第一篇：VLAN間路由配置心得體會(huì)

VLAN間路由配置心得體會(huì)

眾所周知，第二層平面網(wǎng)絡(luò)的擴(kuò)展性不佳，各站點(diǎn)發(fā)送數(shù)據(jù)包前要廣播查詢目的地的MAC地址。由于大量應(yīng)用層軟件需要廣播傳送某些數(shù)據(jù)包，而這些數(shù)據(jù)廣播包只需發(fā)向某一組用戶，如果此時(shí)沒有VLAN(Virtual Local Area Network)，這些數(shù)據(jù)包會(huì)占用大量網(wǎng)絡(luò)資源，使正常數(shù)據(jù)包無法獲得帶寬，從而嚴(yán)重影響網(wǎng)絡(luò)效率及性能。VLAN依靠用戶的邏輯設(shè)定將原來物理上互聯(lián)的一個(gè)局域網(wǎng)絡(luò)劃分為多個(gè)虛擬網(wǎng)段，即在兩層交換機(jī)的邏輯上劃分若干LAN(廣播域)，將廣播信息、組播信息等限制在特定的一組端口上，從而為限制全網(wǎng)范圍的廣播和多點(diǎn)廣播提供有效手段。在網(wǎng)絡(luò)設(shè)計(jì)中，應(yīng)選擇切實(shí)可行的技術(shù)進(jìn)行VLAN的靈活劃分。劃分可依據(jù)設(shè)備所連的端口、用戶節(jié)點(diǎn)的MAC地址等，劃分的結(jié)果是使同一個(gè)VLAN內(nèi)的數(shù)據(jù)可自由通信。不同VLAN間的數(shù)據(jù)交流需要通過第三層交換完成。即通過跨越交換機(jī)劃分VLAN，從而高性能地實(shí)現(xiàn)VLAN之間的路由，提高帶寬利用率和網(wǎng)絡(luò)性能，增強(qiáng)網(wǎng)絡(luò)應(yīng)用的靈活性和安全性。

二、VLAN在網(wǎng)絡(luò)中的典型劃分VLAN在網(wǎng)絡(luò)中的典型劃分如圖1所示。VLAN通常與IP網(wǎng)絡(luò)是相關(guān)聯(lián)的，例如特定IP子網(wǎng)中的所有工作端屬于同一個(gè)VLAN，不同VLAN之間必須通過路由器或具有路由器功能的模塊才能通信。VLAN可以是動(dòng)態(tài)的，也可以是靜態(tài)的。所謂動(dòng)態(tài)VLAN就是基于工作站的MAC地址，即根據(jù)工作站上網(wǎng)卡的48位硬件地址劃分的VLAN。動(dòng)態(tài)VLAN主要是通過每臺(tái)交換機(jī)所連接工作站的MAC地址，它將一組MAC地址劃分在同一邏輯組中，其中的成員不會(huì)因地理位置的改變而改變(這種方法僅用于局域網(wǎng))。靜態(tài)VLAN是一種具有固定地理位置的劃分方法，它基于交換機(jī)端口的劃分，可以通過對(duì)交換機(jī)的適當(dāng)設(shè)置，將同一個(gè)交換機(jī)或不同交換機(jī)上的一組端口劃分在同一個(gè)VLAN中。VTP(VLAN Trunk Protocol)協(xié)議主要用于多臺(tái)局域網(wǎng)交換機(jī)互聯(lián)情況下有效管理VLAN的配置。VTP Domain 也叫VLAN的管理域，它由具有相同管理域名稱的交換機(jī)組成，每個(gè)交換機(jī)只能位于一個(gè)VTP域中，這樣便可以通過命令行(CLI)方式或簡單的網(wǎng)絡(luò)管理協(xié)議(SNMP)來完成整個(gè)Domain中VLAN的設(shè)置(在缺省狀態(tài)下，交換機(jī)處于非管理域中)。由于一個(gè)端口只能同時(shí)屬于一個(gè)VLAN，那么當(dāng)兩臺(tái)交換機(jī)聯(lián)機(jī)后，屬于不同VLAN的數(shù)據(jù)包如何通過級(jí)聯(lián)端口到達(dá)另一臺(tái)交換機(jī)，數(shù)據(jù)包到達(dá)另一臺(tái)交換機(jī)后又如何交換呢？我們可以使用交換機(jī)中的Trunk功能。兩臺(tái)交換機(jī)之間的Trunk關(guān)系以及Trunk中所使用的ISL和802．1Q協(xié)議是可以通過雙方協(xié)商建立的，總共有5種工作方式：On、Off、Desirable、Auto(Trunk端口缺省模式)和Nonegotiate(交換機(jī)與路由器之間的Trunk)。VLAN的配置實(shí)現(xiàn)交換機(jī)可以分為基于Set命令的和基于IOS的兩類。交換機(jī)的平臺(tái)不同，具體設(shè)置命令也有所不同，但各種配置的基本原理及設(shè)置思路都是一樣的。就VLAN的設(shè)置來講，其基本步驟包括：配置VTP 域、建立新的VLAN、將端口分配到目標(biāo)的VLAN之中。

三層交換實(shí)現(xiàn)vlan間路由與dhcp配置：

實(shí)驗(yàn)拓?fù)鋱D

實(shí)驗(yàn)?zāi)康模?/p>

讓sw1與sw2屬于vlan 1，pc1與pc3屬于vlan 2，pc2與pc4屬于vlan 3，在sw1上配置vlan間路由和dhcp，其他設(shè)備從dhcp獲取地址，并實(shí)現(xiàn)vlan間通信。

sw1配置: Router>en Router#conf t Router(config)#line console 0 Router(config-line)#password abc Router(config-line)#login Router(config-line)#logging synchronous

//設(shè)置同步，不讓信息影響操作

Router(config-line)#exec-timeout 0 0

//設(shè)置永不超時(shí)，防止cpu占用率100%,(只在模擬器上設(shè)置）

Router(config-line)#exi Router(config)#no ip domain lookup

//關(guān)閉域名解析功能 Router(config)#no ip routing

//關(guān)閉路由功能 Router(config)#hostname sw1 sw1(config)#in vlan 1 sw1(config-if)#ip add 192.168.0.1 255.255.255.0

//配置vlan 1 IP地址 sw1(config-if)#no shut sw1(config-if)#exi sw1(config)#vlan 2

//創(chuàng)建vlan 2 sw1(config-vlan)#name v2

sw1(config-vlan)#vlan 3 sw1(config-vlan)#name v3 sw1(config-vlan)#exi sw1(config)#in fa1/1 sw1(config-if)#switchport mode access

//設(shè)置端口為訪問端口（默認(rèn)值）sw1(config-if)#switchport access vlan 2

//讓接口屬于vlan 2成員 sw1(config-if)#in fa1/2 sw1(config-if)#switchport mode access sw1(config-if)#switchport access vlan 3 sw1(config-if)#exi sw1(config)#in fa1/15 sw1(config-if)#switchport mode trunk

//設(shè)置端口為中繼端口

sw1(config-if)#switchport trunk encapsulation dot1q

//端口的封裝類型 sw1(config-if)#exi sw1(config)#vtp mode server

//設(shè)置為vtp的服務(wù)模式 sw1(config)#vtp domain aaa

//設(shè)置vtp的域名 sw1(config)#vtp password abc

//設(shè)置vtp的密碼 sw1(config)#vtp pruning

//啟用vtp修剪功能

實(shí)現(xiàn)dhcp功能：

sw1(config)#ipdhcp pool v1

//創(chuàng)建一個(gè)dhcp地址池，名為v1 sw1(dhcp-config)#network 192.168.0.0 /24

//要分配的網(wǎng)段 sw1(dhcp-config)#default-router 192.168.0.1

//默認(rèn)網(wǎng)關(guān) sw1(dhcp-config)#lease 4

//租約 sw1(dhcp-config)#exi sw1(config)#ipdhcp pool v2 sw1(dhcp-config)#network 192.168.1.1 /24 sw1(dhcp-config)#default-router 192.168.1.1 sw1(dhcp-config)#lease 4 sw1(dhcp-config)#exi sw1(config)#ipdhcp pool v3 sw1(dhcp-config)#network 192.168.2.0 255.255.255.0 sw1(dhcp-config)#default-router 192.168.2.1 sw1(dhcp-config)#lease 4 sw1(dhcp-config)#exi sw1(config)#ipdhcp excluded-address 192.168.0.1

//不分配的地址 sw1(config)#ipdhcp excluded-address 192.168.1.1 sw1(config)#ipdhcp excluded-address 192.168.2.1

實(shí)現(xiàn)vlan間路由：

sw1(config)#ip routing

啟用路由功能（因?yàn)閯偛抨P(guān)閉了）sw1(config)#in vlan 2 sw1(config-if)#ip add 192.168.1.1 255.255.255.0 sw1(config-if)#no shut sw1(config-if)#exi sw1(config)#in vlan 3 sw1(config-if)#ip add 192.168.2.1 255.255.255.0 sw1(config-if)#no shut sw1(config-if)#exi

sw2配置: Router>en Router#conf t Router(config)#line console 0 Router(config-line)#password abc Router(config-line)#login Router(config-line)#logging synchronous Router(config-line)#exec-timeout 0 0 Router(config-line)#exi Router(config)#no ip domain lookup Router(config)#no ip routing Router(config)#hostname sw2 sw2(config)#in f1/15 sw2(config-if)#switchport mode trunk

//設(shè)為中繼端口

sw2(config-if)#switchport trunk encapsulation dot1q

//端口封裝類型 sw2(config-if)#exi sw2(config)#vtp mode client

//設(shè)為vtp客戶模式 sw2(config)#vtp domain aaa sw2(config)#vtp password abc sw2(config)#vtp pruning sw2(config)#in vlan 1 sw2(config-if)#ip add dhcp

//IP地址設(shè)為從DHCP獲取 sw2(config-if)#exi sw2(config)#in f1/0 sw2(config-if)#switchport mode access

//設(shè)置為訪問端口 sw2(config-if)#switchport access vlan 2

//將接口分配到vlan 2 sw2(config-if)#in f1/1 sw2(config-if)#switchport mode access sw2(config-if)#switchport access vlan 3 sw2(config-if)#end

每個(gè)PC機(jī)的設(shè)置都一樣。如下： pc: Router>en Router#conf t Router(config)#line console 0 Router(config-line)#password abc Router(config-line)#login Router(config-line)#logging synchronous Router(config-line)#exec-timeout 0 0 Router(config-line)#exi Router(config)#no ip domain lookup Router(config)#no ip routing Router(config)#hostname pc2 pc2(config)#in f0/0 pc2(config-if)#ip add dhcp

//從DHCP獲取IP地址 pc2(config-if)#no shut pc2(config-if)#end

總結(jié)：

首先為交換機(jī)創(chuàng)建VLAN，并且把VLAN分配給端口。設(shè)置主要端口的TRUNK模式目的是與路由器通訊。其次，路由器啟用子接口、封裝VLAN并設(shè)置ip。最后設(shè)置模擬Pc就可以了。

第二篇：實(shí)驗(yàn)五利用三層交換機(jī)實(shí)現(xiàn)VLAN間路由總結(jié)

實(shí)驗(yàn)5 利用三層交換機(jī)實(shí)現(xiàn)VLAN間路由

采用單臂路由的方式實(shí)現(xiàn)VLAN間的路由具有速度慢（受到接口帶寬限制）、轉(zhuǎn)發(fā)速率低（路由器采用軟件轉(zhuǎn)發(fā)，轉(zhuǎn)發(fā)速率比采用硬件轉(zhuǎn)發(fā)方式的交換機(jī)慢）的缺點(diǎn)，容易產(chǎn)生瓶頸，所以現(xiàn)在的網(wǎng)絡(luò)中，一般都采用三層交換機(jī)，以三層交換的方式來實(shí)現(xiàn)VLAN間的路由。

三層交換機(jī)，本質(zhì)上就是帶有路由功能的二層交換機(jī)，我們可以將它簡單地看成是一臺(tái)路由器和一臺(tái)二層交換機(jī)的疊加。三層交換機(jī)是將二層交換機(jī)和路由器兩者的優(yōu)勢有機(jī)而智能化地結(jié)合起來，它可在各個(gè)層次提供線速轉(zhuǎn)發(fā)性能。在一臺(tái)三層交換機(jī)內(nèi)，分別設(shè)置了交換機(jī)模塊和路由器模塊；而內(nèi)置的路由模塊與交換模塊類似，也使用ASIC硬件處理路由。因此，與傳統(tǒng)的路由器相比，三層交換機(jī)可以實(shí)現(xiàn)高速路由，并且，路由與交換模塊是匯集鏈接的，由于是內(nèi)部鏈接，可以確保相當(dāng)大的寬帶。

由于在三層交換機(jī)上。IP路由功能是默認(rèn)開啟的，因此在特權(quán)模式下，通過如下步驟，便可以配置SVI（交換虛擬接口）接口實(shí)現(xiàn)VLAN間的路由：

1.Switch#configure terminal

進(jìn)入全局配置模式。

2.Switch(config)#interface vlan vlan-id

進(jìn)入SVI接口配置模式。

3.Switch(config-if)#ip address ip-address mask

給VLAN的SVI接口配置IP地址。這些IP地址將作為各個(gè)VLAN內(nèi)主機(jī)的網(wǎng)關(guān)，并且，這些SVI接口所在的網(wǎng)段也會(huì)作為直連路由出現(xiàn)在三層交換機(jī)的路由表中。

直連路由是指：為三層交設(shè)備的接口配置IP地址，并且激活該端口，三層設(shè)備會(huì)自動(dòng)產(chǎn)生該接口IP所在網(wǎng)段的直連路由信息。

SVI是指：為交換機(jī)中得VLAN創(chuàng)建虛擬接口，并且配置IP地址。4.Switch(config-if)#end 回到特權(quán)命令模式。

5.Switch#show running-config 檢查一下剛才的配置是否正確。6.Switch#show ip route 檢查配置SVI接口所在的網(wǎng)段是否已經(jīng)出現(xiàn)在路由表中。注意：只有當(dāng)VLAN內(nèi)有激活的接口時(shí)，即有主機(jī)連入該VLAN時(shí)，該VLAN的SVI接口所在的網(wǎng)段才會(huì)出現(xiàn)在路由表中。

7.如果需要保存剛才的配置結(jié)果，可以繼續(xù)使用write命令或者copy命令保存配置。在交換機(jī)網(wǎng)絡(luò)中，通過VLAN對(duì)一個(gè)物理網(wǎng)絡(luò)進(jìn)行邏輯劃分，不同的VLAN之間無法直接訪問的，必須通過三層的路由設(shè)備進(jìn)行連接。一般利用路由器或三層交換機(jī)來實(shí)現(xiàn)不同VLAN之間的互相訪問。三層交換機(jī)和路由器具備網(wǎng)絡(luò)層的功能，能夠根據(jù)數(shù)據(jù)的IP包頭信息，進(jìn)行選路和轉(zhuǎn)發(fā)，從而實(shí)現(xiàn)不同網(wǎng)段之間的訪問。

三層交換機(jī)實(shí)現(xiàn)VLAN互訪的原理是，利用三層交換機(jī)的路由功能，通過識(shí)別數(shù)據(jù)包的IP地址，查找路由表進(jìn)行選路轉(zhuǎn)發(fā)。三層交換機(jī)利用直連路由可以實(shí)現(xiàn)不同VLAN之間的互相訪問。三層交換機(jī)給接口配置IP地址，采用SVI的方式實(shí)現(xiàn)VLAN間互聯(lián)。

實(shí)驗(yàn)中必須注意的事項(xiàng)：（1）、兩臺(tái)交換機(jī)之間連接的端口應(yīng)該設(shè)置為tag vlan模式。（2）、為SVI端口設(shè)置IP地址后，一定要使用no shutdown命令進(jìn)行激活，否則無法正常使用。

（3）、如果VLAN內(nèi)沒有激活端口，相應(yīng)VLAN的SVI端口將無法被激活。（4）、需要設(shè)置PC的網(wǎng)關(guān)為相應(yīng)VLAN的SVI接口地址。

這次的實(shí)驗(yàn)跟實(shí)驗(yàn)三非常相似，只是多了“在三層交換機(jī)上配置SVI端口”這一步。

第三篇：動(dòng)態(tài)路由配置實(shí)驗(yàn)報(bào)告

實(shí)驗(yàn)名稱：姓

名：專

業(yè)：班

級(jí)：學(xué)

號(hào)：指導(dǎo)教師：實(shí)驗(yàn)日期：

動(dòng)態(tài)路由的配置

江西理工大學(xué)南昌校區(qū)

實(shí)驗(yàn)報(bào)告

【實(shí)驗(yàn)?zāi)康摹?/p>

1.學(xué)會(huì)用配置靜態(tài)路由； 2.學(xué)會(huì)用RIP協(xié)議配置動(dòng)態(tài)路由。

【實(shí)驗(yàn)原理】

動(dòng)態(tài)路由是網(wǎng)絡(luò)中的路由器之間相互通信，傳遞路由信息，利用收到的路由信息更新路由器表的過程。它能實(shí)時(shí)地適應(yīng)網(wǎng)絡(luò)結(jié)構(gòu)的變化。如果路由更新信息表明發(fā)生了網(wǎng)絡(luò)變化，路由選擇軟件就會(huì)重新計(jì)算路由，并發(fā)出新的路由更新信息。這些信息通過各個(gè)網(wǎng)絡(luò)，引起各路由器重新啟動(dòng)其路由算法，并更新各自的路由表以動(dòng)態(tài)地反映網(wǎng)絡(luò)拓?fù)渥兓?。?dòng)態(tài)路由適用于網(wǎng)絡(luò)規(guī)模大、網(wǎng)絡(luò)拓?fù)鋸?fù)雜的網(wǎng)絡(luò)。

RIP采用距離向量算法，即路由器根據(jù)距離選擇路由，所以也稱為距離向量協(xié)議。路由器收集所有可到達(dá)目的地的不同路徑，并且保存有關(guān)到達(dá)每個(gè)目的地的最少站點(diǎn)數(shù)的路徑信息，除到達(dá)目的地的最佳路徑外，任何其它信息均予以丟棄。同時(shí)路由器也把所收集的路由信息用RIP協(xié)議通知相鄰的其它路由器。這樣，正確的路由信息逐漸擴(kuò)散到了全網(wǎng)。

【實(shí)驗(yàn)步驟】

1.在Packet Tracer軟件環(huán)境當(dāng)中搭建實(shí)驗(yàn)環(huán)境，并畫出如下拓?fù)鋱D，共使用4臺(tái)路由器，5臺(tái)PC機(jī)，1臺(tái)交換機(jī)，其中兩個(gè)路由器之間用交叉線連接，交換機(jī)與其他設(shè)備都用直通線連接。

圖一 網(wǎng)絡(luò)拓?fù)鋱D

江西理工大學(xué)南昌校區(qū)

實(shí)驗(yàn)報(bào)告

2.按照事先想好的如上圖中標(biāo)示的地址在計(jì)算機(jī)中設(shè)置好IP地址，子網(wǎng)掩碼，默認(rèn)網(wǎng)關(guān)。如設(shè)置PC1的相關(guān)截圖如下：

圖二 PC1的IP地址

圖三 PC1的網(wǎng)關(guān)

3．利用ping命令測試同一網(wǎng)段的兩臺(tái)PC機(jī)之間的連通性，若出現(xiàn)Reply from語句則表示兩臺(tái)PC機(jī)之間相互連通了，若出現(xiàn)Request timed out則表示還沒有連 3 江西理工大學(xué)南昌校區(qū)

實(shí)驗(yàn)報(bào)告

通，如下圖所示是測試同一網(wǎng)段的PC0和PC4之間的連通性，出現(xiàn)Reply from語句，表示兩臺(tái)計(jì)算機(jī)之間連通了。

圖四 用ping命令測試連通性

4.在路由器中分別添加與之相連的網(wǎng)段的網(wǎng)絡(luò)號(hào)，相關(guān)截圖如下：

圖五 路由器設(shè)置

5.利用ping命令測試不同網(wǎng)段的PC機(jī)（PC1和PC3）之間的連通性，測試結(jié)果如下，結(jié)果表明連通了。江西理工大學(xué)南昌校區(qū)

實(shí)驗(yàn)報(bào)告

圖六 用ping命令測試連通性

【實(shí)驗(yàn)總結(jié)】

經(jīng)過第一次實(shí)驗(yàn)的鍛煉，此時(shí)實(shí)驗(yàn)簡單了很多。在課上老師講的很詳細(xì)，我們跟著老師的步驟操作，比較輕松的就完成了此次實(shí)驗(yàn)，在實(shí)驗(yàn)中熟練掌握動(dòng)態(tài)路由協(xié)議RIP及RIP路由協(xié)議的配置方法、熟悉配置RIP路由表項(xiàng)的基本操作步驟、掌握在小型規(guī)模網(wǎng)絡(luò)中配置實(shí)現(xiàn)RIP距離矢量類路由協(xié)議的方法等。通過此次試驗(yàn)感覺學(xué)到了不少東西，收獲感很強(qiáng)。

第四篇：思科交換機(jī)學(xué)習(xí)第八課：路由器單臂路由配置實(shí)現(xiàn)vlan互通

Switch>enable

2960 Switch#configure terminal Switch(config)#vlan 2 Switch(config-vlan)#exit

第一步 創(chuàng)建vlan Switch(config)#vlan 3 Switch(config-vlan)#exit Switch(config)#interface fastEthernet 0/2 Switch(config-if)#switchport access vlan 2 Switch(config-if)#exit Switch(config)#interface fastEthernet 0/3

端口劃分vlan Switch(config-if)#switchport access vlan 3 Switch(config-if)#exit Switch(config)#interface fastEthernet 0/1 Switch(config-if)#switchport mode trunk

交換機(jī)跟路由器連接的端口改為trunk Switch(config-if)#exit

Router>enable

開啟路由器端口 Router#configure terminal

Router(config)#interface fastEthernet 0/0 Router(config-if)#no shutdown Router(config-if)#exit Router(config)#interface fastEthernet 0/0.1

進(jìn)入子端口 Router(config-subif)# %LINK-5-CHANGED: Interface FastEthernet0/0.1, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0.1, changed state to up

Router(config-subif)#encapsulation dot1Q 2 Router(config-subif)#ip address 192.168.1.1 255.255.255.0 Router(config-subif)#exit Router(config)#interface fastEthernet 0/0.2

進(jìn)入子端口 Router(config-subif)# %LINK-5-CHANGED: Interface FastEthernet0/0.2, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0.2, changed state to up

Router(config-subif)#encapsulation dot1Q 3 Router(config-subif)#ip address 192.168.2.1 255.255.255.0 Router(config-subif)#end Router#show ip route

Codes: Cstatic, IRIP, MBGP

DEIGRP external, OOSPF inter area

N1OSPF NSSA external type 2

E1OSPF external type 2, EIS-IS, L1IS-IS level-2, iacandidate default, UODR

P-periodic downloaded static route

Gateway of last resort is not set

C

192.168.1.0/24 is directly connected, FastEthernet0/0.1 C

192.168.2.0/24 is directly connected, FastEthernet0/0.2

dot1q就是802.1q,是vlan的一種封裝方式。

cisco模擬器中dot1Q 2是什么意思? 答

封裝為dot1q，這個(gè)是trunk的封裝

后面的2是VLAN ID，指的就是路由下聯(lián)的交換機(jī)上劃分的VLAN號(hào)

第五篇：畢業(yè)論文 LINUX路由防火墻配置

LINUX路由防火墻配置 加上摘要、關(guān)鍵字 LINUX系統(tǒng)應(yīng)用概述（安全方面應(yīng)用）防火墻的功能介紹 防火墻規(guī)則配置 防火墻路由配置 防火墻NAT配置

RedHat Linux 為增加系統(tǒng)安全性提供了防火墻保護(hù)。防火墻存在于你的計(jì)算機(jī)和網(wǎng)絡(luò)之間，用來判定網(wǎng)絡(luò)中的遠(yuǎn)程用戶有權(quán)訪問你的計(jì)算機(jī)上的哪些資源。一個(gè)正確配置的防火墻可以極大地增加你的系統(tǒng)安全性。

其中有以下幾種配置方式：

高級(jí)：如只有以下連接是果你選擇了「高級(jí)」，你的系統(tǒng)就不會(huì)接受那些沒有被你具體指定的連接（除了默認(rèn)設(shè)置外）。默認(rèn)允許的： DNS回應(yīng)

DHCP — 任何使用 DHCP 的網(wǎng)絡(luò)接口都可以被相應(yīng)地配置。如果你選擇「高級(jí)」，你的防火墻將不允許下列連接

1．活躍狀態(tài)FTP（在多數(shù)客戶機(jī)中默認(rèn)使用的被動(dòng)狀態(tài)FTP應(yīng)該能夠正常運(yùn)行。）2.IRC DCC 文件傳輸

3.RealAudio 4.遠(yuǎn)程 X 窗口系統(tǒng)客戶機(jī) 如果你要把系統(tǒng)連接到互聯(lián)網(wǎng)上，但是并不打算運(yùn)行服務(wù)器，這是最安全的選擇。

如果需要額外的服務(wù)，你可以選擇 「定制」 來具體指定允許通過防火墻的服務(wù)。注記:如果你在安裝中選擇設(shè)置了中級(jí)或高級(jí)防火墻，網(wǎng)絡(luò)驗(yàn)證方法（NIS 和 LDAP）將行不通。

中級(jí)：如果你選擇了「中級(jí)」，你的防火墻將不準(zhǔn)你的系統(tǒng)訪問某些資源。訪問下列資源是默認(rèn)不允許的：

1.低于1023 的端口 — 這些是標(biāo)準(zhǔn)要保留的端口，主要被一些系統(tǒng)服務(wù)所使用，例如： FTP、SSH、telnet、HTTP、和 NIS。2.NFS 服務(wù)器端口（2049）— 在遠(yuǎn)程服務(wù)器和本地客戶機(jī)上，NFS 都已被禁用。3.為遠(yuǎn)程 X 客戶機(jī)設(shè)立的本地 X 窗口系統(tǒng)顯示。4.X 字體服務(wù)器端口（xfs 不在網(wǎng)絡(luò)中監(jiān)聽；它在字體服務(wù)器中被默認(rèn)禁用）。

如果你想準(zhǔn)許到RealAudio之類資源的訪問，但仍要堵塞到普通系統(tǒng)服務(wù)的訪問，選擇 「中級(jí)」。你可以選擇 「定制」 來允許具體指定的服務(wù)穿過防火墻。

注記:如果你在安裝中選擇設(shè)置了中級(jí)或高級(jí)防火墻，網(wǎng)絡(luò)驗(yàn)證方法（NIS 和 LDAP）將行不通。

無防火墻：無防火墻給予完全訪問權(quán)并不做任何安全檢查。安全檢查是對(duì)某些服務(wù)的禁用。

建議你只有在一個(gè)可信任的網(wǎng)絡(luò)（非互聯(lián)網(wǎng)）中運(yùn)行時(shí)，或者你想稍后再進(jìn)行詳細(xì)的防火墻配置時(shí)才選此項(xiàng)。選擇 「定制」 來添加信任的設(shè)備或允許其它的進(jìn)入接口。

信任的設(shè)備：選擇「信任的設(shè)備」中的任何一個(gè)將會(huì)允許你的系統(tǒng)接受來自這一設(shè)備的全部交通；它不受防火墻規(guī)則的限制。

例如，如果你在運(yùn)行一個(gè)局域網(wǎng)，但是通過PPP撥號(hào)連接到了互聯(lián)網(wǎng)上，你可以選擇「eth0」，而后所有來自你的局域網(wǎng)的交通將會(huì)被允許。

把「eth0」選為“信任的”意味著所有這個(gè)以太網(wǎng)內(nèi)的交通都是被允許的，但是ppp0接口仍舊有防火墻限制。如果你想限制某一接口上的交通，不要選擇它。建議你不要將連接到互聯(lián)網(wǎng)之類的公共網(wǎng)絡(luò)上的設(shè)備定為 「信任的設(shè)備」。

允許進(jìn)入：啟用這些選項(xiàng)將允許具體指定的服務(wù)穿過防火墻。注意：在工作站類型安裝中，大多數(shù)這類服務(wù)在系統(tǒng)內(nèi)沒有被安裝。

DHCP：如果你允許進(jìn)入的 DHCP 查詢和回應(yīng)，你將會(huì)允許任何使用 DHCP 來判定其IP地址的網(wǎng)絡(luò)接口。DHCP通常是啟用的。如果DHCP沒有被啟用，你的計(jì)算機(jī)就不能夠獲取 IP 地址。

SSH：Secure（安全）SHell（SSH）是用來在遠(yuǎn)程機(jī)器上登錄及執(zhí)行命令的一組工具。如果你打算使用SSH工具通過防火墻來訪問你的機(jī)器，啟用該選項(xiàng)。你需要安裝openssh-server 軟件包以便使用 SSH 工具來遠(yuǎn)程訪問你的機(jī)器。

TELNET：Telnet是用來在遠(yuǎn)程機(jī)器上登錄的協(xié)議。Telnet通信是不加密的，幾乎沒有提供任何防止來自網(wǎng)絡(luò)刺探之類的安全措施。建議你不要允許進(jìn)入的Telnet訪問。如果你想允許進(jìn)入的 Telnet 訪問，你需要安裝 telnet-server 軟件包。

HTTP：HTTP協(xié)議被Apache（以及其它萬維網(wǎng)服務(wù)器）用來進(jìn)行網(wǎng)頁服務(wù)。如果你打算向公眾開放你的萬維網(wǎng)服務(wù)器，請(qǐng)啟用該選項(xiàng)。你不需要啟用該選項(xiàng)來查看本地網(wǎng)頁或開發(fā)網(wǎng)頁。如果你打算提供網(wǎng)頁服務(wù)的話，你需要安裝 httpd 軟件包。啟用 「WWW(HTTP)」 將不會(huì)為 HTTPS 打開一個(gè)端口。要啟用 HTTPS，在 「其它端口」 字段內(nèi)注明。

SMTP：如果你需要允許遠(yuǎn)程主機(jī)直接連接到你的機(jī)器來發(fā)送郵件，啟用該選項(xiàng)。如果你想從你的ISP服務(wù)器中收取POP3或IMAP郵件，或者你使用的是fetchmail之類的工具，不要啟用該選項(xiàng)。請(qǐng)注意，不正確配置的 SMTP 服務(wù)器會(huì)允許遠(yuǎn)程機(jī)器使用你的服務(wù)器發(fā)送垃圾郵件。

FTP：FTP 協(xié)議是用于在網(wǎng)絡(luò)機(jī)器間傳輸文件的協(xié)議。如果你打算使你的 FTP 服務(wù)器可被公開利用，啟用該選項(xiàng)。你需要安裝 vsftpd 軟件包才能利用該選項(xiàng)。

其他端口：你可以允許到這里沒有列出的其它端口的訪問，方法是在 「其它端口」 字段內(nèi)把它們列出。格式為： 端口:協(xié)議。例如，如果你想允許 IMAP 通過你的防火墻，你可以指定 imap:tcp。你還可以具體指定端口號(hào)碼 要允許 UDP 包在端口 1234 通過防火墻，輸入 1234:udp。要指定多個(gè)端口，用逗號(hào)將它們隔開。

竅門:要在安裝完畢后改變你的安全級(jí)別配置，使用 安全級(jí)別配置工具。

在 shell 提示下鍵入 redhat-config-securitylevel 命令來啟動(dòng) 安全級(jí)別配置工具。如果你不是根用戶，它會(huì)提示你輸入根口令后再繼續(xù)。

運(yùn)行防火墻的計(jì)算機(jī)（以下稱防火墻）既連接外部網(wǎng)，又連接內(nèi)部網(wǎng)。一般情況下，內(nèi)部網(wǎng)的用戶不能直接訪問外部網(wǎng)，反之亦然。如果內(nèi)部網(wǎng)用戶要訪問外部網(wǎng)，必須先登錄到防火墻，由防火墻進(jìn)行IP地址轉(zhuǎn)換后，再由防火墻發(fā)送給外部網(wǎng)，即當(dāng)內(nèi)部網(wǎng)機(jī)器通過防火墻時(shí)，源IP地址均被設(shè)置（或稱偽裝，或稱欺騙）成外部網(wǎng)合法的IP地址。經(jīng)偽裝以后，在外部網(wǎng)看來，內(nèi)部網(wǎng)的機(jī)器是一個(gè)具有合法的IP地址的機(jī)器，因而可進(jìn)行通信。外部網(wǎng)用戶要訪問內(nèi)部網(wǎng)用戶時(shí)，也要先登錄到防火墻，經(jīng)過濾后，僅通過允許的服務(wù)。由此可見，防火墻在內(nèi)部網(wǎng)與外部網(wǎng)之間起到了兩個(gè)作用：(1)IP包過濾——保護(hù)作用；(2)路由——網(wǎng)絡(luò)互連作用。

硬件安裝：運(yùn)行Linux防火墻的計(jì)算機(jī)上必須安裝有兩塊網(wǎng)卡或一塊網(wǎng)卡、一塊Modem卡。本文以兩塊網(wǎng)卡為例。安裝網(wǎng)卡，正確設(shè)置中斷號(hào)及端口號(hào)，并為各網(wǎng)卡分配合適的IP地址。例如：eth0:172.16.77.99 255.255.255.0 Eth1:192.168.1.1 255.255.255.0 Iptables: 利用Iptables命令可以創(chuàng)建，刪除或插入鏈，并可以在鏈中創(chuàng)建，刪除或插入過濾規(guī)則。Iptables僅僅是一個(gè)包過濾管理工具，對(duì)過濾規(guī)則的執(zhí)行是通過LINUX的NETWORK PACKET FILTERING內(nèi)核和相關(guān)的支持模塊來實(shí)現(xiàn)的。

RED HAT LINUX在安裝時(shí)，也安裝了對(duì)舊版的IPCHAINS的支持，但是兩者不能同時(shí)使用，可以用以下命令卸下： Rmmod ipchains 然后可以檢查下Iptables是否安裝了： Rpm –q Iptables Iptables-1.2.7a-2 說明已經(jīng)安裝了Iptables Iptables有以下服務(wù)： 啟用：service Iptables start 重啟：service Iptables restart 停止：servixe Iptables stop 對(duì)鏈的操作：

1． 2． 查看鏈：Iptables –L 創(chuàng)建與刪除鏈：Iptables –N block block為新鏈

Iptables –X 為刪除鏈 3．

對(duì)規(guī)則的操作：

1． 2． 3． 4． 5． 6． 7． 刪除鏈中規(guī)則：Iptables –E 歸零封包記數(shù)器：Iptables –Z 設(shè)置鏈的默認(rèn)策略：Iptables –P 新增規(guī)則：Iptables –A 替換規(guī)則：Iptables –R 刪除規(guī)則：Iptables –D 插入規(guī)則：Iptables –I 更改鏈的名稱：Iptables-E 要禁止外網(wǎng)PING本機(jī)，可以執(zhí)行規(guī)則為：

Iptables –A INPUT –p icmp –-icmp-type echo-request –I ppp0 –j DROP 若要禁止220.174.156.22主機(jī)訪問本機(jī)，規(guī)則為： Iptables –A INPUT –s 220.174.156.22 –j DROP 規(guī)則的處理動(dòng)作： 1． 2． ACCEPT：允許封包通過或接收該封包

REJECT：攔截該封包，并回傳一個(gè)封包通知對(duì)方

3． 4． DROP：直接丟棄封包

5． 6． MASQUERADE：用于改寫封包的來源IP為封包流出的外網(wǎng)卡的IP地址，實(shí)現(xiàn)IP偽裝

假設(shè)外網(wǎng)卡為ETH0，則 ： iptables –t –nat –A –POSTROUTING –o ETH0-j SNAT –to 172.16.77.99

構(gòu)建路由: 增加一條靜態(tài)路由：

# route add-net 172.16.77.0 netmask 255.255.255.0 再增加一條靜態(tài)路由：

# route add-net 192.168.1.0 netmask 255.255.0.0 還要為系統(tǒng)增加一條缺省路由，因?yàn)槿笔〉穆酚墒前阉械臄?shù)據(jù)包都發(fā)往它的上一級(jí)網(wǎng)關(guān)

（假設(shè)地址是172.16.1.254，這個(gè)地址依賴于使用的網(wǎng)絡(luò)而定，由網(wǎng)絡(luò)管理員分配），因此增加如下的缺省路由記錄： # route add default gw 172.16.77.254 最后一步，要增加系統(tǒng)的IP轉(zhuǎn)發(fā)功能。這個(gè)功能由

執(zhí)行如下命令打開ip轉(zhuǎn)發(fā)功能： echo 1 > /proc/sys/net/ipv4/ip_forward 這樣我們的路由器基本上是配置好了 測試路由器的工作情況。