網(wǎng)絡(luò)工程設(shè)計與應(yīng)用(第8章)課件

第8章路由器配置清華大學(xué)出版社ISBN978-7-302-26755-38.1路由器配置基本概念8.1.1路由器配置的基本內(nèi)容8.1.2路由器系統(tǒng)的組成8.1.3路由器的接口8.1.4IOS和進程8.1.5IOS配置文件8.1.6Cisco路由器產(chǎn)品系列8.1.1路由器配置的基本內(nèi)容路由器的配置內(nèi)容，除了硬件接口物理連接以外，主要是用路由器的網(wǎng)絡(luò)操作系統(tǒng)軟件(例如CiscoIOS)對路由器的接口參數(shù)、路由協(xié)議、路由表、連接屬性、路由性能進行配置8.1.2路由器系統(tǒng)的組成Cisco路由器的基本組成部件有：CPU、各種存儲器和接口電路不同公司、不同系列的路由器，CPU和存儲器的種類也不盡相同，外部接口種類和多少也有差異Cisco路由器提供了四種類型的存儲器8.1.3路由器的接口所有路由器都有接口(Interface)。接口有時也稱為端口路由器支持的接口類型有：1、控制臺端口(ConsolePort)2、輔助端口(AuxiliaryPort)3、局域網(wǎng)接口4、廣域網(wǎng)接口5、ISDN接口(BRI接口)6、高密度異步接口一個接口的全名至少應(yīng)該包括兩個數(shù)字，中間用一個正斜杠(/)進行分隔其中，第一個數(shù)字代表插槽編號，接口處理器卡將安裝在這個插槽上第二個數(shù)字代表接口處理器的接口編號。例如，Serial1/0表示位于1號插槽的第一個同步串行口支持“萬用接口處理器(VIP)”的路由器，其接口名中應(yīng)該包括3個數(shù)字其編號形式為“插槽/接口適配器/接口號”。例如，Ethernet4/0/1表示4號插槽上第1個接口適配器上的第2個以太網(wǎng)接口8.1.4IOS和進程IOS(InternetworkOperatingSystem，互連網(wǎng)絡(luò)操作系統(tǒng))屬于Cisco路由器系統(tǒng)軟件的重要組成部分，用戶可以通過多種途徑配置IOSCiscoIOS軟件功能包括：1、連接多種網(wǎng)絡(luò)2、提供安全服務(wù)3、提供多種內(nèi)嵌功能CiscoIOS采用模塊化結(jié)構(gòu)，可移植性和可擴展性好。對于IOS的大多數(shù)配置命令，在整個Cisco系列產(chǎn)品中都是通用的8.1.5IOS配置文件IOS有兩種配置文件：運行配置文件(RunningConfiguration)啟動配置文件(StartupConfiguration)這兩個文件均以ASCII文本格式存儲，可以很方便地閱讀和操作它們啟動完成后，“啟動配置文件”中的命令就變成了“運行配置文件”中的命令8.1.6Cisco路由器產(chǎn)品系列CiscoSystem公司的路由器產(chǎn)品中低端的路由器有16XX、25XX系列中端層次的路由器有26XX、36XX系列高端的路由器有4XXX和7XXX系列8.2路由器的基本配置8.2.1路由器配置的途徑8.2.2路由器配置環(huán)境搭建8.2.3路由器的一般配置過程8.2.4IOS的啟動與系統(tǒng)配置8.2.1路由器配置的途徑Cisco路由器可以通過下列途徑進行配置：1、通過控制臺端口進行配置2、通過輔助端口進行配置3、通過以太網(wǎng)接口（局域網(wǎng)接口）進行配置路由器配置圖示8.2.2路由器配置環(huán)境搭建通過控制端口配置路由器，需要從硬件和軟件兩個方面搭建環(huán)境用一條串行線將控制臺端口與終端連接起來在PC機上運行并設(shè)置超級終端軟件超級終端設(shè)置超級終端設(shè)置-2通過輔助端口AUX配置路由器路由器的輔助端口AUX連接一臺Modem，遠(yuǎn)程計算機上的串口上也連接上一臺Modem，兩臺Modem通過電話線連接起來超級終端設(shè)置，選擇所使用的Modem口通過以太網(wǎng)口配置路由器把計算機與路由器的一個以太網(wǎng)口用RJ-45跳線連接，該以太網(wǎng)口應(yīng)該設(shè)置了IP地址運行終端仿真程序Telnet網(wǎng)絡(luò)工作站FTP服務(wù)器TFTP服務(wù)器，小型文件傳輸協(xié)議8.2.3路由器的一般配置過程路由器的一般配置方法是，在適當(dāng)?shù)腎OS工作模式下使用命令改變路由器配置。使用“showrunning-config”命令來查看配置結(jié)果從網(wǎng)絡(luò)上的TFTP服務(wù)器或者NVRAM中裝載配置信息使用“copyrunning-configtftp”命令將當(dāng)前路由器RAM中的配置存儲到網(wǎng)絡(luò)TFTP服務(wù)器中使得可以在一個集中地方存儲和維護配置信息配置路由器的一般方式8.2.4IOS的啟動與系統(tǒng)配置首先運行在ROM中的程序，完成系統(tǒng)自檢及引導(dǎo)接著運行FLASH中的IOS再在NVRAM中尋找路由器配置文件，找到后裝入RAM中運行如果路由器沒有找到有效的IOS系統(tǒng)映像，或者它的配置文件在啟動時被破壞并且配置寄存器第13位被設(shè)置為要求進入ROM監(jiān)測模式路由器應(yīng)按以下步驟啟動1、檢查路由器電源連接，確保路由器的電源開關(guān)處于斷開狀態(tài)，這對設(shè)備安全尤為重要。2、檢查控制臺連接線是否連接好，RJ-45一端連接路由器控制端口，DB-9F一端連接PC機com1接口。3、按下路由器電源開關(guān)，使路由器接通電源，給路由器加電。觀察面板燈狀況。4、在PC機終端上查看路由器的啟動過程信息。系統(tǒng)配置對話過程系統(tǒng)配置對話過程主要分為4個階段：顯示說明信息設(shè)置全局參數(shù)設(shè)置接口參數(shù)總結(jié)顯示配置結(jié)果8.3路由器配置模式8.3.1路由器配置權(quán)限和配置模式8.3.2改變配置模式的方法8.3.3ROM檢測模式8.3.4其它配置模式8.3.1路由器配置權(quán)限和配置模式CiscoIOS提供具有不同配置權(quán)限的配置模式1、用戶模式“Router>”2、特權(quán)模式“Router#”3、全局配置模式“Router(config)#”4、ROM檢測模式8.3.2改變配置模式的方法(1)Enable命令。在用戶模式下運行，進入特權(quán)用戶模式。(2)Disable命令。退出特權(quán)模式。(3)Setup命令。進入系統(tǒng)配置對話模式。(4)Configterminal命令。在特權(quán)模式下運行，進入全局設(shè)置模式。(5)End命令。退出目前的設(shè)置狀態(tài)。(6)Interfacetypeslot/number命令。進入網(wǎng)絡(luò)接口局部設(shè)置狀態(tài)。(7)Interfacetypenumber.subinterface[point-to-point|multipoint]命令。進入網(wǎng)絡(luò)子接口設(shè)置狀態(tài)。(8)Linetypeslot/number命令。進入線路設(shè)置狀態(tài)。(9)Routerprotocol命令。進入路由器設(shè)置狀態(tài)。(10)Exit命令。退出局部設(shè)置狀態(tài)。8.3.3ROM檢測模式在ROM檢測模式下，可以重新啟動路由器或進行系統(tǒng)診斷。它主要用來進行路由器的初始化安裝、系統(tǒng)的升級和恢復(fù)在系統(tǒng)啟動的頭60秒內(nèi)，按下“ctrl-break”鍵進入ROM監(jiān)控狀態(tài)該模式的提示符為“>”在全局模式下，鍵入“config-register0X0”，然后關(guān)閉電源，重新啟動，也可以進入該模式8.3.4其它配置模式(1)系統(tǒng)對話配置模式(2)控制器配置模式(ControllerConfiguration)(3)終端線路配置模式(Lineconfiguration)(4)路由器協(xié)議配置模式(Routerconfiguration)8.4IOS命令行接口CLI8.4.1CLI使用約定和規(guī)則8.4.2命令行的注釋和默認(rèn)設(shè)置8.4.3顯示和查看路由器狀態(tài)8.4.1CLI使用約定和規(guī)則使用IOS的命令行接口CLI(CommandLineInterface)，通過輸入IOS命令進行配置幫助命令“？”，即可顯示在該模式下的所有命令上下文相關(guān)的幫助，可以先輸入開始的幾個字符，其后緊跟一個問號“？”，路由器會在這些字符的基礎(chǔ)上，補充為一個完整的命令詞輸入命令行不完整的字符后，按下Tab健，系統(tǒng)會將命令行剩余的部分逐步補充完整按“ctrl-p”或者上箭頭鍵“↑”，可以調(diào)用最近使用過的命令如果命令輸入不正確，“^”符號和幫助會指出錯誤CLI的編輯組合健Ctrl+A：光標(biāo)從命令行當(dāng)前位置移到命令行的第一個字符位置。Ctrl+E：光標(biāo)從命令行當(dāng)前位置移到命令行的最后一個字符位置。Ctrl+B：光標(biāo)從命令行當(dāng)前位置向左移動一個字符位置。Ctrl+F：光標(biāo)從命令行當(dāng)前位置向右移動一個字符位置。8.4.2命令行的注釋和默認(rèn)設(shè)置1、命令行的注釋方法和編輯組合鍵2、更改路由器的名字3、關(guān)閉DNS查找4、啟用同步記錄功能5、為路由器配置用戶名和用戶口令6、禁用Web服務(wù)7、配置命令別名8、設(shè)置路由器時鐘8.4.3顯示和查看路由器狀態(tài)有很多命令可以用于檢測顯示路由器的狀態(tài)8.5IOS備份、口令管理和路由器測試8.5.1IOS及配置文件的備份方法8.5.2路由器口令管理8.5.3路由器測試命令8.5.1IOS及配置文件的備份方法啟動配置文件存儲在NVRAM中，當(dāng)路由器重新啟動時會讀取這個文件把IOS裝載到路由器中有三種方式都可在全局配置模式下使用“boot”命令進行設(shè)置1、從閃存裝載Router(config)#bootsystemflashIOS-FileName2、從網(wǎng)絡(luò)TFTP服務(wù)器上裝載Router(config)#bootsystemTFTPIOS-FileNameTFTP-IP-address3、從ROM中裝載Router(config)#bootsystemROM然后，在特權(quán)模式下使用“copy”命令存入啟動配置文件。Router#copyrunning-configstartup-config8.5.2路由器口令管理1、為控制臺設(shè)置口令2、為遠(yuǎn)程終端設(shè)置口令3、設(shè)置超級用戶口令4、加密口令8.5.3路由器測試命令1、測試網(wǎng)絡(luò)路徑狀態(tài)2、ping命令檢測線路和設(shè)置的狀態(tài)3、從應(yīng)用層進行測試8.6路由器常用配置8.6.1IP路由配置步驟8.6.2路由協(xié)議配置8.6.3廣域網(wǎng)協(xié)議配置8.6.1IP路由配置步驟1、IP協(xié)議配置原則(1)路由器的某接口連接到網(wǎng)絡(luò)上，則該接口的IP地址的網(wǎng)絡(luò)號和所連接網(wǎng)絡(luò)的網(wǎng)絡(luò)號應(yīng)該相同。(2)一般地，路由器的物理網(wǎng)絡(luò)地址接口需要有一個IP地址。(3)相鄰路由器的相鄰接口的IP地址必須在同一個IP子網(wǎng)上。(4)同一路由器的不同接口的IP地址必須在不同的IP子網(wǎng)上。(5)除了相鄰路由器的相鄰接口外，所有路由器任何兩個非相鄰接口的地址都不能在同一個子網(wǎng)上。相鄰路由器與相鄰接口Router1與Router2、Router3它們都互為相鄰路由器。其中Router1中的串口S0與Router2的串口S1為相鄰路由器的相鄰接口。但是，Router1的S1與Router2的S1不是相鄰接口。Router1與Router4，Router2與Router4都不是相鄰路由器。8.6.2路由協(xié)議配置為路由器配置一種動態(tài)選路協(xié)議后，路由器之間可以通過選路協(xié)議自行調(diào)整路由1、靜態(tài)路由2、動態(tài)路由3、靜態(tài)路由配置和默認(rèn)路由配置4、路由信息協(xié)議RIP及其配置5、OSPF協(xié)議及其配置6、兩種動態(tài)路由協(xié)議的比較配置靜態(tài)路由示例-圖示OSPF協(xié)議的區(qū)域劃分OSPF路由配置示例-圖示8.6.3廣域網(wǎng)協(xié)議配置DDN、幀中繼(FrameRelay)、DDR(DemandDialRouting，請求撥號路由)和電話撥號是最常見的廣域網(wǎng)技術(shù)1、HDLC高級數(shù)據(jù)鏈路控制協(xié)議及配置2、PPP(Point-to-PointProtocol，點對點協(xié)議)及其配置3、刪除路由配置用到的命令8.7網(wǎng)絡(luò)地址轉(zhuǎn)換NAT及配置8.7.1網(wǎng)絡(luò)地址轉(zhuǎn)換NAT概述8.7.2網(wǎng)絡(luò)地址轉(zhuǎn)換NAT配置8.7.1網(wǎng)絡(luò)地址轉(zhuǎn)換NAT概述NAT(NetworkAddressTranslation）用于將一個專用地址域(局域網(wǎng)內(nèi)部或Intranet)與另一個地址域(如Internet)建立起對應(yīng)關(guān)系的技術(shù)這種對應(yīng)關(guān)系稱為映射NAT有兩個主要的作用：多個內(nèi)部地址可以共享一個全局地址上網(wǎng)增強網(wǎng)絡(luò)的安全性8.7.2網(wǎng)絡(luò)地址轉(zhuǎn)換NAT配置NAT包括靜態(tài)NAT和動態(tài)NAT兩種方式，動態(tài)NAT又分為地址池轉(zhuǎn)換(poolNAT)和端口地址轉(zhuǎn)換(portNAT)1、靜態(tài)NAT2、動態(tài)地址轉(zhuǎn)換poolNAT配置portNAT配置3、NAT配置示例8.8路由器應(yīng)用配置8.8.1路由器應(yīng)用配置的環(huán)境8.8.2靜態(tài)路由協(xié)議配置8.8.3RIP路由協(xié)議配置8.8.4OSPF路由協(xié)議配置8.8.1路由器應(yīng)用配置的環(huán)境配置環(huán)境采用loopback設(shè)置邏輯網(wǎng)絡(luò)接口采用邏輯網(wǎng)段和邏輯網(wǎng)絡(luò)接口的方式，可以節(jié)省交換機的連接實驗環(huán)境中有5個網(wǎng)段，分別用PC機與3臺路由器的控制口連接通過show命令查看路由器的設(shè)置情況，通過ping命令測試通過路由器的連通性路由器配置實驗環(huán)境以3臺Cisco2811路由器通過V.35電纜連接為例說明路由器的配置配置環(huán)境采用邏輯網(wǎng)段和邏輯接口（模擬一個終端節(jié)點）的方式，可以節(jié)省交換機的連接，給配置實驗帶來方便子網(wǎng)掩碼均為。邏輯接口的IP地址分別為、、，可以模擬3個網(wǎng)段Cisco2811路由器的前、后面板Cisco2811路由器的前面板設(shè)計有控制端口、輔助控制端口、支持熱插拔的Flash模塊、電源連接器、電源開關(guān)、面板指示燈Cisco2811路由器的后面板設(shè)計有多個模塊化的插槽，可以支持多種網(wǎng)絡(luò)接口的配置8.8.2靜態(tài)路由協(xié)議配置重要干線的路由器通常要配置靜態(tài)路由靜態(tài)路由優(yōu)先于動態(tài)路由在所有的路由中，靜態(tài)路由優(yōu)先級最高靜態(tài)路由是網(wǎng)管人員人工配置的一旦靜態(tài)路由生效，它不會自行發(fā)生變化！R1路由器的靜態(tài)路由配置R1(config)#iprouteR1(config)#iprouteR1(config)#iproute靜態(tài)路由協(xié)議配置示例過程1．對R1的配置2．對R2的配置3．對R3的配置4．對靜態(tài)路由配置的測試1．對R1的配置！對邏輯網(wǎng)段的配置R1(config)#interfaceloopback1R1(config-if)#ipaddR1(config-if)#noshutdownR1(config-if)#exit！對路由器接口s0/0/0的配置R1(config)#interfaces0/0/0R1(config-if)#ipaddR1(config-if)#encapsulationpppR1(config-if)#clockrate64000R1(config-if)#noshutdownR1(config-if)#exit！R1路由器的靜態(tài)路由配置R1(config)#iprouteR1(config)#iprouteR1(config)#iproute對R2的配置如下：！對邏輯網(wǎng)段的配置R2(config)#interfaceloopback2R2(config-if)#ipaddR2(config-if)#noshutdownR2(config-if)#exit！R2路由器的靜態(tài)路由配置R2(config)#iprouteR2(config)#iprouteR2(config)#iproute對R3的配置如下：！對邏輯網(wǎng)段的配置R3(config)#interfaceloopback3R3(config-if)#ipaddR3(config-if)#noshutdownR3(config-if)#exit！對路由器接口s0/0/1的配置R3(config)#interfaces0/0/1R3(config-if)#ipaddR3(config-if)#encapsulationpppR3(config-if)#noshutdownR3(config-if)#exit靜態(tài)路由配置后的測試配置完成后，在特權(quán)模式下輸入“showiproute”查看靜態(tài)路由表，以R3路由器為例：R3#showiproute用ping命令測試網(wǎng)絡(luò)的連通性：R3#pingR3#ping在路由器上進行的路由配置會對后面的路由配置實驗產(chǎn)生影響，可以執(zhí)行取消靜態(tài)路由設(shè)置命令“noiproute”，取消路由設(shè)置。以R3路由器為例：R3(config)#noiproute8.8.3RIP路由協(xié)議配置分別對路由器配置環(huán)境中的3臺路由器進行RIP路由協(xié)議配置應(yīng)用環(huán)境中各個網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)接口的IP配置，數(shù)據(jù)鏈路層協(xié)議封裝是類似的！啟動RIP路由協(xié)議。R1(config)#routerrip！指明路由器直接相連的網(wǎng)段，使用RIP動態(tài)路由。R!(config-router)#networkR!(config-router)#network對R1的配置！啟動RIP路由協(xié)議。R1(config)#routerrip！指明路由器直接相連的網(wǎng)段，使用RIP動態(tài)路由R1(config-router)#networkR1(config-router)#networkR1(config-router)#exitR1(config)#對R2的配置！啟動RIP路由協(xié)議。R2(config)#routerrip！指明路由器直接相連的網(wǎng)段，使用RIP動態(tài)路由。R2(config-router)#networkR2(config-router)#networkR2(config-router)#network對R3的配置！啟動RIP路由協(xié)議。R3(config)#routerrip！指明路由器直接相連的網(wǎng)段，使用RIP動態(tài)路由。R3(config-router)#networkR3(config-router)#networkRIP配置后的測試RIP路由協(xié)議配置完成后，在特權(quán)模式下可以顯示路由器所配置的路由信息，也可以顯示IP路由表，以R3路由器為例：R3#showipprotocolsR3#showiproute然后用ping命令測試配置后的連通性需要注意的是，若在路由器上做了多種路由協(xié)議配置，在運行路由時，默認(rèn)設(shè)置是靜態(tài)路由優(yōu)先，若要使動態(tài)路由起作用，需要先刪除原來配置的靜態(tài)路由對RIP配置結(jié)果查看的命令在路由器上使用“showiproute”、“showipripdatabase”、“showipripdata”和“showipprotocol”命令，可以查看配置路由后的結(jié)果其中，顯示信息用較小的字號標(biāo)識，“……”表示省略的部分信息或IP地址值為避免RIP路由協(xié)議配置對以后路由協(xié)議實驗的影響，需要取消已經(jīng)做的路由配置，所采用的命令為“norouterrip”將RIPv1路由協(xié)議升級成RIPv2的方法將RIPv1路由協(xié)議升級成version2的RIPv2路由協(xié)議的配置方法是：

R1(config)#routerripR1(config-router)#version2在路由器上使用“debugiprip”和“cleariproute*”命令查看RIPv2的動態(tài)更新情況，查看完畢之后，使用“undebugall”關(guān)閉調(diào)試8.8.4OSPF路由協(xié)議配置分別對圖8.19中的3臺路由器進行OSPF路由協(xié)議配置各個網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)接口的IP配置，數(shù)據(jù)鏈路層協(xié)議封裝是類似的！啟動OSPF路由協(xié)議,100為進程號R1(config)#routerospf100！指明路由器直接相連的網(wǎng)段R!(config-router)#network55area200R!(config-router)#network55area200OSPF路由協(xié)議配置過程1．配置OSPF的準(zhǔn)備2．對R1的配置3．對R2的配置4．對R3的配置5．配置OSPF的測試6．配置OSPF的步驟總結(jié)7．配置OSPF的示例8．Showipprotocol命令示例9．shipospfneighbor命令示例10．shipospfinterface命令示例11．相應(yīng)接口的ospf信息12．shipospfdatabase命令示例配置OSPF的準(zhǔn)備對路由器網(wǎng)絡(luò)接口的配置及方法與前面的講述是一樣的，在對路由器網(wǎng)絡(luò)接口配置完成之后，分別對圖8.19實驗圖中的3臺路由器進行OSPF路由協(xié)議配置在配置時特別注意DCE和DTE的區(qū)分及兩條串行（Serial0/0/0、Serial0/0/1）線路速率的設(shè)定對R1的配置！啟動OSPF路由協(xié)議，100為進程號，取值范圍1—65535，用于標(biāo)識OSPF為該路由器內(nèi)的一個進程。R1(config)#routerospf100！指明路由器直接相連的網(wǎng)段，使用OSPF動態(tài)路由。為直接相連的網(wǎng)段，統(tǒng)配符55為子網(wǎng)掩碼的反碼。區(qū)域號的取值范圍為0—4294967295。R1(config-router)#network55area200R1(config-router)#network55area200R1(config-router)#exit對R2的配置！啟動OSPF路由協(xié)議。R2(config)#routerospf100！指明路由器直接相連的網(wǎng)段，使用OSPF動態(tài)路由。R2(config-router)#network55area200R2(config-router)#network55area200R2(config-router)#network55area200R2(config-router)#exit對R3的配置！啟動OSPF路由協(xié)議。R3(config)#routerospf100！指明路由器直接相連的網(wǎng)段，使用OSPF動態(tài)路由。R3(config-router)#network55area200R3(config-router)#network55area200配置OSPF的測試OSPF路由協(xié)議配置完成后，在特權(quán)模式下可以顯示路由器所配置的路由信息，也可以顯示IP路由表，以R3路由器為例：R3#showipprotocolsR3#showiproute然后用ping命令測試配置后的連通性需要注意的是，若在路由器上做了多種路由協(xié)議配置，在運行路由時，默認(rèn)設(shè)置是靜態(tài)路由優(yōu)先，若要使動態(tài)路由起作用，需要先刪除原來配置的靜態(tài)路由配置OSPF的步驟總結(jié)Routerospf100命令啟動一個OSPF路由選擇協(xié)議進程，其中的“100”為進程號與配置EIGRP協(xié)議中的AS號不同的是，在配置OSPF時并不需要每臺路由器中的進程號一致。Network命令使相應(yīng)的網(wǎng)段加入OSPF路由進程中，其格式為：network網(wǎng)絡(luò)地址（或IP地址）通配碼area區(qū)域號8.9訪問控制列表配置8.9.1訪問控制列表配置8.9.2標(biāo)準(zhǔn)訪問控制列表配置8.9.3擴展訪問控制列表配置8.9.1訪問控制列表配置實驗環(huán)境有3個不同的網(wǎng)段，、、，子網(wǎng)掩碼均

假設(shè)實驗中的各路由器、交換機、PC機的連接和基本配置已經(jīng)設(shè)置正確，例如在兩個路由器之間連接的網(wǎng)絡(luò)接口上封裝了PPP協(xié)議，網(wǎng)絡(luò)中設(shè)置了動態(tài)路由協(xié)議RIPIP數(shù)據(jù)包過濾規(guī)則有兩種一種是只對數(shù)據(jù)包中的源地址進行檢查，稱為標(biāo)準(zhǔn)訪問控制列表，過濾標(biāo)識號范圍為1—99，在全局配置模式下進行數(shù)據(jù)包過濾規(guī)則的設(shè)置，設(shè)置命令格式為：access-list<標(biāo)識號><deny│permit><源地址><通配符>另一種需要對數(shù)據(jù)包中的源地址、目的地址、協(xié)議和端口號都進行檢查，稱為擴展訪問控制列表，過濾標(biāo)識號范圍為100—199，設(shè)置命令格式為：access-list<標(biāo)識號><deny│permit><協(xié)議標(biāo)識><源地址><通配符><目的地址><通配符>引用過濾已經(jīng)定義的規(guī)則在需要數(shù)據(jù)包過濾功能的接口引用過濾已經(jīng)定義的規(guī)則，引用格式為：ipaccess-group<標(biāo)識號><in│out>若對進入該接口的數(shù)據(jù)包進行檢查，選擇in，若對該接口送出的數(shù)據(jù)包進行檢查，選擇out。規(guī)則中參數(shù)deny表示禁止，參數(shù)permit表示允許。訪問控制列表配置命令的格式access-list[access-list-number]|[access-list-number-name]{deny|permit}[accessrule]|[any]其中：1）access-list-number，訪問控制列表的編號，1-99是標(biāo)準(zhǔn)IP訪問控制列表，100-199是擴展訪問控制列表2）access-list-number-name，訪問控制列表名，使用該參數(shù)來定義命名的訪問控制列表3）[Deny]|[permit]，拒絕或允許某項規(guī)則4）Accessrule，訪問規(guī)則5）Any，所有主機8.9.2標(biāo)準(zhǔn)訪問控制列表配置假設(shè)訪問控制列表配置環(huán)境中的各路由器、交換機、PC機的連接、網(wǎng)絡(luò)接口、路由協(xié)議、路由表等基本配置已經(jīng)設(shè)置正確，PC-A與PC-B之間可以互相通信。在路由器2811-A進行過濾規(guī)則的配置：2811-A(config)#access-list99deny2811-A(config)#access-list99permit55！引用過濾規(guī)則2811-A(config)#interfaces0/0/12811-A(config-if)#ipaccess-group99in測試標(biāo)準(zhǔn)ACL的配置情況！在特權(quán)模式下查看IP訪問列表2811-A#showipaccess-list！在特權(quán)模式下查看端口訪問列表2811-A#showipinterfaceserial0/0/1用ping命令驗證訪問列表設(shè)置后的作用，在PC-B計算機上執(zhí)行“ping”測試與PC-A計算機通信，因有配置規(guī)則過濾，無法進行進行通信。需要注意驗證的方向性。配置實驗完成后，在全局配置模式下執(zhí)行下面命令取消訪問控制列表：2811-A(config)#noaccess-list99在接口配置模式下，執(zhí)行下面命令取消對訪問列表的引用2811-A(config-if)#noipaccess-group99in8.9.3擴展訪問控制列表配置假設(shè)在圖8.20中的各路由器、交換機、PC機的連接和基本配置已經(jīng)設(shè)置正確！進行過濾規(guī)則的配置，標(biāo)識號為1102811-A(config)#access-list110denytcpeq232811-A(config)#access-list110permitipanyany！引用過濾規(guī)則2811-A(config)#interfaces0/0/12811-A(config-if)#ipaccess-group110in測試和驗證擴展訪問列表配置結(jié)果在PC-B計算機上輸入“telnet”測試和驗證擴展訪問列表配置結(jié)果在PC-B計算機上輸入“telnet”，不能與路由器2811-A通信，執(zhí)行“ping”命令，卻可以與路由器2811-A通信配置實驗完成后，在全局配置模式下執(zhí)行下面命令取消擴展訪問控制列表：2811-A(config)#noaccess-list110在接口配置模式下，執(zhí)行下面命令取消對擴展訪問列表的引用：2811-A(config-if)#noipaccess-group110in進行telnet操作的設(shè)置方法若要進行telnet操作，需要預(yù)先進行虛擬終端VTY配置，方法是：Router(config)#linevty04Router(config)#loginpasswordciscoenablepasswordcisco其中，cisco為用telnet登錄時使用的密碼設(shè)置，需要用戶輸入訪問控制列表的引用首先進入要引用訪問控制列表的端口，然后再指明引用的列表編號或名稱,是進入（in）方向還是離開方向（out）這里的in和out是指以路由器本身為參考點，數(shù)據(jù)包是進入（in）還是離開（out）路由器。例如，要在S0/0/0接口out方向上引用編號為1的標(biāo)準(zhǔn)訪問控制列表，輸入的命令為：interfaces0/0/0ipaccess-groutp1out配置ACL時需要注意的問題1）在定義訪問控制列表時，需要注意語句輸入的先后順序2）路由器不對由自身產(chǎn)生的IP包進行過濾，在實驗時應(yīng)由其他的設(shè)備發(fā)包進行測試3）showipaccess-list命令列出了所定義的訪問控制列表的情況。showipints0命令列出的信息會給出關(guān)于訪問控制列表引用情況的信息，表明在進入（in）或出（out）路由器的方向上引用訪問控制列表的情況4）clearaccess-listcounters指令清空了訪問控制列表的計數(shù)器，以便觀察配置結(jié)果5）為了驗證訪問控制列表配置的正確性，可以形成回路的路由器的網(wǎng)絡(luò)接口關(guān)閉，使網(wǎng)絡(luò)路由拓?fù)洳恍纬苫芈?）可以使用擴展的

ping命令測試訪問控制列表的定義和引用情況8.10路由器系統(tǒng)軟件恢復(fù)和維護8.10.1路由器密碼恢復(fù)8.10.2路由器IOS的故障8.10.3路由器IOS恢復(fù)方法8.10.4FTP站點的創(chuàng)建8.10.5Rommon模式下的IOS恢復(fù)8.10.6通過FTP或TFTP的IOS恢復(fù)8.10.1路由器密碼恢復(fù)以Cisco2811路由器密碼恢復(fù)為例進行討論1、路由器密碼存放的位置2、密碼恢復(fù)步驟（以恢復(fù)控制臺密碼為例）①重新啟動路由器②修改配置寄存器的值③路由器重啟后會提示是否進入初始配置模式④在用戶模式（usermode）下，輸入“enable”進入特權(quán)模式此時我們可以有兩種處理的方法一是將系統(tǒng)恢復(fù)出廠配置二是保留配置中其他信息路由器密碼存放的位置路由器在啟動的時候，首先會進行路由器加電自檢測試（POST），然后在閃存（flash）中查找IOS，隨后IOS處理裝載，并且在NVRAM中查找有效配置文件，也就是通常所說的啟動配置文件（startup-config）如果配置文件存在，則運行相應(yīng)的配置信息，如果不存在，則會進入設(shè)置模式這里要注意的是，所有被設(shè)置的密碼信息就包含在這個啟動配置文件（startup-config）中所以口令恢復(fù)的關(guān)鍵是在于繞過startup-config文件，不加載配置信息，也就不會出現(xiàn)輸入密碼的提示配置寄存器中與密碼配置有關(guān)的位要提到一個重要的概念：配置寄存器它是一個位于NVRAM中的16位軟件寄存器默認(rèn)情況下，配置寄存器的值是0x2102二進制表示為：0010000100000010，從右到左依次是第0位…第15位。這個值意味著路由器從閃存加載IOS并告訴路由器從NVRAM調(diào)用啟動配置（startup-config）相反，如果第6位是“1”則表示讓路由器啟動的時候繞過startup-config文件進入到設(shè)置模式，這時沒有“Password”的提示所以口令恢復(fù)的關(guān)鍵就在于修改“配置注冊碼”的第6位，使啟動繞過存放在NVRAM(存儲備份配置文件)中的“有效口令”，而進行直接啟動密碼恢復(fù)方法與步驟1）重新啟動路由器，在路由器啟動的第一個60秒內(nèi)按下Ctrl+Break鍵，這時會終止路由器的啟動，進入Rommon模式下，會出現(xiàn)如下所示的提示rommon1>2）修改配置寄存器的值，在rommon1>提示下輸入rommon1>confreg0x2142接著重新啟動路由器，命令如下rommon2>reset3）路由器重啟后會提示是否進入初始配置模式，選擇no，不進行配置。Wouldyouliketoentertheinitialconfigurationdialog?[yes/no]no4）在用戶模式（usermode）下，輸入“enable”進入特權(quán)模式（privilegedmode）下，此時可以有兩種處理的方法一是將系統(tǒng)恢復(fù)出廠配置二是保留配置中其他信息，只刪除密碼信息或者設(shè)置新的密碼。5）將系統(tǒng)恢復(fù)出廠配置將系統(tǒng)恢復(fù)出廠配置，配置過程Router#erasestartup-configRouter#configtRouter(config)#config-register0x2102Router(config)#exitRouter#copyrunning-configstartup-config重新啟動路由器。上述命令所執(zhí)行的操作依次是：刪除系統(tǒng)的啟動配置文件；進入全局配置模式下，將配置寄存器的值修改為默認(rèn)值；然后在特權(quán)模式下保存當(dāng)前的運行配置取消口令的設(shè)置或者修改新的口令Router#copystartup-configrunning-configRouter#showrunning-configRouter#configtRouter(config)#lineconsole0Router(config-