【正文】 有一個快速以太網(wǎng)接口可以支持ISL。Routerwriconfiguration...Currentnopasswordencryptionnoudpsmallserversnotcpsmallservers!hostnamesecret$1$w1kK$AJK69fGOD7BqKhKcSNBf6.!ipFastEthernet1/0!interfaceisladdress!interfaceisladdress!interfaceisladdress!noclassless!line0line0line0routerlogin!endRouter安全性管理對Cisco思科路由器的安全性管理主要包括：建立口令以保護訪問Cisco思科路由器的安全，使用正確的訪問表以管理通過Cisco思科路由器的可接受數(shù)據(jù)流等。命令console為控制臺終端建立一個口令Line0telnet連接建立一個口令Enablepassword使用MD5加密方法建立密碼口令Service保護口令，避免其通過idsplay命令將口令顯示出來報文過濾cisco的防火墻功能主要是通過報文的過濾實現(xiàn)的。通過對訪問列表的編寫，我們可以實現(xiàn)對特定網(wǎng)絡或主機的數(shù)據(jù)流限制。的編號有特定的范圍：IPaccessextendedlistExtendedMACaccesstypecodelist48bitaddresslist101iphost其中gt為greatAccsesslistpermitany102353建立好訪問列表以后，要想讓它進行報文過濾，必須將它應用到端口上。accessgroupin其中的in表示對向里（針對此端口來說）的數(shù)據(jù)進行過濾。參考：CiscoCisco思科路由器口令恢復當CiscoCisco思科路由器的口令被錯誤修改或忘記時，可以按如下步驟進行操作：o，使忽略NVRAM引導o/r0x**4*Cisco2500系列命令rommonconfreg2memory“hostname”configure0x“value”“hostname”(config)interfaceshutdown“hostname”show(showterminal“hostname”(config)line0“hostname”(configline)login“hostname”(configline)passwordmemory(copystartupconfig)２、IP地址分配地址類網(wǎng)絡主機網(wǎng)絡地址范圍標準二進制掩碼0000000000001111111100000000111111110000但隨著網(wǎng)絡中的計算機數(shù)目增長，這就很不可行了，會產(chǎn)生許多問題：帶寬資源耗盡。網(wǎng)絡變得無法管理，任何錯誤都可能導致整個網(wǎng)絡癱瘓。把網(wǎng)絡分段可以解決這些問題，但同時你必須提供一種機制使不同網(wǎng)段的計算機可以互相通信，這通常涉及到在一些ISO網(wǎng)絡協(xié)議層選擇性地在網(wǎng)段間傳送數(shù)據(jù)，我們來看一下網(wǎng)絡協(xié)議層和Cisco思科路由器的位置。本文假定網(wǎng)絡層協(xié)議為IPv4，因為這是最流行的協(xié)議，其中涉及的概念與其他網(wǎng)絡層協(xié)議是類似的。在可路由的網(wǎng)絡中，每臺主機都有同樣的網(wǎng)絡層地址格式（如IP地址），而無論它是運行在以太網(wǎng)、令牌環(huán)、FDDI還是廣域網(wǎng)。網(wǎng)橋只能連接數(shù)據(jù)鏈路層相同（或類似）的網(wǎng)絡，Cisco思科路由器則不同，它可以連接任意兩種網(wǎng)絡，只要主機使用的是相同的網(wǎng)絡層協(xié)議。ARP（地址解析協(xié)議）用于把網(wǎng)絡層(3層)地址映射到數(shù)據(jù)鏈路層(2層)地址，RARP(反向地址解析協(xié)議)則反之。因此下面的ARP和RARP的例子基于IP和以太網(wǎng)，但要注意這些概念對其他協(xié)議也是一樣的。然而，網(wǎng)絡接口只能根據(jù)2層地址來互相通信，2層地址通過ARP從3層地址得到。ARP的維護比較容易，是一個比較簡單的協(xié)議?！∽⒁?，雖然所有接口都收到了信息，但只有B回應該請求，這保證了回應的正確且避免了過期的信息?！∠聢D為接收到ARP分組后的處理，注意發(fā)送者的　IP地址沖突ARP產(chǎn)生的問題中最常見的是IP地址的沖突，這是由于兩個不同的主機IP地址相同產(chǎn)生的，在任何互聯(lián)的網(wǎng)絡中，IP地址必須是唯一的。為了避免出現(xiàn)這類錯誤，當接口A初試化時，它發(fā)送一個含有其IP地址的ARP請求，如果沒有收到回應，A就假定該IP地址沒有被使用。這樣又產(chǎn)生一個問題，假設主機C含有該IP地址的映射，是映射到B的硬件地址的，它收到接口A的ARP廣播后，更新其ARP表使之指向A的硬件地址。這時網(wǎng)絡的狀態(tài)又回到先前的狀態(tài)，有可能C已經(jīng)向A發(fā)送了應該發(fā)送給B的IP分組，這很不幸，但是因為IP提供的是無保證的傳輸，所以不會產(chǎn)生大的問題。對的列表，根據(jù)IP地址索引。sdaARP表中的動態(tài)表項(沒有手動加入的表項)通常過一段時間自動刪除，這段時間的長度由特定的TCP/IP實現(xiàn)決定。沒有明顯的方法來把此信息告訴該設備，好象只能使用其串口來設置。假設我們想給一個打印服務器設置IP地址PIP，并且我們知道其硬件地址Phard，在工作站A上創(chuàng)建一個靜態(tài)ARP表項把PIP映射到Phard，這樣，雖然打印服務器不知道自己的IP地址，但是所有指向PIP的數(shù)據(jù)就將被送到Phard?！∮袝r會在一個子網(wǎng)里配置打印服務器，而在另一個子網(wǎng)里使用它，方法與上面類似。接下來就可以把它放到另一個子網(wǎng)里使用了，別忘了刪除靜態(tài)ARP表項?；镜乃枷胧羌词箤τ诓辉诒咀泳W(wǎng)的主機也發(fā)送ARP請求，ARP代理服務器（通常是網(wǎng)關）回應以網(wǎng)關的硬件地址，見下圖，注意與上面的圖比較一下。在使用代理ARP的主機看來，世界就象一個大的沒有Cisco思科路由器物理網(wǎng)絡。存貯這種信息最明顯的方法是用兩個分離的域，這樣我們必須考慮到兩個域的最大長度，有些協(xié)議(如IPX)就是這樣的，它在小型和中型的網(wǎng)絡里可以工作的很好。這樣一來，對于多于256個主機的網(wǎng)絡，就必須分配多個網(wǎng)段，其問題是很多的網(wǎng)絡給Cisco思科路由器造成了難以忍受的負擔。有兩種將主機地址分離出來的方法：基于類的地址和無類別的地址。在RFC中(1122/3和1009)中定義為：主機是連接到一個或多個網(wǎng)絡的設備，它可以向任何一個網(wǎng)絡發(fā)送和從其接收數(shù)據(jù)，但它從不把數(shù)據(jù)從一個網(wǎng)絡傳向另一個。換句話說，過去主機和網(wǎng)關的概念被人工地區(qū)分開來，那時計算機沒有足夠的能力同時用作主機和網(wǎng)關?，F(xiàn)代的計算機的能力足以同時擔當這兩種角色，因此，現(xiàn)代的主機定義應該如此：主機是連接到一個或多個網(wǎng)絡的設備，它可以向任何一個網(wǎng)絡發(fā)送和從其接收數(shù)據(jù)。Cisco思科路由器是專用的網(wǎng)關，其硬件經(jīng)過特殊的設計使其能以極小的延遲轉發(fā)大量的數(shù)據(jù)。由于專用的路由硬件較便宜，計算機用作網(wǎng)關已經(jīng)很少見了，在只有一個撥號連接的小站點里，還可能使用計算機作為非專用的網(wǎng)關。保留1126:保留128191:C類(網(wǎng)絡地址:3字節(jié)，主機地址:1字節(jié))224255:在大型的A類網(wǎng)絡中，這就成了個特殊的問題，因為在大型網(wǎng)絡中僅使用橋接/交換使其非常難以管理。為了解決這個問題，出現(xiàn)了一個新的域：子網(wǎng)掩碼。在子網(wǎng)掩碼中，二進制1表示網(wǎng)絡地址位，二進制0表示主機地址位。用較長的子網(wǎng)掩碼把一個網(wǎng)絡分成多個網(wǎng)絡就叫做劃分子網(wǎng)。例如UNIX的routed路由守護進程通常使用的路由協(xié)議是版本1的RIP，它是在子網(wǎng)掩碼出現(xiàn)前設計的。但是也可以在字節(jié)中間對其進行劃分，這里不進行詳細講解，請參照相關的TCP/IP書籍。注意DNS被設計為只允許字節(jié)對齊的IP網(wǎng)絡()。但是，與子網(wǎng)把大網(wǎng)絡分成若干小網(wǎng)絡相反，它是把一些小網(wǎng)絡組合成一個大網(wǎng)絡超網(wǎng)。但是，并不是任意的地址組都可以這樣做?？勺冮L子網(wǎng)掩碼(VLSM)如果你想把你的網(wǎng)絡分成多個不同大小的子網(wǎng)，可以使用可變長子網(wǎng)掩碼，每個子網(wǎng)可以使用不同長度的子網(wǎng)掩碼。無類別地址(CIDR)因特網(wǎng)上的主機數(shù)量增長超出了原先的設想，雖然還遠沒達到232，但地址已經(jīng)出現(xiàn)匱乏。InterDomainCIDR試圖延長IPv4的壽命，與128位地址的IPv6不同，它并不能最終解決地址空間的耗盡，但IPv6的實現(xiàn)是個龐大的任務，因特網(wǎng)目前還沒有做好準備?；陬惖牡刂废到y(tǒng)工作的不錯，它在有效的地址使用和少量的網(wǎng)絡數(shù)目間做出了較好的折衷。僵化的地址分配方案使很多地址被浪費，尤其是B類地址十分匱乏。雖然這樣能夠很有效地分配地址，但是更加劇了路由表的膨脹（第一個問題）。連續(xù)的一組網(wǎng)絡地址可以被分配給一個服務提供商，使整組地址作為一個網(wǎng)絡地址（很可能使用超網(wǎng)技術）。這種方法明顯減少了路由表的增長，CIDR如果可以重新組織現(xiàn)有的地址，則因特網(wǎng)骨干上的Cisco思科路由器廣播的路由數(shù)量將大大減少。四、路由路由表如果一個主機有多個網(wǎng)絡接口，當向一個特定的IP地址發(fā)送分組時，它怎樣決定使用哪個接口呢？答案就在路由表中。子網(wǎng)掩碼標志UU標志U表示該路由狀態(tài)為“up”（即激活狀態(tài)）。此例只涉及了直接連接的主機，那么目的主機在遠程網(wǎng)絡中如何呢？，那么你可以在路由表中增加這樣一項：　目的網(wǎng)關接口eth0。類似的，也可以定義通過網(wǎng)關到達特定主機的路由，增加標志H(host)：　目的網(wǎng)關接口eth0下面是路由表的基礎，除了特殊表項之外：　目的網(wǎng)關接口lo0defaulteth1第一項是loopback接口，用于主機給自己發(fā)送數(shù)據(jù)，通常用于測試和運行于IP之上但需要本地通信的應用。第二項十分有意思，為了防止在主機上定義到因特網(wǎng)上每一個可能到達網(wǎng)絡的路由，可以定義一個缺省路由，如果在路由表中沒有與目的地址相匹配的項，該分組就被送到缺省網(wǎng)關。重疊路由假設在路由表中有下列重疊項：　目的網(wǎng)關接口eth0eth0eth1defaulteth1，會選擇哪條路由呢？在這種情況下，會選擇第一條路由。類似的。把兩個接口定義在同一子網(wǎng)在很多軟件實現(xiàn)上是非法的。IP地址回頭來看看CIDR，仍使用上面的例子：一個服務提供商被賦予256個C類網(wǎng)絡。假設一個用戶移到了另一個服務提供商，現(xiàn)在他是否必須從新的服務提供商處取得新的網(wǎng)絡地址呢？如果是，意味著他必須重新配置每臺主機的IP地址，改變DNS設置，等等。靜態(tài)路由回頭看看我們已建立的路由表，已有了六個表項：目的網(wǎng)關接口lo0eth0eth1defaulteth1eth0eth0該網(wǎng)絡圖示如下：　這些表項分別是怎么得到的呢？第一個是當路由表初始化時由路由軟件加入的，第二、三個是當網(wǎng)卡綁定IP地址時自動創(chuàng)建的，其余三個必須手動加入，在UNIX系統(tǒng)中，這是通過命令route來做的，可以由用戶手工執(zhí)行，也可以通過rc腳本在啟動時執(zhí)行。路由協(xié)議主機和網(wǎng)關都可以使用稱作動態(tài)路由的技術，這使路由表可以動態(tài)改變。有兩種路由協(xié)議：內(nèi)部的和外部的。自制系統(tǒng)通常在統(tǒng)一的控制管理之下，例如大的公司或大學。這里只討論內(nèi)部協(xié)議，很少有人涉及到甚至聽說外部協(xié)議。GatewayGatewayICMP重定向ICMP通常不被看作路由協(xié)議，但是ICMP重定向卻與路由協(xié)議的工作方式很類似，所以將在這里討論一下。(trip2)。3)。它通常只發(fā)送特定的主機的ICMP重定向（）。掩碼標志UGHD將來此類分組將通過新路由發(fā)送(tripRIPRIP是一種簡單的內(nèi)部路由協(xié)議，已經(jīng)存在很久，被廣泛地實現(xiàn)（UNIX的routed就使用RIP）。主機和網(wǎng)關都可以運行RIP，但是主機只是接收信息，而并不發(fā)送。RIP使用UDP通過端口520在主機和網(wǎng)關間通信。RIP版本1在簡單、較小的網(wǎng)絡中工作得不錯，但是在較大的網(wǎng)絡中，就出現(xiàn)一些問題，有些問題在RIP版本2中已糾正，但有些是由于其設計產(chǎn)生的限制。v1和RIPRIP并沒有任何鏈接質量的概念，所有的鏈路都被認為是相同的，低速的串行鏈路被認為與高速的光纖鏈路是同樣的。RIP也沒有鏈路流量等級的概念。RIP中的最大hop數(shù)是15，大于15則認為不可到達。RIPv2則彌補了此缺點。對此有一些解決辦法，但這里不進行討論。不過，它常常是某些操作系統(tǒng)的唯一選擇