椰子殼-Blog

Cisco Router的設定介面類似Linux Command mode，雖說Cisco現在有圖形化介面的輔助設定程式「Configuration Maker」，但是那只能提供基本的連線建立，用於dynamic routing、static routing、frame relay、VoIP等連線建立。但是對於Load balance、關係Security的access list還是必須手動建立，而且並非所有Router的韌體都支援圖形化介面程式的設定，必須確保您Router的韌體版本夠新，否則可能會不支援圖形介面程式的更新，所以如果可以的話，以舊式 Terminal 設定方式也會是個不錯的選擇。

一般的Router都具備有Lan Port、Wan Port、BRI、AUX Port以及Console Port等介面，依各型號、等級不同而有數量不同的Port，有時不一定具有上述的介面，或是具備於上述之外的其他類型介面。

Lan Port：連接內部網路，通常為閘道，IP設定為當網段的第一或是最後一個IP，例如192.168.1.254或是192.168.1.1，比較方便區分(看個人習慣)。
Wan Port：連接廣域網路( Internet )，也就是連接到ISP ( Internet Service Provider) 的地方，通常Wan port也是一樣的設法，不過侷限於ISP業者發配多少IP，會有不同的配置。
BRI：連接ISDN，多作為備援線路用，當主要的線路斷線時，ISDN會自動撥號連接上ISP，以免因斷線造成損失，當然的，備援線路是需要設定的。
AUX Port：某些較為高階或是特殊型號的Router有AUX Port，這個Port的用途就是連接一般傳統的類比式數據機。
Console Port：以字面上來看，Console Port 就是連接到 Router 設定的介面，利用 Terminal 程式如：Telix、Netterm、HyperTerminal ，等來連接，除一般設定之外，新的Router、Password遺失、設定值消失、設定錯誤造成無法 Telnet 連線到 Router 連線進行設定時必須要用的介面。

這時也許會有點疑問，各種型號的 Router 除了 Port 不同以外，還有什麼分別嗎？其實除了硬體、外型的不同之外，概略的來說，其實高階的 Router 能夠提供更大量、更高速的內部資料封包交換速度，並且提供的額外功能也不盡相同，有些 Router 可以允許加裝防火牆軟體，除了封包繞送的工作以外，成為一硬體防火牆。

設定方式：
Cisco的Router之前有提到有幾種方式可以進行連接，除了Console以外，也可以利用Telnet連線進入內部設定本身的運作方式，在這裡我們利用telnet的方式進入Router內部。
進入之後，最先看到的就是如同以下的畫面：
這時候是要求您輸入基本的權限的Password，當輸入正確密碼，進入之後，就可以看到Router的命令提示列：

有沒有注意到又輸入了一個enable之後，Router又請求輸入另一組密碼？其實Cisco Router的使用者介面有兩層，第一次輸入的是User mode的密碼，進入user mode只能使用一些基本偵測指令，例如ping、telnet、show version……等，如果輸入enable，就可以進入管理者模式，對這部Router做一些設定。


指令自動完成：
Cisco Router有支援「自動完成」的輸入方式，類似Linux一樣，在Linux裡面如只將指令鍵入一半，例如chpasswd這個指令，可以只打chpa然後按下tab鍵，bash shell會將能執行的指令列出，如果前面的字元足以判斷是需要執行何種指令，將會完成輸入，您只要按下Enter即可。Cisco Router也是一樣有支援Tab鍵，不過不同的是，Cisco Router除了利用Tab鍵以外，也可以容許不完整輸入，例如剛剛Enable這個指令，可以只輸入en之後就直接按下Enter執行，只要字數足夠判斷為何指令即可。


進入Cisco的設定程式之後，面對只有一個游標在那裡閃爍，相信沒有接觸過的人會不知從何下手，也許這時有用過Intel Router的人就會懷念Intel Router的視窗式設定畫面。
不過這種低階的設定方式，通常都是變化性最高的，Intel Router只能定設定通訊協定、定IP、設NAT，沒什麼變化性，Cisco的還可以建立access list，阻絕某個Port的通訊，或是拒絕某網段的ip經由何介面進入，做到基本的防火牆功能，呃………離題太遠，我們看到#符號之後，可以按 ? ，Cisco Router就會列出所有可執行的指令，Cisco Router的指令都是階層式的，可以試試看鍵入?與鍵入ip ?、show ?，會有什麼樣的不同，我想這樣應該就很清楚如何查詢您要的指令了。
請看看下面的流程：
鍵入en進入管理模式後，在「ROUTER.TPE#」的狀態下還是不能夠更改router的運作，因為這裡是能夠提供您有更詳細的資訊，例如各個Port的IP、Protocol、Routing Table、Dynamic Route status等等。
這時請輸入conf t進入Terminal模式，conf t就是configure terminal的簡易輸入，代表進入設定的terminal，輸入之後就可以看到提示符號變成「Router.Name(config)#」，在這裡能夠變動的東西通常都是關係到這顆Router的運作、全域設定，例如：建立access list、設定enable的password、routing table等等。
在Terminal裡面鍵入int eth0就可以進入各個介面，進行針對介面的設定，這時提示符號會變成「Router.Name(config-if)#」，這裡可以設定介面的啟動或是關閉、IP位置、frame relay編號………等各介面的設定。
附註一點， 一般來說，Cisco的裝置都是以Serial 0、Serial 1、Ethernet 0這種編號方式區分，但是有些多Port的裝置會是以Serial 0/0、Serial 0/1、Ethernet 0/0作為命名方式，請依照實際狀況輸入，想確定各Port名稱，可以在管理模式鍵入show interface (或是sh int)看到各interface的名稱，上面例子所進入的就是ethernet 0/0這個lan port。

基本設定 ─建立連線：
設定Cisco Router就像設定一台有多張網路卡的電腦一樣，先弄清楚網路架構，確定兩端網路的IP區段，並且想好Router位在這個網段的哪裡。
一般的Router實體層的連線狀況如下：


「網路A」 ←→「 Router A 」←→「 Router B 」←→ 「網路B」


網路A與網路B之間必須有Router連接，兩個Router之間也是一個網段，以我們與外點倉庫之間的連線為例：
網路A是辦公室，網段是192.168.1.0/22 (192.168.1.1~192.168.1.254)
網路B是倉庫，網段是 192.168.2.0/22 (192.168.2.1~172.19.2.254)
RouterA ─ RouterB，網段是10.19.6./30 (10.19.6. ~ 10.19.6. )

Router A Lan Port IP： 192.168.1.254
Wan Port IP： 10.19.6.253
Router B Lan Port IP： 192.168.2.254
Wan Port IP： 10.19.6.254

指令設定流程：
以上灰底字為設定ethernet 0/0介面，要設定Wan Port的話，只要將int eth 0/0改成int s 0/0即可，設定方式請舉一反三，如果不知道要下什麼指令，請多多使用「?」，這個符號可是能幫上您很多忙的。
依照以上的方式設定好兩顆Router的Lan Port以及Wan Port後，請到目的地去將Router接起來，並確定專線的線路接通了，且Router有接上CSU/DSU，這時候將兩邊的Router電源開啟，如果沒有問題的話就請稍等一下，因為RIP初次建立連線要稍微等一下，這樣就建立起基本的連線了。

進階設定 ─ 建立Access List：
連線建立好之後呢？應該還有一些事情要做吧？其實還要補充什麼設定就要看環境的需求了，通常是不需要變更什麼設定，只需要能夠通就好了，但是如果是對Internet的連線呢？
Internet的網路上有許許多多的人，沒有人能確定下一個連線進來的人只是逛逛你的網頁、寄個e-mail而已，也許他正打算使用木馬程式來遙控網路內部已經受感染的電腦？也許它是利用偽裝的IP位置，試圖冒充成內部網路的電腦來存取內部的網路資料？
有人說：「最安全的防護方式就是拔掉你的網路線」，雖然這只是一句玩笑話，不過也說明了網路的不安全性，網路幫助我們的同時也可能幫助了駭客。
所以大略說明一下如何設定Access List，阻擋部份已知的後門程式，並且阻擋偽裝成內部IP的封包。

我們在 Terminal 的地方，輸入以下幾行，以建立access-list。
下面這些是用來設定禁止虛擬區域的IP進入，到時候我們將其部署在Serial 0 的 inbound。
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 deny ip 224.0.0.0 7.255.255.255 any
下面這幾組access-list可阻絕掉各種icmp的訊息回應，不允許對方來Ping我們的電腦，我們可以將其部署在ethernet 0的outbound。
access-list 101 deny icmp any any echo
access-list 101 deny tcp any any eq echo
access-list 101 deny udp any any eq echo
這些就是阻檔所指定的Port口通訊，也是部署在serial 0的inbound，例如第一行就是阻擋 tcp port 號等於11的任何通訊。Access-list從101開始編號，語法為：
access-list
access-list 101 deny tcp any any eq 11
access-list 101 deny tcp any any eq chargen
access-list 101 deny udp any any eq 19
access-list 101 deny tcp any any eq finger
access-list 101 deny tcp any any eq 98
access-list 101 deny tcp any any eq 12345
access-list 101 deny udp any any eq 12345
access-list 101 deny tcp any any eq 54321
access-list 101 deny udp any any eq 54321
如需要更詳細的說明，請多多利用 “ ?“

Load Balance：
有時為了保險起見，會採用Load Balance的連接方式，就是找顆有兩個以上的Wan Port的Router，同時接兩條專線到 ISP，兩條線都設定同一個IP。我們就以64K來算，如果都是正常的話，這兩條線的頻寬可以併在一起，平常就是以128K通訊，如果其中一條電路故障，也不至於因而斷線，另一條線還是可以正常運作。
Load Balance也可以分配頻寬，如果兩條線的速度不同，如果是一條64K、一條128K，我們也可以設定通訊比重為1：2。
Load Balance的設定方式：
如果要用Load Balance的話，必須先與ISP先申請需要使用Load Balance，並且Router的Routing Table必須要手動建立，不可以使用RIP等此種dynamic route，我們在conf t裡面可以下指令，
route 0.0.0.0 0.0.0.0 s 0
route 0.0.0.0 0.0.0.0 s 1
這樣就可以了，如果要限定流量比重的話，就以剛剛舉的例子，如果流量比是1：2，那就再另外定一筆手動Routing table，就變成
route 0.0.0.0 0.0.0.0 s 0
route 0.0.0.0 0.0.0.0 s 1
route 0.0.0.0 0.0.0.0 s 1
這樣就可以囉。

設定存檔：
Cisco Router裡面的設定值有分兩種，一種是Running Config ，另一種是Startup Config，通常 Router 啟動之後，我們直接修改的設定是Running Config，改了以後立即生效，但是重點是，那些都沒有存在Router 裡面噢，將電源重新啟動之後這些設定值就不復存在。

所以必須另外下指令存檔到Router 裡面，這樣的措施也是預防因設定錯誤而導致 Router 無法運作，如果設定到一半發生不在預期之中的狀況的話，那就只要 Router 的電源重新開啟即可，算是一種保護作用。
存檔指令，在 enable 裡面，直接輸入指令copy running-config startup-config，或是打copy run start就可以了。
如果擔心哪天Router掛掉了，要把設定存成文字檔備份起來的話，Cisco Router有支援TFTP的協定，可以開啟一個TFTP，將Router的設定經由TFTP服務傳送出來。
先打conf t進入Terminal，鍵入：tftp-server ip-address，然後按下Ctrl + Z 或是鍵入 exit 跳回到上一層( enable )，鍵入copy startup-config tftp-server或是 copy start tftp就可以了。