網絡工程師培訓第2部分(完整版)

認識路由器設備路由器前面板上具有兩個百兆以太網端口及其對應的指示燈路由器通常具有較少的物理鏈路端口（但大型ISP使用具有上百個端口的路由器也是常見的）如果用兩根RJ-45雙絞線分別將該路由器的兩個以太端口與兩臺交換機相連，就可以將位于兩個不同子網的計算機互聯(lián)起來1RJ-45以太網端口RJ-45以太網端口對應的指示燈背面通常是一個控制臺（Console）配置端口、電源插口和散熱風扇口和若干廣域網模塊的插槽路由器的作用1.網絡的互聯(lián)路由器可以真正實現(xiàn)網絡（廣播域）互聯(lián)，它不僅可以實現(xiàn)不同類型局域網的互聯(lián)，而且可以實現(xiàn)局域網與廣域網的互聯(lián)以及廣域網間的互聯(lián)。在多網絡互聯(lián)環(huán)境中，路由器只接受源站或其他路由器的信息，不關心各網段使用的硬件設備，但要求運行與網絡層協(xié)議相一致的軟件。2.路徑選擇路由器的主要工作是為經過它的每個數(shù)據(jù)包尋找一條最佳傳輸路徑，并將該數(shù)據(jù)有效地傳送到目的站點。3.轉發(fā)驗證路由器具有包過濾和訪問列表功能，可以限制在某些方向上數(shù)據(jù)包的轉發(fā)，從而提供了一種安全措施。這有助于防止一些安全隱患，如防止外部的主機偽裝作內部主機通過路由器建立對話。4.拆包/打包路由器在轉發(fā)數(shù)據(jù)包的過程中，為了便于在網絡間傳送數(shù)據(jù)包，可按照預定的規(guī)則把大的數(shù)據(jù)包分解成適當大小的數(shù)據(jù)包，到達目的地后再把分解的數(shù)據(jù)包封裝成原有形式。5.網絡隔離路由器可以根據(jù)網絡標識、數(shù)據(jù)類型等來監(jiān)控、攔截和過濾信息，因此路由器具有更強的網絡隔離能力。這種隔離能力不僅可以避免廣播風暴，而且有利于提高網絡的安全性，克服了交換機作為互聯(lián)設備的最大缺點。目前許多網絡安全管理工作是在路由器上實現(xiàn)的，如在路由器上實現(xiàn)的防火墻技術。6.流量控制路由器有很強的流量控制能力，可以采用優(yōu)化的路由算法來均衡網絡負載，從而有效地控制擁塞，避免因擁塞而使網絡性能下降。路由器的分類按功能分類:分為通用路由器和專用路由器。按結構分類:分為模塊化和固定配置兩類。3.按在網絡中所處的位置分類按在網絡中所處的位置，可以把路由器分為以下類型。接入路由器：也稱寬帶路由器，是指處于分支機構處的路由器，用于連接家庭或ISP內的小型企業(yè)客戶。企業(yè)級路由器：處于用戶的網絡中心位置，對外接入公共網絡，對下連接各分支機構。該類路由器能夠提供大量的端口且支持QoS，能有效地支持廣播和組播，支持IP、IPX等多種協(xié)議，還支持防火墻、包過濾、VLAN以及大量的管理和安全策略。電信骨干路由器：一般常見于城域網中，承擔大吞吐量的網絡服務。骨干路由器必須保證其速度和可靠性，都支持熱備份、雙電源、雙數(shù)據(jù)通路等技術。路由器的技術指標（1）支持的路由協(xié)議路由器是用來連接不同網絡的，所連接的網絡可能采用的是不同的通信協(xié)議。一般說來路由器支持的路由協(xié)議越多，其通用性越強。（2）吞吐量吞吐量是指路由器的包轉發(fā)能力。路由器的吞吐量涉及兩個方面的內容：端口吞吐量與整機吞吐量。端口吞吐量是指路由器的具體一個端口的數(shù)據(jù)包轉發(fā)能力，而整機吞吐量是指路由器整機的數(shù)據(jù)包轉發(fā)能力。（3）背板能力背板是路由器輸入端與輸出端之間的物理通道。傳統(tǒng)路由器采用的是共享背板的結構，高性能路由器一般采用可交換式背板的設計。背板能力能夠體現(xiàn)在路由器的吞吐量上。需要注意的是，背板能力一般只能在設計中體現(xiàn)，無法測試。（4）丟包率丟包率是指在穩(wěn)定的持續(xù)負荷情況下，由于路由器轉發(fā)數(shù)據(jù)包能力的限制而造成包丟失的概率。丟包率是衡量路由器超負荷工作時的重要性能指標。（5）路由表容量路由器通常依靠所建立及維護的路由表來決定數(shù)據(jù)包的轉發(fā)。路由表容量是指路由表內所容納路由表項數(shù)量的極限，其與路由器自身所帶的緩存大小有關。（6）時延與時延抖動時延是指數(shù)據(jù)包的第一個比特進入路由器到最后一個比特從路由器輸出所經歷的時間間隔，即路由器轉發(fā)數(shù)據(jù)包的處理時間。時延與吞吐量、背板能力等指標密切相關。時延抖動是指時延的變化量。由于數(shù)據(jù)業(yè)務對時延抖動要求不高，因此通?？刹话哑渥鳛楹饬柯酚善餍阅艿闹饕笜?，但語音、視頻業(yè)務對該指標要求較高。（7）網絡管理能力大中型企業(yè)網絡的維護和管理負擔越來越重，因此與交換機相比，路由器對標準網絡管理系統(tǒng)的支持能力尤為重要。在選擇路由器時，必須關注其對網絡管理相關協(xié)議的支持及其管理的精細程度。（8）可靠性作為企業(yè)網絡的核心設備，在選擇路由器時必須保證其可靠性。路由器的可靠性主要體現(xiàn)在其冗余功能（包括接口冗余、插卡冗余、電源冗余、系統(tǒng)板冗余等）、熱插拔組件、無故障工作時間、故障恢復時間等方面。選擇路由器時需考慮的因素實際需求：一方面必須滿足使用需要，另一方面不要盲目追求品牌、新功能。可擴展性：要考慮到近期（2～5年）的網絡擴展，留有一定的擴展余地。性能因素：高性能路由器應包括靜態(tài)路由、動態(tài)路由、控制數(shù)據(jù)流向的策略路由、負載均衡以及雙協(xié)議棧等功能。在價格限定下，應重點考察路由器的包轉發(fā)能力。價格因素：在滿足實際使用需求下，可選用價格低一些的產品，以降低費用服務支持：路由器的售前、售后支持和服務是非常重要的。必須要選擇能絕對保證服務質量的品牌產品。品牌因素：盡可能選擇在國內或國際網絡建設中占有一定市場份額的主流產品。路由器不是即插即用的網絡設備為支持選路，路由器需要由人工配置相關的信息，這些信息與子網環(huán)境相關，如左側以太端口應當配置一個在左側網絡中合法的IP地址，而右側以太端口應當配置一個在右側網絡中合法的IP地址路由器的強大選路功能體現(xiàn)在，只需配置了相鄰子網的端口IP地址，再配置選路協(xié)議后，這些互聯(lián)的路由器就能夠自行學習到到達全網的各個子網的路由信息9用路由器連接兩個不同的子網10配置路由器的方式11路由器首次加電時的配置由于其內部沒有任何配置信息，路由器會自動進入setup配置模式中（也可以在特權用戶模式下，隨時鍵入setup進入交互式配置模式）用戶只需回答IOS不斷提出的問題，便可輕松地完成路由器的初步配置Setup配置模式只能配置有限的功能，也可以按Ctrl+C組合鍵中斷Setup配置方式，轉而采用命令行模式配置路由器12路由器命令模式有3種具有不同配置權限的配置模式用戶模式“Router>”只有最低訪問權限，可查看路由器的當前連接狀態(tài)，訪問其他網絡和主機，但不能看和轉發(fā)路由器的設置內容特權模式“Router#”輸入“enable”命令即進入特權模式，查看路由器配置和測試路由器，若輸入“exit”或“end”命令可返回用戶模式全局配置模式“Router(config)#”輸入“configureterminal”命令，可配置路由器的全局參數(shù)131利用命令行模式建立基本配置Router>enable

//進入特權模式Router#configureterminal

//進入全局配置模式Router(config)#hostnameR2811

//設置主機名為R2811R2811(config)#enablesecretabcdef

//設置特權模式口令為abcdefR2811(config)#lineconsole0

//選擇配置Console線路R2811(config-line)#passwordcon123456

//設置Console線路口令為con123456R2811(config-line)#login

//打開登錄口令檢查R2811(config)#linevty015

//選擇配置vty0~15R2811(config-line)#passwordtel23456

//設置口令為tel123456R2811(config-line)#login

//打開登錄口令檢查R2811(config-line)#endR2811#showversion

//顯示路由器的硬件和軟件基本信息R2811#showrunning-config//顯示正在RAM中運行的配置文件R2811#copyrunning-configstartup-config

//將當前運行配置保存到啟動配置中2配置路由器端口1.查看可用的端口類型和編號由于路由器的端口類型繁多，因此在配置端口前，首先應確定路由器有哪些端口類型和端口號可用。在全局配置模式下，可以使用“interface?”幫助方式查看本路由器支持的端口類型。如果要確定路由器使用了哪些端口號，可以在特權模式下，使用“showipinterfacebrief”命令。另外也可以使用“showrunning-config”命令，通過查看配置文件中的接口信息，來確定路由器的端口名稱和編號。2.配置路由器以太網端口（1）以太網端口基本配置通常對路由器的以太網端口可進行如下配置：R2811(config)#interfaceFastEthernet0/0R2811(config-if)#ipaddress//配置FastEthernet0/0端口的IP地址為，子網掩碼為R2811(config-if)#noshutdown//啟動端口，默認情況下Cisco路由器的端口是禁用的R2811(config-if)#duplexfull//將該端口設置為全雙工模式，默認為autoR2811(config-if)#speed100//將該端口的傳輸速度設置為100Mb/s，默認為auto練習在如圖所示的網絡中，一臺Cisco2811路由器將兩個由Cisco2960交換機組建的星型結構網絡通過以太網端口連接起來。如果要實現(xiàn)網絡的連通，則配置過程為：

為各計算機分配IP地址因為路由器的每一個端口連接的是一個廣播域，因此連接在路由器同一端口的計算機的IP地址應具有相同的網絡標識，連接在路由器不同端口的計算機應具有不同的網絡標識?？梢园裀C1和PC2的IP地址分別設為和，PC3和PC4的IP地址分別設為和，子網掩碼均為。此時連接在路由器不同端口的計算機是不能通信的。配置Cisco2811路由器，配置過程為：R2811(config)#interfacefa0/0

R2811(config-if)#ipaddressR2811(config-if)#noshutdownR2811(config-if)#interfacefa0/1

R2811(config-if)#ipaddressR2811(config-if)#noshutdown

為各計算機設置默認網關路由器端口的IP地址是其對應廣播域的默認網關，因此PC1和PC2的默認網關應設為，PC3和PC4的默認網關應設為，此時連接在路由器不同端口的計算機就可以相互通信了

3.配置路由器串行端口

在廣域網串行通信中，運營商提供的設備一般稱為DCE（DataCircuitEquipment，數(shù)據(jù)電路設備），用戶端的設備稱為DTE（DataTerminalEquipment，數(shù)據(jù)終端設備），DTE和DCE通過廣域網串行線纜進行連接。因此配置串行端口通常應考慮其在廣域網互聯(lián)和實驗室背靠背連接時的位置，串行端口的配置可以分為DCE端配置和DTE端配置。（1）查看串行端口的工作模式在配置串行端口之前，必須確定串行端口的工作模式，即該端口是DCE端口還是DTE端口?？梢栽谔貦嗄Ｊ较率褂谩皊howcontrollers”命令查看串行端口的工作模式，其運行過程如圖所示。（2）配置端口IP地址若要為路由器的Serial0/0/0端口設置IP地址為，子網掩碼為52，則配置命令為：R2811(config)#interfaceSerial0/0/0R2811(config-if)#ipaddress52R2811(config-if)#noshutdown（3）配置端口時鐘速率在DCE端必須配置端口時鐘速率，若要將路由器Serial0/0/0端口的時鐘速率設置為2Mb/s，則配置命令為：R2811(config-if)#clockrate2000000//設置端口的時鐘速率為2Mb/s（4）配置端口帶寬若要將路由器Serial0/0/0端口的帶寬設置為2000kb（千比特），則配置命令為：R2811(config-if)#bandwidth2000//設置端口的帶寬為2000kb【注意】若不進行配置，系統(tǒng)將采用端口的默認帶寬。練習在圖所示的網絡中，兩臺Cisco2811路由器RTA和RTB利用背靠背連接的V.35線纜進行連接，現(xiàn)要求為路由器RTA的Serial0/0/0端口配置IP地址/30，帶寬為2000kb，時鐘速率為2Mb/s，并啟動該端口。將路由器RTB的Serial0/0/0端口配置IP地址/30，帶寬為2000kb，并啟動該端口。在路由器RTA的配置過程為：RTA(config)#interfaceSerial0/0/0RTA(config-if)#ipaddress52RTA(config-if)#clockrate2000000RTA(config-if)#bandwidth2000RTA(config-if)#noshutdownRTA(config-if)#endRTA#showinterfaceSerial0/0/0在路由器RTB的配置過程為：RTB(config)#interfaceSerial0/0/0RTB(config-if)#ipaddress52RTB(config-if)#bandwidth2000RTB(config-if)#noshutdownRTB(config-if)#endRTB#showinterfaceSerial0/0/025要點熟悉并初步配置路由器配置路由器的選路功能配置廣域網接口配置軟路由器的方法網絡工程案例教學路由表路由表由多個路由表項組成，路由表中的每一項都被看作是一條路由，路由表項可以分為以下幾種類型：網絡路由：提供到IP網絡中特定網絡（特定網絡標識）的路由。主機路由：提供到特定IP地址（包括網絡標識和主機標識）的路由，通常用于將自定義路由創(chuàng)建到特定主機以控制或優(yōu)化網絡通信。默認路由：如果在路由表中沒有找到其他路由，則使用默認路由。路由表中的每個路由表項主要由以下信息字段組成：目的地址：目標網絡的網絡標識或目的主機的IP地址。網絡掩碼：與目的地址相對應的網絡掩碼。下一跳IP地址：數(shù)據(jù)包轉發(fā)的地址，即數(shù)據(jù)包應傳送的下一個路由器的IP地址。對于主機或路由器直接連接的網絡，該字段可能是本主機或路由器連接到該網絡的端口地址。轉發(fā)接口：將數(shù)據(jù)包轉發(fā)到目的地址時所使用的路由器端口，該字段可以是一個端口號或其他類型的邏輯標識符?！咀⒁狻坎煌O備路由表中的信息字段并不相同。在Cisco設備的路由表中還會包含路由信息的來源（直連、靜態(tài)或動態(tài)）、管理距離（路由的可信度）、量度值（路由的可到達性）、路由的存活時間等信息字段。IP路由選擇主要完成以下功能：搜索路由表，尋找能與目的IP完全匹配的表項，如果找到，則把IP數(shù)據(jù)包由該表項指定的接口轉發(fā)，發(fā)送給指定的下一個路由器或直接連接的網絡接口。搜索路由表，尋找能與目的IP網絡標識匹配的表項，如果找到，則把IP數(shù)據(jù)包由該表項指定的接口轉發(fā)，發(fā)送給指定的下一個路由器或直接連接的網絡接口。若存在多個表項，則選用網絡掩碼最長的那條路由。按照路由表的默認路由轉發(fā)數(shù)據(jù)。路由的生成方式1.直連路由直連路由是路由器自動添加的直連網絡的路由。由于直連路反映的是路由器各端口直接連接的網絡，因此具有較高的可信度。2.靜態(tài)路由靜態(tài)路由是由管理員手工配置的路由信息。當網絡的拓撲結構或鏈路的狀態(tài)發(fā)生變化時，管理員需要手工修改路由表中相關的靜態(tài)路由。靜態(tài)路由在默認情況下是私有的，不會傳遞給其他的路由器。當然，管理員也可以通過對路由器進行設置使之共享。網絡出于安全方面的考慮也可以采用靜態(tài)路由。

3.動態(tài)路由動態(tài)路由是各個路由器之間通過相互連接的網絡，利用路由協(xié)議動態(tài)的相互交換各自的路由信息，然后按照一定的算法優(yōu)化出來的路由。在一個路由器中，可同時配置靜態(tài)路由和一種或多種動態(tài)路由。它們各自維護的路由表之間可能會發(fā)生沖突，這種沖突可以通過配置各路由表的管理距離（可信度）來解決，管理距離值越低，學到的路由越可信。Cisco路由器默認情況下各種路由源的管理距離值

路由源默認管理距離Connectedinterface（直連路由）0Staticrouteoutaninterface（指明轉發(fā)接口的靜態(tài)路由）0Staticroutetoanexthop（指明下一跳IP地址的靜態(tài)路由）1EIGRP（利用EIGRP協(xié)議生成的動態(tài)路由）90IGRP（利用IGRP協(xié)議生成的動態(tài)路由）100OSPF（利用OSPF協(xié)議生成的動態(tài)路由）110RIPv1，v2（利用RIP協(xié)議生成的動態(tài)路由）120未知路由255【注意】若路由表中產生沖突，則路由器會首先根據(jù)路由的管理距離進行選擇，管理距離越小，路由越優(yōu)先；若管理距離一樣，則比較路由的量度值（Metric），該值越小，路由越優(yōu)先。除直連路由外，各種路由的管理距離都可由用戶手工進行配置。配置端口地址必須為路由器的每個端口配置一個合適的IP地址，它才能工作。以為該路由器各個端口配置如下表所列IP地址信息為例進行講解，使這些子網之間能夠互聯(lián)通信32端口IP地址目標網段Fastethernet1/0Serial1/2Fastethernet1/1Red-Giant>enable！轉入特權模式Red-Giant#Red-Giant#configureterminal!進入全局配置模式Red-Giant(config)#Red-Giant(config)#interfacefastethernet1/0 !進入路由器Fa1/0接口模式Red-Giant(config-if)#ipaddress!配置端口地址Red-Giant(config-if)#noshutdown

Red-Giant(config)#interfacefastethernet1/1 !進入路由器Fa1/1接口模式Red-Giant(config-if)#ipaddress!配置端口地址Red-Giant(config-if)#noshutdown

Red-Giant(config)#interfaceSerial1/2 !進入路由器Serial1/2接口模式Red-Giant(config-if)#ipaddress!配置端口地址Red-Giant(config-if)#noshutdown

Red-Giant(config-if)#end!直接退回到特權模式Red-Giant#33配置RIP協(xié)議為路由器各個端口配置了特定的IP地址后，路由器仍不能起到聯(lián)通各個子網的作用，這時需要為該路由器配置選路協(xié)議為路由器配置一種動態(tài)選路協(xié)議后，路由器之間可以通過選路協(xié)議自行調整路由，從而使分組到達其目的地當前比較典型的動態(tài)選路協(xié)議有OSPF和RIP等選路協(xié)議，前者比較適合大型網絡，后者適合小型網絡34配置RIP選路協(xié)議啟用RIP選路協(xié)議，并定義與RIP進程關聯(lián)的網絡Router(config)#routerrip！啟用RIP選路協(xié)議Router(config-router)#networknetwork-number！定義關聯(lián)網絡要用命令指定RIPv1和版本2版本：Router(config)#routerrip！啟用RIP選路協(xié)議Router(config-router)#version{1|2} ！定義RIP協(xié)議版本Router(config-router)#networknetwork-number！定義關聯(lián)網絡35RIPv1和RIPv2的主要區(qū)別

RIPv1RIPv2在路由更新過程中不攜帶子網信息在路由更新過程中攜帶子網信息不提供認證提供明文和MD5認證不支持VLSM和CIDR（無類域間路由）支持VLSM和CIDR采用廣播更新采用組播（）更新在如圖所示的網絡中，3臺Cisco2811路由器通過串行端口相互連接，每個路由器通過一臺交換機連接了兩臺計算機?，F(xiàn)要通過在路由器RTA、RTB和RTC上配置動態(tài)路由協(xié)議RIP，實現(xiàn)全網的通信。案例：1.規(guī)劃與分配IP地址設備接口IP地址子網掩碼網關PC1NICPC2NICPC3NICPC4NICPC5NICPC6NICRTAF0/0S0/0/052RTBF0/0S0/0/052S0/0/152RTCF0/0S0/0/0522.配置路由器端口在路由器RTA上的配置過程為：RTA(config)#interfaceFastEthernet0/0RTA(config-if)#ipaddressRTA(config-if)#noshutdownRTA(config-if)#interfaceSerial0/0/0RTA(config-if)#ipaddress52RTA(config-if)#clockrate2000000RTA(config-if)#noshutdown在路由器RTB上的配置過程為：RTB(config)#interfaceFastEthernet0/0RTB(config-if)#ipaddressRTB(config-if)#noshutdownRTB(config-if)#interfaceSerial0/0/0RTB(config-if)#ipaddress52RTB(config-if)#noshutdown

RTB(config-if)#interfaceSerial0/0/1RTB(config-if)#ipaddress52RTB(config-if)#clockrate2000000RTB(config-if)#noshutdown在路由器RTC上的配置過程為：RTC(config)#interfaceFastEthernet0/0RTC(config-if)#ipaddressRTC(config-if)#noshutdownRTC(config-if)#interfaceSerial0/0/0RTC(config-if)#ipaddress52RTC(config-if)#noshutdown此時所有點到點鏈路已經連通，但是各局域網段之間并不互通。3.配置RIP在路由器RTA上的配置過程為：RTA(config)#routerrip//啟用RIP路由協(xié)議RTA(config-router)#version2//使用RIPv2RTA(config-router)#noauto-summary//關閉自動匯總RTA(config-router)#network//RIP將通告網段RTA(config-router)#network//RIP將通告網段在路由器RTB上的配置過程為：RTB(config)#routerripRTB(config-router)#version2RTB(config-router)#noauto-summaryRTB(config-router)#network//RIP將通告網段RTB(config-router)#network//RIP將通告網段RTB(config-router)#network//RIP將通告網段在路由器RTC上的配置過程為：RTC(config)#routerripRTC(config-router)#version2RTC(config-router)#noauto-summaryRTC(config-router)#network//RIP將通告網段RTC(config-router)#network//RIP將通告網段4.驗證RIP如果要對RIP進行驗證，可以在路由器上查看相關的路由設置，常用命令有：RTA#showiproute

//顯示路由器的路由表RTA#showiprouterip

//顯示路由器的RIP路由RTA#showipripdatabase

//顯示RIP路由數(shù)據(jù)庫信息5.驗證全網的連通性此時可以在計算機上，利用“ping”和“tracert”命令，測試各計算機之間的連通性和路由。也可以在路由器上運行“ping”和“traceroute”命令，測試路由器與計算機，以及路由器之間的連通性和路由?！咀⒁狻靠梢栽谔貦嗄Ｊ较率褂谩癲ebugiprip”命令查看RIP路由更新消息的發(fā)送和接收情況。該命令會影響路由器性能，可使用“nodebugiprip”命令關閉調試信息。配置靜態(tài)路由重要干線的路由器通常要配置靜態(tài)路由靜態(tài)路由優(yōu)先于動態(tài)路由，無論路由器配置動態(tài)選路協(xié)議是否，它都會按靜態(tài)路由來轉發(fā)分組；僅當路由器配置靜態(tài)路由的端口出現(xiàn)了故障，才后按動態(tài)選路協(xié)議給出的路由進行轉發(fā)靜態(tài)路由和動態(tài)路由的結合能夠提高網絡可靠性靜態(tài)路由是網管人員人工配置的，一旦靜態(tài)路由生效，它不會自行發(fā)生變化在所有的路由中，靜態(tài)路由優(yōu)先級最高（即鏈路費用為0或1）44配置靜態(tài)路由的網絡場景為路由器配置靜態(tài)路由可使用命令“iproute”，其格式如下：router#configureterminalrouter(config)#iproute！配置匹配不成功的數(shù)據(jù)都經過接口轉發(fā)分別對兩臺路由器配置靜態(tài)路由，配置完可以分別使用“showiproute”命令檢查結果45在如圖所示的網絡中，兩臺Cisco2811路由器通過串行端口S0/0/0互連，每個路由器通過一臺交換機連接兩臺計算機，各設備的IP地址如圖所示，現(xiàn)要通過在路由器RTA和RTB上配置靜態(tài)路由，從而實現(xiàn)全網的通信。1.為各計算機分配IP地址配置計算機PC1至PC4網卡的IP地址信息。各計算機的IP地址和子網掩碼如圖所示，PC1和PC2的默認網關應為，PC3和PC4的默認網關應為。2.配置路由器端口在路由器RTA上的配置過程為：RTA(config)#interfaceFastEthernet0/0RTA(config-if)#ipaddressRTA(config-if)#noshutdownRTA(config-if)#interfaceSerial0/0/0RTA(config-if)#ipaddress52RTA(config-if)#clockrate2000000RTA(config-if)#noshutdown在路由器RTB上的配置過程為：RTB(config)#interfaceFastEthernet0/0RTB(config-if)#ipaddressRTB(config-if)#noshutdownRTB(config-if)#interfaceSerial0/0/0RTB(config-if)#ipaddress52RTB(config-if)#noshutdown此時所有點到點鏈路已經連通，但是路由器RTA連接的/24網絡和路由器RTB連接的/24網絡并不互通。3.配置靜態(tài)路由在路由器RTA上的配置過程為：RTA(config)#iproute//配置靜態(tài)路由，把去往/24網絡的數(shù)據(jù)包，轉發(fā)給下一跳RTA(config)#exitRTA#showiproute在路由器RTB上的配置過程為：RTB(config)#iprouteS0/0/0//配置靜態(tài)路由，把去往/24網絡的數(shù)據(jù)包，從本機S0/0/0端口轉發(fā)出去

【注意】配置靜態(tài)路由和默認路由的下一跳可以選擇IP地址形式也可以選擇端口名形式。當使用IP地址時，該地址必須是和本路由器直接相連的下一個路由器端口的IP地址，這種靜態(tài)路由的默認管理距離（AD）為1。當使用端口名時，必須是在點對點鏈路上，也就是說像以太網這種廣播型端口是不能使用的，這種靜態(tài)路由條目的默認管理距離是0。4.驗證全網的連通性此時可以在計算機上，利用“ping”和“tracert”命令，測試各計算機之間的連通性和路由。也可以在路由器上運行“ping”和“traceroute”命令，測試路由器與計算機，以及路由器之間的連通性和路由。（1）在路由器上使用ping命令使用該命令時，路由器默認將發(fā)送5個ICMP報文，如果顯示“！”表示報文有回應，即網絡是連通的；如果顯示“.”則表示報文無回應。若在路由器上分別測試其與和兩臺計算機的連通性，操作過程為：RTA>ping

Typeescapesequencetoabort.Sending5,100-byteICMPEchosto,timeoutis2seconds:!!!!!//5個報文有回應，說明與是連通的Successrateis100percent(5/5),round-tripmin/avg/max=1/2/4msRTA>ping

Typeescapesequencetoabort.Sending5,100-byteICMPEchosto,timeoutis2seconds:…..//5個報文都沒有回應Successrateis0percent(0/5)（2）在路由器上使用traceroute命令在路由器上可以利用“traceroute”命令測試數(shù)據(jù)包發(fā)送到目標主機的路由。使用該命令時，路由器將通過發(fā)送ICMP報文，接收回應報文來測試數(shù)據(jù)包沿途經過的路由器。若要在路由器上測試到達目標主機的路由，操作過程為：RTA>traceroute

Typeescapesequencetoabort.Tracingtherouteto1 30mesc 43mesc 35mesc2 106mesc 123mesc 123mesc用靜態(tài)路由實現(xiàn)三層交換機與路由器的連通在如圖所示的網絡中，SW1、SW2和SW3均為Cisco2960交換機，分別通過24號快速以太網端口與三層交換機（Cisco3560）和路由器（Cisco2811）相連，三層交換機通過24號快速以太網端口與路由器相連。若要求將SW1和SW2所連接的所有PC劃分為2個VLAN，并利用靜態(tài)路由實現(xiàn)三層交換機與路由器的連通。

1.規(guī)劃與分配IP地址設備接口IP地址子網掩碼網關VLAN10的計算機NIC~54VLAN20的計算機NIC~54SW3連接的計算機NIC~54路由器Fa0/1Fa0/052三層交換機Fa0/2452Interfacevlan10Interfacevlan202.劃分VLAN在三層交換機的配置過程為：S3560#vlandatabaseS3560(vlan)#vlan10nameVLAN10S3560(vlan)#vlan20nameVLAN20S3560(vlan)#exit

S3560#configureterminalS3560(config)#interfacerangefa0/1-2S3560(config-if-range)#switchportS3560(config-if-range)#swithporttrunkencapsulationdotlqS3560(config-if-range)#swithportmodetrunkS3560(config-if-range)#exitS3560(config)#interfacevlan10S3560(config-if)#ipaddressS3560(config-if)#noshutdownS3560(config-if)#interfacevlan20S3560(config-if)#ipaddressS3560(config-if)#noshutdownS3560(config-if)#exitS3560(config)#iprouting

在交換機SW1的配置過程為：SW1#vlandatabaseSW1(vlan)#vlan10nameVLAN10SW1(vlan)#vlan20nameVLAN20SW1(vlan)#exitSW1#configureterminalSW1(config)#interfacefa0/24SW1(config-if)#switchportmodetrunkSW1(config-if)#interfacerangefa0/1-12SW1(config-if-range)#switchportaccessvlan10SW1(config-if-range)#interfacerangefa0/13-23SW1(config-if-range)#switchportaccessvlan20在交換機SW2的配置過程與SW1相同。3.利用靜態(tài)路由實現(xiàn)三層交換機與路由器的連通

在路由器的配置過程為：Router(config)#interfacefa0/1Router(config-if)#ipaddressRouter(config-if)#noshutdownRouter(config-if)#interfacefa0/0Router(config-if)#ipaddress52Router(config-if)#noshutdownRouter(config-if)#exitRouter(config)#iprouteRouter(config)#iprouteRouter(config)#exitRouter#showiproute

在三層交換機配置過程為：S3560(config)#interfacefa0/24S3560(config-if)#no

switchportS3560(config-if)#ipaddress52S3560(config-if)#exitS3560(config)#iprouteS3560(config)#exitS3560#showiproute4.驗證全網的連通性此時可以在計算機上，利用“ping”和“tracert”命令，測試各計算機之間的連通性和路由。也可以在三層交換機和路由器上運行“ping”和“traceroute”命令，測試三層交換機、路由器及各計算機之間的連通性和路由。配置OSPF協(xié)議OSPF適用于較大規(guī)模的網絡，并一般采用分層結構，即將OSPF覆蓋的區(qū)域分割成幾個區(qū)域（area），而區(qū)域之間通過一個主干區(qū)域area0(主干區(qū)域定義為區(qū)域0)互聯(lián)59配置OSPF先啟動OSPF協(xié)議，并配置路由器的網絡地址和區(qū)域信息Router#configureterminalRouter(config)#routerospf ！啟動OSPF路由進程定義接口所屬區(qū)域如下：Router(config-router)#networkwildcardareaarea-id 需要定義與該OSPF路由進程關聯(lián)IP地址，以及該范圍IP地址所屬的OSPF區(qū)域。OSPF路由進程只在屬于該IP地址范圍的接口發(fā)送、接收OSPF報文，并且對外通告該接口的鏈路狀態(tài)60案例在如圖所示的網絡中，如果要通過在路由器RTA、RTB和RTC上配置動態(tài)路由協(xié)議OSPF，實現(xiàn)全網的通信1.規(guī)劃與分配IP地址按照前面表所示的TCP/IP參數(shù)配置相關設備的IP地址信息。2.配置路由器端口路由器RTA、RTB和RTC的端口配置與RIP配置示例相同，這里不再贅述。3.配置OSPF在路由器RTA上的配置過程為：RTA(config)#routerospf1//啟用OSPF路由協(xié)議，1為路由進程ID，用來區(qū)分路由器中的多個進程，其范圍為1~65535，不同路由器的路由進程ID可以不同。RTA(config-router)#router-id//設置路由器IDRTA(config-router)#network55area0//在區(qū)域0通告/24網段，5為通配符掩碼。區(qū)域范圍為0~4294967295，也可以是IP地址的格式A.B.C.D。當區(qū)域ID為0或時稱為主干區(qū)域RTA(config-router)#networkarea0//在區(qū)域0通告/30網段在路由器RTB上的配置過程為：RTB(config)#routerospf1RTB(config-router)#router-idRTB(config-router)#network55area0RTB(config-router)#networkarea0RTB(config-router)#networkarea0在路由器RTC上的配置過程為：RTC(config)#routerospf1RTC(config-router)#router-idRTC(config-router)#network55area0RTC(config-router)#networkarea0【注意】在高版本的IOS中通告OSPF網絡的時候，可以使用通配符掩碼，也可以使用網絡掩碼。在OSPF運行過程中，確定RouterID遵循如下順序：①OSPF進程中用命令“router-id”指定的路由器ID；②若沒有指定路由器ID，則選擇最大的環(huán)回接口的IP地址為RouterID；③若沒有環(huán)回接口，則選擇最大的活動的物理接口的IP地址為RouterID。4.驗證OSPF如果要對OSPF進行驗證，可以在路由器上查看相關的路由設置，常用命令有：RTA#showiproute

RTA#showipospf

//顯示路由器的OSPF基本信息RTA#showipospfdatabase

//顯示OSPF路由數(shù)據(jù)庫信息RTA#showipospfinterface

//顯示OSPF接口信息RTA#showipospfneighbor

//顯示OSPF鄰居信息5.驗證全網的連通性此時可以在計算機上，利用“ping”和“tracert”命令，測試各計算機之間的連通性和路由。也可以在路由器上運行“ping”和“traceroute”命令，測試路由器與計算機，以及路由器之間的連通性和路由。利用動態(tài)路由實現(xiàn)三層交換機與路由器的連通

在如圖所示的網絡中，若要求將SW1和SW2所連接的所有PC劃分為2個VLAN，并利用動態(tài)路由協(xié)議OSPF實現(xiàn)三層交換機與路由器的連通。1.規(guī)劃與分配IP地址可按照利用靜態(tài)路由實現(xiàn)三層交換機和路由器連通的例子所示的TCP/IP參數(shù)配置相關設備的IP地址信息。2.劃分VLAN在三層交換機及交換機SW1、SW2劃分VLAN的相關配置與利用靜態(tài)路由實現(xiàn)三層交換機和路由器連通的例子相同，這里不再贅述。3.利用OSPF實現(xiàn)三層交換機與路由器的連通

在路由器的配置過程為：Router(config)#interfacefa0/1Router(config-if)#ipaddressRouter(config-if)#noshutdownRouter(config-if)#interfacefa0/0Router(config-if)#ipaddress52Router(config-if)#noshutdownRouter(config-if)#exitRouter(config)#routerospf1Router(config-router)#router-idRouter(config-router)#network55area0Router(config-router)#networkarea0Router(config-router)#endRouter#showiproute

在三層交換機配置過程為：S3560(config)#interfacefa0/24S3560(config-if)#no

switchportS3560(config-if)#ipaddress52S3560(config-if)#exitS3560(config)#routerospf1S3560(config-router)#router-idS3560(config-router)#network55area0S3560(config-router)#network55area0S3560(config-router)#networkarea0S3560(config-router)#endS3560#showiproute4.驗證全網的連通性此時可以在計算機上，利用“ping”和“tracert”命令，測試各計算機之間的連通性和路由。也可以在三層交換機和路由器上運行“ping”和“traceroute”命令，測試三層交換機、路由器及各計算機之間的連通性和路由。

廣域網主要實現(xiàn)大范圍內的遠距離數(shù)據(jù)通信，因此廣域網在網絡特性和技術實現(xiàn)上與局域網存在明顯的差異。廣域網中的設備多種多樣，通常把放置在用戶端的設備稱為客戶端設備（CPE，CustomerPremiseEquipment）或數(shù)據(jù)終端設備（DTE，DataTerminalEquipment），如路由器、終端或PC。大多數(shù)DTE的數(shù)據(jù)傳輸能力有限，兩個距離較遠的DTE不能直接連接起來進行通信。所以，DTE首先應使用銅纜或光纖連接到最近服務提供商的中心局CO（CentralOffice）設備，再接入廣域網。從DTE到CO的這段線路稱為本地環(huán)路。在DTE和WAN網絡之間提供接口的設備稱為數(shù)據(jù)電路終端設備DCE，如WAN交換機或調制解調器（Modem）。DCE將來自DTE的用戶數(shù)據(jù)轉變?yōu)閺V域網設備可接受的形式，提供網絡內的同步服務和交換服務。DTE和DCE之間的接口要遵循物理層協(xié)議，如RS-232、X.21、V.24、V.35和HSSI等。（1）廣域網的數(shù)據(jù)鏈路層標準PPP（PointtoPointProtocol，點對點協(xié)議）：通過同步電路和異步電路提供路由器到路由器和主機到網絡的連接。PPP可以和多種網絡層協(xié)議協(xié)同工作。SLIP（SerialLineInternetProtocol，串行線路互連協(xié)議）：使用TCP/IP實現(xiàn)點對點串行連接的標準協(xié)議，已經基本上被PPP取代。HDLC（High-LevelDataLinkControl，高級數(shù)據(jù)鏈路控制協(xié)議）：按位訪問的同步數(shù)據(jù)鏈路層協(xié)議，定義了同步串行鏈路上使用幀標識和校驗和的數(shù)據(jù)封裝方法。當鏈路兩端均為Cisco設備時，它是點對點專用鏈路和電路交換連接上默認的封裝類型，是同步PPP的基礎。X.25／平衡式鏈路訪問程序（LAPB）：定義DTE與DCE間如何連接的ITU-T標準，用于在公用數(shù)據(jù)網絡上維護遠程終端訪問與計算機的通信，已被幀中繼取代。幀中繼（FrameRelay）：一種高性能的分組交換式廣域網協(xié)議，可以被應用于各種類型的網絡接口中。由于幀中繼是一種面向連接，無內在糾錯機制的協(xié)議，因此適合高可靠性的數(shù)字傳輸設備使用。ATM（AsynchronousTransferMode，異步傳輸模式）：信元交換的國際標準，在定長（53字節(jié)）的信元中能傳輸多種類型的服務，適于高速傳輸（如SONET）。

（2）HDLC和PPP1.HDLCHDLC是點到點串行線路上（同步電路）的數(shù)據(jù)鏈路層封裝格式，其幀格式和以太網有很大差別，HDLC幀沒有源MAC地址和目的MAC地址。Cisco公司對HDLC進行了專有化，默認情況下Cisco路由器的串行口是采用CiscoHDLC進行數(shù)據(jù)封裝的。需要注意的是CiscoHDLC與標準HDLC并不兼容，因此如果鏈路的兩端都是Cisco設備，可以使用CiscoHDLC進行數(shù)據(jù)封裝，但如果Cisco設備與非Cisco設備進行連接，則應使用PPP進行數(shù)據(jù)封裝。另外，HDLC不能提供驗證，缺少對鏈路的安全保護。2.PPP和HDLC一樣，PPP也是串行線路上的一種數(shù)據(jù)鏈路層封裝格式，但PPP可以提供對多種網絡層協(xié)議的支持，并且支持認證、多鏈路捆綁、回撥、壓縮等功能。（3）PPP的驗證方式PPP提供了兩種認證方式：PAP和CHAP。PAP（PasswordAuthenticationProtocol，密碼驗證協(xié)議）：利用2次握手的簡單方法進行認證。PAP驗證過程是在鏈路建立完畢后，源節(jié)點不停地在鏈路上反復發(fā)送用戶名和密碼，直到驗證通過。在PAP驗證中，密碼在鏈路上是以明文傳輸?shù)?，而且由于是由源?jié)點控制驗證重試頻率和次數(shù)，因此PAP驗證不能防范再生攻擊和重復的嘗試攻擊。CHAP（ChallengeHandshakeAuthenticationProtocol，詢問握手驗證協(xié)議）：利用3次握手周期地驗證源節(jié)點的身份。CHAP驗證過程在鏈路建立之后進行，而且在以后的任何時候都可以再次進行。CHAP不允許連接發(fā)起方在沒有收到詢問消息的情況下進行驗證嘗試。CHAP不直接傳送密碼，只傳送一個不可預測的詢問消息，以及該詢問消息與密碼經過MD5加密運算后的加密值。所以CHAP可以防止再生攻擊，其安全性比PAP要高。配置HDLC協(xié)議高級數(shù)據(jù)鏈路控制（HDLC）是面向比特、同步數(shù)據(jù)傳輸鏈路層協(xié)議，是廣域網數(shù)據(jù)鏈路層使用最廣泛的協(xié)議，用于在網絡節(jié)點間以全雙工、點對點方式傳送數(shù)據(jù)在路由器中，連接廣域網接口的數(shù)據(jù)鏈路層協(xié)議都默認為HDLC，可通過如下命令查詢路由器狀態(tài)RouterA#configureterminalRouterA（config）#interfaceserial1/2RouterA#showinterfaceserial1/2!查看RAserial1/2接口的狀態(tài)74------------------------------------------------------------serial1/2isUP,lineprotocolisUP!接口的狀態(tài)，是否為UPHardwareisPQ2SCCHDLCCONTROLLERserialInterfaceaddressis:/24!接口IP地址的配置MTU1500bytes,BW512Kbit!查看接口的帶寬為512KBEncapsulationprotocolisHDLC,loopbacknotset！接口封裝的是HDLC協(xié)議

Keepaliveintervalis10sec,setCarrierdelayis2secRXloadis1,Txloadis1Queueingstrategy:WFQ5minutesinputrate17bits/sec,0packets/sec5minutesoutputrate17bits/sec,0packets/sec511packetsinput,11242bytes,0nobufferReceived511broadcasts,0runts,0giants0inputerrors,0CRC,0frame,0overrun,0abort511packetsoutput,11242bytes,0underruns0outputerrors,0collisions,1interfaceresets

1carriertransitionsV35DCEcable!該接口為DCE端DCD=upDSR=upDTR=upRTS=upCTS=up75如該接口封裝的是PPP協(xié)議而不是HDLC協(xié)議，需要修改為HDLC協(xié)議在接口配置狀態(tài)下，使用命令“encapsulation”完成RouterA#configureterminalRouterA(config)#interfaceserial1/2RouterA(config-if)#encapsulationHDLC!把該接口封裝為HDLC協(xié)議RouterA(config-if)#noshutdown76配置PPP在如圖所示的網絡中，兩臺Cisco2811路由器R1和R2通過串行口相連，其中路由器R1為DTE，路由器R2為DCE，啟用PPP封裝數(shù)據(jù)實現(xiàn)路由器的連通。1.啟用PPP封裝（1）在路由器R1和R2上配置IP地址，保證直連鏈路的連通性在路由器R1的配置過程為：R1(config)#interfaceSerial1/0R1(config-if)#ipaddress52R1(config-if)#noshutdown在路由器R2的配置過程為：R2(config)#interfaceSerial1/0R2(config-if)#clockrate2000000R2(config-if)#ipaddress52R2(config-if)#noshutdown查看路由器串行口封裝協(xié)議：R1#showinterfacesSerial1/0

（2）改變串行鏈路兩端的接口封裝為PPP封裝在路由器R1的配置過程為：R1(config)#interfaceSerial1/0R1(config-if)#encapsulationppp//啟用PPP封裝在路由器R2的配置過程為：R2(config)#interfaceSerial1/0R2(config-if)#encapsulationppp查看路由器串行口封裝協(xié)議：R1#showinterfacesSerial1/0

2.配置PAP認證配置路由器R1（遠程路由器，被認證方）在路由器R2（中心路由器，認證方）進行PAP認證的操作方法為：在路由器R1的配置過程為：R1(config)#interfaceSerial1/0R1(config-if)#encapsulationpppR1(config-if)#ppppapsent-usernameR1password123456//配置在中心路由器上登錄的用戶名和密碼在路由器R2的配置過程為：R2(config)#usernameR1password123456//為遠程路由器設置用戶名和密碼R2(config)#interfaceSerial1/0R2(config-if)#encapsulationpppR2(config-if)#pppauthenticationpap

//配置認證方式為PAP

【注意】以上步驟只配置了R1在R2取得驗證，即單向驗證。在實際應用中也可采用雙向驗證，即R2要驗證R1，R1也要驗證R2。此時只需采用類似的步驟配置R2在R1上進行驗證即可。通常在撥號上網時，只是ISP對用戶進行驗證（要根據(jù)用戶名來收費），用戶不能對ISP進行驗證，即驗證是單向的。另外在設置認證后，可以在特權模式下使用“debugpppauthentication”命令查看ppp認證過程。3.配置CHAP認證在路由器R1的配置過程為：R1(config)#usernameR2passwordhello//為對方配置用戶名和密碼，需要注意的是兩方的密碼要相同R1(config)#interfaceSerial1/0R1(config-if)#encapsulationpppR1(config-if)#pppauthenticationchap

//配置認證方式為CHAP在路由器R2的配置過程為：R2(config)#usernameR1passwordhelloR2(config)#interfaceSerial1/0R2(config-if)#encapsulationpppR2(config-if)#pppauthenticationchap

【注意】以上是CHAP驗證的最簡單配置，也是實際應用中最常用的配置方式。配置時要求用戶名為對方路由器名，且雙方密碼必須一致。原因是：由于CHAP默認使用本地路由器的主機名作為建立PPP連接時的識別符。路由器在收到對方發(fā)送過來的詢問消息后，將本地路由器的主機名作為身份標識發(fā)送給對方；而在收到對方發(fā)過來的身份標識之后，默認使用本地驗證方法，即在配置文件中查找相應的用戶身份標識和密碼；如果有，計算加密值，結果正確則驗證通過；否則驗證失敗，連接無法建立。ACLCiscoIOS通過ACL實現(xiàn)流量控制的功能。ACL使用包過濾技術，在網絡設備上讀取數(shù)據(jù)包頭中的信息，如源地址、目的地址、源端口、目的端口及上層協(xié)議等，根據(jù)預先定義的規(guī)則決定哪些數(shù)據(jù)包可以接收、哪些數(shù)據(jù)包拒絕接收，從而達到訪問控制的目的。早期只有路由器支持ACL技術，目前三層交換機和部分二層交換機也開始支持ACL技術。ACL通?？梢詰糜谝韵聢龊希哼^濾相鄰設備間傳遞的路由信息?？刂平换ナ皆L問，防止非法訪問網絡設備的行為。例如可以利用ACL對Console、Telnet或SSH訪問實施控制?？刂拼┰皆O備的流量和網絡訪問。例如可以利用ACL拒絕主機A訪問網絡A。通過限制對某些服務的訪問來保護網絡設備，例如可以利用ACL限制對HTTP、SNMP的訪問。為IPsecVPN定義感興趣流。以多種方式在CiscoIOS中實現(xiàn)QoS（服務質量）特性。在其他安全技術中的擴展應用，例如TCP攔截、IOS防火墻等。ACL的執(zhí)行過程ACL是一組條件判斷語句的集合，主要定義了數(shù)據(jù)包進入網絡設備端口及通過設備轉發(fā)和流出設備端口的行為。ACL不過濾網絡設備本身發(fā)出的數(shù)據(jù)包，只過濾經過網絡設備轉發(fā)的數(shù)據(jù)包。當一個數(shù)據(jù)包進入網絡設備的某個端口時，網絡設備首先要檢查該數(shù)據(jù)包是否可路由或可橋接，然后會檢查在該端口是否應用了ACL。如果有ACL，就將數(shù)據(jù)包與ACL中的條件語句相比較。如果數(shù)據(jù)包被允許通過，就繼續(xù)檢查路由表或MAC地址表以決定轉發(fā)到的目的端口。然后網絡設備將檢查目的端口是否應用了ACL，如果沒有應用，數(shù)據(jù)包將直接送到目的端口并從該端口輸出。ACL按各語句的邏輯次序順序執(zhí)行，如果與某個條件語句相匹配，數(shù)據(jù)包將被允許或拒絕通過，而不再檢查剩下的條件語句。如果數(shù)據(jù)包與第一條語句沒有匹配，將繼續(xù)與下一條語句進行比較，如果與所有的條件語句都沒有匹配，則該數(shù)據(jù)包將被丟棄?！咀⒁狻吭贏CL的最后會強加一條拒絕全部流量的隱含語句，該語句是看不到的。ACL的類型1.標準ACL標準ACL是最基本的ACL，只檢查可以被路由的數(shù)據(jù)包的源地址。2.擴展ACL擴展ACL可以根據(jù)數(shù)據(jù)包的源地址、目的地址、協(xié)議類型、端口號和應用來決定允許或拒絕發(fā)送該數(shù)據(jù)包。3.命名ACLCiscoIOS系統(tǒng)的11.2版本引入了IP命名ACL，命名ACL允許在標準ACL和擴展ACL中使用一個字符串來代替數(shù)字作為ACL的表號。使用命名ACL有以下優(yōu)點：不受標準ACL和擴展ACL數(shù)量的限制。標準ACL的表號是一個從1~99或1300~1999之間的數(shù)字，擴展ACL的表號是一個從100~199或2000~2699之間的數(shù)字?？梢苑奖愕膶CL進行修改，而無須刪除ACL后再對其進行重新配置。案例1配置標準ACL

在如圖所示的網絡中，2臺Cisco2811路由器通過串行端口相互連接，相關的IP地址信息如圖所示。整個網絡配置RIP路由協(xié)議，保證網絡正常通信。要求在RTB上配置標準ACL，允許PC1訪問路由器RTB，但拒絕/24網絡中的其他主機訪問RTB，并允許連接在路由器RTA的其他主機訪問RTB。1.配置RIP路由協(xié)議具體的配置過程與RIP配置實例類似，這里不再贅述。2.配置標準ACL在路由器RTB的配置如下：RTB(config)#access-list1permithost//定義1號標準ACL，當主機源地址為時允許該入口的通信流量RTB(config)#access-list1deny55//定義1號標準ACL，當源地址網絡標識為時拒絕該入口的通信流量RTB(config)#access-list1permitany//定義1號標準ACL，當源地址為其他時允許該入口的通信流量。這行非常重要，若不設置，路由器將拒絕其他所有流量RTB(config)#interfaces0/0/0RTB(config-if)#ipaccess-group1in//將1號標準ACL應用于該端口，in表示對輸入數(shù)據(jù)生效，out表示對輸出數(shù)據(jù)生效3.驗證標準ACL配置完標準ACL后，可以通過以下命令進行驗證。RTB#showaccesslists//顯示ACLStandardipaccesslist1 10 permit 20 deny,wildcardbits55(16matches) 30 permitany(18matches)RTB#showipinterface//查看ACL作用在IP接口上的信息配置擴展ACL在如圖所示的網絡中