第7章 路由器及其配置

1、第7章 路由器及其配置唐紹國 制作路由器及其配置7.1.1路由器概述7.1.2路由器工作原理7.1.3路由器結(jié)構(gòu)7.1.4路由器工作模式7.1.1路由器概述路由器工作在網(wǎng)絡(luò)層，可以連接不同的邏輯子網(wǎng)。Internet就是用路由器加專線的方法連接了成千上萬個(gè)網(wǎng)絡(luò)而構(gòu)成的路由器具有隔離廣播的作用7.1.2路由器工作原理一、路由器的基本功能：路由選擇，分組轉(zhuǎn)發(fā)1、路由選擇路由選擇的核心就是確定下一跳路由器的IP地址路由表是路由選擇的核心路由表主要內(nèi)容包括：目的網(wǎng)絡(luò)地址，下一跳路由器地址和目的端口等信息(此外還包含缺省路由信息)7.1.2路由器工作原理2、分組轉(zhuǎn)發(fā)通常也稱為分組交換，主要完成按照路由選

2、擇所指出的路由將數(shù)據(jù)分組從源節(jié)點(diǎn)轉(zhuǎn)發(fā)到目的節(jié)點(diǎn)。如果在路由表中既沒有找到下一跳路由器地址，又沒有找到目的端口時(shí)，路由器將數(shù)據(jù)分組轉(zhuǎn)發(fā)給缺省路由器，由其代理轉(zhuǎn)發(fā)。缺省路由又稱為缺省網(wǎng)關(guān)，一般路由器的缺省網(wǎng)關(guān)是指向連往Internet出口的路由器7.1.2路由器工作原理總結(jié)：數(shù)據(jù)分組通過每一個(gè)路由器轉(zhuǎn)發(fā)時(shí)，分組中的目的MAC地址是變化的，但它的目的網(wǎng)絡(luò)地址是紿終不變的7.1.2路由器工作原理二、路由表7.1.2路由器工作原理二、路由表實(shí)例說明：說明：第一列表示采用什么路由選擇協(xié)議第一列表示采用什么路由選擇協(xié)議C C表示直連、表示直連、S S表示靜態(tài)、表示靜態(tài)、I I表示表示IGRPIGRP、O O

3、表示表示OSPFOSPF、R R表示表示RIPRIP、B B表示表示BGPBGP、E E表示表示EGPEGP第二列是目的網(wǎng)絡(luò)地址和掩碼第二列是目的網(wǎng)絡(luò)地址和掩碼第三列是目的端口或下一跳路由器地址第三列是目的端口或下一跳路由器地址還有一列為管理距離還有一列為管理距離7.1.2路由器工作原理幾種路由協(xié)議的管理距離值： 直接連接：0靜態(tài)路由：1外部BGP: 20內(nèi)部EIGRP: 90IGRP: 100OSPF: 110RIP：120外部EIGRP: 170內(nèi)部BGP：200 管理距離越小，則路徑越可靠7.1.2路由器工作原理權(quán)值：路由器選路的參考指標(biāo)，權(quán)值越小，該路徑最佳。路由器常用的權(quán)值為： 帶寬

4、 延時(shí) 負(fù)載 可靠性 跳數(shù) 滴答數(shù) 花費(fèi)例：路由表中110/ 22表示管理距離為110，權(quán)值是227.1.3路由器的結(jié)構(gòu)路由器軟件操作系統(tǒng)：互聯(lián)網(wǎng)絡(luò)操作系統(tǒng)(IOS)硬件組成：一、CPU二、內(nèi)存路由器內(nèi)存用于保存路由器配置、路由器操作系統(tǒng)、路由協(xié)議軟件等。種類：只讀內(nèi)存ROM、閃存FLASH、隨機(jī)存取存儲(chǔ)器RAM和非易失性隨機(jī)存取存儲(chǔ)器NVRAM ROM保存開機(jī)診斷程序、引導(dǎo)程序和操作系統(tǒng)軟件RAM存儲(chǔ)路由表，ARP表等NVRAM存儲(chǔ)啟動(dòng)配置文件或備份配置文件Flash存儲(chǔ)操作系統(tǒng)映像文件和微代碼7.1.3路由器的結(jié)構(gòu)硬件組成：三、接口類型：局域網(wǎng)接口、廣域網(wǎng)接口和路由器配置接口接口編號(hào)的格式

5、是mod/port(模塊號(hào)/端口號(hào)）7.1.4路由器的工作模式工作模式主要有:用戶模式特權(quán)模式設(shè)置模式全局配置模式其他配置模式RXBOOT模式7.1.4路由器的工作模式一、用戶模式：只讀模式，用戶只能對(duì)路由器做一些簡(jiǎn)單的操作，如ping，telnet，show version等，提示符為Router二、特權(quán)模式:RouterenablePassword：Router#三、設(shè)置模式(剛出廠時(shí)開機(jī)后的配置界面）四、全局設(shè)置模式在特權(quán)模式下輸入configure terminal進(jìn)入Router (config)#7.1.4路由器的工作模式五、其他配置模式 配置端口: int f0/12 進(jìn)入虛擬終

6、端: line vty 0 15(遠(yuǎn)程登錄) 進(jìn)入RIP路由協(xié)議配置模式:router rip六、RXBOOT模式 該模式是路由器的維護(hù)模式，密碼丟失時(shí)可以進(jìn)入該模式恢復(fù)密碼路由器及其配置7.2.1 路由器基本操作與配置方法7.2.2 路由器基本配置及公用命令7.2.3 路由器接口配置7.2.4 路由器靜態(tài)路由配置7.2.5 動(dòng)態(tài)路由協(xié)議的配置7.2.1路由器基本操作與配置方法路由器的基本命令：在虛擬終端上配置密碼（設(shè)置Telnet密碼）Router(config)#line vty 0 4Router(config-line)#password 1237.2.1路由器基本操作與配置方法使用T

7、FTP Server保存或修改配置文件(在特權(quán)用戶模式下)將文件拷貝到TFTP服務(wù)器: copy filename tftp：從TFTP server 上拷貝文件到路由器: copy tftp: filename注意：冒號(hào)不能省略7.2.2路由器基本配置及公用命令1、配置路由器的主機(jī)名: Hostname 主機(jī)名2、配置超級(jí)用戶口令: Enable secret 123456 (密文形式) Enable password 123456(明文形式)2、設(shè)置系統(tǒng)時(shí)鐘 Calendar set 10:24:00 22 march 20143、退出命令 exit 一級(jí)一級(jí)的退出，end直接退回到特權(quán)用

8、戶模式。4、保存配置 write memory5、刪除配置 write erase7.2.2路由器基本配置及公用命令6、遠(yuǎn)程登錄命令telnet telnet 7、ping命令8、trace命令9、show命令 show flash、sh clock、 sh version、 sh configuration、sh route、sh protocols7.2.3路由器的接口配置一、路由器接口的基本配置 1、配置接口描述信息int g6/0description 描述信息 2、配置接口帶寬int POS3/0bandwidth 2500000 （2.5Gbps) 3、配置接

9、口IP地址int f2/3ip address IP地址 子網(wǎng)掩碼 4、接口開啟與關(guān)閉shutdown(關(guān)閉）no shutdown（開啟）7.2.3路由器的接口配置二、局域網(wǎng)接口配置Router (config)#interface fastEthernet 0/0Router (config-if)#ip address Router (config-if)#bandwidth 10000(單位為Kbps)Router (config-if)#duplex fullRouter (config-if)#no ip proxy-arpRout

10、er (config-if)#no shutdownRouter (config-if)#exit7.2.3路由器的接口配置三、廣域網(wǎng)接口配置1、配置異步串行接口int a1（a是Async的簡(jiǎn)寫）encapsulation pppasync default ip adress 29async dynamic routingasync mode interactiveno shutdownexit7.2.3路由器的接口配置2、配置高速同步串行接口int s1/1(s是serial的簡(jiǎn)寫)encapsulation hdlcip address 29

11、no ip directed-broadcastno ip proxy-arpno shutdownexit7.2.3路由器的接口配置3、配置POS接口（光纖接口）int POS3/1（POS是Packet over SONET/SDH的縮寫）crc 32ip address 29 no ip directed-broadcastpos framing sdh(幀格式是sdh和sonet)no shutdownexitSONET(Synchronous Optical Network ):同步光纖網(wǎng)SDH(Synchro

12、nous Digital Hierarchy):同步數(shù)字體系7.2.3路由器的接口配置4、配置loopback接口環(huán)回(loopback）接口沒有一個(gè)實(shí)際的物理接口與之對(duì)應(yīng)，它是一個(gè)虛擬接口。Loopback接口主要用于網(wǎng)絡(luò)管理，管理員可以為該接口分配IP地址，其掩碼為55。Loopback接口不會(huì)被關(guān)閉。int loopback 0ip address 55no ip route-cache(禁用高速交換緩存，單播)no ip mroute-cache(同上，組播）exit7.2.4路由器的靜態(tài)路由配置一、靜態(tài)路由的

13、配置格式:添加靜態(tài)路由：ip route 目的網(wǎng)絡(luò)地址 子網(wǎng)掩碼 下一跳路由器的IP地址注意：目的網(wǎng)絡(luò)地址及子網(wǎng)掩碼全為0表示的是默認(rèn)路由例：ip route 3刪除靜態(tài)路由 :no ip route7.2.4路由器的靜態(tài)路由配置7.2.5動(dòng)態(tài)路由協(xié)議的配置RIP動(dòng)態(tài)路由協(xié)議的配置 RIP只依據(jù)路由器跳數(shù)決定最佳路徑。 RIP在路由更新報(bào)文中不能攜帶子網(wǎng)掩碼信息。定時(shí)更新路由，每隔30秒更新一次，較慢。 RIP只在小型局域網(wǎng)環(huán)境中應(yīng)用。 RIP有兩個(gè)版本，RIP1和RIP2，RIP2提供了諸如支持可變長掩碼、多點(diǎn)路由更新等新功能。但本質(zhì)沒

14、有改變，仍然限制路由器跳數(shù)，更新收斂速度仍然很慢。7.2.5動(dòng)態(tài)路由協(xié)議的配置設(shè)置參與RIP協(xié)議的網(wǎng)絡(luò)地址（可使用子網(wǎng)聚合地址）router ripnetwork network exit7.2.5動(dòng)態(tài)路由協(xié)議的配置配置被動(dòng)接口，在指定的接口上抑制路由更新router rippassive-interface ethernet 0配置路由過濾access-list 12 deny anyrouter ripdistribute-list 12 in ethernet0配置管理距離router ripdistance 50定義鄰居路由器router r

15、ipneighbor 7.2.5動(dòng)態(tài)路由協(xié)議的配置二、OSPF動(dòng)態(tài)路由協(xié)議的配置區(qū)域ID是一個(gè)32位無符號(hào)數(shù)值，區(qū)域ID為0與區(qū)域ID為是完全相同的，當(dāng)區(qū)域ID為0時(shí)，表示的是骨干區(qū)域OSPF的基本配置router ospf process ID(ospf的進(jìn)程號(hào))定義參與OSPF的子網(wǎng)，使用network ip area 說明：wildcard-mask 通配符掩碼,實(shí)質(zhì)是子網(wǎng)掩碼的反碼。如子網(wǎng)掩碼是，其反掩碼為557.2.5動(dòng)態(tài)路由協(xié)議的配置單個(gè)IP地址參與OSPFrouter ospf 63network 131

16、.107.25.1 area 0exit網(wǎng)絡(luò)地址參與OSPFrouter ospf 63network 55 area 0exit使用area range 命令定義參與OSPF的子網(wǎng)地址（子網(wǎng)聚合，正掩碼）router ospf 63area 0 range exit7.2.5動(dòng)態(tài)路由協(xié)議的配置配置OSPF引入外部路由的花費(fèi)值redistribute metric 100配置引入外部路由時(shí)缺省的標(biāo)記值(用于標(biāo)識(shí)外部路由協(xié)議的相關(guān)信息)redistribute tag 10配置引入外部路

17、由時(shí)缺省的外部路由類型（兩種類型，計(jì)算路由花費(fèi)的方法不同）redistribute connected metric-type 1 subnets路由器及其配置-高級(jí)實(shí)訓(xùn)任務(wù)7.3.1路由器的DHCP功能及其配置7.3.2路由器IP訪問控制列表的功能及其配置7.3.1路由器的DHCP功能及其配置 lP地址的分配有兩種方式，一種是靜態(tài)分配，即由管理員統(tǒng)一為每個(gè)子網(wǎng)分配一個(gè)固定不變的IP地址，另外一種是動(dòng)態(tài)分配，利用DHCP協(xié)議動(dòng)態(tài)為子網(wǎng)分配IP地址。動(dòng)態(tài)分配是臨時(shí)的，不固定的，每次分配的IP地址可能都會(huì)不同。 DHCP的工作原理 DHCP使用客戶機(jī)服務(wù)器模式，DHCP服務(wù)器會(huì)響應(yīng)客戶端的請(qǐng)求，從

18、地址池中取出一個(gè)空閑的IP地址，將IP地址及子網(wǎng)掩碼，默認(rèn)網(wǎng)關(guān)，域名服務(wù)器等信息發(fā)送給客戶端7.3.1路由器的DHCP功能及其配置 DHCP可以是一臺(tái)PC，也可以是服務(wù)器，還可以是一臺(tái)路由器或是三層交換機(jī)。 要想獲取DHCP服務(wù)，可將IP地址的獲取方式改為“自動(dòng)獲取IP地址”即可7.3.1路由器的DHCP功能及其配置7.3.1路由器的DHCP功能及其配置DHCP服務(wù)器的配置1、為地址池命名 ip dhcp pool ttt2、配置地址池的子網(wǎng)地址和子網(wǎng)掩碼 network 配置保留（排除）地址 ip dhcp exclude-address

19、5 003、配置IP默認(rèn)網(wǎng)關(guān) default-router 4、配置IP地址池的域名domain-name 配置IP地址池的域名服務(wù)器的IP地址dns-server address 87.3.1路由器的DHCP功能及其配置5、配置租用時(shí)間 lease 0 5 (dayhoursminutes|infinite)6、取消地址沖突記錄日志no ip dhcp conflict logging7.3.2路由器IP訪問控制列表的功能及其配置該功能是通過路由器提供的訪問控制列表(ACL)完成的訪問控制列表的功能有包過

20、濾、限制網(wǎng)絡(luò)流量、限制用戶和設(shè)備對(duì)網(wǎng)絡(luò)的訪問，減少網(wǎng)絡(luò)欺騙和拒絕服務(wù)等。IP訪問控制列表可以過濾源IP、過濾目的IP、過濾某些協(xié)議，過濾某些端口IP訪問控制列表有兩種類型：1、標(biāo)準(zhǔn)訪問控制列表（只能檢查源地址）；2、擴(kuò)展訪問控制列表（還可以檢查目的地址、指定的協(xié)議、端口等）IP訪問控制列表由一系列 permit 和 deny 組成，注意順序例如：deny permit any從上往下逐條匹配，匹配成功即結(jié)束。想想，顛倒會(huì)怎樣？7.3.2路由器IP訪問控制列表的功能及其配置1、標(biāo)準(zhǔn)訪問控制列表的設(shè)置access-list access-list-number permit|

21、deny source wildcard-mask（子網(wǎng)掩碼的反碼，示意哪些位需要檢查，哪些位不需要檢查。為0要檢查，為1不檢查）例1 只允許源地址為 子網(wǎng)上的主機(jī)登錄路由器access-list 10 permit 55line vty 0 5access-class 10 in7.3.2路由器IP訪問控制列表的功能及其配置例2 只允許源地址為11和6兩臺(tái)主機(jī)登錄路由器access-list 20 permit 11acces

22、s-list 20 permit 6access-list 20 deny anyline vty 0 5access-class 20 in7.3.2路由器IP訪問控制列表的功能及其配置例3 禁止源地址為非法地址的數(shù)據(jù)包進(jìn)入或輸出路由器access-list 30 deny 55access-list 30 deny 55access-list 30 deny 55access-list 30 deny 5

23、5access-list 30 permit anyint g0/1ip access-group 30 in7.3.2路由器IP訪問控制列表的功能及其配置2、配置擴(kuò)展訪問控制列表access-list access-list-number permit|deny protocol source wildcard-mask destination wildcard-mask operator operandoperator: lt（小于）、gt（大于）、eq（等于）、neq（不等于）operand: 指的是端口號(hào)例4 拒絕轉(zhuǎn)發(fā)所有IP地址進(jìn)入的，端口為1434的UDP協(xié)議數(shù)據(jù)包access-l

24、ist 130 deny udp any any eq 1434access-list 130 permit ip any anyint g0/1ip access-group 130 inip access-group 130 out7.3.2路由器IP訪問控制列表的功能及其配置例5 封禁一臺(tái)主機(jī)access-list 110 deny ip host 30 anyaccess-list 110 deny ip any host 30access-list 110 permit ip any anyint g0/1ip access-group

25、 110 inip access-group 110 out7.3.2路由器IP訪問控制列表的功能及其配置例6 封禁ICMP協(xié)議，只允許/24和/24子網(wǎng)的ICMP數(shù)據(jù)包通過路由器access-list 198 permit icmp 55 anyaccess-list 198 permit icmp 55 anyaccess-list 198 deny icmp any anyaccess-list 198 permit ip any anyint g0/1ip access-group 1