1.刷开发版并开启ssh

自行百度

2.使用ssh登录路由器

vi /etc/config/firewall

修改default如下

config defaults
        option syn_flood '0'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'ACCEPT'
        option drop_invalid '0'
        option disable_ipv6 '0'

3.重启防火墙

/etc/init.d/firewall restart

不要自作聪明直接关掉防火墙，会造成无法访问互联网
。。。。。。。。。。
参考文章

https://www.cnblogs.com/EasonJim/p/9238533.html

网关

• 网关通常在OSI第4层（传输层）或更高层上运行，并且通常会转换协议以允许两个不同网络上的终端相互通信
• 网关可以是硬件和软件，也可以是两者的组合

1. 协议网关

• 协议转换，使不同网络能够通信

2. 应用程序网关

• 协议转换，连接应用层两个不同的应用程序

3. 安全网关

• 由一个路由器和一个处理机构成的安全网关，两个部件结合在一起后，它们可以提供协议、链路和应用级保护
• 安全网关联接的内网与外网都使用IP协议，因此不需要做协议转换
• 控制出入的数据流
• 具备网络防火墙功能、网络入侵检测功能、防病毒功能等
• 是由防火墙发展而来？？

防火墙

• 一种硬件设备或软件系统，主要架设在内部网络和外部网络间，为了防止外界恶意程式对内部系统的破坏，或者阻止内部重要信息向外流出
• 三个基本安全功能：数据包筛选，状态检查和充当应用程序代理

路由器

常见家用路由器网关默认IP

• 几乎：192.168.xxx.1
• 查询网址：wifi.icoa.cn
  
• 为什么大多为192.168.1.1

• 早期的路由器其实是默认192.168.0.1，而不是192.168.1.x。
• 无线路由默认192.168.1.x恰恰是因为早期无线是通过接在一个有线路由上的AP实现，为了避免与有线路由冲突，选用192.168.1.x
• 另外，国内互联网起步晚，分到的全球IP很少。全国加起来可能还没美国一个公司，比如苹果或者IBM手里的IP多（比如索尼的内网IP是43的全球IP……）。所以很多ISP（宽带接入商）不会给你提供全球IP，而是把你接入到ISP的私有网。
• 以前，互联网用户不多，ISP自己的私有网可能就是192.168.0的，所以，给你的路由器（猫）设置为192.168.1的。
• 不用10.的原因是10.是A类地址，范围很大，更适合ISP用。所以后来互联网发展了，ISP那边192.168不够了，改用10.了。
  172那个，是后面加的。原本没有的。
  .
  作者：文礼
  链接：https://www.zhihu.com/question/20185640/answer/1461143537
  来源：知乎
  著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。

实验要求：1、配置交换机，正确划分VLAN 、保证直连接口正常通信

                 2、配置每一个接口的IP地址

                3、所有路由器启动EIGRP路由协议，保证全网互联

                4、配置R2为IOS防火墙，开启CBAC，e0/1为“untrusted”接口，e0/0为“Trusted”接口

                5、“untrusted”接口默认拒绝所有流量，并保证“Trusted”端可以正常访问“untrusted”网络的任何资源

                6、一旦流量被e0/1口拒绝，R2向服务器发送系统日志消息

               7、一旦R2监控产生“Trusted”网络对“untrusted”网络产生TCP连接，立即向服务器发送系统日志消息

               8、保证R1可以通过远程登录192.168.0.3，来远程管理R3

 实验步骤：

                1、R1和R2属于VLAN10 IP 12.1.1.0/24、R2和R3属于VLAN20  IP 23.1.1.0/24

                     R3和服务器属于VLAN100 IP192.168.1.0/24   各路由器环回接口192.168.0.X/32 x为路由器编号（EIGRP宣告32位加反掩码）

测试连通性

在R1上查看路由表

配置R2为IOS防火墙，开启CBAC，e0/1为“untrusted”接口，接口默认拒绝所有流量，e0/0为“trusted”接口，可以正常访问“untrusted”网络任何资源

抓取EIGRP R1到R2和所有网段的流量

在e0/0口调用 拒绝EIGRP所有流量

测试

流量在e0/1口拒绝 R2向服务器发送日志

R2 查看日志 R2# show logging

在R2上配置NAT 定义e0/1 为outside e0/0为inside

在R3创建用户ccnp 密码321 在R1测试登录