)] 1. sticky: 以動態的方式將經過的mac-address黏上去(該 port 在 mac-address table將會變成靜態) 2. aa:bb:cc:dd:ee:ff: 直接輸入mac-address 7. switchport port-security maximum [1-132] //設定最大連接數 8. switchport port-security violation [protect / restrict / shutdown] 1. protect: 封包drop處理 2. restrict: 封包drop處理，並記錄於log 3. shutdown: 直接關閉連線 ``` ### 設定交換器IP: ``` 1. en 2. config t 3. int vlan [1-4096] 4. ip address [ip位址] [子網路遮罩] 5. no shutdown ``` ### 將Secure-shutdown的port重啟: 您可以看到該埠目前是處於 Secure-shutdown 模式，而且該埠的燈號應該是琥珀色。要重新啟用該埠，必須執行下列命令： ``` 1. en 2. config t 3. int [介面] 4. shutdown 5. no shutdown ``` --- ## 虛擬區域網(VLAN) 與 跨 VLAN 遶送: ### VLAN基本原理:   ### VLAN 簡化網路管理的方法: 1. **只要設定一個埠到適當的 VLAN 中，就可輕易地完成網路的新增、遷移與修改。** 2. **可將需要極高安全性的一組使用者放入同一個 VLAN，使得該 VLAN 以外的使用者無法與他們通訊。** 3. **可對使用者進行功能性的邏輯分組，這樣就可分開來看待 VLAN 與他們的實體或地理位置。** 4. **VLAN 如果能正確實作，可以大大加強網路安全性。** 5. **藉由縮小 VLAN 的規模，就可增加廣播網域的數目。** ### 識別VLAN: 如果該交換機埠是**存取埠(Access Port)**，則只能**屬於一個 VLAN**；如果是**主幹埠(Trunk Port)**，則可以屬於**所有的 VLAN**。 **存取埠(Access Port):** **存取埠**只屬於一個 VLAN，而且只傳送一個 VLAN 的交通。 交換器在轉送訊框至存取鏈路的裝置之前，會先移除訊框中的 VLAN 資訊。存取鏈路的裝置無法與他們的 VLAN 以外的裝置通訊，除非經過遶送的方式。  **主幹埠(Trunk Port):** **主幹埠**可同時運載多個 VLAN。 以下是它的運作方式：**每部交換器收到訊框時必須先從訊框的標籤中識別出它的 VLAN ID**，然後檢視過濾表中的資訊，看要如何處理該訊框。**如果訊框抵達的是一部連有其他主幹鏈路的交換器，就會從主幹鏈路的埠轉送出去。**  ### VLAN之間的遶送: VLAN 內的主機存在他們自己的廣播網域中，可自由地互相通訊。  #### Router on a stick(ROAS):  在第三層交換器上設定邏輯介面，這就是「跨VLAN繞送」(inter-VLAN Routing，IVR)，並且是使用交換式的虛擬介面(switched virtual interface，SVI)   ### 設定VLAN: ``` 1. en 2. config t 3. vlan [1-4094] 4. name [名稱] (optional) ``` #### 指定交換埠給 VLAN: ``` 1. en 2. config t 3. int [介面] 4. switchport mode access 先將port設定為存取port 5. switchport access vlan [指定的vlan編號] 再將port指定給vlan ``` #### 指定能通過的 VLAN: ``` 1. en 2. config t 3. int [介面] 4. switchport trunk allowed vlan [vlan編號(用逗號隔開)] ``` #### 刪除能通過的 VLAN: ``` 1. en 2. config t 3. int [介面] 4. switchport trunk allowed vlan remove [vlan編號(用減號隔開)] ``` #### 將能通過的 VLAN設回預設值: ``` 1. en 2. config t 3. int [介面] 4. switchport trunk allowed vlan all ``` #### 變更或修改主幹的原生 VLAN: ``` 1. en 2. config t 3. int [介面] 4. switchport trunk native vlan [vlan編號] ``` ### 設定跨VLAN繞送:  此處的主機 IP 應該是： * HostA：**192.168.1.66，255.255.255.192**，預設閘道 **192.168.1.65** * HostB：**192.168.1.67，255.255.255.192**，預設閘道 **192.168.1.65** * HostC：**192.168.1.130，255.255.255.224**，預設閘道 **192.168.1.129** 以下為上圖的範例解答: ``` 一、切割vlan(交換器): 1. en 2. config t 3. vlan 2 4. vlan 10 5. exit 6. int fa0/2 7. switchport mode access 8. switchport access vlan 2 9. int fa0/3 10. switchport mode access 11. switchport access vlan 2 12. int fa0/4 13. switchport mode access 14. switchport access vlan 10 15. exit -------------設定主幹port----------------- 16. int fa0/1 17. switchport mode trunk 二、切割子介面(路由器): 1. en 2. config t 3. int fa0/1 4. ip address 192.168.10.1 255.255.255.240 5. int fa0/1.2 //設定子介面 dot後面填入[vlan編號or任意數字] int [介面].[vlan編號or任意數字] 6. encapsulation dot1Q 2 //設定封裝協定 encapsulation dot1Q [要設定的vlan編號] 7. ip address 192.168.1.65 255.255.255.192 //此IP為 HostA、B 的預設閘道IP 8. int fa0/1.10 9. encapsulation dot1Q 10 10. ip address 192.168.1.129 255.255.255.224 //此IP為 HostC 的預設閘道IP ``` --- ## 存取清單: **存取清單**(access list)其實就是一個對封包進行分類的條件清單 封包在比對存取清單時，會遵循 3 項重要的規則： * **總是循序地比對存取清單的每一列－也就是說總是從存取清單的第 1 列開始，然後比對第 2 列，然後第 3 列，依此類推。** * **不斷地比對存取清單，直到符合為止。** * **每個存取清單的結尾都會有一列隱含的"拒絕"－這表示如果封包無法符合存取清單中任何一列的條件，則會被丟掉。** 存取清單主要有 2 種： * **標準式存取清單(standard access list)**：這些只使用 IP 封包中的來源 IP 位址當作檢驗條件，所有決定都是根據來源 IP 位址進行的。 * **延伸式存取清單(extended access list)**：延伸式存取清單可以比對 IP 封包之第 3 層與第 4 層標頭中的許多其他欄位。 * **名稱式存取清單 (named access list)**：嘿！等一下－我們剛才不是說存取清單的種類有 2 種嗎，怎麼跑出第 3 種！是的，技術上其實只有 2 種，因為**名稱式存取清單可以是標準式或延伸式的**，並不真的是新類型。 **進入的存取清單 (Inbound access list)**：當存取清單應用在介面上的進入封包時，那些封包在遶送給離開介面之前，要先經過存取清單的處理。 **離開的存取清單 (outbound access list)**：當存取清單應用在介面上的離開封包時，那些封包要先遶送到離開介面，然後在儲存於佇列之前得先經過存取清單的處理。 在路由器上產生與實作存取清單時，應該要遵循一些通用的**存取清單指引**： * **每個介面的每個協定的每個方向只能指定一個存取清單。** * 安排您的存取清單，使得**比較明確的核對會出現在存取清單的頂端。** * **任何時候規則被新增到存取清單時，會被放在清單的底部**。強烈建議您使用文字編輯器來編輯存取清單。 * **您無法從存取清單中移除一列**，如果您試著如此做，就會移除整個清單。 * **除非您的存取清單以 permit any 命令當結尾，否則封包如果沒有符合清單的任何條件，就會被丟棄。** * 產生存取清單，然後應用至介面上。**存取清單如果沒有應用在任何介面上，根本就不會起作用。** * 存取清單的設計是要**過濾經過路由器的交通**，他們**不會過濾那些從路由器發起的交通**。 * 儘可能地將 **IP 標準式存取清單配置在靠近目的地的地方**，這就是我們真的不是很想要在網路中使用標準式存取清單的原因。 * 儘可能地將 **IP 延伸式存取清單配置在靠近來源的地方**。 ### 標準式存取清單: **標準式存取清單藉由檢查封包的來源 IP 位址來過濾網路交通。您要利用存取清單編號 1-99 或 1300-1999 (延伸範圍) 來產生標準式 IP 存取清單**，存取清單的種類是靠編號來區別的，路由器根據清單產生時所用的編號，就知道在輸入清單時它應該預期到什麼樣的語法。 #### 指令(路由器): ``` 1. en 2. config t 3. access-list [1-99 1300-1999] [deny / permit / remark] [any / host / Hostname or A.B.C.D] 4. access-list [1-99 1300-1999] permit any -----------------使用該存取清單--------------------------- 5. int [介面] 6. ip access-group [名稱/數字] [in / out] ``` 1. **使用 any 參數來允許或拒絕任何主機或網路。** 2. **使用一個 IP 位址來設定單機或一個範圍的主機** 3. **使用 host 命令來設定一部特定的主機。** 在存取清單中可用**通配遮罩**來設定個別的主機、一個網路、或特定範圍的一個網路或多個網路。 當您運用區塊大小與通配遮罩時，還有 2 件事要記住： * **每個區塊大小必須從 0 或區塊大小的倍數開始。** * **any 命令等同於通配遮罩 0.0.0.0 255.255.255.255。** ``` 1. 172.16.16.0 開始，經過區塊大小 8，直到 172.16.23.255： A: access-list 10 deny 172.16.16.0 0.0.7.255 2. 172.16.32.0 開始，經過區塊大小 16，直到 172.16.47.255： A: access-list 10 deny 172.16.32.0 0.0.15.255 3. 172.16.64.0 開始，經過區塊大小 64，直到 172.16.127.255： A: access-list 10 deny 172.16.64.0 0.0.63.255 4. 192.168.160.0 開始，經過區塊大小 32，直到 192.168.191.255： A: access-list 10 deny 192.168.160.0 0.0.31.255 ``` #### 範例1:  ``` 1. en 2. config t 3. access-list 10 deny 172.16.40.0 0.0.0.255 4. access-list 10 permit any -----------------使用該存取清單--------------------------- 5. int fa0/1 6. ip access-group 10 out (將存取清單設置在fa0/1的離開介面，如要設定在進入介面，請輸入in) ``` ### 延伸式存取清單: 它可以讓您設定來源與目的位址，以及分辨上層的協定與埠號。藉由引進延伸式存取清單，您可以有效地讓使用者能存取某個實體的區域網路，又限制他們只能存取特定的主機－或甚至是那些主機上的特定服務。 **No：100~199， 2000~2699** #### 指令(路由器): ``` 1. en 2. config t 3. access-list [100~199，2000~2699] [種類] [協定欄位] [來源IP] [目的IP] [比較運算子] [協定類型] 4. access-list [100~199，2000~2699] permit ip any any -----------------使用該存取清單--------------------------- 5. int [介面] 6. ip access-group [名稱/數字] [in / out] ``` **在延伸式範圍中選擇編號之後，就要決定所要建立的清單項目種類。**  --- **決定存取清單的類型之後，接著需要選擇協定欄位。**   --- **路由器會提示您設定主機或網路的來源 IP 位址 (您可以選擇 any 命令，以允許任何來源位址)：**  也可以參照上面標準式存取清單，使用**通配遮罩**來設定個別的主機、一個網路、或特定範圍的一個網路或多個網路。 --- **選好來源位址之後，請選擇目的位址：**  --- **設定好目的主機位址之後，就可使用 equal 命令來設定您所要拒絕的服務類型。**   --- **log 命令可用來記錄每次比對成功時的訊息，對於監視不當的存取意圖，這是非常酷的方法。**  如果您將這份存取清單應用在介面上，可能只是相當於把介面關起來罷了，**因為每個存取清單的結尾都預設有隱含的 deny any 敘述，所以您必須在清單後面再加上以下的命令：**  --- #### 範例1: 我們想要**拒絕對財務部 LAN 上的 172.16.50.5 主機，存取 Telnet 與 FTP 服務**，但這部主機的其他服務與所有其他主機都可讓業務部與行銷部存取。  ``` 1. en 2. config t 3. access-list 110 deny tcp any host 172.16.50.5 eq ftp 4. access-list 110 deny tcp any host 172.16.50.5 eq telnet 5. access-list 110 permit ip any any -----------------使用該存取清單--------------------------- 6. int fa0/1 7. ip access-group 110 out ``` ### 名稱式存取清單: 名稱式存取清單讓您用名稱來產生、並應用在標準式或延伸式存取清單。 #### 指令(路由器): ``` 1. en 2. config t 3. ip access-list [standard / extended] [數字/名稱] -------------------------------------------------- 使用該存取清單: 1. en 2. config t 3. int [介面] 4. ip access-group [名稱/數字] [in / out] ``` ### 對存取清單下註解: #### 指令(路由器): ``` 1. en 2. config t 3. access-list [編號] remark [註解內容] ``` ### 如何分辨存取清單port in/out: in or out 看來源跟目的的方向  --- ## 子網路切割: **子網路切割(subnetting)**：從一個較大的網路切割成幾個較小的網路。 **子網路遮罩**是一個 32 位元的值，讓 IP 封包的接收者得以從 IP 位址之主機 ID，分辨出 IP 位址的網路 ID。  **無級別的跨網域遶送 (Classless Inter-Domain Routing，CIDR)**：   ### 1.切割 C 級位址之子網路:   * **廣播位址總是次個子網路的前一個號碼。** * **有效主機是子網路之間的號碼** #### 練習1: ``` 網路位址 = 192.168.10.0 子網路遮罩 = 255.255.255.128(/25) 多少子網路？因為 128 有 1 個位元為 1 (10000000)，所以答案是 2的1次方 = 2。 每個子網路有多少主機？有 7 個主機位元 (10000000)，所以等式為 2的7次方–2 = 126 部主機。 有效的子網路為何？256 – 128 = 128。請記住，我們從 0 開始，依區塊大小遞增，所以子網路是 0，128 每個子網路的廣播位址為何？下個子網路的前一個數字就是所有主機位元都打開的廣播位址。對於 0 號子網路， 下個子網路是 128，所以 0 號子網路的廣播位址是 127。 有效主機？ ```  #### 練習2: ``` 網路位址 = 192.168.10.0 子網路遮罩 = 255.255.255.224(/27) 多少子網路？因為 224 有 3 個位元為 1 (11100000)，所以答案是 2的3次方 = 8。 每個子網路有多少主機？有 5 個主機位元 (11100000)，所以等式為 2的5次方–2 = 30 部主機。 有效的子網路為何？256 – 224 = 32。請記住，我們從 0 開始，依區塊大小遞增，所以子網路是 0，32，64，96，128，192，224。 每個子網路的廣播位址為何？下個子網路的前一個數字就是所有主機位元都打開的廣播位址。對於 0 號子網路， 下個子網路是 32，所以 0 號子網路的廣播位址是 31。 有效主機？ ```  #### 練習3: ``` 網路位址 = 192.168.10.0 子網路遮罩 = 255.255.255.240(/28) 多少子網路？ 2的4次方 = 16。 每個子網路有多少主機？ 2的4次方–2 = 14 部主機。 有效的子網路為何？256 – 240 = 16。 0，16，32，48，64，80，96，112，128，144，160，176，192，208，224，240。 每個子網路的廣播位址為何？ 有效主機？ ```  #### 練習4: ``` 網路位址 = 192.168.10.0 子網路遮罩 = 255.255.255.252(/30) 多少子網路？ 2的6次方 = 64。 每個子網路有多少主機？ 2的2次方–2 = 2 部主機。 有效的子網路為何？256 – 252 = 4。 0，4，8，12，...一直到 252。 每個子網路的廣播位址為何？ 有效主機？ ```  ### 2.切割 B 級位址之子網路:  #### 練習1: ``` 網路位址 = 172.16.0.0 子網路遮罩 = 255.255.128.0(/17) 多少子網路？ 2的1次方 = 2。 每個子網路有多少主機？ 2的15次方–2 = 32766 部主機。 有效的子網路為何？256 – 128 = 128。0，128。 每個子網路的廣播位址為何？ 有效主機？ ```  #### 練習2: ``` 網路位址 = 172.16.0.0 子網路遮罩 = 255.255.192.0(/18) 多少子網路？ 2的2次方 = 4。 每個子網路有多少主機？ 2的14次方–2 = 16382 部主機。 有效的子網路為何？256 – 192 = 64。子網路切割要在第 3 個位元組上進行。因此，子網路號碼其實是 0.0，64.0，128.0，以及 192.0 每個子網路的廣播位址為何？ 有效主機？ ```  #### 練習3: ``` 網路位址 = 172.16.0.0 子網路遮罩 = 255.255.240.0(/20) 多少子網路？ 2的4次方 = 16。 每個子網路有多少主機？ 2的12次方–2 = 4092 部主機。 有效的子網路為何？256 – 240 = 16。子網路切割要在第 3 個位元組上進行。因此，子網路號碼其實是 0.0，16.0，32.0，48.0，64.0 ...一直到 240.0。 每個子網路的廣播位址為何？ 有效主機？ ```  #### 練習4: ``` 網路位址 = 172.16.0.0 子網路遮罩 = 255.255.255.0(/24) 多少子網路？ 2的8次方 = 256。 每個子網路有多少主機？ 2的8次方–2 = 254 部主機。 有效的子網路為何？256 – 255 = 1，所以是 0.0，1.0，2.0，3.0 ... 一直到 255.0 每個子網路的廣播位址為何？ 有效主機？ ```  #### 練習5: ``` 網路位址 = 172.16.0.0 子網路遮罩 = 255.255.255.224(/27) 多少子網路？ 2的11次方 = 2048。 每個子網路有多少主機？ 2的5次方–2 = 30 部主機。 有效的子網路為何？256 – 224 = 32，所以是 0.32，0.64，0.96，0.128 ... 一直到 255.224 每個子網路的廣播位址為何？ 有效主機？ ```   ### 3.切割 A 級位址之子網路:  #### 練習1: ``` 網路位址 = 10.0.0.0 子網路遮罩 = 255.255.0.0 (/16) 多少子網路？ 2的8次方 = 256。 每個子網路有多少主機？ 2的16次方–2 = 65534 部主機。 有效的子網路為何？焦點位元組在哪裡呢？ 256 – 255 = 1，所以是 0，1，2，3，... 等 (第 2 個位元組的全部)。所以子網路是 10.0.0.0，10.1.0.0，10.2.0.0，10.3.0.0 ... 等等，直到 10.255.0.0。 每個子網路的廣播位址為何？ 有效主機？ ```  #### 練習2: ``` 網路位址 = 10.0.0.0 子網路遮罩 = 255.255.255.192 (/26) 多少子網路？ 2的18次方 = 262144。 每個子網路有多少主機？ 2的6次方–2 = 62 部主機。 有效的子網路為何？第 2 與第 3 個位元組的區塊大小是 1，而第 4 個位元組的區塊大小是 64 每個子網路的廣播位址為何？ 有效主機？ ```   --- ## 變動長度之子網路遮罩 (VLSM): 利用不同網路設計所需之不同長度的子網路遮罩，來產生許多網路。這就叫做 VLSM 的網路。 另外延伸出: * **有級別 (classful) 網路:所有網段皆使用相同子網路遮罩。**  * **無級別 (classless) 網路:部分網段並非使用相同子網路遮罩。**  ### 實作VLSM網路:    ### 練習1:    ### 練習2:  ## 路徑總結: **總結 (summarization) 又稱為路徑聚合 (route aggregation)**，這讓遶送協定能夠**以一個位址來宣傳多個網路**。這樣的目的是為了**縮減路由器的路徑表大小**，以節省記憶體，同時**縮短 IP 程式分析路徑表**以找尋抵達遠端網路之路徑的時間。 只要先找出區塊大小，然後就可以很容易地得到答案 ### 練習1: ``` 192.168.16.0 到 192.168.31.0 網路 A:(192.168.16.0 255.255.240.0(/28)) ```  ### 練習2: ``` 172.16.32.0 到 172.16.50.0 網路 A:(172.16.32.0 255.255.240.0) OR (172.16.32.0 255.255.224.0) ```  ### 練習3: **A:172.1.4.0 255.255.252.0(/22)**   --- ## 儲存設定檔: **最後做完任何設備的設定時，記得要輸入以下指令來儲存設定檔:** ``` 1. en 2. copy running-config startup-config ```