路由器基本配置
在本企业网中采用的是CISCO3825的路由器,它通过自己的串行接口serial0/0使用DDN技术接入Internet。其作用主要是在Internet和企业网之间路由数据包。除了完成主要的路由任务外,利用访问控制列表(Access Control List,ACL),路由器ZZrouter还可用来完成以自身为中心的流量控制和过滤功能并实现一定的安全功能。
其基本配置与接入层交换机的配置类似,配置命令如下:(需说明的是由普通用户进入特权模式输入命令enable,由特权模式进入全局配置模式输入命令config t(全写为configure terminal))
Router#configure terminal
Router(config)#hostname R1-out
R1-OUT(config)#enable secret cisco
R1-OUT(config)#no ip domain-lookup
R1-OUT(config)#logging synchronous
R1-OUT(config)#line con 0
R1-OUT(config-line)#exec-timeout 5 30
R1-OUT(config-line)#line vty 0 4
R1-OUT(config-line)#password cisco
R1-OUT(config-line)#login
R1-OUT(config-line)#exec-timeout 5 30
R1-OUT(config-line)#exit
主要是对接口FastEthernet0/0以及接口serial0/0的IP地址、子网掩码的配置。配置命令如下:
R1-OUT(config)#interface fastethernet 0/0
R1-OUT(config-if)#ip address 192.168.1.254 255.255.255.0
R1-OUT(config-if)#no shutdown
R1-OUT(config-if)#interface serial 0/0
R1-OUT(config-if)#ip address 202.168.1.1
R1-OUT(config-if)#no shutdown
配置静态路由
在R1-OUT路由器上需要定义两个路由:到企业内部的静态路由和到Internet上的缺省路由。
R1-OUT(config)#ip route 0.0.0.0 0.0.0.0 202.168.1.1
到企业网内部的路由经过路由汇总后形成两个路由条目如下所示:
R1-OUT(config)#ip route 192.168.0.0 255.255.240.0 192.168.1.3
R1-OUT(config)#ip route 192.168.0.0 255.255.240.0 192.168.1.4
配置NAT
由于目前IP地址资源非常稀缺,不可能给企业网内部的每台工作站都分配一个公有IP地址,为了解决所有工作站访问Internet的需要,必须使用NAT(网络地址转换)技术。
为了接入Internet,本企业网向当地的ISP申请了10个IP地址。202.168.1.1.-202.168.1.10,其中202.168.1.1分配给了serial0/0,202.168.1.2和202.168.1.3分配给两个经理办公室。其它就进行NAT转换。
R1-OUT(config)#interface fastethernet 0/0
R1-OUT(config-if)#ip nat inside
R1-OUT(config-if)#interface serial 0/0
R1-OUT(config-if)#ip nat outside
R1-OUT(config)#ip access-list 1 permit 192.168.2.0 0.0.10.255(定义允许进行NAT转换的工作站的IP地址范围)
在路由器上配置访问控制列表(ACL)
路由器是外网进入企业内网的第一道关卡,是网络防御的前沿阵地。路由器上的访问控制列表(ACL)是保护内网安全的有效手段。一个设计良好的访问控制列表(ACL)不仅可以起到控制网络流量、流向的作用,还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。
由于路由器介于企业内网和外网之间,是外网与内网进行通信时的第一道屏障,所以即使在网络系统安装了防火墙产品后,仍然有必要对路由器的访问控制列表(ACL)进行缜密的设计,来对企业内网包括对防火墙本身实施保护。
屏蔽文件共享协议端口2049,远程执行(rsh)端口512,远程登录(rlogin)端口513,远程命令(rcmd) 端口514,远程过程调用(sunrpc)端口111。命令如下:
R1-OUT(config)#access-list 101 deny udp any any ep snmp
R1-OUT(config)#access-list 101 deny udp any any ep snmptrap
R1-OUT(config)#access-list 101 deny tcp any any ep telnet
R1-OUT(config)#access-list 101 deny tcp any any range 512 514/屏蔽远程执行(rsh)端口512和远程命令(rcmd) 端口514
R1-OUT(config)#access-list 101 deny tcp any any eq 111/屏蔽远程过程调用(sunrpc)端口111
R1-OUT(config)#access-list 101 deny udp any any eq 111/屏蔽远程过程调用(sunrpc)端口111
R1-OUT(config)#access-list 101 deny tcp any any eq 2049/屏蔽文件共享协议端口2049
R1-OUT(config)#access-list 101 permit ip any any
R1-OUT(config)#interface serial 0/0
R1-OUT(config-if)#ip access-group 101 in /acl端口应用
设置只允许来自服务器的IP地址才能访问并配置路由器
命令如下:
R1-OUT(config)#line vty 0 4
R1-OUT(config-line)#access-class 2 in/建立访问控制列表2(ACL2)
R1-OUT(config-line)#exit
R1-OUT(config)#access-list 2 permit 192.168.10.0 0.0.0.255
为了支持无类别网络以及全零子网进行如下的配置:
R1-OUT(config)#ip classless
R1-OUT(config)#ip subnet-zero
配置路由器的封装协议和身份认证
R1-OUT(config)#interface serial 0/0
R1-OUT(config-if)#encapsulation ppp
Ppp提供了两种可选的身份验证方法:口令验证协议PAP(Password Authentication protocol, PAP)和质询握手验证协议CHAP(Challenge Handshake Authentication Protocol, CHAP)。CHAP比PAP更安全,因为CHAP不在线路上发送明文密码,而是发送经过摘要算法加工过的随机序列。
但CHAP对端系统要求很高,需要耗费较多的CPU资源,一般只用在对安全性要求很高的场合。而PAP虽然用户名和密码是以明文的形式发送的,但它对端系统要求不高,所以我们普遍采用这种身份验证机制。
配置命令如下:
首先要建立本地口令数据库
R1-OUT(config)#username remoteuser password zhangguoyou
R1-OUT(config)#interface serial 0/0
R1-OUT(config-if)#ppp authentication pap
到此路由器的配置就基本上完成了。