一. 基础知识
路由器: 路由器是工作在网络层的设备,路由器负责将数据分组从源端主机经最佳路径传送到目的端主机。 路由器主要用于同类或异类局域网以及局域网与广域网之间的互联。
路由器结构:(1) 中央处理单元(Central Processing Unit, CPU)
(2) 闪存(Flash Memory):类比计算机硬盘。 断电后数据仍可保存。 是一种可擦写、可编程类型的只读存储器(Read Only Memory)。 负责保存路由器当前使用的操作系统映像(image)文件和路由器的微码(microcode)。
(3) 只读存储器: 类比计算机CMOS。 包括开机诊断程序、引导程序和操作系统软件。 ROM是只读存储器,不能修改其中保存的内容。
(4) 随机存储器(Random Access Memory, RAM): 类比计算机内存。 是可读可写的存储器,用来保存路由表、ARP缓存、快速交换缓存等。 在关机和重新启动路由器之后,RAM里的数据会自动丢失。 (易失性)
(5) 非易失性RAM (Non-Volatile RAM, NVRAM):也是一个可读可写的存储器。 主要用于存储启动配置文件或备份配置文件。 断电后数据仍可保存。
(6) 接口:广域网接口、局域网接口、配置接口。 路由器的接口编号规则与交换机接口配置规则类似,都为接口类型+模块编号+"/"+端口号,如FastEthernet1/1标识第1号模块的第1号快速以太网接口。
路由器工作原理:(1)路由选择: 路由器根据目的IP地址的网络地址部分,通过路由选择算法确定一条从源节点到目的节点的最佳路径。
(2)分组转发: 目的IP地址全程不变,目的MAC地址逐跳修改。
(3)路由表: 包括:目的网络地址及其所对应的目的端口;下一跳路由器的名字;缺省路由的信息。
C-connected, S-static,R-RIP,O-OSPF
C192.168.2.0/24(目的网络地址) is directly connected, FastEthernet0/1 (目的端口号,直连路由没有下一跳地址)。
S * (默认路由) 0.0.0.0/0 [1/0] via 192.168.1.254(下一跳地址) ([]中前半部分为管理距离,后半部分为权值)。
路由信息来源 | 管理距离 |
直接 | 0 |
静态 | 1 |
OSPF | 110 |
RIP | 120 |
管理距离越小,说明路由的可信度越高。
路由器工作模式:
(1) 用户模式:router>
在该模式下,用户不能修改路由器配置,也不能查看路由器的配置信息。
(2) 特权模式: router#
Router>enbale (进入特权模式)
Password:
Router #
(3) 全局配置模式:router(config)#
在特权模式下输入"config terminal"即可进入全局配置模式:
Router # configure terminal
在全局配置模式下,进入接口配置模式
Router (config) #int f0/1
Router (config-if)#
在全局配置模式下,进入虚拟终端配置模式:
Router(config)#line vty 0 15
Router(config-line)#
在全局配置模式下,进入RIP路由协议配置模式:
Router(config)#router rip
Router(config-router)#
(4) RXBOOT模式(故障恢复模式):>
(5) 设置(SETUP)模式:新路由器第一次进行配置时,系统会自动进入设置模式。
二. 实训
1. 路由器配置方式与基本操作:
(1) 使用Console端口配置路由器:
与交换机的Console端口配置步骤一致。
(2) 使用TFTP(Cisco公司开发的一种简单文件传输协议)配置路由器
(3) 使用telnet配置路由器:
必须满足的条件:
作为模拟终端的计算机与路由器都必须与网络连通,它们之间必须能够相互通信。
计算机必须有访问路由器的权限。
路由器必须预先配置好远程登陆的密码。
2. 路由器的基本配置及常用命令
(1) 路由器基本信息的配置:
主要包括配置路由器主机名和超级用户口令。
i. 进入特权用户模式:
Router>enable
Router#
ii. 进入全局配置模式:
Router#configure terminal
iii. 配置主机名:
Router(config)#hostname router-test
Router(config)#
iv.配置系统时钟:
命令格式:calendar set hh:mm:ss <1-31>MONTH<1993-2005>
router-test# calendar set 20:26:00 3 may 2018
v. 配置超级用户口令:
router-test# configure terminal
router-test (config)# enable secret 111111 (设置超级用户明码密码)
router-test (config)# enable password 7 111111 (设置超级用户加密密码)
router-test (config)#
(2) 常用命令:
i. 配置保存:
对路由器进行初始配置或修改配置后,应及时保存配置,否则路由器重启后会丢失配置。 此时,可以在特权用户模式下,使用write命令来完成保存配置。
router-test>en (进入特权用户模式)
router-test#write memory (保存路由器配置到NVRAM中)
router-test#write network tftp (保存到TFTP服务器中)
若要删除路由器的全部配置,也可以在特权用户模式下,使用write命令:
router-test #write erase (清除配置文件)
ii. 退出
①从接口配置模式逐级退出到特权用户模式:
router-test (config-if) # exit
router-test (config) # exit
router-text #
②从接口配置模式直接退出到特权用户模式:
router-test (config-if) # end
router-test #
iii. ping命令(用于网络测试)
router-test>ping 192.168.1.1 (路由器的IP地址)
iv. show命令:
查看flash存储器信息及存储器中的文件:
router-test>show flash
查看软、硬件版本:
router-test>show version
查看系统时钟:
router-test>show clock
查看路由器配置文件:
router-test#show configuration
查看路由表:
router-text#show ip route
查看IP路由协议的信息:
router-test#show ip protocols
3. 路由器接口配置
路由器通过提供各种接口,来连接不同类型的网络,从而实现不同网络的互联。
(1) 路由器接口基本配置:
i. 配置接口描述信息:
router-test>en
router-test# configure terminal
router-test(config)#interface f0/1
router-test(config-if) #
ii. 配置接口带宽:
进入接口配置模式,使用bandwidth命令设置接口带宽,带宽单位是kbit/s。
router-test(config-if)# bandwidth 100000
iii. 配置接口描述信息:
用description命令:
router-test(config-if) #description link-to-lab
iv.配置接口地址:
使用ip address命令配置接口的IP地址:
命令格式:ip address <IP地址> <子网掩码>
router-test(config-if)# ip address 192.168.1.254 255.255.255.0
v.接口的开启与关闭:
进入接口配置模式,使用shutdown, no shutdown命令关闭和开启接口:
router-test(config-if)#shutdown (关闭接口)
router-test(config-if)#no shutdown (打开接口)
router-test(config-if)#
(2) 环回接口的配置(用于内部测试):
一旦配置后,总处于活动状态。
router-test(config)# interface loopback 0 (在全局配置模式下,敲入命令,loopback接口号范围为0-2 147 483 647)
router-test(config-if)# ip address 192.168.100.1 255.255.255.255 (全是网络位)
router-test(config-if)# no ip route-cache (禁用route-cache功能)
router-test(config-if)# no ip mroute-cache
router-test(config-if)#
(3)局域网接口配置:
标准以太网(10M)接口配置:
标准以太网接口的接口类型位Ethernet,可简写为e。
router-test(config)# interface Ethernet1
router-test(config-if)#description To-lab1
router-test(config-if)#ip address 192.168.1.1 255.255.255.0
router-test(config-if)#bandwidth 10000
router-test(config-if)#no shutdown
router-test(config-if)#exit
router-test(config)# exit
router-test#
快速以太网接口配置:
快速以太网的接口类型为FastEthernet,可简写为f。
router-test (config) # interface FastEthernet0/1
router-test (config-if)# description To-lab2
router-test (config-if)# ip address 192.168.2.1 255.255.255.0
router-test (config-if)# bandwidth 100000
router-test (config-if)# duplex half (设置工作模式为半双工)
router-test (config-if)# exit
router-test#
吉比特以太网接口配置:
吉比特以太网的接口类型为GigabitEthernet,可简写为g。
router-test (config)# interface GigabitEthernet0/0
router-test (config-if)# description To-lab3
router-test (config-if)# ip address 192.168.3.1 255.255.255.0
router-test (config-if)# bandwidth 1000000
router-test (config-if)# duplex full
router-test (config-if)# exit
router-test (config)# exit
router-test#
(4)广域网接口配置:
i.异步串行接口配置(使用路由拨号上网):
异步串行接口的接口类型为Async,可简写为a。
router-test (config)# interface Async1
router-test (config-if)#ip unnumbered ethernet0
router-test (config-if)#encapsulation ppp (封装协议为PPP,只支持PPP)
router-test (config-if)#async default ip address 192.168.1.1
router-test (config-if)#async dynamic routing
router-test (config-if)#async mode interactive (配置异步口PPP工作方式)
router-test (config-if)#no shutdown
router-test (config-if)#exit
router-test (config)#exit
router-test #
ii.高速同步串行接口配置:
高速同步串行接口类型的接口类型为Serial,可简写为s。 Serial接口主要用于帧中继,DDN专线,卫星,微波等广域网连接。
router-test (config)#interface Serial0/0
router-test (config-if)#description To-lab4
router-test (config-if)#bandwidth 2048 (配置接口带宽为2M,单位是kbit/s,这里用1024换算)。
router-test (config-if)#ip address 192.168.4.1 255.255.255.252
router-test (config-if)#encapsulation PPP (封装HDLC或PPP协议,HDLC为默认值)
router-test (config-if)#no shutdown
router-test (config-if)#exit
router-test (config)#exit
router-test #
iii.POS接口的配置:
POS(Packet over SONET/SDH)是一种利用SONET/SDH提供的高速传输通道直接传送IP数据包的技术。
在全局配置模式下,配置操作如下:
router-test(config)# interface POS0/1
router-test(config-if)#description To-lab5
router-test(config-if)#bandwidth 10000000
router-test(config-if)#ip address 192.168.5.1 255.255.255.252
router-test(config-if)#crc16 (可选的crc校验位是16和32)
router-test(config-if)#pos framing sonet (可选的帧格式是sdh和sonet)
router-test(config-if)#no ip directed-broadcast
router-test(config-if)#pos flag s1 s0 0 (s1s0=00表示是sonet帧的数据,s1s0=10(十进制2)表示是sdh帧的数据)
router-test(config-if)#no shutdown
router-test(config-if)#exit
router-test(config)#exit
router-test#
4. 路由器静态路由配置
静态路由是指由网络管理员手工配置的路由信息,使用静态路由协议时,路由器不能根据网络的实际情况动态地进行路由选择。
静态路由配置命令:
"ip route"命令在全局配置模式下配置,"no ip route"可删除静态路由配置。
命令格式: ip route <目的网络地址> <子网掩码> <下一跳路由器的IP地址>
router-test (config)# ip route 10.0.0.0 255.0.0.0 192.168.1.1
其中,默认路由的静态配置方式为:
ip route 0.0.0.0 0.0.0.0 下一跳路由器的IP地址
5. 动态路由协议配置
动态路由协议定义了一系列规则,它使用路由选择算法根据实测或估计的距离、时延和网络拓扑结构等度量权值,自动计算最佳路径、建立路由表。
由于互联网络太大,常常需要将一个互联网络分为若干“自治系统(autonomous system, AS)”。 一个“自治系统”是指由同一个管理员管理的一组网络和路由器。 每个自治系统都可以选择一个内部路由协议来处理该自治系统内部的路由。 但是,自治系统之间的路由通常只能使用一个外部路由协议来处理。
内部路由协议有:路由信息协议(RIP),内部网关路由协议(IGRP),开放式最短路径优先协议(OSPF)。
(1) RIP协议配置:(分为RIP1和RIP2,更新周期都是30s)
RIP(Routing Information Protocol,路由信息协议)选择具有最少“跳数(hop数)”的路由最为最佳路径。 它所能接受的最长距离是15跳。 (RIP协议中16=“无限”)
RIP2最大的特点是支持路由更新认证功能、多点广播路由更新功能和支持可变长掩码(VLSM)。
RIP协议的主要配置命令:
i. router rip命令:
该命令用于启动RIP协议,开始RIP进程。
router-test (config)# router rip
ii. network命令:
该命令用于设置参与RIP协议的网络地址,命令格式:network <网络IP地址>
router-test (config)# router rip
router-test (config-router)# network 192.168.0.0
iii.passive-interface命令(配置被动接口)
该命令用于指定被动接口(路由更新报文不再通过该路由器的接口)
命令格式:passive-interface <接口>
router-test(config)# router rip
router-test(config-router)#passive-interface FastEthernet0/1 (只收不发)
router-test(config-router)#exit
router-test(config)#exit
router-test#
(2) OSPF协议配置:
Open Shortest Path First(开放最短路由优先协议)
OSPF基本配置命令说明:
i. router ospf: 用来启动OSPF进程。 格式: router ospf <Process ID>,其中Process ID是OSPF进程号,范围是1~65 535。
ii. network ip: 用来定义参与OSPF的子网地址。 格式:network ip <子网号> <子网掩码的反码> area <区域号>。
iii. range: 用于定义某一特定范围子网的聚合。 格式:area <区域号> range <子网地址> <子网掩码>。
iv. passive-interface: 用来配置OSPF被动接口。
v. distribute-list: 用来配置路由器过滤功能。
vi. distance: 用来配置或改变OSPF的管理距离。
vii. redistribute metric: 用来配置引入外部路由的花费值(metric)。
viii. redistribute tag: 用来配置引入外部路由时默认的标记值。
viiii. redistribute connected metric-type: 用来设置引入外部路由时默认的外部路由类型。
配置命令的使用:
i. 配置参与OSPF的网络地址:
router-test (config) #router ospf 10 (进程号)
router-test (config-router) #network 192.168.1.0 0.0.0.255 area 0
router-test (config-router) #exit
router-test (config) #exit
router-test#
ii. 配置单个IP地址参与OSPF。
router-test (config) # router ospf 10
router-test (config-router) #network 192.168.1.1 0.0.0.0 area 0
router-test (config-router) #exit
router-test (config) #exit
router-test (config) #
iii. 使用area range命令定义参与OSPF的子网地址:
router-test (config) # router ospf 10
router-test (config-router) # area 0 range 212.37.123.0 255.255.255.0
router-test (config-router) # exit
router-test (config) #exit
router-test #
iv. 配置被动接口:
路由器的配置命令:
router-test(config)# router ospf 10
router-test (config-router) # passive-interface ethernet0
router-test (config-router) # exit
router-test (config) # exit
router-test #
另外,第三层交换机的配置命令:
router-test (config) # router ospf 60
router-test (config-router) # passive-interface vlan10
router-test (config-router) # end
router-test#
v. 配置路由过滤:
router-test (config) # access-list 12 deny any
router-test (config) # router ospf 10
router-test (config-router) # distribute-list 10 out serial 0
router-test (config-router) # end (直接退回到用户特权模式)
router-test#
三. 高级实训
1. 路由器DHCP功能及其配置
DHCP: IP地址分配有静态分配和动态分配两种分配方式。 动态分配方式是使用动态主机配置协议 (DHCP),由网络站点提出DHCP请求,从DHCP服务器上自动获取一个IP地址与缺省网关、域名以及域名服务器的IP地址等相关TCP/IP属性的信息。
DHCP采用客户机/服务器(Client/Server)的工作模式。
路由器上DHCP服务器的配置:
(1) IP地址池的建立:
在全局模式下使用"ip dhcp pool <name>"命令为地址池赋予一个名称,其中<name>是为所建的地址池提供的名称,可以是一组字符串或数字。 一台路由器上可以建立多个地址池。
router-test>en
router-test# conf t (进入全局配置模式)
router-test(config)# ip dhcp pool 123 (建立名为123的地址池)
router-test(dhcp-config)#
(2) IP地址池的子网地址与子网掩码的配置:
IP地址池建立后,便进入地址池配置模式,在该模式下可进行IP子网地址和子网掩码的配置,用于设定DHCP服务器可以分配的IP地址范围。 配置的方式: 在IP地址池配置模式下,执行"network <网络地址> <子网掩码>"命令。
router-test (dhcp-config) # network 192.168.1.0 255.255.255.0
router-test (dhcp-config) #
也可以表示如下:
router-test (dhcp-config) # network 192.168.1.0/24
router-test (dhcp-config) #
(3) 排除不用于动态分配的IP地址:
可能会有一些特殊地址需要保留,不用于动态分配,此时就需要在DHCP服务器中进行相应配置。
全局配置模式下:"ip dhcp excluded-address low-address [high-address]"。
i. 排除从192.168.1.1到192.168.1.10的一段IP地址:
router-test (config)# ip dhcp excluded-address 192.168.1.1 192.168.1.10
router-test (config) #
ii.排除单个IP地址192.168.1.11
router-test (config) # ip dhcp exclued-address 192.168.1.11
router-test (config) #
(4) 配置默认网关:
动态分配IP地址时,还需要同时为客户端指定默认网关,以便客户端TCP/IP协议正常工作。
在地址池配置模式下,执行“default-router address [address2....address8]”,其中默认网关的地址最多可以设置8个。
router-test (dhcp-config) # default-router 192.168.1.254
router-test (dhcp-router) #
(5) 配置IP地址池的域名系统:
要访问外部网络,还需指定用于域名解析的域名服务器(DNS)。
i. 配置DNS:
router-test (dhcp-config) # dns-server 202.102.192.68
router-test (dhcp-config) #
ii.配置DHCP客户端域名:
router-test (dhcp-config) # domain-name aaa.com.cn
router-test (dhcp-config) #
(6) IP地址租用时间:
IP地址租用时间是指客户端在获得一个IP地址后,可以占用这个地址的最长时间。
在DHCP地址池配置模式下,使用"lease {day [hours] [minutes] [infinite]}"。
day字段不可省略,其他字段可省。
router-test (dhcp-config) # lease 0 3 (设置租用时间为3小时)
router-test (dhcp-router) # lease infinite
router-test (dhcp-config) #
2. 路由器IP访问控制列表的功能及其配置
访问控制列表(Access Control List, ACL)通过在路由器接口处控制路由数据包是否被转发还是被阻塞来过滤网络通信流量。
访问控制列表是判断语句,要么是拒绝(deny),要么是允许(permit)。
访问控制列表的类别:
标准访问控制列表的表号范围是1-99,后来又进行了扩展,扩展的表号范围是1300-1900。
扩展访问控制列表的表号范围是100-199,后来同样进行了扩展,扩展的表号范围是2000-2699。
IP访问控制列表的配置方法:
①配置步骤:
第一步:定义访问控制列表:
router(config)# access-list access-list number {permit|deny} {test-conditions}
参数permit或deny表示满足测试条件的数据包是如何被路由器处理的。 最后的一项参数,指出了该访问控制列表所使用的测试条件。
第二步:使用access-group命令把该访问控制列表应用到某一接口上:
router (config) # interface g0/2
router (config-if) # ip access-group access-list-number {in|out}
② 为每个ACL配置表号或名称:
在路由器上配置ACL时,必须为每一个协议的访问控制列表分配一个唯一的表号,以便标识每个访问控制列表。
③ 通配符的使用:
在访问控制列表的源地址或目的地址时,在允许或拒绝的IP地址后面,有一个参数——wildcard-mask(通配符掩码)。
如果IP地址的子网掩码是255.255.255.0,那么它的通配符掩码为0.0.0.255。
i. 通配符any:
假设一个网络管理员想要在一个访问控制列表中允许访问任何目的地址。 为表示允许任何IP地址通过,网络管理员输入0.0.0.0;然后,还要指出访问控制列表将要忽略的任何值,相应的通配符掩码全是"1"(255.255.255.255)。
此时可以使用any代替0.0.0.0 255.255.255.255
router (config) # access-list 1 permit 0.0.0.0 255.255.255.255
等价于:
router (config) # access-list 1 permit any
ii. 通配符host:
若想要与整个IP主机地址的所有位相匹配,可以使用缩写字"host"。
router (config) # access-list 1 deny 172.33.160.29 0.0.0.0
router (config) # access-list 1 deny host 172.33.160.29
配置标准IP访问控制列表:
(1) 定义:
全局配置命令: access-list access-list-number {permit|deny} source wildcard-mask
(2) 应用到接口:
"access-group"命令可以把某个现存的访问控制列表与某个接口联系起来。
格式: ip access-group access-list-number {in|out}
access-list-number:用来指出连接到这一接口的ACL表号。
in|out表示该ACL是被应用到流入接口(in),还是流出接口(out)。 默认是out。
(3) 配置实例:
例1:配置只允许源地址为172.16.0.0/255.255.0.0子网上的主机登陆路由器:
router (config) # access-list 1 permit 172.16.0.0 0.0.255.255
router (config) #
配置应用接口:
router (config) # line vty 0 5
router (config-line) # access-class 1 in (远程登陆方向)
例2:配置只允许源地址为192.168.2.2和202.168.10.2的两台主机登陆到路由器。
在全局配置模式下:
router (config) # access-list 10 permit 192.168.2.2 (远程登陆用户,列表号选标准1-99)
router (config) # access-list 10 permit 202.168.10.2
router (config) # access-list deny any (any代表所有主机)
配置应用接口:
router (config) # line vty 0 5
router (config-line) # access-class 10 in
例3:禁止源地址为非法地址的数据包进入路由器或从路由器输出。
在全局配置模式下:
router (config) # access-list 30 deny 10.0.0.0 0.255.255.255 log (匹配后会记录到日志,不影响结果)
router (config) # access-list 30 deny 203.105.1.63 0.0.0.255
router (config) # access-list 30 deny 192.168.0.0 0.0.255.255
router (config) # access-list 30 permit any
配置应用接口:
router (config) # interface g0/1
router (config-if) # if access-group 30 in
配置扩展IP访问控制列表:
(1) 使用access-list命令:
i. 定义扩展访问控制列表:
access-list access-list-number (100-199) {permit|deny} protocol source wildcard-mask destination wildcard-mask [operator] [operand]
其中,operator(操作)有lt(小于),gt(大于),eq(等于),neq(不等于)。operand指的是端口号。
ii. 应用到接口:
ip access-group access-list {in|out}
iii. 例子:
例1:拒绝转发所有IP地址进出的、端口号为1433的UDP协议数据包。
在全局配置模式下:
router (config) #access-list 130 deny udp any any 1433
router (config) #access-list 130 permit ip any any (协议、源地址、目的地址不可省略)
router (config) #
配置应用接口:
router (config) #interface g0/1
router (config-if) #ip access-group 130 in
router (config-if) #ip access-group 130 out (进出禁用(过滤))
router (config-if) #
在特权用户模式下,查看访问控制列表:
router # show access-lists
Extended IP access list 130
deny udp any any eq 1433
permit ip any any
例2:封禁某一台主机:(进/出)
在全局配置模式下:
router (config) #access-list 112 deny ip host (源主机) 212.102.60.230 any (任何地方去) log
router (config) #access-list 112 deny ip any (任何地方来) host 212.102.60.230 (目的主机) log
router (config) # access-list 112 permit ip any any
配置到应用接口:
router (config) #interface g0/1
router (config-if) #ip access-group 112 in
router (config-if) #ip access-group 112 out
router (config-if) #
在特权用户模式下,查看访问控制列表:
router #show access-lists
Extended IP access list 112
deny ip host 212.102.60.230 any
deny ip any host 212.102.60.230
permit ip any any
(2) 使用ip access-list命令:
ip access-list extended|standard access-list-number|name (可以选择标号或名称方式对访问控制列表进行标识)。
其中,extended|standard分别表示访问控制列表的类型,access-list-number|name表示可以选择标号或名称方式对访问控制列表进行标识。
在扩展或标准访问控制模式下,配置过滤规则,命令格式:
permit|deny protocol source wildcard-mask destination wildcard-mask [operator] [operand]
例1:拒绝转发所有IP地址进与出方向的、端口号为1437的UDP协议数据包:
在全局配置模式下:
router (config) # ip access-list extended 130 (进入扩展访问控制列表配置模式)
router (config-ext-nacl) #
router (config-ext-nacl) #deny udp any any eq 1437
router (config-ext-nacl) #permit ip any any
router (config-ext-nacl) #
配置到应用接口:
router (config) #interface g0/1
router (config-if) #ip access-group 130 in
router (config-if) #ip access-group 130 out
router (config-if) #
查看访问控制列表:
在特权用户模式下:
router #show access-lists
Extended IP access list 130
deny udp any any eq 130
perimit ip any any
例2: 禁止源地址为非法地址的数据包进入路由器或路由器输出,要求用名字标识访问控制列表。
在全局配置模式下:
router (config) #ip access-list standard test
router (config-std-nacl) #deny 10.0.0.0 0.255.255.255 log
router (config-std-nacl) #deny 192.168.0.0 0.0.255.255
router (config-std-nacl) #deny 127.0.0.0 0.255.255.255
router (config-std-nacl) #deny 172.16.0.0 0.15.255.255
router (config-std-nacl) #permit any
配置到应用接口:
router (config) #interface g0/1
router (config-if) #ip access-group test in
router (config-if) #ip access-group test out
router (config-if) #
例3:禁止端口号为1434的UDP数据包和端口号为4444的数据包。
在全局配置模式下:
router (config) #ip access-list extended block1434
router (config-ext-nacl) # deny udp any any eq 1434
router (config-ext-nacl) # deny tcp any any eq 4444
router (config-ext-nacl) #permit ip any any
router (config-ext-nacl) #
配置到应用接口:
router (config) #interface g0/1
router (config-if) #ip access-group block1434 in
router (config-if) #ip access-group block1434 out