monowall路由防火墙安装使用文档
1认识monowall
1.1认识monowall
m0n0wall是一个完整的、嵌入式的防火墙软件包,该软件包可以安装于嵌入式PC里,提供所有商业防火墙的重要特性(包括易用性),而且价格只有商业防火墙几分之一(自由软件)。m0n0wall是基于bare-bones version of FreeBSD,包括一个WEB服务器,PHP和另一些工具软件。整个系统的配置保存在一个XML文件当中。m0n0wall可能是第一个启动时通过PHP配置的UNIX系统,这种结构胜于使用shell脚本。并且整个系统的配置用XML 格式保存。
1.2monowall的特征
m0n0wall提供的大多数商业防火墙的特征,和在商业防火墙内不具备的特征,包括:WEB图形界面控制器(支持SSL);
用于恢复系统的串口界面;
set LAN IP address(设置Lan IP);
reset password(重设密码);
restore factory defaults(恢复到默认设置);
reboot system(重启系统);
无线支持(access point with PRISM-II/2.5cards,BSS/IBSS with other cards including
Cisco);
基于状态的包过滤;
block/pass规则(阻止/通过规则);
logging记录;
NAT/PAT(包括1:1);
在WAN口上支持DHCP IP获取、PPPoE、PPTP;
IPsec VPN隧道(IKE;支持硬件加密卡,移动客户和证书);
PPTP VPN(支持RADIUS服务器);
静态路由;
DHCP服务;
DNS缓存/中继;
DynDNS客户端;
SNMP代理;
流量限制;
WEB界面的固件升级;
配置信息备份/恢复;
主机/网络别名。
1.3monowall包含内容
m0n0wall包含下列内容:
FreeBSD components(kernel,user programs);
ipfilter;
PHP(CGI version);
MPD;
ISC DHCP server;
ez-ipupdate(for DynDNS updates);
Dnsmasq(for the caching DNS forwarder);
racoon(for IPsec IKE);
2Monowall的安装方法
2.1准备工作
2.1.1必需硬件:
一台基于x86的pc,包含最少64M RAM;
存储介质(cdrom+floppy或者硬盘、cf2ide+cf、DOM均可);
二条网络电缆。
2.1.2必需的网络信息:
您将需要知道采用下面何种方式接入互联网,并且知道适当的细节。您可以通过ISP的技术支持获得这信息。
静态IP。-如果您有与静态IP的连接,您将需要记录下来您的IP地址、子网掩码、网关和DNS服务器IP's。
DHCP。-如果您有使用DHCP的互联网连接,您不需要收集信息。
PPPoE。-许多DSL提供者提供PPPoE或PPPoA服务。您将需要知道您的PPPoE用户名和密码和可能您的服务名字(虽然这可能通常任空白)。
2.2获取和安装m0n0wall
2.2.1选择存储介质:
m0n0wall为pc用户提供了两种存储介质的选择,cdrom+floppy或者harddisk。
CD/floppy设定
m0n0wall可以从CD启动并运行,并且试用软盘保存配置文件。但是我们并不推荐它在生产环境使用。因为软盘失效的可能性远大于硬盘。
硬盘设定
您能安装m0n0wall在任一个硬盘(>=8MB,那么基本上任何IDE硬盘都可以使用)。
对许多m0n0wall个人计算机用户来说,使用cf-ide+cf、DOM的方式具有更大的可靠性。
2.2.2获取和安装m0n0wall
您可以在http://www.m0n0.ch/wall/downloads.php获取相应的软件包。
generic-pc-1.21.img为硬盘版本的软件包
cdrom-1.21.iso为cdrom版本的软件包
使用cdrom作为存储介质的m0n0wall只需要将下载得到的iso刻成启动光盘,然后放入pc,从cdrom启动即可,当然还需要准备一张软盘,以便保存配置。所以不再详细说明。
使用硬盘或者cf卡、DOM作为存储介质的m0n0wall使用者,需要将generic-pc-1.21.img写入存储介质。
具体方法为:
FreeBSD:
gzcat generic-pc-xxx.img|dd of=/dev/ad[n]bs=16k
n为参数,具体看需要写入m0n0wall的硬盘位置
Linux:
gunzip-c generic-pc-xxx.img|dd of=/dev/hdX bs=16k
X为参数,具体看需要写入m0n0wall的硬盘位置,某些cf适配器或者scsi环境下需要使用参数/dev/sdX。
Windows:
在PC机上先安装PE,启动系统,然后把physdiskwrite和monowall的img文件拷进去。
进入dos输入以下命令进行写盘:
physdiskwrite[-u]generic-pc-xxx.img
-u参数在大于800M的硬盘时使用。
注:physdiskwrite可以到http://www.m0n0.ch/wall/downloads/physdiskwrite-0.5.1.zip下载。
2.3最后工作
2.3.1将CF card/HD接入pc;
2.3.2连接网络线缆;
2.3.3打开电源;
2.3.4指定网络接口到你的网卡(提示:可以使用自动识别,或者通过MAC addresses
识别);
2.3.5改变LAN接口IP地址,或者使用缺省的192.168.1.1;m0n0wall缺省还被
指定为DHCP服务器;
2.3.6登录webGUI(user:'admin',default password:'mono');
2.3.7做必要的或者按需求进行配置。
3Monowall使用文档:
3.1备份/恢复配置文件
Backup/restore,点击Download?配置备份:点击Diagnostics configuration按钮,选定备份配置的目录,按保存键完成配置的备份。配置恢复:如果m0n0wall设置出现问题,可以通过从备份配置文件进行恢复。点击Diagnostics Backup/restore,点击游览按钮选择配件文件所在位置,点击Restore configuration(恢复配置),m0n0wall将自动重启,配置恢复
完成。
3.2系统运行状态监视
Interface可以监看网卡的工作状态。网络流量监视必须安装安装Adobe System可以看到cpu 和内存使用情况。通过点击Status?m0n0wall可以对CPU、内存、网卡工作状态、网络流量状态进行监视。CPU、内存使用情况对m0n0wall的性能有很大的影响,通过点击Status SVG viewer组件,下载地址:https://www.doczj.com/doc/0a5390219.html,/svg/viewer/install/,安装完成后可以点击Status Traffic graph就可以对LAN和WAN网卡的数据流量情况进行动态监视。
3.3Monowall有很多优秀插件:比如流控大师,IP限速等。
3.3.1单IP限速
3.3.2集体限速
3.3.3网吧版限速
3.3.4流控大师
3.4能够划分不同vlan进行不同管理:
3.5静态路由和NAT,可以手动添加静态路由和NAT规则:
浙江万里学院实验报告 课程名称:数据通信与计算机网络及实践 实验名称:OSPF路由协议配置 专业班级:姓名:小组学号:2012014048实验日期:6.6
再测试。要求写出两台路由器上的ospf路由配置命令。
[RTC-rip-1]import ospf [RTC-rip-1]quit [RTC]ospf [RTC-ospf-1]import rip [RTC-ospf-1]quit
结合第五步得到的路由表分析出现表中结果的原因: RouteB 通过RIP学习到C和D 的路由情况,通过OSPF学习到A 的路由信息 实验个人总结 班级通信123班本人学号后三位__048__ 本人姓名_ 徐波_ 日期2014.6.06 本次实验是我们的最后一次实验,再次之前我们已经做了很多的有关于华为的实验,从一开始的一头雾水到现在的有一些思路,不管碰到什么问题,都能够利用自己所学的知识去解决或者有一些办法。这些华为实验都让我受益匪浅。 实验个人总结 班级通信123班本人学号后三位__046__ 本人姓名_ 金振宁_ 日期2014.6.06 这两次实验都可以利用软件在寝室或者去其他的地方去做,并不拘泥于实验室,好好的利用华为的模拟机软件对我们来说都是非常有用的。 实验个人总结 班级通信123班本人学号后三位__044_ 本人姓名_ 陈哲日期2014.6.06
理解OSPF路由协议,OSPF协议具有如下特点: 适应范围:OSPF 支持各种规模的网络,最多可支持几百台路由器。 快速收敛:如果网络的拓扑结构发生变化,OSPF 立即发送更新报文,使这一变化在自治系统中同步。 无自环:由于OSPF 通过收集到的链路状态用最短路径树算法计算路由,故从算法本身保证了不会生成自环路由。 实验个人总结 班级通信123班本人学号后三位__050 本人姓名_ 赵权日期2014.6.06 通过本次实验学会了基本的在路由器上配置OSPF路由协议,组建一个简单的路由网络。想必以后的生活中有可能会用到。
1、静态路由的配置命令: 例如: ip route 129.1.0.0 16 10.0.0.2 ip route 129.1.0.0 255.255.0.0 10.0.0.2 ip route 129.1.0.0 16 Serial0/0/0 注意:只有下一跳所属的的接口是点对点(PPP、HDLC)的接口时,才可以填写
在这里我讲述一下关于加装防火墙前后的路由配置变化,因为在原先没有防火墙的情况下,路由既起到路由选择的作用,又起到网关的作用。当加装防火墙的后,局域网的网关就设为防火墙的局域网IP地址。要修改路由首先还是先看该网络的拓扑结构。在这里我所描述的是这样拓扑结构: 图 1 一、先将进入路由器设置将原来的配置备份一份,虽然这一份备份以后不一定用的上,可是万一防火墙安装失败呢? 图 2 下面为没有安装防火墙以前的路由器配置情况。 User Access Verification Password: (键入TELNET密码,如果你是直接用CONSOLE口进入没有此项提示) Router>en
Password: Router#show config (察看ROUTER配置情况命令) Using 810 out of 7506 bytes ! version 12.1 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname Router (ROUTER名字,这里为默认名字ROUTER) ! enable secret 5 $1$FreK$4oQGtvDEF1jv8dh3NNXnN0. enable password 123456789 (特权密码,当然这是加密的) ! ip subnet-zero ! interface Ethernet0 (配置局域网e0口 ip address 192.168.1.1 255.255.255.0 (e0口在其局域网中对应的ip为192.168.1.1 ip nat inside 255.255.255.0是表示为C类网络 ! interface Ethernet1 (E1口没有激活,也没有配置 no ip address shutdown ! interface Serial0 bandwidth 2048 ip address 211.97.213.41 255.255.255.252 (此为定义ROUTER外部接口的IP ip nat outside 255.255.255.252表示此合法的INTERNET-IP encapsulation ppp
防火墙和路由器的区别 目前市面上的路由器基本都带有简单的防火墙功能,不论是消费级还是企业级,可以实现一些诸如包过滤,IP过滤这样的功能。所以有些用户就开始质疑硬件防火墙的存在价值。那么我们就来详细的比较一下这两设备有什么差别。 一、背景 路由器的产生是基于对网络数据包路由而产生的。路由器需要完成的是将不同网段的数据包进行有效的路由管理,路由器所关心的是:能否将不同的网段的数据包进行路由从而进行通讯。 防火墙是产生于人们对于安全性的需求。数据包是否可以正确的到达、到达的时间、方向等不是防火墙关心的重点,重点是这个数据包是否应该通过、通过后是否会对网络造成危害。 二、目的 路由器的根本目的是:保持网络和数据的“通”。 防火墙根本的的目的是:保证任何非允许的数据包“不通”。 三、核心技术 路由器核心的ACL列表是基于简单的包过滤,属于OSI第三层过滤。从防火墙技术实现的角度来说,防火墙是基于状态包过滤的应用级信息流过滤。 内网的一台服务器,通过路由器对内网提供服务,假设提供服务的端口为TCP 80。为了保证安全性,在路由器上需要配置成:只允许客户端访问服务器的TCP 80端口,其他拒绝。这样的设置存在的安全漏洞如下: 1、IP地址欺骗(使连接非正常复位) 2、TCP欺骗(会话重放和劫持) 存在上述隐患的原因是,路由器不能监测TCP的状态。如果在内网的客户端和路由器之间放上防火墙,由于防火墙能够检测TCP的状态,并且可以重新随机生成TCP的序列号,则可以彻底消除这样的漏洞。同时,有些防火墙带有一次性口令认证客户端功能,能够实现在对应用完全透明的情况下,实现对用户的访问控制,其认证支持标准的Radius协议和本地认证数据库,可以完全与第三方的认证服务器进行互操作,并能够实现角色的划分。 3.安全策略
EIGRP 路由协议的配置 一.实验目的 掌握路由器EIGRP 路由协议的配置方法。 二.实验要点 通过对路由器A和路由器B启用EIGRP路由协议,使路由器A可Ping通路由器B所连的各个网络, 反之,亦然。 三.实验设备 路由器Cisco 2621两台,交换机Cisco 2950两台,带有网卡的工作站PC 至少两台。 四.实验环境 S0/0:10.0.0.1/24 S0/0:10.0.0.2/24 F0/0:192.168.0.1/24 F0/0:192.168.1.1/24 Host A Host B IP Address:192.168.0.2/24 IP Address:192.168.1.2/24 Default Gateway:192.168.0.1 Default Gateway:192.168.1.1 图13 EIGRP 路由协议的配置 五.实验步骤 1. 如图对路由器A 及路由器B 的各个接口配置好IP地址 l 在路由器A (假设为DCE 端)上 router>en router#conf t
router(config)#hostname RouterA RouterA(config)#int s0/0 RouterA(config-if)#ip add 10.0.0.1 255.255.255.0 RouterA(config-if)#cl ra 64000 RouterA(config-if)#no sh RouterA(config)#int f0/0 RouterA(config-if)#ip add 192.168.0.1 255.255.255.0 RouterA(config-if)#no sh RouterA(config-if)#exit l 在路由器B (假设为DTE 端)上 router>en router#conf t router(config)#hostname RouterB RouterB(config)#int s0/0 RouterB(config-if)#ip add 10.0.0.2 255.255.255.0 RouterB(config-if)#no sh RouterB(config)#int f0/0 RouterB(config-if)#ip add 192. 168.1.1 255.255.255.0 RouterB(config-if)#no sh RouterB(config-if)#exit 实验结果: a. 在路由器A 上是否能ping 通路由器B 的串口S0/0 (10.0.0.2) b. 在路由器A 上是否能ping 通路由器B 的以太口F0/0 (192.168.1.1) 2. 在路由器A 和路由器B 上分别配置EIGRP 路由协议 在路由器A 上: RouterA (config)#router eigrp 100 RouterA(config-router)# net 10.0.0.0 RouterA(config-router)# net 192.168.0.0 在路由器B 上: RouterB (config)# router eigrp 100 RouterB(config-router)# net 10.0.0.0 RouterB(config-router)# net 192.168.1.0 实验结果: a. 在路由器A 上是否能ping 通路由器B 的串口S0/0 (10.0.0.2) b. 在路由器A 上是否能ping 通路由器B 的以太口F0/0
7.1.3 静态路由的主要特点 其实就因为静态路由的配置比较简单,决定了静态路由也包含了许多特点。可以说静态路由的配置全由管理员自己说了算,想怎么配就怎么配,只要符合静态路由配置命令格式即可,因为静态路由的算法全在管理员人思想和对静态路由知识的认识中,并不是由路由器IOS系统来完成的。至于所配置的静态路由是否合适,是否能达到你预期的目的那别当别论。在配置和应用静态路由时,我们应当全面地了解静态路由的以下几个主要特点,否则你可能在遇到故障时总也想不通为什么: l 手动配置 静态路由需要管理员根据实际需要一条条自己手动配置,路由器不会自动生成所需的静态路由的。静态路由中包括目标节点或目标网络的IP地址,还可以包括下一跳IP地址(通常是下一个路由器与本地路由器连接的接口IP地址),以及在本路由器上使用该静态路由时的数据包出接口等。 l 路由路径相对固定 因为静态路由是手动配置的,静态的,所以每个配置的静态路由在本地路由器上的路径基本上是不变的,除非由管理员自己修改。另外,当网络的拓扑结构或链路的状态发生变化时,这些静态路由也不能自动修改,需要网络管理员需要手工去修改路由表中相关的静态路由信息。 l 永久存在 也因为静态路由是由管理员手工创建的,所以一旦创建完成,它会永久在路由表中存在的,除非管理员自己删除了它,或者静态路由中指定的出接口关闭,或者下一跳IP 地址不可达。 l 不可通告性
静态路由信息在默认情况下是私有的,不会通告给其它路由器,也就是当在一个路由器上配置了某条静态路由时,它不会被通告到网络中相连的其它路由器上。但网络管理员还是可以通过重发布静态路由为其它动态路由,使得网络中其它路由器也可获此静态路由。 l 单向性 静态路由是具有单向性的,也就是它仅为数据提供沿着下一跳的方向进行路由,不提供反向路由。所以如果你想要使源节点与目标节点或网络进行双向通信,就必须同时配置回程静态路由。这在与读者朋友的交流中经常发现这样的问题,就是明明配置了到达某节点的静态路由,可还是ping不通,其中一个重要原因就是没有配置回程静态路由。 如图7-2所示,如果想要使得PC1(PC1已配置了A节点的IP地址10.16.1.2/24作为网关地址)能够ping通PC2,则必须同时配置以下两条静态路由,具体配置方法在此不作介绍。 图7-2 静态路由单向性示例 ①:在R1路由器上配置了到达PC2的正向静态路由(以PC2 10.16.3.2/24作为目 标节点,以C节点IP地址10.16.2.2/24作为下一跳地址);
随着人们对网络知识的普及,企业或公司的网络安全性,就变得更加重要起来了。关于网络安全的最可靠方法是加装防火墙。 在这里我讲述一下关于加装防火墙前后的路由配置变化,因为在原先没有防火墙的情况下,路由既起到路由选择的作用,又起到网关的作用。当加装防火墙的后,局域网的网关就设为防火墙的局域网IP地址。要修改路由首先还是先看该网络的拓扑结构。在这里我所描述的是这样拓扑结构: 图1 一、先将进入路由器设置将原来的配置备份一份,虽然这一份备份以后不一定用的上,可是万一防火墙安装失败呢? 图2
下面为没有安装防火墙以前的路由器配置情况。 User Access Verification Password: (键入TELNET密码,如果你是直接用CONSOLE口进入没有此项提示)Router>en Password: Router#show config (察看ROUTER配置情况命令) Using 810 out of 7506 bytes ! version 12.1 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname Router (ROUTER名字,这里为默认名字ROUTER) ! enable secret 5 $1$FreK$4oQGtvDEF1jv8dh3NNXnN0.
enable password 123456789 (特权密码,当然这是加密的) ! ip subnet-zero ! interface Ethernet0 (配置局域网e0口) ip address 192.168.1.1 255.255.255.0 (e0口在其局域网中对应的ip为 192.168.1.1 ip nat inside 255.255.255.0是表示为C类网络) ! interface Ethernet1 (E1口没有激活,也没有配置) no ip address shutdown ! interface Serial0 bandwidth 2048 ip address 211.97.213.41 255.255.255.252 (此为定义ROUTER外部接口的IP ip nat outside 255.255.255.252表示此合法的INTERNET-IP) encapsulation ppp ! ip nat pool 165 211.97.213.41 211.97.213.46 netmask 255.255.255.248 (isp 给你分配的ip) ip nat inside source list 1 pool 165 overload ip classless ip route 0.0.0.0 0.0.0.0 Serial0 no ip http server
路由器防火墙的设置方法 对于大多数企业局域网来说,路由器已经成为正在使用之中的最重要的安全设备之一。一般来说,大多数网络都有一个主要的接入点。这就是通常与专用防火墙一起使用的“边界路由器”。 经过恰当的设置,边缘路由器能够把几乎所有的最顽固的坏分子挡在网络之外。如果你愿意的话,这种路由器还能够让好人进入网络。不过,没有恰当设置的路由器只是比根本就没有安全措施稍微好一点。 在下列指南中,我们将研究一下你可以用来保护网络安全的9个方便的步骤。这些步骤能够保证你拥有一道保护你的网络的砖墙,而不是一个敞开的大门。 1.修改默认的口令! 据卡内基梅隆大学的CERT/CC(计算机应急反应小组/控制中心)称,80%的安全突破事件是由薄弱的口令引起的。网络上有大多数路由器的广泛的默认口令列表。你可以肯定在某些地方的某个人会知道你的生日。https://www.doczj.com/doc/0a5390219.html,网站维护一个详尽的可用/不可用口令列表,以及一个口令的可靠性测试。 2.关闭IP直接广播(IP Directed Broadcast) 你的服务器是很听话的。让它做什么它就做什么,而且不管是谁发出的指令。Smurf攻击是一种拒绝服务攻击。在这种攻击中,攻击者使用假冒的源地址向你的网络广播地址发送一个“ICMP echo”请求。这要求所有的主机对这个广播请求做出回应。这种情况至少会降低你的网络性能。 参考你的路由器信息文件,了解如何关闭IP直接广播。例如,“Central(config)#no ip source-route”这个指令将关闭思科路由器的IP直接广播地址。 3.如果可能,关闭路由器的HTTP设置 正如思科的技术说明中简要说明的那样,HTTP使用的身份识别协议相当于向整个网络发送一个未加密的口令。然而,遗憾的是,HTTP协议中没有一个用于验证口令或者一次性口令的有效规定。 虽然这种未加密的口令对于你从远程位置(例如家里)设置你的路由器也许是非常方便的,但是,你能够做到的事情其他人也照样可以做到。特别是如果你仍在使用默认的口令!如果你必须远程管理路由器,你一定要确保使用SNMPv3以上版本的协议,因为它支持更严格的口令。 4.封锁ICMP ping请求 ping的主要目的是识别目前正在使用的主机。因此,ping通常用于更大规模的协同性攻击之前的侦察活动。通过取消远程用户接收ping请求的应答能力,你就更容易避开那些无人注意的扫描活动或者防御那些寻找容易攻击的目标的“脚本小子”(script kiddies)。 请注意,这样做实际上并不能保护你的网络不受攻击,但是,这将使你不太可能成为一个攻击目标。 5.关闭IP源路由 IP协议允许一台主机指定数据包通过你的网络的路由,而不是允许网络组件确定最佳的路径。这个功能的合法的应用是用于诊断连接故障。但是,这种用途很少应用。这项功能最常用的用途是为了侦察目的对你的网络进行镜像,或者用于攻击者在你的专用网络中寻找一个后门。除非指定这项功能只能用于诊断故障,否则应该关闭这个功能。
计算机网络实验(4B) 实验名称:路由器的基本操作及静态路由配置实验 实验目的:了解路由器的基本结构,功能,使用环境以及基本参数的配置。 实验要求: 1.配置路由器接口的IP地址。 2.设置静态路由。 3. 测试静态路由:ping IP 地址; trace IP 地址 4.写出实验报告 实验准备知识: 一、实验环境的搭建: ?准备 PC 机 2 台,操作系统为 Windows XP ; ?准备Huawei S2501E 路由器 3 台; ?路由器串口线(2对) ?交叉线(或通过交换机的直连线)网线 2条; ? Console电缆2条。 步骤:del 删除各个路由器原有的路由表 ?第一步:设置Router1 [Quidway]SYSNAME R1 ?[R1] interface Ethernet 0 #设置其IP地址 ?[R1-Ethernet0] ip address 10.0.0.2 255.255.255.0 shutdown undo shutdown #激活此以太网口!!(对此口配置了IP地址后用此命令) #进入串口Serial0视图 ?[R1-Ethernet0] interface serial 0 #设置其IP地址
?[R1-Serial0] ip address 20.1.0.1 255.255.255.0 shutdown undo shutdown #激活此串口!!(对此口配置了IP地址后用此命令) #设置链路层协议为PPP ?[R1-Serial0] link-protocol ppp #进入系统视图 ?[R1-Serial0] quit #添加静态路由 ?[R1] ip route-static 40.1.0.0 255.255.255.0 20.1.0.2 preference 60 ##添加静态路由(R2的以太网接口) [R1] ip route-static 50.1.0.0 255.255.255.0 20.1.0.2 preference 60 #保存路由器设置 ?[R1] save #重启路由器 ?[R1] reboot ?第二步:设置Router2 [Quidway]SYSNAME R2 #进入以太网接口视图: ?[R2] interface Ethernet 0 #设置其IP地址 ?[R2-Ethernet0] ip address 50.1.0.2 255.255.255.0 shutdown undo shutdown #激活此以太网口!!! #进入串口Serial0视图 ?[R2-Ethernet0] interface serial 0 #设置其IP地址 ?[R2-Serial0] ip address 20.1.0.2 255.255.255.0 shutdown undo shutdown #激活此串口!!(对此口配置了IP地址后用此命令) #设置链路层协议为PPP ?[R2-Serial0] link-protocol ppp #进入系统视图 ?[R2-Serial0] quit #进入串口Serial1视图 ?[R2] interface serial 1 #设置其IP地址 ?[R2-Serial1] ip address 30.1.0.1 255.255.255.0 shutdown
路由器和防火墙 任务描述: 了解路由器和防火墙的主要在定义、工作、功能及分类。 背景知识: 1、什么是路由器?路由器的主要工作? 路由器是互联网的主要节点设备,他可以连接不通传输速率并运行在不同环境下的局域网和广域网。 路由器的主要工作:路由器工作在OSI模型的网络层,主要功能就是为经过路由器的每个数据选择最佳的路径。不想前面所讲的网桥和交换机,路由器是依靠与协议的。典型的路由器都带有自己的处理器、内存、电源和为各种不同类型的为网络连接器而准备的输入输出插座。其最重要的功能就是实现路由选择。 2、防火墙的功能和分类? 防火墙是网络安全的屏障:一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低危机。由于只有经过精心选择的使用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保卫网络,这样外部的攻击者就不可能运用这些脆弱的协议来攻击内部网络。防火墙同时可以保卫网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。防火墙可以强化网络安全策略:通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全疑问分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。 防火墙的种类防火墙技能可根据防备的形式和侧重点的不同而分为很多种类型,但总体来讲可分为二大类:分组过滤、使用代理。分组过滤(Packet filtering):作用在网络层和传输层,它根据分组包头源地址,目的地址和端口号、协议类型等标志确定能不能允
计算机网络实验六r i p 路由协议配置 Company number【1089WT-1898YT-1W8CB-9UUT-92108】
太原理工大学现代科技学院计算机通信网络课程实验报告 专业班级 学号 姓名 指导教师
实验名称 同组人 专业班级 学号 姓名 成绩 一、实验目的 《计算机通信网络》实验指导书 掌握RIP 动态路由协议的配置、诊断方法。 二、实验任务 1、配置RIP 动态路由协议,使得3 台Cisco 路由器模拟远程网络互联。 2、对运行中的RIP 动态路由协议进行诊断。 三、实验设备 Cisco 路由器 3 台,带有网卡的工作站PC2 台,控制台电缆一条,交叉线、V35 线若干。 四、实验环境 五、实验步骤 1、运行Cisco Packet Tracer 软件,在逻辑工作区放入3 台路由器、两台工作站PC ,分别点击各路由器,打开其配置窗口,关闭电源,分别加入一个2 口同异步串口 网络模块(WIC-2T ),重新打开电源。然后,用交叉线(Copper Cross-Over )按图6-1(其中静态路由区域)所示分别连接路由器和各工作站PC ,用DTE 或DCE 串口线………… ……… …… ………… …装 … …… …… …… … …… … … …… …订 … …… … … …… …… … …… … … ……
缆连接各路由器(router0 router1),注意按图中所示接口连接(S0/0 为DCE, S0/1 为DTE)。 2、分别点击工作站PC1、PC3,进入其配置窗口,选择桌面(Desktop)项,选择 运行IP 设置(IP Configuration),设置IP 地址、子网掩码和网关分别为 PC1:/24 gw: PC3:/24 gw: 3、点击路由器R1,进入其配置窗口,点击命令行窗口(CLI)项,输入命令对路 由器配置如下: 点击路由器R2,进入其配置窗口,点击命令行窗口(CLI)项,输入命令对路由器配 置如下: 同理对R3 进行相应的配置: 4、测试工作站PC 间的连通性。 从PC1 到PC3:PC>ping (不通) 5、设置RIP 动态路由 接前述实验,继续对路由器R1 配置如下: 同理,在路由器R2、R3 上做相应的配置: 6、在路由器R1 上输入show ip route 命令观察路由信息,可以看到增加的RIP 路
路由器防火墙配置命令 一、access-list 用于创建访问规则。 (1)创建标准访问列表 access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ] (2)创建扩展访问列表 access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-无效[ icmp-code ] ] [ log ] (3)删除访问列表 no access-list { normal | special } { all | listnumber [ subitem ] } 【参数说明】 normal 指定规则加入普通时间段。 special 指定规则加入特殊时间段。 listnumber1 是1到99之间的一个数值,表示规则是标准访问列表规则。 listnumber2 是100到199之间的一个数值,表示规则是扩展访问列表规则。 permit 表明允许满足条件的报文通过。 deny 表明禁止满足条件的报文通过。 protocol 为协议类型,支持ICMP、TCP、UDP等,其它的协议也支持,此时没有端口比较的概念;为IP时有特殊含义,代表所有的IP协议。 source-addr 为源地址。 source-mask 为源地址通配位,在标准访问列表中是可选项,不输入则代表通配位为0.0.0.0。 dest-addr 为目的地址。 dest-mask 为目的地址通配位。 operator[可选] 端口操作符,在协议类型为TCP或UDP时支持端口比较,支持的比较操作
郑州大学信息工程学院实验报告 年级专业班 姓名学号 指导教师成绩 2009年月日 实验名称实验三路由器的基本配置与静态路由配置 【实验目的】 1.掌握路由器命令行各种操作模式的区别,以及模式之间的切换。 2.掌握路由器的全局的基本配置。 3.掌握路由器端口的常用配置参数。 4.查看路由器系统和配置信息,掌握当前路由器的工作状态。 5.掌握通过静态路由方式实现网络的连通性。 【背景描述】 背景描述1 你是某公司新进的网管,公司要求你熟悉网络产品,公司采用全系列锐捷网络产品,首先要求你登录路由器,了解、掌握路由器的命令行操作。 背景描述2 你是某公司新进的网管,公司有多台路由器,为了进行区分和管理,公司要求你进行路由器设备名的配置,配置路由器登录时的描述信息。 背景描述3 你在一家网络工程公司就职,负责组建一个省级广域网络。现项目经理要求你根据实际网络需求,对路由器的端口配置基本的参数。 原理说明:锐捷路由器接口Fastethernet接口默认情况下是10M/100M自适应端口,双工模式也为自适应,并且在默认情况下路由器物理端口处于关闭状态。路由器提供广域网接口(serial高速同步串口),使用V.35线缆连接广域网接口链路。在广域网连接时一端为DCE(数据通信设备),一端为DTE(数据终端设备)。要求必须在DCE端配置时钟频率(clock rate)才能保证链路的连通。在路由器的物理端口可以灵活配置带宽,但最大值为该端口的实际物理带宽。 背景描述4 你是某公司新网管,第一天上班时,你必须掌握公司路由器的当前工作情况,通过查看路由器的系统信息和配置信息,了解公司的设备和网络环境。 背景描述5 假设校园网通过1台路由器连接到校园外的另1台路由器上,现要在路由器上做适当配置,实现校园网内部主机与校园网外部主机的相互通信。静态路由在拓扑结构简单的网络中,网管员通过手工的方式配置本路由器未知网段的路由信息,从而实现不同网段之间的连接。 【实现功能】 1.熟练掌握路由器的命令行操作模式 2.配置路由器的设备名称和每次登录路由器时提示相关信息。
华为路由器防火墙配置 一、access-list 用于创建访问规则。 (1)创建标准访问列表 access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ] (2)创建扩展访问列表 access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source- mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ] (3)删除访问列表 no access-list { normal | special } { all | listnumber [ subitem ] } 【参数说明】 normal 指定规则加入普通时间段。 special 指定规则加入特殊时间段。 listnumber1 是1到99之间的一个数值,表示规则是标准访问列表规则。 listnumber2 是100到199之间的一个数值,表示规则是扩展访问列表规则。 permit 表明允许满足条件的报文通过。 deny 表明禁止满足条件的报文通过。 protocol 为协议类型,支持ICMP、TCP、UDP等,其它的协议也支持,此时没有端口比较 的概念;为IP时
有特殊含义,代表所有的IP协议。 source-addr 为源地址。 source-mask 为源地址通配位,在标准访问列表中是可选项,不输入则代表通配位为0.0.0.0。 dest-addr 为目的地址。 dest-mask 为目的地址通配位。 operator[可选] 端口操作符,在协议类型为TCP或UDP时支持端口比较,支持的比较操作有:等于(eq) 、大于(gt)、小于(lt)、不等于(neq)或介于(range);如果操作符为range,则后面需要跟两个 端口。 port1 在协议类型为TCP或UDP时出现,可以为关键字所设定的预设值(如telnet)或0~65535之间的一个 数值。 port2 在协议类型为TCP或UDP且操作类型为range时出现;可以为关键字所设定的预设值(如telnet)或 0~65535之间的一个数值。 icmp-type[可选] 在协议为ICMP时出现,代表ICMP报文类型;可以是关键字所设定的预设值(如echo- reply)或者是0~255之间的一个数值。 icmp-code在协议为ICMP且没有选择所设定的预设值时出现;代表ICMP码,是0~255之间的一个数值。 log [可选] 表示如果报文符合条件,需要做日志。 listnumber 为删除的规则序号,是1~199之间的一个数值。
实验RIP路由协议的基本配置 【实验名称】 RIP路由协议基本配置。 【实验目的】 掌握在路由器上如何配置RIP路由协议。 【背景描述】 假设在校园网在地理上分为2个区域,每个区域内分别有一台路由器连接了2个子网,需要将两台路由器通过以太网链路连接在一起并进行适当的配置,以实现这4个子网之间的互联互通。为了在未来每个校园区域扩充子网数量的时候,管理员不需要同时更改路由器的配置,计划使用RIP路由协议实现子网之间的互通。 【需求分析】 两台路由器通过快速以太网端口连接在一起,每个路由器上设置2个Loopback端口模拟子网,在所有端口运行RIP路由协议,实现所有子网间的互通。 【实验拓扑】 【实验设备】
路由器2台 【预备知识】 路由器的工作原理和基本配置方法,距离矢量路由协议,RIP工作原理和配置方法 【实验原理】 RIP(Routing Information Protocols,路由信息协议)是应用较早、使用较普遍的IGP(Interior Gateway Protocol,内部网关协议),适用于小型同类网络,是典型的距离矢量(distance-vector)协议。 RIP把每经过一个路由器称为经过了一跳,而每经过一跳,RIP 就会将他的度量值(metric)加1,这样的话,跳数越多的则路径越长,而RIP会优先选择一条到达目标网络跳数少的路径,他支持的最大跳数是15跳,超过则被认为是不可达。 RIP在构造路由表时会使用到3种计时器:更新计时器、无效计时器、刷新计时器。它让每台路由器周期性地向每个相邻的邻居发送完整的路由表。路由表包括每个网络或子网的信息,以及与之相关的度量值。 【实验步骤】 第一步:设计拓扑结构 请查看《limp学生使用指导》 第二步:配置路由器的名称、接口IP地址 进入limp系统的实验操作界面,选择第一个路由器点击登录,进入路由器的命令行控制窗口,在窗口中按一下回车键。 Ruijie>en
实验4 基本静态路由配置 【实验目的:】 1、根据指定的要求对地址空间划分子网。 2、为接口分配适当的地址,并进行记录。 3、根据拓扑图进行网络布线。 4、清除启动配置并将路由器重新加载为默认状态。 5、在路由器上执行基本配置任务。 6、配置并激活串行接口和以太网接口。 7、确定适当的静态路由、总结路由和默认路由。 8、测试并校验配置。 【实验预备知识】: 复习理论课讲解的静态路由配置过程及相关命令。【实验拓扑图】: 地址表
【实验要求】: 1、复习相关路由器方面的知识。 2、熟悉相关工具软件的使用方法。 【实验场景】: 在本次实验练习中,您将得到一个网络地址,您必须对其进行子网划分以便完成如拓扑结构图所示的网络编址。连接到ISP 路由器的LAN 编址和HQ 与ISP 路由器之间的链路已经完成。但还需要配置静态路由以便非直连网络中的主机能够彼此通信。 【实验内容】: 任务1:对地址空间划分子网。 步骤1:研究网络要求。 连接到ISP 路由器的LAN 编址和HQ 与ISP 路由器之间的链路已经完成。在您的网络设计中,您可以使用192.168.2.0/24 地址空间。请对该网络进行子网划分,以提供足够的IP 地址来支持60 台主机。 步骤2:创建网络设计时请思考以下问题: 需要将 192.168.2.0/24 网络划分为多少个子网?4 这些子网的网络地址分别是什么? 子网0:192.168.2.0 子网1:192.168.2.64 子网2:192.168.2.128 子网3:192.168.2.192 这些网络以点分十进制格式表示的子网掩码是什么? 255.255.255.192 以斜杠格式表示的网络子网掩码是什么? /26 每个子网可支持多少台主机? 62 步骤3:为拓扑图分配子网地址。 1. 将子网1 分配给连接到HQ 的LAN。 2. 将子网2 分配给HQ 和BRANCH 之间的WAN 链路。 3. 将子网3 分配给连接到BRANCH 的LAN。 4. 子网0 用于供将来扩展。 任务2:确定接口地址。 步骤1:为设备接口分配适当的地址。 1. 将子网1 中第一个有效主机地址分配给HQ 上的LAN 接口。 2. 将子网1 中最后一个有效主机地址分配给PC2。 3. 将子网2 中第一个有效主机地址分配给BRANCH 上的WAN 接 口。 4. 将子网2 中第二个有效主机地址分配给HQ 上的WAN 接口。 5. 将子网3 中第一个有效主机地址分配给BRANCH 的LAN 接口。 6. 将子网 3 中最后一个有效主机地址分配给 PC1。 步骤 2:将要使用的地址记录在拓扑图下方的表格中。
路由器防火墙功能应用实例 企业用户使用路由器共享上网,常常需要对内网计算机的上网权限进行限制,如限制某些计算机不能上网,限制某些计算机可以收发邮件但是不可以浏览网页,限制计算机不能访问某个站点,而一些计算机有高级权限,不受任何限制。路由器具有防火墙功能,功能可以灵活组合成一系列控制规则,形成完整的控制策略,有效管理员工上网,能方便您对局域网中的计算机进行进一步管理。“数据包过滤”功能可以控制局域网中计算机对互联网上某些网站的访问;“MAC地址过滤”是通过MAC地址过滤来控制局域网中计算机对Internet的访问;“域名过滤”可以限制局域网中的计算机对某些网站的访问。 下面以TL-R490路由器为例,说明设置的方法。局域网内有8台计算机,计算机1(IP:192.168.1.2)不能上网,计算机2(IP:192.168.1.3)可以收发邮件但是不可以浏览网页,计算机3(IP:192.168.1.4)不能访问这个站点(219.134.132.61),计算机4(IP:192.168.1.5)不可以收发邮件但是可以浏览网页,其他计算机不受任何限制。以下是通过数据包过滤的方式对访问互联网的权限进行设置,因为对于其他的计算机是不做任何限制,所以把缺省过滤规则设置为允许通过;如果不允许其他计算机上网,那么应该把缺省过滤规则设为禁止通过(当然你的IP过滤条目的操作方法应该是允许通过的):
上面的第一条条目的目的是让计算机都能够通过DNS服务器解释到某个域名的IP地址,这样电脑才能够正常连接,当然本例不添加也行,因为默认规则是允许通过。在缺省过滤规则是禁止通过的情形下这个条目是一定要添加上去。 对于限制某些计算机不能上网的情况,除了上面介绍的“数据包过滤”设置外,还可以通过“MAC地址过滤”方式实现。 端口服务对应表:FTP--21 ,HTTP(浏览网页)---80,SMTP(发送邮件)---25,POP(接收邮件)----110,DNS(域名服务)--------53。 问:路由器配置指南 答:对路由器进行基本配置,使电脑通过路由器实现共享上网,过程相对来说比较容易实现。这篇文档下面的内容,主要讲述如下几部分: 1,收集并判断信息,为配置路由器做准备; 2,进入路由器管理界面,对路由器进行配置; 3,配置过程简单的故障定位排除;
配置OSPF路由协议 【实验目的】 在继续学习路由器工作原理、应用特点和配置方法的基础上,掌握直连路由、静态路由和动态路由的特点。同时,结合RIP路由协议的配置,学习OSPF路由协议的配置方法。同时,通过对RIP和OSPF 工作原理的对比,掌握距离矢量路由协议和链路状态路由协议的应用特点。 【实验要求】 (1)熟悉动态路由与静态路由之间的区别。 (2)掌握RIP和OSPF在工作原理上的区别。 (3)掌握OSPF路由协议的配置方法。 (4)掌握OSPF路由协议信息的查看方法。 (5)了解OSPF路由协议的应用特点。 【背景描述】 为了使本实验更贴近于实际应用,特别设计了如下图所示的网络拓扑结构。互连设备的每个端口分配了具有32为掩码的IP地址(子网掩码为255.255.255.252),以保证连接设备的网段只有两个IP地址。在该实验中还使用了一台3层交换机,它不但像路由器一样可以实现RIP协议,而且可以创建VLAN,并实现不同VLAN之间的路由管理。例如,我们可以在Switch-L3上创建一个VLAN10并为其分配一个172.16.1.1/24的IP地址,该VLAN的IP地址将作为加入VLAN10的所有主机的网关地址。PC1通过FastEthernet 0/2端口与Switch-L3连接。PC2连接到路由器Router-B的FastEthernet 0/1端口。【实验拓扑】 【实验设备】 S3760交换机 1台 R10(路由器) 2台 V35线缆 1条 PC 2台 直连线或交叉线 2台 【预备知识】 路由器基本配置、OSPF的工作原理及配置。 【技术原理】
OSPF路由协议是一种典型的链路状态协议,一般用于同一个路由域内。在这里,路由域是指一个自治系统(Autonomous System,AS)。AS是指一组通过统一的路由策略或路由协议互相交换路由信息的网络,在本实验中我们可以把一个AS域看成由若干个OSPF区域(Area)所组成的大的自治系统,也通常叫做OSPF路由域(Routing Domain)。OSPF做为典型的IGP(Interior Gateway Protocol,内部网关协议)路由协议,它是运行在一个AS内部的路由协议。在这个AS中,所有的OSPF路由器都维护一个相同的AS数据库,该数据库中存放的是该路由域(AS)中相应链路的状态信息,OSPF路由器正式通过这个数据库计算出OSPF路由表的。 OSPF路由协议是基于TCP/IP协议体系而开发的,即OSPF for IP,也就是说它是工作在TCP/IP网络中的。作为一种链路状态路由协议,OSPF将链路状态广播数据包(Link StateAdvertisement,LSA)传送给某一区域内的所有路由器,这一点与距离矢量路由协议(如RIP)不同。运行距离矢量路由协议的路由器是将部分或全部的路由表传递给与其相邻的路由器。OSPF算法通过考虑网络的规模、扩展性、自我恢复能力等高级特性来进一步提高了网络的整体健壮性。OSPF具有如下特点: ●可适应大规模的网络; ●路由变化收敛速度快; ●无路由自环; ●支持可变长子网掩码(VLSM); ●支持等值路由; ●支持区域划分; ●提供路由分级管理; ●支持验证; ●支持以组播地址发送协议报文; OSPF可以运行在结构复杂的大型网络中,本实验主要实现OSPF在单区域的点对点网络中的配置。在点对点网络中,两个路由器使用Hello协议自动建立相邻关系,这里没有指定路由器(DR)和备份指定路由器(BDR)的选举过程,因为点对点网络中只有两个路由器,不存在指定路由器(DR)和备份指定路由器(BDR)。所有OSPF数据包通过224.0.0.5组播地址来发送。 OSPF路由协议的配置命令为: (1)在全局配置模式下启动OSPF: RSR10(config)#router ospf process-id 像其他的路由协议一样,要允许OSPF的运行,首先要建立OSPF进程处理号,利用命令router ospf process-id在端口上启动OSPF协议。其中process-id(进程号)是用来在这个路由器接口上启动的OSPF 的唯一标识。process-id可以作为识别在一台路由器上是否运行着多个OSPF进程的依据。process-id的取值范围为1~65535。一个路由器上的每个接口都可以选择不同的process-id。但一般来说,不推荐在路由器上运行多个OSPF,因为多个会有拓扑数据库,给路由器带来额外的负担。 (2)发布OSPF的网络号和指定端口所在区域的具体命令格式如下所示: RSR10(config)#network address wildcard area area-id · address wildcard:表示运行OSPF端口所在网段地址以及相应的子网掩码的反码。例如,255.255.255.0的反码为0.0.0.255,255.255.255.252的反码为。0.0.0.3等。