DDN接入一筆道盡

   DDN是英文Digital Data Network的縮寫形式，意思是數字數據網。這種接入方式是隨著數據通信業務的發展而發展起來的一種新興網絡，是利用數字信道提供永久或半永久性電路，以傳輸數據信號為主的數字傳輸網絡，其中包含了數據通信、數字通信、數字傳輸、數字交叉連接、計算機、帶寬管理等技術，可以為客戶提供專用的數字數據傳輸通道，為客戶建立自己的專用數據網提供條件。
DDN的基本業務是向客戶提供多種速率的數字數據專線服務，可以提供2.4、4.8、9.6、19.2、N×84（N=1～31）及2048kb/s速率的全透明的專用電路，在某些限定情況下，還可提供其他速率，例如：8、16、32、48、56kb/s 等。這種業務在數據通信領域的應用是非常廣泛的，可以替代模擬專線網或電話網上開放的數據業務，廣泛應用于銀行、證券、氣象、文化教育、電子商務等需要做專線業務的行業，適用于LAN/WAN（局域網/廣域網）的互聯、不同類型網絡的互聯以及會議電視等圖像業務的傳輸，同時，為分組交換網用戶提供接入分組交換網的數據傳輸通路。
企、事業單位通過DDN專線接入Internet，可享受64kb/s-2Mb/s的上網速度；一天24小時不間斷停留于網上；可建立自己的Web服務器、郵件服務器；構筑企業Internet/Intranet系統；建立自己的域名網站，面向全世界的商貿伙伴發布企業信息，與各地分支機構實時交換數據信息；實現視頻會議，節省長話及傳真費用。
本專題的作者是一個多年從事DDN接入建網、維護的一線網管員，他結合自己的工作經歷從方案的規劃、硬件的聯接、設備的配置等幾個大的方面對DDN接入進行了詳細的講解，具有非常高的實用價值。當然，在我們實際工作的DDN網絡具體實施中，還可能遇到很多預想不到的問題，例如，我們的網絡中選用的不是Cisco的路由器，我們可能用到路由器是華為、3Com等其他品牌的，我們可能會用某個單獨的防火墻等等，這就需要我們在了解原理的基礎上，具體問題具體分析了。
“一筆道盡”未必盡，我們的目的是為了大家對DDN接入有一個基本系統全面的了解。希望大家在今后的工作中，智者見智，多多交流！

DDN接入方案的規劃

鄭剛
連接Internet是企業信息化不可缺少的一部分。那么面對現在各種各樣的Internet接入方式，我們如何選擇最適合自己企業的接入方式，如何進行具體規劃，如何進行方案的實施呢？現在我們就帶著問題，以大多數企業所選擇的DDN接入方式為例，給大家詳細講一下Internet接入的具體實施。
接入方式的選擇
每個企業應該根據自己公司的經濟實力、業務需求、公司計算機網絡規模、數據流量需求以及公司未來發展需求來選擇適合自己企業的接入方式。
目前電信部門為廣大用戶提供了多種Internet接入方式。如普通的撥號接入、ISDN接入、ADSL接入、分組網接入、幀中繼網接入、DDN接入等等。一般的大中型企業大都采用DDN接入方式。
DDN是由光纖、數字微波或衛星等數字傳輸設備和數字交叉復用設備組成的高質量的數據傳輸通道，主要傳送各種數據業務。DDN的運用對象主要是固定傳輸數據的客戶。
DDN接入具有以下特點：
1．DDN可滿足客戶對不同通信速率的要求。
DDN接入根據用戶速率要求和終端的距離差異可提供64Kb/s～2Mb/s的通信速率。而且DDN的傳輸延時比較短，平均小于0.45ms。
2．實現高質量、低誤碼率的透明傳輸。
DDN網絡采用高質量、大容量的光纖、數字微波線路,并且有路由迂回功能，安全可靠，且極便于組網擴容。
3．通信容量大。
采用數字傳輸方式，可綜合傳輸話音（傳真）、數據、圖象信息，方便各種局域網的聯網。
4．DDN能夠提供高可用率的穩定保障。
由于DDN采用的網絡設備能夠實時收集網絡內的故障并進行分析和定位，而且當遇到電路故障時可以自動進行路由迂回。所以DDN的線路十分流暢，具有高可用率。
對于大多數計算機數量在15臺以上或者網絡通信流量需求很大的企業，DDN不失為一個很好的選擇。除了以上幾個特點外，對于大多數企業來說，更為重要的是DDN的性價比。就目前大多數企業采用的256kb/s的DDN為例，本地網營業區內的月租費用為2500元，本地網營業區間的月租費用是3200元，長途月租費用是5500元。
企業網絡拓撲結構的確定
企業網絡拓撲結構大致可分為總線型、環型、星型、樹型、分布式、網狀、蜂窩狀、混和型結構等等。最常用的是總線型、星型和混合型結構?，F代大中型企業的網絡主要由服務器、磁盤陣列、交換機、路由器、集線器、基帶貓、客戶計算機等組成。
選用DDN接入的企業，其網絡拓撲結構圖一般如圖1所示：

網絡類型的確定
在各種大中型規模的局域網中，大部分企業采用的是千兆/百兆以太網。這種網絡能夠滿足企業網對帶寬、性能等方面的要求。而在局域網中，主要采用5類雙絞線進行各種設備的連接。當然，這只是在距離不超過100米的情況下的選擇。如果超過這個距離，信息傳輸效果將會很不盡人意。這時我們可以采用網絡中繼器進行信號放大或者采用光纖等傳輸介質進行信號傳輸。特別需要注意的是雙絞線又分為非屏蔽雙絞線（UTP）和屏蔽雙絞線(STP)。在一般情況下使用非屏蔽雙絞線即可，但是在某些特殊場合，如受電磁輻射嚴重、對傳輸質量要求較高時就得采用屏蔽雙絞線。這樣才能取得較好的傳輸效果。
網絡設備的選擇
就網絡設備來說不外乎路由器、交換機、磁盤陣列、Modem、集線器等設備。對于DDN專線接入來說，路由器、交換機和Modem（專指基帶貓）的選擇是十分重要的。在這里我推薦采用思科公司生產的Cisco 3600。這是一款是目前市場上比較高檔的路由器，其功能十分強大，而且十分穩定。對于一般的企業，Cisco 3600的功能已經是足夠用了。交換機推薦使用思科公司生產的Cisco 2900或者3Com公司生產的3C16954，這兩款產品在性價比上都比較適合一般企業使用。至于DDN專用的基帶貓，這一般是由您的接入商提供給您使用的，但是所有權還是歸接入商所有。
網絡安全的規劃
網絡的安全性是現在企業上網不可忽視的一環。在網絡安全的規劃上我提出幾點自己的看法。
1．網絡的配置
在網絡的配置上，主要通過三方面進行安全防護。一是采用路由技術。采用路由技術，可以防止入侵者直接訪問數據庫等內部資源。二是采用虛擬局域網（VLAN）方案。把網絡上相互間沒有直接關系的系統分布在不同的網段上，由于各網段間不能直接互訪，從而減少各系統被正面攻擊的機會。三是購置防火墻。雖然，Cisco、Bay等公司的路由器通常都具有過濾型防火墻功能（過濾掉非正常IP包，把大量的非法訪問隔離在路由器之外），但僅僅這樣還是不夠的，我們最好還是購置代理類型的防火墻。
2．系統配置
根據調查顯示，80％以上的網絡入侵都是內部作案。因此，對于系統的安全配置也是不可忽視的。這里所說的系統指的是主機的操作系統、數據庫操作系統、路由器和交換機等的操作系統。我們盡量要做到減少沒有必要運行的服務程序，設置比較安全的加密口令，避免使用超級用戶或者系統默認項目，關閉不必要的端口。
3．完整的日志記錄和分析
完整的日志不僅要包括用戶的各項操作，而且還要包括網絡中數據接收的正確性、有效性及合法性的檢查結果，為以后網絡安全分析提供依據。對日志的分析還可用于預防入侵，提高網絡安全。例如，如果分析結果表明某用戶某日失敗注冊次數高達20次，就可能是入侵者正在嘗試該用戶的口令。
以上，僅僅是對一般企業DDN接入方案的規劃，當我們遇到一些具體問題時，還要具體分析，不能一概而論。

DDN接入中硬件的聯接
鄭剛
在DDN接入中，路由器、交換機等硬件的聯接也是重要的一環，下面，我們就介紹如何實施各種硬件之間的聯接。
局域網的硬件連接
我們要完成把整個局域網接入DDN的工作，那首先要組建一個局域網。
局域網首先要確定采用的網絡結構。在這里我們主要介紹，多數公司采用的是混合型網絡結構。 其示意圖見圖1。

構建局域網時，每臺電腦最少都得安裝一個網卡，而做服務器的計算機最好安裝兩個網卡?，F在市場上最常見的是10M/100M自適應網卡。一般計算機的網卡價格在40～70元之間，服務器網卡要貴很多，其價格大概在1000～3000元之間。服務器之所以安裝兩塊網卡,主要是因為,一塊網卡用于設置內部IP地址,連接局域網;另外一塊設置外部公用IP地址,連接外網。
在構建局域網時，與交換機直接相連的設備其網線的線頭都采用表1所示連接法，而在集線器和集線器之間的網線則采用表2所示連接法。簡單地說，就是相同設備之間聯接采用交叉線，不同設備之間采用直連線。表3是百兆集線器之間的連接方法。
需要注意的一點是，從交換機或集線器連接到另外一臺集線器時,網線必須接在集線器的UP-Link口上，而且在與UP-Link口用一條橫線連接在一起的端口（八口的集線器一般是第一端口或者第八端口，十六口的集線器一般是第一端口或者第十六端口）不能再連接客戶機。
路由器的聯接
Cisco 3600路由器要做DDN專線接入必須要安裝DDN模塊。DDN模塊上有兩個串行口（Serial）,我們用其中之一來連接基帶貓。串行口和基帶貓之間是用V.35串口線進行連接。而路由器上的10M/100M/1000M Ethernet口則是用來連接交換機的；Console口用來連接控制計算機的，我們可以通過Console口對路由器進行配置。

表1

表2

表3
DDN接入中路由器的配置
鄭剛
要對路由器進行配置，我們需要準備一臺終端計算機，用路由器中所配的Console電纜及Terminal連接器，將終端機連接到路由器的Console口。
連接好電源線，檢查無誤后，先將終端電源打開，再將路由器電源打開，顯示信息如下（一些信息省略，在省略的信息中若系統讓您選擇，直接回車就可）：
Enter host name [Router]: Router
(路由器取名為Router)
Enter enable secret: cisco
(設置路由器高級口令為cisco)
Enter enable password: user
(設置路由器低級口令為user)
Enter virtual terminal password: cisco
(設置路由器虛終端口令為cisco )
Configure IGRP routing? [yes]: no
(不采用IGRP協議路由)
Number of bits in subnet field [0]:16
Class A network is 86.0.0.0, 16 subnet bits; mask is 255.255.255.0 　
IP address for this interface: 86.101.254.3
(輸入本路由器廣域網口 IP地址)
Number of bits in subnet field [0]:16
Class A network is 86.0.0.0, 16 subnet bits; mask is 255.255.255.0 　　
Is this interface in use? [yes]: no
(不使用本廣域網口) 　
Router>
Router>enable
(進入路由器超級用戶)
Password:
(輸入路由器高級口令，但不會顯示)
Router#config
(進入設置狀態)
Configuring from terminal, memory, or network [terminal]? 回車
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#int e0
(初始化路由器局域網口)
Router(config-if)#ip add 86.101.3.20 255.255.255.0 (路由器局域網口地址 及子網掩碼)
Router(config-if)#int s0
(初始化路由器廣域網口)
Router(config-if)#ip add 86.101.254.3 255.255.255.0
(路由器廣域網口地 址及子網掩碼)
Router(config-if)#encap ppp
(采用ppp)
Router(config-if)#exit
(退出接口設置狀態)
Router(config-if)#ip route 86.101.4.0 255.255.255.0 S0
(對方局域網絡、子網掩碼及與本地相連的廣域網口)
Router(config)#exit
(退出設置狀態)
Router#write
(保存設置信息)
Building configuration...
[OK]

DDN接入中服務器的配置
鄭剛
DDN接入是一種非常穩定的接入方式，它為我們自己架設廣域網上的各種應用服務奠定了非常好的物理基礎。下面就雙網卡、DHCP、Web、郵件等幾個問題介紹服務器的配置，希望能起到拋磚引玉的作用。
雙網卡的配置
服務器一般都安裝的是雙網卡。其中之一用來聯接企業的局域網。這塊網卡配置的IP地址是企業自己內部設定的。作為我們訪問Internet必不可少的服務，我們還要配置ISP服務商所給的DNS地址和本地網的網關。另外一塊網卡是用來聯接廣域網的。這塊網卡要配置ISP服務商所提供的公用IP地址和子網掩碼、網關、DNS服務器。
在這部分的配置過程中，之所以要安裝兩塊網卡，主要是考慮到大多數企業在服務器上建立了自己的對外網站，而網站所聯接的數據庫為了保證安全，則需要建立在另外一臺處于局域網的服務器上。這樣，互聯網的用戶可以從Internet上問公司的網頁，而我們可以在局域網中安全地管理數據信息。
DHCP的配置
為了能讓DHCP服務器自動給局域網中的各個客戶端分配IP地址，子網掩碼，我們需要配置一臺DHCP服務器。而用DHCP服務器自動分配IP地址就必須設置地址租約。所謂的地址租約就是IP地址的有效期。當租約到期時，該IP 地址就不再屬于原來分配給的那臺計算機，除非續租。
設置DHCP服務器，可以根據客戶端計算機的MAC地址來給其分配一個固定的IP地址，也可以采取隨機分配。采取隨機分配這種方式，每臺計算機的IP地址就不是固定的。當某一臺客戶機一關機，其所用的IP地址就可能分配給別的計算機。
當采用的DHCP分配IP地址，客戶端計算機的網絡屬性里就必須選擇自動獲取IP地址的屬性。
Web服務器的設置
 在企業做了DDN接入后，建立企業自己的網站就必然成了企業信息化的一個重要組成部分?，F在有很多軟件都可以幫助企業很輕松地建立起自己的Web服務器。下面就以Windows 2000為例講一下如何運用其自帶的IIS建立Web服務器。
IIS是Internet信息服務（Internet Infomation Server）的縮寫。它是一種Web服務，主要包括WWW服務器、FTP服務器等。
1．打開IIS管理器：選“開始菜單→程序→管理工具→Internet信息服務”。
2．配置“Web”站點：點擊該服務器，選擇“新建Web站點”，依照提示進行下一步操作。依次輸入，網站名稱，該網站IP地址（注意該網站IP地址就是本服務器的公用IP地址），此Web站點所用到的TCP端口（Web站點所用的都是80端口），網頁文件所在的主目錄等即可。
3．在做完這些設置后，可根據需要修改該網站的屬性。
需要提出一點的是，建立企業自己的Web服務器，最好去電信部門申請一個域名。否則在進行瀏覽企業網站時，就只能輸入企業公用IP地址才可以訪問。
郵件服務器的配置
 由于企業采用了DDN專線接入，它具有良好的穩定性和安全性，所以也可以配制一臺服務器做郵件服務器。
 如果采用的Windows 2000操作系統，最好使用Exchange 2000 Server來作為企業郵件服務器。Exchange 2000可以讓前端和后端服務器隔離。這個功能，可以有效實現優化計算機和災難恢復。由于Exchange 2000的使用比較復雜，所以就不詳細介紹如何進行配置了。大家可以參考一下Exchange 2000的使用手冊。

DDN接入中交換機的配置
鄭剛
交換機的基本配置和路由器差不多，在這里主要講一下在交換機上進行VLAN(虛擬局域網)的劃分和配置。
VLAN是在整個網絡中通過網絡交換設備建立的虛擬工作組。VLAN在邏輯上等于OSI模型的第二層的廣播域，與具體的物理網及地理位置無關。虛擬工作組可以包含不同位置的部門和工作組，不必在物理上重新配置任何端口，真正實現了網絡用戶與它們的物理位置無關。VLAN技術把傳統的廣播域按需要分割成各個獨立的子廣播域，將廣播限制在虛擬工作組中，由于廣播域的縮小，網絡中廣播包消耗帶寬所占的比例大大降低，網絡的性能得到顯著的提高。圖1所表示的是一個大公司中的不同性質的部門劃分到不同的VLAN中。運營部的若干臺電腦劃在VLAN1中，財務部的若干臺電腦劃在VLAN2中。這樣，財務部的數據就不會向運營部的的機器上廣播，也不會和運營部的機器發生數據沖突。所以VLAN有效地分割了沖突域和廣播域。
VLAN通過建立網絡防火墻使不必要的數據流量減至最少，隔離各個VLAN間的傳輸和可能出現的問題，使網絡吞吐量大大增加，減少了網絡延遲。在虛擬網絡環境中，可以通過劃分不同的虛擬網絡來控制處于同一物理網段中的用戶之間的通信。這樣一來有效地實現了數據的保密工作，而且配置起來并不麻煩，網絡管理員可以邏輯上重新配置網絡，迅速、簡單、有效地平衡負載流量，輕松自如地增加、刪除和修改用戶，而不必從物理上調整網絡配置。
VLAN的劃分可以有三種方式：基于端口的VLAN、基于MAC地址的VLAN和基于IP地址的VLAN。
基于端口的VLAN
基于端口的VLAN就是將交換機中的若干個端口定義為一個VLAN，同一個VLAN中的客戶端處于同一個網段，不同的VLAN之間進行通信需要通過路由器。采用這種方式的VLAN其不足之處是靈活性不好，例如當一個客戶端從一個端口移動到另外一個新的端口時，如果新端口與舊端口不屬于同一個VLAN，則用戶必須對該客戶端重新進行配置，加入到新的VLAN中。否則，該節點將無法進行網絡通信。
基于MAC地址的VLAN
在基于MAC地址的VLAN中，交換機對客戶端的MAC地址和交換機端口進行跟蹤，在新客戶端入網時根據需要將其劃歸至某一個VLAN，而無論該客戶端在網絡中怎樣移動，由于其MAC地址保持不變，因此所處的VLAN保持不變。這種VLAN技術的不足之處是在客戶端入網時，需要對交換機進行比較復雜的手工配置，以確定該客戶端屬于哪一個VLAN。
基于IP地址的VLAN
在基于IP地址的VLAN中，新客戶端在入網時無需進行太多配置，交換機則根據各客戶端網絡地址自動將其劃分成不同的VLAN。在三種VLAN的實現技術中，基于IP地址的VLAN智能化程度最高，實現起來也最復雜。
基于端口的VLAN實例
下面就以最常用的基于端口的VLAN劃分為例。講解一下在交換機上如何進行VLAN的配置。
VLAN的配置分以下2步： 設置VLAN名稱； 應用到端口。
首先設置VLAN的名稱。設置格式為“vlan  VLAN號  name  VLAN名稱”。 在特權配置模式下進行配置：
Switch (config)#vlan 2 name accounting
Switch (config)#vlan 3 name marketing
新配置了兩個VLAN，為什么VLAN號從2開始呢？這是因為默認情況下，所有的端口都放在VLAN 1上，所以要從2開始配置。配置好了VLAN名稱后，就要進入每一個交換機的端口來設置VLAN。在交換機中，要進入某個端口，比如說第4個端口，要用 interface Ethernet 0/4。假設讓端口2、3、4和5屬于VLAN2 ，端口17—22屬于VLAN3 。命令格式為“vlan-membership  static/ dynamic  VLAN號” 。 靜態的或者動態的兩者必須選擇一個，后面是剛才配置的VLAN號。我們看看具體步驟：
Switch(config)#interface ethernet 0/2
Switch(config-if)#vlan-membership static 2
Switch(config-if)#int e0/3
Switch(config-if)#vlan-membership static 2
Switch(config-if)#int e0/4
Switch(config-if)#vlan-membership static 2
Switch(config-if)#int e0/5
Switch(config-if)#vlan-membership static 2
Switch(config-if)#int e0/17
Switch(config-if)#vlan-membership static 3
Switch(config-if)#int e0/22
Switch(config-if)#vlan-membership static 3
Switch(config-if)#
好的，現在已經把VLAN都定義到了交換機的端口上了。以上所配置的，只是靜態的，關于動態的，我們會在下面提到。到現在為止，已經把交換機的VLAN配置好了。為了驗證我們的配置，在特權模式使用“show vlan”命令。輸出如下：
Switch(config)#show vlan
VLAN Name Status Ports
--------------------------------------
1 default Enabled 1，6-16，22-24，AUI，A，B
2 acconting Enabled 2-5
3 marketing Enabled 17-22
以下顯示，略。
這是一個24口的交換機，并且帶有AUI和兩個100M端口（A、B），可以看出來，設置已經在正常工作了。也可以使用“show vlan VLAN號”的命令來查看某個VLAN，比如“show vlan 2”，“show vlan 3”。 還可以使用“show vlan-membership”，改命令主要是為了顯示交換機上的每一個端口靜態或動態的，并明確是屬于哪個VLAN。
以上是給交換機配置靜態VLAN的過程，下面看看動態的VLAN。動態的VLAN形成很簡單，由端口自己決定各節點屬于哪個VLAN 。不過，這并不意味著這種所屬是一成不變的，它只是一個簡單的映射，這個映射取決于網絡管理員創建的數據庫。分配給動態VLAN的端口被激活后，交換機就緩存初始幀的源MAC地址，隨后，交換機便向一個稱為VMPS（VLAN 管理策略服務器）的外部服務器發出請求，VMPS 中包含一個文本文件，文件中存有進行VLAN 映射的MAC地址。交換機對這個文件進行下載，然后對文件中的MAC地址進行校驗。如果在文件列表中找到MAC 地址，交換機就將端口分配給列表中的VLAN。如果列表中沒有MAC 地址，交換機就將端口分配給默認的VLAN（假設已經定義默認了VLAN）。如果在列表中沒有MAC地址，而且也沒有定義默認的VLAN，端口不會被激活。這是維護網絡安全一種非常好的的方法。從表面上看，動態VLAN的優勢很大，但它也有致命的缺點，即創建數據庫是一項非常艱苦而且非常繁瑣的工作。如果網絡上有數千個工作站，則有大量的輸入工作要做。即使有人能勝任這項工作，也還會出現與動態的VLAN有關的很多問題。另外，保持數據庫為最新也是要隨時進行的非常費時的工作。所以我們并不經常用到它，有興趣的朋友可以參考相關的Cisco的文檔資料。
這樣VLAN就全配置完了。但是在配置VLAN之前必須做好對網絡的前期規劃。就是說，哪些計算機在一個VLAN中，各自的IP地址、子網掩碼如何分配，以及VLAN之間互相通 信的問題。只有做好規劃，我們才能夠在配置和以后的使用維護過程中得心應手。


DDN接入中路由器防火墻的配置
鄭剛
在做完DDN接入的路由器,服務器,交換機的配置之后，這只是完成了最基本的聯接互聯網的配置。這樣的配置只能完成互聯網和局域網的互通，對于局域網內的網絡安全，卻并沒有保障。下面，我們就需要做一些基本的網絡安全設置。
現在，許多企業都購置了防火墻，然而對于做DDN接入并采用了Cisco公司生產的Cisco系列路由器的企業，就沒有必要再投入大量的資金購買其他各種防火墻了，因為Cisco系列路由器的操作平臺Cisco IOS集成了一系列構建防火墻和入侵檢測系統的功能。利用這些功能，您就可以不必選購單獨的防火墻設備（Firewall Box），而使用已有的Cisco路由器幫助您構建自己的防火墻了。
那么,該如何配置自己的路由器防火墻呢?
首先，需要您獲取適合自己企業Cisco路由器的IOS。如果只是對最基本的防火墻感興趣（對IP地址和端口進行過濾），那么您可以通過Cisco路由器中已有的擴展訪問控制列表來實現過濾。但如果您想要防火墻具備更強大的功能，那么您還需要加入防火墻/入侵檢測系統(FW/IDS)。由于篇幅有限，在這里我就不講述如何配置防火墻/入侵檢測系統(FW/IDS)，主要講解一下配置最基本防火墻的常用命令。有興趣的朋友可以根據以下命令嘗試配置一下。

1. ccess-list 用于創建訪問規則。
（1）創建標準訪問列表
access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ]
（2）創建擴展訪問列表
access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]
（3）刪除訪問列表
no access-list { normal | special } { all | listnumber [ subitem ] }
參數說明如下：
normal 指定規則加入普通時間段。
special 指定規則加入特殊時間段。
listnumber1 是1到99之間的一個數值，表示規則是標準訪問列表規則。
listnumber2 是100到199之間的一個數值，表示規則是擴展訪問列表規則。
permit 表明允許滿足條件的報文通過。
deny 表明禁止滿足條件的報文通過。
protocol 為協議類型，支持ICMP、TCP、UDP等，其他的協議也支持，此時沒有端口比較的概念；為IP時有特殊含義，代表所有的IP協議。
source-addr 為源地址。
source-mask 為源地址通配位，在標準訪問列表中是可選項，不輸入則代表通配位為0.0.0.0。
dest-addr 為目的地址。
dest-mask 為目的地址通配位。
operator[可選] 端口操作符，在協議類型為TCP或UDP時支持端口比較，支持的比較操作有：等于（eq）、大于（gt）、小于（lt）、不等于（neq）或介于（range）；如果操作符為range，則后面需要跟兩個端口。
port1 在協議類型為TCP或UDP時出現，可以為關鍵字所設定的預設值（如telnet）或0～65535之間的一個數值。
port2 在協議類型為TCP或UDP且操作類型為range時出現；可以為關鍵字所設定的預設值（如telnet）或0～65535之間的一個數值。
icmp-type[可選] 在協議為ICMP時出現，代表ICMP報文類型；可以是關鍵字所設定的預設值（如echo-reply）或者是0~255之間的一個數值。
icmp-code在協議為ICMP且沒有選擇所設定的預設值時出現；代表ICMP碼，是0～255之間的一個數值。
log [可選] 表示如果報文符合條件，需要做日志。
listnumber 為刪除的規則序號，是1～199之間的一個數值。
subitem[可選] 指定刪除序號為listnumber的訪問列表中規則的序號。
例：允許源地址為86.101.1.0 網絡、目的地址為86.101.2.0網絡的WWW訪問，但不允許使用FTP。
Router(config)#access-list 100 permit tcp 86.101.1.0 255.255.255.0 86.101.2.0 255.255.255.0 eq www
Router(config)#access-list 100 deny tcp 86.101.1.0 255.255.255.0 86.101.2.0 255.255.255.0 eq ftp
2. clear access-list counters清除訪問列表規則的統計信息。
具體格式為：clear access-list counters [ listnumber ]
參數說明如下：
listnumber [可選] 要清除統計信息的規則的序號，如不指定，則清除所有的規則的統計信息。
例：清除當前所使用的序號為60的規則的統計信息。
Router #clear access-list counters 60
3. firewall 啟用或禁止防火墻。
具體格式為：firewall { enable | disable }
參數說明如下：
enable 表示啟用防火墻。
disable 表示禁止防火墻。
例：啟用防火墻。
Router (config)#firewall enable
4. firewall default 配置防火墻在沒有相應的訪問規則匹配時，缺省的過濾方式。
具體格式為：firewall default { permit | deny }
參數說明如下：
permit 表示缺省過濾屬性設置為“允許”。
deny 表示缺省過濾屬性設置為“禁止”。
例：設置缺省過濾屬性為“允許”。
Router (config)#firewall default permit
5. ip access-group 使用此命令將規則應用于接口上。使用此命令的no形式來刪除相應的設置。
具體格式為：ip access-group listnumber { in | out }
[ no ] ip access-group listnumber { in | out }
參數說明如下：
listnumber 為規則序號，是1~199之間的一個數值。
in 表示規則用于過濾從接口收上來的報文。
out 表示規則用于過濾從接口轉發的報文。
例：將規則101應用于過濾從以太網口收上來的報文。
Router (config-if-Ethernet0)#ip access-group 101 in
6. settr 設定或取消特殊時間段。
具體格式為：settr begin-time end-time
            no settr
參數說明如下：
begin-time 為一個時間段的開始時間。
end-time 為一個時間段的結束時間，應該大于開始時間。
例：設置時間段為9:30～12:00，13:00～17:00。
Router (config)#settr 9:30 12:00 13:00 17:00
7. show access-list 顯示包過濾規則及在接口上的應用。
具體格式為：
show access-list [ all | listnumber | interface interface-name ]
參數說明如下：
all 表示所有的規則，包括普通時間段內及特殊時間段內的規則。
listnumber 為顯示當前所使用的規則中序號為listnumber的規則。
interface 表示要顯示在指定接口上應用的規則序號。
interface-name 為接口的名稱。
例1：顯示當前所使用的序號為100的規則。
Router #show access-list 100
Using normal packet-filtering access rules now.
100 deny icmp 86.101.1.0 255.255.255.0 any host-redirect (3 matches,252 bytes -- rule 1)
100 permit icmp 86.101.1.0 255.255.255.0 any echo (no matches -- rule 2)100 deny udp any any eq rip (no matches -- rule 3)
例2：顯示接口Serial0上應用規則的情況。
Router #show access-list interface serial 0
Serial0:access-list filtering In-bound packets : 120
access-list filtering Out-bound packets: None
8.其他常用的命令。
show firewall：顯示防火墻狀態。
show isintr：顯示當前時間是否在時間段之內。
show timerange：顯示時間段包過濾的信息。
timerange { enable | disable }：啟用或禁止時間段包過濾功能。
以上的這些命令只是用來配置最基本的Cisco IOS防火墻。其實，Cisco公司已經推出了比Cisco IOS防火墻更為高端的PIX防火墻產品，但由于其價格昂貴，目前中小型企業購置的還不是很多。

,

原文轉自：http://www.kjueaiud.com