不要过分追究里面的地址问题,因为还没进行IP地址的规划,所以地址使用的有些混乱了,而且有些语句的使用感觉也不是很合理。重要的是大家看看路由器的配置以及每个配置的意义是什么。注释写的比较仓促,难免有错误,希望大家指正。有什么不明白的或者有疑问的欢迎讨论。
service password-encryption //使用密码服务
!
hostname cisco2621 //定义路由器的名称
!
enable secret 654321 //enable加密的密码(应该是乱码的)
enable password 123456 //enable未加密的密码(如果配置了secret密码,secret密码有效,这个密码就失效了)
!
ip subnet-zero //允许使用全0的子网(默认都是开启的)
no ip domain-lookup //不进行域名的查找(有的时候输入错了命令,路由器会认为是一个域名,对其进行域名的查找)
ip name-server 221.196.13.23
ip name-server 221.196.28.44
!
!
!
!
interface FastEthernet 0/0 //进入模块0上的快速以太口0(规则是slot/port number第一个数字是模块号,第二个是端口号)
ip address 172.17.7.250 255.255.255.0 //定义IP地址和子网掩码
speed auto //双工模式使用的是自动协商
ip nat inside //表明这是一个NAT的内部端口
ip access-group 101 in //在这个端口上进入的方向上实施访问控制列表101
no shutdown //打开端口
!
interface Serial 0/0 //进入模块0上的串行口0
bandwidth 2048 //设置带宽(这个带宽不是表示实际的带宽,不过要和实际带宽相符,这个值一般用于计算)
ip address 61.142.221.225 255.255.255.240 //配置IP地址和子网掩码
encapsulation ppp //封装PPP协议
in nat outside //表明这是一个NAT的外部端口
no shutdown //打开端口
ip nat pool internet 61.142.221.226 61.142.221.227 netmask 255.255.255.252 //设置一个NAT转换的地址池(internet是地址池的名字,后面的两个IP地址是地址池的范围,也就是说在这两个之间的所有IP地址都在这个地址池中)
ip nat inside source list 1 pool internet overload //进行动态NAT转换使用overload方式(list 1是表示使用访问控制列表1,也就是访问控制列表1中允许的IP地址可以进行NAT转换)
ip nat inside source static tcp 172.17.5.6 80 61.142.221.231 80 //静态的NAT地址转换,凡是来自172.17.5.6并且使用80端口的都转换为61.142.221.231,端口是80
ip nat inside source static tcp 172.17.5.6 443 61.142.221.231 443 //同上
ip nat inside source static tcp 172.17.5.7 25 61.142.221.233 25 //同上
ip nat inside source static tcp 172.17.5.7 110 61.142.221.233 110 //同上
time-range daytime //定义一个时间范围(用于基于时间的访问控制列表,daytime是这个时间段的名字)
periodic weekday 8:00 to 17:30 //定义时间范围
access-list 1 permit 172.16.0.0 0.0.255.255 //标准的访问控制列表,只有源地址
access-list 101 permit ip host 172.17.3.81 any //扩展的访问控制列表,host是表示匹配172.17.3.81这个地址,代替了0.0.0.0。any表示任何,也就是说什么地址都可以。
access-list 101 permit ip host 172.17.3.85 any //同上
access-list 101 deny icmp any any //拒绝所有的ICMP消息
access-list 101 permit tcp host 172.17.5.2 any eq 53 //允许源为172.17.5.2,去任何往目的地的TCP端口为53的所有的包通过
access-list 101 permit udp host 172.17.5.2 any eq 53
access-list 101 permit ip host 172.16.5.1 any
access-list 101 permit tcp 172.17.1.1 0.0.0.31 any eq 80 //这里的0.0.0.31成为反掩码,实际上就是子网掩码255.255.255.224,只不过访问控制列表中要求用反掩码表示
access-list 101 permit tcp 172.17.1.1 0.0.0.31 any eq 443
access-list 101 permit tcp 172.17.1.1 0.0.0.31 any eq 21
access-list 101 permit tcp 172.17.1.1 0.0.0.31 any eq 25
access-list 101 permit tcp 172.17.1.1 0.0.0.31 any eq 110
access-list 101 permit tcp 172.17.1.1 0.0.0.31 any eq 53
access-list 101 permit udp 172.17.1.1 0.0.0.31 any eq 53
access-list 101 permit tcp 172.17.1.1 0.0.0.31 any eq 1860
access-list 101 permit tcp 172.17.1.1 0.0.0.31 any eq 7788
access-list 101 permit udp 172.17.1.1 0.0.0.31 any eq 7788
access-list 101 permit tcp 172.17.1.1 0.0.0.31 any eq 8000
access-list 101 permit udp 172.17.1.1 0.0.0.31 any eq 8000
access-list 101 permit tcp host 172.17.3.83 any eq 80
access-list 101 permit tcp host 172.17.3.83 any eq 443
access-list 101 permit tcp host 172.17.3.83 any eq 21
access-list 101 permit tcp host 172.17.3.83 any eq 25
access-list 101 permit tcp host 172.17.3.83 any eq 110
access-list 101 permit tcp host 172.17.3.83 any eq 53
access-list 101 permit udp host 172.17.3.83 any eq 53
access-list 101 permit tcp host 172.17.3.83 any eq 1860
access-list 101 permit tcp host 172.17.3.83 any eq 7788
access-list 101 permit udp host 172.17.3.83 any eq 7788
access-list 101 permit tcp host 172.17.3.83 any eq 8000
access-list 101 permit udp host 172.17.3.83 any eq 8000
access-list 101 permit tcp host 172.17.3.89 any eq 80
access-list 101 permit tcp host 172.17.3.89 any eq 443
access-list 101 permit tcp host 172.17.3.89 any eq 21
access-list 101 permit tcp host 172.17.3.89 any eq 25
access-list 101 permit tcp host 172.17.3.89 any eq 110
access-list 101 permit tcp host 172.17.3.89 any eq 53
access-list 101 permit udp host 172.17.3.89 any eq 53
access-list 101 permit tcp host 172.17.3.89 any eq 1860
access-list 101 permit tcp host 172.17.3.89 any eq 7788
access-list 101 permit udp host 172.17.3.89 any eq 7788
access-list 101 permit tcp host 172.17.3.89 any eq 8000
access-list 101 permit udp host 172.17.3.89 any eq 8000
access-list 101 permit tcp host 172.17.1.135 any eq 80 time-range daytime //这个就是基于时间的访问控制列表,使用daytime这个时间段
access-list 101 permit tcp host 172.17.1.135 any eq 443 time-range daytime
access-list 101 permit tcp host 172.17.1.135 any eq 21 time-range daytime
access-list 101 permit tcp 172.17.5.0 0.0.0.255 any eq 80
access-list 101 permit tcp 172.17.5.0 0.0.0.255 any eq 443
access-list 101 permit tcp 172.17.5.0 0.0.0.255 any eq 25
access-list 101 permit tcp 172.17.5.0 0.0.0.255 any eq 110
access-list 101 permit tcp 172.17.5.0 0.0.0.255 any eq 21
access-list 101 deny ip any any //这句可有可无,因为访问控制列表中,都在最后隐含了这句。也就是说当ACL中没有可以匹配的项的时候就丢弃。宁可错杀,决不放过
router rip //启用RIP路由协议
version 2 //使用的是RIPv2(如果没有这句,就是使用RIPv1)
network 172.16.0.0 //宣告直连的网段(是一个主类网,因为RIP是不识别子网的)
ip classless //启动无类路由(启用后,匹配路由的时候使用bit-by-bit的方式,也就是一位一位的)
ip route 172.16.0.0. 255.255.0.0 172.17.7.254 //静态路由,意思就是去往172.16.0.0这个网段的时候,会把数据包发向下一跳地址为172.17.7.254的路由器
ip route 0.0.0.0 0.0.0.0 Serial0 //缺省路由,在路由表中没有可以匹配的条目的时候,把数据包从S0口发出
ip http server
!
!
!
line con 0
line aux 0
line vty 0 4 //telnet端口
password 123456 //login的密码是123456
login
!
end