全国计算机三级网络工程技术复习笔记5
三级网络技术.docx
第七章 路由器及其配置
基础知识
路由器的概述
路由器是工作在网络层的设备,负责将数据分组从源端主机经最佳路径传送到目的主机,实现网络层的网络互联。
路由器能在不同的逻辑子网之间转发数据包,并为数据包的传送选择一条最佳路径。
路由器的工作原理:
路由器的基本功能
- 路由选择
- 分组转发
路由选择:
如果一个数据需要从源结点转发到目的结点,路由选择就是告诉你那一条路径是最佳的,然后将数据按照最佳路径从源结点转发到目的结点。
路由选择是怎么去选择最佳路径的?
路由器使用路由选择协议,根据实际网络连接情况和网络性能,构建网络拓扑结构图,这样源端到目的端转发数据所有可能的路径都知道,再根据路由选择算法为每一个可能的路由计算一下权值(因素:网络带宽、延时、负载、跳数等),一般权值越小,路由越佳。
选出最佳路由之后,将最佳路由信息保存在路由表中。在转发数据时,最佳路径上的每一个路由器会根据自己的路由表中的最佳路由信息,选择数据应该往哪一个下一跳转发。路由选择的核心是确定下一跳路由器的IP地址。
理解分组转发之前,先理解以下两个概念
- 缺省路由
- 缺省路由地址
在路由选择提供的最佳路径以后,进行数据分组转发
①如果最佳路径中目的网络与路由器一个端口直接相连,这种情况,数据分组可以直接发往目的端口,然后通过路由器的目的端口转发到目的结点;
②如果最佳路径的信息列表更新到路由表中,在转发的时候,最佳路径中的路 由器通过路由表查找不到下一跳路由器IP地址或者查询不到目的端口,这时候 我们需要将数据分组转发到默认路由器的端口上,然后由默认路由器接着转发, 最终将数据分组转发到目的端口。
什么是缺省路由,什么又是缺省路由地址?
又称缺省网关、默认网关(default gateway),假设一台主机上默认网关ip地址192.168.1.1,那么这台主机的默认路由器的一个端口IP地址为192.168.1.1,而 且这台主机和这个路由器属于同一个子网。当这台主机转发数据的时候,找不到下一跳路由器,就默认的转发到该路由器的端口192.168.1.1上,进而通过该默认路由器继续转发。
什么是路由器的默认网关呢?
比如一个互联网中需要将一个数据分组转发到目的IP地址202.34.56.0,如果经过一系列转发之后,转发到某一个路由器上,结果通过数据分组查询该路由器的路由表结果不知道下一跳地址,这时候将这个数据分组转发到该路由器的缺省路由上,一个路由器的缺省路由器一般是连接Internet的出口路由器。
分组转发:
主要是完成按照路由选择所指出的最佳路由信息将数据分组从源结点转发到目的结点。
路由表
路由表中记录着所有的路由信息,路由器依据路由表给出的信息来确定数据分组的转发路径。路由表主要包含:目的网络地址以及对应的目的端口或下一跳路由地址和缺省路由的信息。
路由表实例—(cisco 12000上的路由表)
Codes:
该路由表项是通过什么方式、采用什么路由选择协议获得
C – connected,S – static,I – IGRP,R-RIP,M – mobile,B-BGP
D – EIGRP,EX – EIGRP external,O – OSPF,IA – OSPF inter area
N1 –OSPF NSSA external type 1,N2-OSPF NSSA external type 2
E1 – OSPF external type 1,E2 – OSPF external type 2,E-EGP
I – IS-IS,L1 – IS –IS level-1,L2 – IS-IS level -2,ia-IS-IS inter ar
*-canidate default,U – per-user static route,0-ODR
网络管理员手工配置
管理距离用于衡量路由表中给定的路由信息源的“可信度”,管理距离的值越小,路由信息源的可信度越高。上图直接连接最高,其次静态路由,所以在选择获取路由信息时,选择可信度高的方式。
路由器的结构
- 只读内存
ROM主要是用来永久保存路由器的开机诊断程序、引导程序和操作系统软件。
ROM的主要任务是完成路由器的初始化进程,具体包括路由器启动时的硬件诊断、装入路由器操作系统IOS等。不能修改其中保存的内容。
- 随机存储器(RAM)
RAM是可读写存储器。用来存储路由器在运行过程中产生的中间数据,如路由表、ARP缓存、数据分组、缓冲队列、运行配置文件以及正在执行的代码和一些临时数据信息等。当路由器被关闭或重新启动时,RAM中的内容都将自动丢失。
- 非易失性随机存储器(NVRAM)
NVRAM是可读可写存储器。是用来存储启动配置文件或备份文件。路由器启动时,从NVRAM装载路由器的配置信息。NVRAM容量较小,通常存储量只有32- 128k,但是存取速度非常快,而且关机或重启不会丢失数据。
- 闪存(FLASH)
是可擦写的ROM。它主要负责用于存储路由器当前使用的操作系统的映像文件和一些微代码。系统文件是以压缩的格式保存在闪存中。一般内存容量比较大,可以保存不同版本的操作系统,也可以保存备份的配置文件。而且关机或重启不会丢失数据。
路由器的工作模式
- 用户模式
当通过 Console 或 Telnet 方式登录到路由器时,只要输入的正确密码,路由器就可以直接进入用户模式,它是个只读模式。在用户模式下,用户只可以对路由器做一些简单的操作,有限度地查看路由器的相关信息,但是不能对路由器的配置做任何修改,也不能查看路由器的配置信息。在用户模式下可以执行的操作有ping、 telnet 、 show version 等。用户模式的提示符是
Router >
- 特权模式
在用户模式下,输入“ enable ”命令和超级用户密码,就可以进入特权模式。特权模式可以管理系统时钟、进行错误检测、查看和保存配置文件、清除闪存、处理并完成路由器的冷启动等操作。进入特权模式的提示符:
Router >enable
Password:
Router #
- 设置模式
当通过 Console 端口进入一台刚出厂的没有任何配置的路由器时,控制台就会进入设置模式。系统会提示用户选择是否进入这个会话,如果选“no”,就不进入设置模式,而直接进入用户模式;如果选“yes”,系统就会在设置模式下,一步一步地提示用户,完成路由器的配置。
- 全局配置模式
在特权模式下,输入“ configure terminal ”命令,就可以进入全局配置模式。在全局配置模式下,有功能强大的单行命令,用户可以配置路由器的主机名、超级用户口令、TFTP服务器、静态路由、访问控制列表、多点广播、iP记账等。在全局配置模式下,可以进入路由配置子模式、接口配置子模式等其他配置模式。在特权模式下,进入全局配置模式的方法和提示符是:
Router # configure terminal
Enter configuration commands , one per line . End with CNTL /Z.
Router ( config )#
- 其他配置模式
- 接口配置模式:
Router ( config )#int f0/12
Router ( config-if )#
- 虚拟终端配置模式:
Router ( config )# line vty 0 15
Router ( config-line )#
- 进入RIP路由协议配置模式:
Router ( config )# router rip
Router ( config-router )#
- RXBOOT模式
路由器维护模式,在密码丢失时,可以进入这种模式,恢复密码。
路由器的基本操作与配置方法
路由器的配置方式
- 使用控制端口(Console)配置
- 使用AUX端口链接一台Modem,通过拨号远程配置路由器
- 使用telnet远程登录到路由器上配置路由器
- 使用TFTP服务器,以拷贝配置文件、修改文件的形式配置路由器
- 通过网络管理协议SNMP修改路由器配置文件的方式,对路由器进行配置使用telnet命令配置路由器。
3个必备条件
①作为模拟终端的计算机与路由器都必须与网络连通,他们之间能够互相通信;
②计算机必须有访问路由器的权限;
③路由器必须预先配置好远程登录的密码。
为什么路由器不需要设置设备管理地址?
因为路由器互联不同的逻辑子网,每个接口都必须配置唯一逻辑子网ip地址,所以在远程登录到路由器的时候,任意一个网络接入路由器的接口都处于一个激活的状态。
先进入全局配置模式
router(config)#line vty 0 15
router (config-line)#password 7 zzz307
远程登录的具体步骤
进入”运行”窗口,输入”telnet 202.112.7.4”
User Access Verification
Router>
使用TFTP服务器配置路由器
TFTP称简单文件传输协议
这种方式怎么配置路由器?
将路由器的配置文件送到一条TFTP server上,在TFTP server上对路由器的配置文件进行修改或重建,然后修改好之后重新传回路由器。
在特权用户模式下,用write命令:
Router # write network
Remote host []?202.105.130.120
Name of configuration file to write router-config 1 ?
Write file router-config on host 202.105.130.120? [confirm]
######################
Writing router-config
Router#
在特权用户模式下,用copy命令
拷贝 running-config到 TFTP Server
Router #copy running-config tftp
Address or name of remote host[]? 202.105.130.120
Destination filename route-config[] ? 1383 wireless-config
!!!!
3591 bytes copied in 3.368 secs (1066 bytes /sec)
Router#
拷贝bootflash中的配置文件到 TFTP Server
Router# copy bootflash : tftp
Source filename [] config.txt
Address or name of remote host []? 202.105.130.120
Destination filename [config.txt]? config . txt
!!!!!!
23584 bytes copied in 0.144 secs ( 163778 bytes /sec)
Router#
将TFTP Server上的配置文件拷贝到 running-config
Router# copy tftp : running-config
Address or name of remote host []? 202.105.130.120
Source filename []?1383 wireless-config
Destination filename [running-config]?
Accessing tftp ://202.105.130.120/1383-wireless-config...
Loading 1383-wireless-config from 202.105.130.120( via Vlan309 ):!
[ok-3591 bytes ]
3591 bytes copied in 20.712 secs ( 173 bytes /sec)
将TFTP Server上的配置文件拷贝到 bootflash
Router #copy tftp : bootflash:
Address or name of remote host []? 202.105.130.120
Source filename []?config.txt
Destination filename [config.txt]?
Accessing tftp://202.105.130.120/config.txt...
Loading config.txt from 202.105.130.120( via Vlan1 ):!
[ok-3591 bytes ]
23584bytes copied in0.156secs ( 151179 bytes /sec)
路由器的基本配置及公用命令
路由器的基本配置
1、配置主机名
在全局配置模式下:
Router(config)#hostname Router-phy
Router-phy(config)#
2、配置超级用户口令
在全局配置模式下:
Router (config)#enable secret phy123
Router (config)#enable password 7 phy123
Router (config)#
3、配置系统时钟。
在特权模式下:
Router# calendar set hh:mm:ss<1-31>MONTH<1993-2035>
如:router# calendar set 10:24:00 22march 2007
1.退出命令
无论是从端口模式退出,返回全局配置模式,还是全局模式退回特权用户模式, 都可以用exit命令退出,也可以使用end命令直接退回特权用户模式
Router (config-if) #exit
Route (config) #exit Router#
Router (config-if) #end Router #
2.保存配置
Router# write memory(保存到路由器的NVRAM中)
Router# write network tftp(保存到TFTP中)
3.删除配置
删除路由器全部配置信息
Router# write erase
4.网络的基本检测命令
telnet ping trace show
①telnet
在一台路由器上远程登录到另一台路由器,检测那台路由器。
Router>telnet paris(或IP地址)
②ping
Ping命令发出一个数据分组到目的主机,等待目的主机的应答。根据结果可以 了解路径的可靠性、链路的延迟时间和目的主机是否可以到达,已达到判断网络是否连通状态
在用户模式或特权用户模式下,ping网络上的一台主机:
Router >ping 182.105.130.110
Type escape sequence to abort .
Sending 5 , 100-byte ICMP Echos to 182 . 105 , 130 , 110 , timeout is 2 seconds
!!!!!!!!
Success rate is 100 percent ( 5/5), round - trip min /avg/max-1/2/4 ms
③trace(icmp协议测试网络的连通状态)
trace 命令是一个查询网络上数据传输流向的理想工具,它采用与ping命令相同的技术,用于跟踪测试分组转发路径的每一步。从 trace 命令跟踪的结果可以了解路径上每一级路由器的工作状况、延迟时间等。如果路径中任何一台路由器不可到达,则出现三个星号
“***”,用星号取代路由器名。使用Ctrt+Shift+6退出。
在用户模式或特权用户模式下
Router trace 137.189.11.73
Type escape sequence to abort
traceroute www.cisco.com Tracing the route to WWW.CUHK.EDU.
HK (137.189.11.73 )
1 TOCERNET.BJNET-PKU.EDU.CN(202 112.7 . 2 )0 msec 4 msec 0 msec
2 202.112.41.217 0 msec 4 msec 4 msec
3 202.112.53.193 0 msec 4 msec 4 msec
4 202.112.53.54 0 msec 0 msec 0 msec
5 202.112.53.18 196 msec 128 msec 228 msec
6 202.112.61.230 4msec 4 msec 4 msec
7 202.112.61.38 56 msec 56 msec 56 msec
8 202.40.221.26 56msec 56 msec 56 msec
9 137.189.10.123 56 msec 56 msec 56 msec
137.189.10.123 60 msec 60 msec 68 msec
137.189.10.123 56 msec 56 msec 55 msec
ALLO ITSC , CUHK HK (137.189.9.226 ) 56 msec 55 msec 56 msec
WWW . CUHK.EDU.HK(137.189.11.73 )56 msec 56 msec 55 msec
几个公用命令
4.网络的基本检测命令
④show命令
Router>show flash(查看闪存当中存储文件)
Router>show clock(查看系统时钟)
Router>show version(查看路由器软、硬件版本)
Router#show configuration(查看路由器配置信息)
Router#show ip route(查看路由表)
Router#show ip protocols(查看IP路由协议的详细信息)
路由器的接口配置
路由器接口的基本配置
1、配置接口描述信息 interface
Router(config)#int g6/0
Router(config-if)#description To-Beijing Foreign Studies Unversity
Router(config-if)#
2、配置接口带宽
Router(config)#int POS3/0
Router(config-if)#bandwidth 2500000(设置接口带宽为2.5Gbps)(单位kbps)
3、配置接口的ip地址
Router(config-if)#ip address 202.112.7.249 255.255.255.252
4、接口的开启与关闭
Router (config-if)#shutdown
Router (config-if)#no shutdown
局域网接口配置
1、配置标准以太网(ethernet)
Router(config)# interface Ethernet0
Router(config-if)#description To-Beijing Foreign Studies Unversity
Router(config-if)#ip address 202.112.7.4 255.255.255.0
Router(config-if)# bandwidth 10000 Router(config-if)# no shutdown
Router(config-if)# exit
2、配置快速以太网接口(Fast Ethernet)
Router(config)# interface f2/1
Router(config-if)# description To-Beijing Foreign Studies Unversity
Router(config-if)#ip address 202.111.41.145 255.255.255.240
Router(config-if)# bandwidth 10000
Router(config-if)# duplex full
Router(config-if)# no ip directed-broadcast
Router(config-if)# no ip prixy-arp
3.配置千兆以太网接口
千兆以太网接口类型是 Gigabitethernet ,可简写为g
Router ( config ) interface g0 /1
Router ( config-if ) #description To-BeiJingWaiGuoYuDaXue
Router ( config-if)#ip address 202.112 41.49 255.255.255.252
Router ( config-if )#bandwidth 1000000
Router ( config-if )#duplex full
Router ( config-if )#no ip directed-broadcast Router ( config-if ) #no ip proxy-arp
Router ( config-if )#no shutdown
Router ( config-if )#exit
Router ( config ) #exit
Router
广域网接口配置
1.配置异步串行接口
异步串行接口类型为Async,简写为a,接口用于连接modem设备,为网络用户提供拨号上网服务。
Router(config)# interface a1
Router(config-if)# ip unnumbered ethrnet0
Router(config-if)# Encapsulation ppp(不能封装为HDLC)
Router(config-if)# Async default ip address 202.112.7.129
Router(config-if)# Async dynamic routing
Router(config-if)# Async mode interactive
Router(config-if)# no ip shutdown
Router(config-if)# exit
2.配置同步串行接口
同步串行接口类型为Serial,简写为s,接口用于连接modem设备,为网络用户提供拨号上网服务。
Router(config)# interface s1/1
Router(config-if)# description TO Beijing
Router(config-if)# bandwidth 2048(带宽为2M)
Router(config-if)#ip address 212.112.41.81 255.255.255.252
Router(config-if)# Encapsulation hdlc(封装HDIC或PPP协议 HDLC为缺省)
Router(config-if)# no ip directed-broadcast
Router(config-if)# no ip prixy-arp
Router(config-if)# no ip shutdown
Router(config-if)# exit
配置POS接口
Router(config)# interface POS3/0 POS那个接口
Router(config-if)# description TO Beijing 接口描述
Router(config-if)# bandwidth 2500000 接口速率
Router(config-if)#ip address 212.14.37.18 255.255.255.252 接口地址
Router(config-if)# Crc 32(可选的CRC校验位是16和32) CRC校验位
Router(config-if)# Pos framing sdh(可选帧格式是SDH和SONET) 接口帧格式
Router(config-if)# No ip directed-broadcast
Router(config-if)# Pos ip flag(标志位) s1 s0 2 flag
(s1 s0=00(十进制0)表示是SONET帧数据,s1 s0=10(十进制2)表示是SDH帧)
lookback接口配置
lookback接口没有一个实际的物理接口与之相对应,也没有与其他网络节点 相连的物理链路。它是一个虚拟的接口,lookback接口号的有效值为0-2147483647,主要作用是他作为一台路由器的管理地址,使网络管理员可以随 时登录到路由器上,对路由器进行配置管理。它还可以作为动态路由器协议OSPF和BGP的router ID。它永远处于激活状态。网络管理员为lookback接口分配
一个ip地址作为管理地址,其掩码应为255.255.255.255
在全局配置模式下:
Router ( config ) #int loopback 0
Router ( config-if )#ip address 192 . 167 . 167 . 6 255 255.255.255
Router ( config-if ) #no ip route-cache
Router ( config-if )#no ip mroute-cache
Router ( config-li )#exit Router ( config ) #exit
Router
路由器的静态路由配置
静态路由器的配置方法
使用”ip route”命令配置静态路由,使用”no ip route”命令删除静态路由Router (config) # ip route <目的网络地址><子网掩码><下一跳路由器的ip地址> 如router (config) # ip route 59.65.96.0 255.255.240.0 222.112.37.1
静态默认路由的配置方法
默认路由指路由器对接受的数据包找不到匹配路由表项时,路由表中有默认路由,路由器按默认路由的下一跳地址转发数据包。
Router (config) # ip route 0.0.0.0 0.0.0.0<下一跳路由器的ip地址>
动态路由协议的配置
RIP动态路由协议的基础内容:
只依据路由器跳数(hop)决定最佳路径,不考虑带宽、延时和其他因素,具有最小跳数值的路径作为“最优”路径。
这会导致所选路径不是最佳RIP
①限制最大跳数是15,如果跳数为16,则意味着路径不可到达。
②RIP在路由更新报文中不能携带子网掩码信息,也就是不支持可变长掩码(VLSM)。
③RIP定时更新路由,每隔30秒更新一次,更新速度比较慢。
因此,RIP一般只能在小型局域网环境中应用。尽管RIP具有以上一些缺点,但是RIP提供了相对简单的配置方法,它没有太多复杂的配置选项,这也许是RIP流行的一个主要原因。
RIP动态路由协议的配置主要包括基本配置和高级配置。
RIP的基本配置包括:
在路由器上启用RIP协议,开始RIP进程;然后,在RIP配置模式下定义参与RIP路由的网络地址。
RIP的高级配置主要包括:
配置被动接口( passive-interface )、配置路由过滤、设置RIP的管理距离值、指定邻居路由器和重新配置度量权值等。
RIP的基本配置:
启用并进入RIP配置模式,设置参与RIP的网络地址,由于不支持可变长度掩码,只能根据IP地址的类别确定掩码长度。
Router (config)#router rip
Router(config-router)#network 159.105.0.0
Router(config-router)#network 212.112.7.0 Ro
uter(config-router)#exit
Router(config)#exit
Router #
RIP的高级配置
①配置被动接口
Router (config)#router rip
Router(config-router)#passive-interface ethernet 0
Router(config-router)#exit
Router(config)#exit
Router #
passive-interface命令指定一个路由器接口为被动接口,可以抑制路由更新信息,防止端口发送路由信息。保证路由表的正确性和高效性。
②配置路由过滤
路由过滤是在指定的路由器接口上建立应用规则,规定规则以内的路由更新信息可以通过,规则以外的不能通过,达到过滤路由更新信息接收和发送的目的
Router (config)#access-list 12 deny any
Router(config)#routr rip
Router(config-router)#distribute-list 12 in ethernet0
Router(config-router)#exit
Router(config)#exit Router #
③配置管理距离
管理距离是测量路由的可信度的值,值越小路由的可信度越高,RIP的缺省管理距离为120,如果需要提高或降低可信度,可以使用distance命令管理管理距离。
Router (config)#router rip
Router(config-router)#distance 50
Router(config-router)#exit
Router(config)#exit
④定义邻居路由器
RIP路由协议通常以广播方式发送路由更新信息,但是某些特殊情况下,不容许发送广播信息或不支持网络广播,可以在RIP配置模式用neighbor命令指定邻居路由器,以单播方式发送路由信息。
Router (config)#router rip
Router(config-router)#neighbour 202.112.7.2
Router(config-router)#exit
Router(config)#exit
Router #
在路由器上启用OSFP协议,开始OSPF进程;进入OSPF配置模式
①使用network命令配置参与OSPF的网络地址
Router(config)#router ospf 63
(进程号,ospf在本路由器内的进程号为63,范围1-65535)
Router(config-router)#network 131.107.25.1 0.0.255.255 area 0
(区域号表示①十进制0-4294967295②点分十进制,比如0.0.0.0)
Router(config-router)#exit
Router(config)#exit
Router #
②使用area range命令配置参与OSPF的子网地址
Router(config)#router ospf 63
Router(config-router)#area 0 range 212.37.123.0 255.255.255.0
Router(config-router)#exit
Router(config)#exit
Router #
1)配置被动接口
Router(config)#router ospf 63
Router (config-router)#passive-interface Ethernet 0
Router(config-router)#end
Router #
2)配置路由过滤
Router(config)#access-list 12 deny any
Router(config)#router ospf 63
Router(config-router)#distribute-list 12 in serial 0
Router(config-router)#end Router #
3)配置管理距离
Router(config)#router ospf 63
Router(config-router)#distance 10
Router(config-router)#end
Router #
4)配置引入外部路由的OSPF的参数
①配置OSPF引入外部路由的花费值(metric)范围:0-16777214
Router(config)#router ospf 63
Router(config-router)#redistribute metric 100
Router(config-router)#end
Router #
②配置引入外部路由时缺省的标记值(tag),标记告诉OSPF,外部路由来源于什么路由协议,范围:0-4294967295
Router(config)#router ospf 63
Router(config-router)#redistribute tag 10
Router(config-router)#end
Router #
③配置引入外部路由时缺省的外部路由类型
Router(config)#router ospf 63
Router(config-router)#redistribute connected metric-type 1 subnets
Router(config-router)#end
Router #
路由器的DHCP功能及其配置
ip地址分配有静态分配和动态分配两种分配方式。
静态分配是由网络管理员统一为每一个网络站点分配一个固定的ip地址,这个地址是永久占用的。
动态分配是使用动态主机配置协议(DHCP),由网络站点提出DHCP请求,从DHCP服务器上自动获取一个ip地址与缺省网关、域名及域名服务器的ip地址等信息。
DHCP的工作原理
network:162.105.5.0 255.255.255.0
default-router:162.105.5.1
dns-server 162.105.129.27 202.112.7.13
domain-name pku.edu.cn
DHCP协议允许网络上配置多个DHCP服务器。DHCP客户端发送DHCP请求时,可能收到多个应答信息,DHCP客户端只会挑选其中一个, 通常挑选最先到达的信息。
DHCP客户端发送DHCP请求时,DHCP服务器中IP地址池中资源不足,或者地址池不满足DHCP客户端要求,这时候可以请求一个或者多个备份DHCP服务器处理这个DHCP请求。
DHCP服务器的配置
1.配置ip地址池的名称 在全局配置模式下:
Router(config)#ip dhcp pool ttt
Router(config)#
2.配置IP地址池的子网地址和子网掩码在DHCP Pool配置模式下:
命令格式:network<network-number>[mask|/prefix-length]
Router (dhcp-config)#network 201.23.98.0 255.255.255.0
Router (dhcp-config)#
Router (dhcp-config)#network 201.23.98.0/24
Router (dhcp-config)#
3.配置不用于动态分配的IP地址(除外地址)
命令格式:ip dhcp excluded-address low-address [high-address]
排除从201.23.98.2到201.23.98.10的一段ip地址
Router(config)#ip dhcp excluded-adress 201.23.98.2 201.23.08.10
排除单个IP地址201.23.98.193
Router(config)#ip dhcp excluded-address 201.23.98.193
4.配置IP地址池的缺省网关
命令格式:default-router address *address2 …. address8+
Router(dhcp-config)#default-router 201.23.98.1
Router(dhcp-config)#
5.配置ip地址池的域名系统
①配置ip地址池的域名
在DHCP Pool配置模式下:
命令格式:domain-name<name>
Router(dhcp-config)#domain-name pku.edu.cn
Router(dhcp-config)#
②配置IP地址池的域名服务器的IP地址在DHCP Pool配置模式下:
命令格式:dns-server address *address2…address8+
Router(dhcp-config)#dns-server address 212.105.129.27 212.105.129.26
Router(dhcp-config)#
6.配置地址池的地址租约时间
在DHCP Pool配置模式下:(注意单位)
命令格式:lease{days [hours][minutes]|infinite}
例:设置租约时间为5小时
Router(dhcp-config)#lease 0 5
Router(dhcp-config)#
7.取消地址冲突记录日志
路由器的DHCP允许配置DHCP数据库代理。DHCP数据库代理是用来存储DHCP绑定信息的一台主机。一般是可以不配置DHCP数据库代理,但是会导致不能在DHCP数据库代理上存储地址冲突记录日志,如果确实不需要代理数据库,只需要在全局配置模式,使用no ip dhcp conflict logging
命令取消地址冲突记录日志这个功能
在全局配置模式下:
Router(config)#no ip dhcp conflict logging
Router(config)#
路由器IP访问控制列表的功能及其配置
路由器提供的访问控制列表能够为路由器提供初级的防火墙功能
它可以根据一些准则过滤不安全的数据包,如攻击包,病毒包等,该功能是通过访问控制列表(ACL)实现的。访问控制列表是应用到路由器接口的命令列表,列表告诉路由器那些数据包可以接收,那些数据包需要拒绝。
访问控制列表的核心:根据特定规则进行数据包过滤,对网络进行安全控制,防止病毒包、攻击包、扫描包通过路由器去攻击网络,保证网络的安全性。
访问控制列表使用所有的网络层协议,极为普遍的是基于IP协议的访控制列表(IP访问控 制列表)
1. ip访问控制列表的主要功能
根据网络管理员指定的访问控制准则来控制接口对数据包的接收和拒绝,做到访问控制列表具有包过滤功能、限制网络流量以及用户和设备对网络的访问,减少网络欺骗,提高网络的可靠性,安全性。
2. ip访问控制列表的过滤准则
①过滤源地址或目的地址
②过滤端口号
③过滤协议(ICMP TCP UDP)
3.访问控制列表的分类
①标准访问控制列表:只能检查数据包的源地址。
比如配置允许远程登录到路由器上的权限,可以用标准访问控制列表,凡是来自网络管理员的ip地址可以允许通过vty line远程登录到路由器,其他的源地址拒绝通过vty line登录到路由器上。
表号的范围是:1-99,后来扩展后是1300-1999
②扩展访问控制列表:检查数据包的源地址与目的地址
根据源网络,目的网络子网掩码,主机的ip地址决定数据包的过滤。该列表还可以检查指定的协议以及端口号。
表号范围是100-199,扩展后是2000-2699
配置标准ip访问控制列表
定义访问列表,access-list或ip access-list命令定义一个访问控制列表
访问控制列表可以用名字或表号引用。
命令格式:access-list [access-list-number/name] {permit|deny} soure[wildcard-mask]
Router(config)#access-list 20 permit 182.105.130.111 0.0.0.255
Router(config)#
访问控制列表建立好了,并配置好规则了,列表不能马上生效,必须将控制列表应用一个接口才能生效。
router(config)#line vty 0 5
router(config-line)#access-class 20 in
ACL语句的顺序非常重要。若要允许除202.204.4.2以外的所有源地址通过路由器,需要先
配置”deny 202.202.4.2”再配置”permit any”
Router(config)#access-list 20 deny 202.202.4.2
Router(config)#access-list 20 permit any
Router(config)#
比如:只允许源地址182.105.130.111和222.112.7.56两台主机登录路由器在全局配置模式下
Router(config)#access-list 20 permit 182.105.130.111
Router(config)#access-list 20 permit 222.112.7.56
Router(config)#access-list 20 deny any
Router(config)#
配置应用接口
router(config)#line vty 0 5
router(config-line)#access-class 20 in
比如:禁止源地址为非法地址的数据包进入路由器或从路由器输出在全局配置模式:
Router(config)#access-list 30 deny 10.0.0.0 0.255.255.255 log
Router(config)#access-list 30 deny 192.168.0.0 0.0.255.255
Router(config)#access-list 30 deny 172.0.0.0 0.255.255.255
Router(config)#access-list 30 deny 172.16.0.0 0.15.255.255
Router(config)#access-list permit any
配置应用接口:
router(config)#interface g0/1
router(config-line)#ip access-group 30 in
配置扩展访问控制列表
(1)使用access-list命令
在全局配置模式下:
命令格式: access-list access-list-number {permit|deny} protocol Source wildcard-mask destination wildcard-mask[operator][operand]
其中:operator(操作),操作有”lt”(小于)、”gt”(大于)、”eq”等于、”neq”(不等于)。
operatand(操作数),指的是端口号。
比如:拒绝转发所有IP地址进出的,端口号为1434的UDP协议数据包在全局配置模式下
Router(config)#access-list 130 deny udp any any eq 1434
Router(config)#access-list 130 permit ip any any
Router(config)#
配置应用接口
router(config)#interface go/1
router(config-line)#ip access-group 130 in
router(config-line)#ip access-group 130 out
router(config-line)#
比如:封禁某一台主机在全局配置模式:
Router(config)#access-list 110 deny ip host 202.112.60.230 any log
Router(config)#access-list 110 deny ip any host 202.112.60.230 log
Router(config)#access-list 110 permit ip any any
配置应用接口:
router(config)#interface g0/1
router(config-line)#ip access-group 110 in
router(config-line)#ip access-group 110 out
router(config-line)#
比如:封禁ICMP协议,只允许162.105.141.0/24和202.38.97.0/24子网的ICMP数据包通过路由器。
在全局配置模式下:
Router(config)#access-list 198 permit icmp 162.105.141.0 0.0.0.255 any
Router(config)#access-list 198 permit icmp 202.38.97.0 0.0.0.255 any
Router(config)#access-list 198 deny icmp any any
Router(config)#access-list 198 permit ip any any
配置应用接口:
Router(config)#interface g0/1
Router(config)#ip access-group 198 in
Router(config)#ip access-group 198 out
Router(config)#
(2)使用ip access-list命令
进入扩展访问控制列表配置模式
命令格式:ip access –list extended|standard access –list-number|name
在全局配置模式下:
Router(config)#ip access-list extended 130
Router(config-ext-nacl)#
配置过滤规则
命令格式:permit|deny protocol source wildcard-mask Destination wildcard-mask [operator][operand]
Router(config-ext-nacl)#deny udp any any eq 1434
Router(config-ext-nacl)#permit udp any any
Router(config-ext-nacl)#
配置应用接口:
router(config)#interface g0/1
router(config-if)#ip access-group 130 in
router(config-if)#ip access-group 130 out
router(config-if)#
(2)用名字标识访问控制列表的配置方法
比如:禁止源地址为非法地址的数据包进入路由器或从路由器输出。
在全局配置模式下:
Router(config)#ip access-list standard text
Router(config-atd-nacl)#deny 10.0.0.0 0.255.255.255 log
Router(config-atd-nacl)#deny 192.168.0.0 0.0.255.255
Router(config-atd-nacl)#deny 127.0.0.0 0.255.255.255
Router(config-atd-nacl)#deny 172.16.0.0 0.15.255.255
Router(config-atd-nacl)#permit any
配置应用接口:
router(config)#interface g0/1
router(config-if)#ip access-group 130 in
router(config-if)#ip access-group 130 out
router(config-if)#
比如:禁止端口号为1434的UDP数据包和端口号为4444的TCP数据包。
在全局配置模式下:
Router(config)#ip access-list extended block1434
Router(config-atd-nacl)#deny udp any any eq 1434
Router(config-atd-nacl)#deny tcp any any eq 4444
Router(config-atd-nacl)#permit ip any any
Router(config-atd-nacl)#
配置应用接口:
router(config)#interface g0/1
router(config-if)#ip access-group 1434 in
router(config-if)#ip access-group 1434 out
router(config-if)#
router(config)#interface g0/1
router(config-if)#ip access-group 4444 in
router(config-if)#ip access-group 4444 out
router(config-if)#
课后真题(8)
1、如下图所示,网络站点A发送数据包给B,在数据包经过路由器转发的过程中,下
列封装在数据包1中的目的IP地址和目的MAC地址,正确的是( B )。
A) 222.29.154.1 00d0.841f.4bfc
B) 202.38.140.170 00d0.841f.4bfc
C) 202.38.140.170 0050.bacc.1805
D) 222.29.154.1 0050.bacc.1805
2、在Cisco路由器上输入“configure
terminal”命令,路由器将进入的工作模式是( A )。
A) Global Configuration
B) Privileged EXEC
C) Setup
D) User EXEC
3、在一台Cisco路由器的g0/3端口上禁止源地址为内部地址的数据包进出路由器,正 确的access-list配置是(B )。
A) Router#configure terminal
Router(config)#ip access-list standard jzhffdz
Router(config-std-nacl)#deny 10.0.0.0 0.255.255.255 log
Router(config-std-nacl)#deny 192.168.0.0 0.0.255.255
Router(config-std-nacl)#deny 127.0.0.0 0.255.255.255
Router(config-std-nacl)#deny 172.16.0.0 0.15.255.255
Router(config-std-nacl)#permit any
Router(config-std-nacl)#exit
Router(config)#interface g0/3
Router(config-if)#ip access-group test jzhffdz in
Router(config-if)#ip access-group test jzhffdz out
B) Router#configure terminal
Router(config)#ip access-list standard jzhffdz
Router(config-std-nacl)#deny 10.0.0.0 0.255.255.255 log
Router(config-std-nacl)#deny 192.168.0.0 0.0.255.255
Router(config-std-nacl)#deny 127.0.0.0 0.255.255.255
Router(config-std-nacl)#deny 172.16.0.0 0.15.255.255
Router(config-std-nacl)#permit any
Router(config-std-nacl)#exit
Router(config)#interface g0/3
Router(config-if)#ip access-group jzhffdz in
Router(config-if)#ip access-group jzhffdz out
C) Router#configure terminal
Router(config)#ip access-list standard jzhffdz
Router(config-std-nacl)#deny 10.0.0.0 255.0.0.00.0.0.255 log
Router(config-std-nacl)#deny 192.168.0.0 255.255.0.0
Router(config-std-nacl)#deny 127.0.0.0 255.0.0.0
Router(config-std-nacl)#deny 172.16.0.0 255.240.0.0
Router(config-std-nacl)#permit any
Router(config-std-nacl)#exit
Router(config)#interface g0/3
Router(config-if)#ip access-group jzhffdz in
Router(config-if)#ip access-group jzhffdz out
D) Router#configure terminal 未配置访问规则,直接应用
Router(config)#interface g0/3
Router(config-if)#ip access-group jzhffdz in
Router(config-if)#ip access-group jzhffdz out
Router(config)#ip access-list standard jzhffdz
Router(config-std-nacl)#permit any
Router(config-std-nacl)#deny 10.0.0.0 0.255.255.255 log
Router(config-std-nacl)#deny 192.168.0.0 0.0.255.255
Router(config-std-nacl)#deny 127.0.0.0 0.255.255.255
Router(config-std-nacl)#deny 172.16.0.0 0.15.255.255
Router(config-std-nacl)#exit
4、在Cisco路由器用户模式下,进入特权模式时应输入的命令是(B )。
A) telnet
B) enable
C) setup
D) config
5、在一台Cisco路由器的g0/10端口上禁止端口号为1434的TCP协议数据包进出路由器,正确的access-list配置是(A)。
A) Router#configure terminal
Router(config)#access-list 120 deny tcp any any eq 1434
Router(config)#access-list 120 permit ip any any
Router(config)#interface g0/10
Router(config-if)#ip access-group 120 in
Router(config-if)#ip access-group 120 out
B)Router#configure terminal
Router(config)#access-list 120 deny tcp any any eq 1434
Router(config)#access-list 120 permit tcp ip any any
Router(config)#interface g0/10
Router(config-if)#ip access-group 120 in
Router(config-if)#ip access-group 120 out
Router(config)#access-list 90 120 deny tcp any any eq 1434
Router(config)#access-list 90 120 permit ip any any
Router(config)#interface g0/10
Router(config-if)#ip access-group 90 120 in
Router(config-if)#ip access-group 90 120 out
D) Router#configure terminal
Router(config)#access-list 120 permit ip any any
Router(config)#access-list 120 deny tcp any any eq 1434
Router(config)#access-list 120 permit ip any any
Router(config)#interface g0/10
Router(config-if)#ip access-group 120 in
Router(config-if)#ip access-group 120 out
6、Cisco路由器恢复密码时必须进入的模式是(C )。
A) Global Configuration
B) Privileged EXEC
C) RXBOOT
D) Setup
7、如下图所示,网络站点A发送数据包给B,在数据包经过路由器转发的过程中,封装
在数据包3中的目的IP地址和目的MAC地址是( D )。
A) 223.54.9.2和0080.c8f6.cc78
B) 194.6.97.2和00d0.bcf1.ab14
C) 223.54.9.1和00eo.6687.8d00
D) 223.54.9.2和00d0.bcf1.ab14
8、在一台Cisco路由器的g0/3端口上封禁ICMP协议,只允许222.29.86.0/24和202.38.97.128/26子网的ICMP数据包通过路由器,正确的access-list配置是( D )。
A) Router(config)#access-list 98 100 permit icmp 222.29.86.0 0.0.0.255 any
Router(config)#access-list 98100 permit icmp 202.38.97.128 0.0.0.63 any
Router(config)#access-list 98 100 deny icmp any any
Router(config)#access-list 98 100 permit ip any any
Router(config)#interface g0/3
Router(config-if)#ip access-group 98100 in
Router(config-if)#ip access-group 98 100 out
B) Router(config)#access-list 198 permit icmp 222.29.86.0 255.255.255.00.255.255.255 any
Router(config)#access-list 198 permit icmp 202.38.97.128 255.255.255.192 any
Router(config)#access-list 198 deny icmp any any
Router(config)#access-list 198 permit ip any any
Router(config)#interface g0/3
Router(config-if)#ip access-group 198 in
Router(config-if)#ip access-group 198 out
C) Router(config)#access-list 100 permit ip any any
Router(config)#access-list 100 permit icmp 222.29.86.0 0.0.0.255 any
Router(config)#access-list 100 permit icmp 202.38.97.128 0.0.0.63 any
Router(config)#access-list 100 deny icmp ip any any
Router(config)#interface g0/3
Router(config-if)#ip access-group 100 in
Router(config-if)#ip access-group 100 out
D) Router(config)#access-list 100 permit icmp 222.29.86.0 0.0.0.255 any
Router(config)#access-list 100 permit icmp 202.38.97.128 0.0.0.63 any
Router(config)#access-list 100 deny icmp any any
Router(config)#access-list 100 permit ip any any
Router(config)#interface g0/3
Router(config-if)#ip access-group 100 in
Router(config-if)#ip access-group 100 out
9、下列Cisco路由器进入vty配置模式后的命令提示符,正确的是( C )。
A) Router #
B) Router (config)#
C) Router (config-line)#
D) Router (config-if)#
10、下列选项中,不会出现在Cisco路由器路由表中的是(C )。
A) S 167.105.125.128 [1/0] via 202.112.7.1
B)C 212.112.37.16 is directly connected, POS3/0
C) S* 0.0.0.0(mask is 255.255.255.255)[1/0] via 202.112.7.2
D)O E1 202.120.232.0/25 [110/23] via 202.112.1.131, 00:03:02, FastEthernet4/1
11、执行路由器的ip route命令必须进入的工作模式是( D)。
A) 用户模式
B) 特权模式
C) 路由协议配置模式
D) 全局配置模式
12、如下图所示,在Cisco2511路由器R1的16个异步串行接口上连接一台Modem pool 为用户提供拨号上网服务,分配一个IP子网地址为195.223.56.16/28;使用同步串行接口,通过DDN专线与R2相连,分配一个IP地址为222.112.41.81/30。下列路由器R1的异步串行接口a1和同步串行接口s1/1的部分配置,正确的是( B )。
A) Router (config)#interface a1
Router (config-if)#encapsulation ppp
Router (config-if)#async default ip address 195.223.56.16
Router (config-if)#exit
Router (config)#interface s1/1
Router (config-if)#ip address 222.112.41.81 255.255.255.252
Router (config-if)#encapsulation ppphdlc
B) Router (config)#interface a1
Router (config-if)#encapsulation ppp
Router (config-if)#async default ip address 195.223.56.16
Router (config-if)#exit
Router (config)#interface s1/1
Router (config-if)#ip address 222.112.41.81 255.255.255.252
Router (config-if)#encapsulation hdlc
C) Router (config)#interface a1
Router (config-if)#encapsulation ppp
Router (config-if)#async default ip address 195.223.56.17
Router (config-if)#exit
Router (config)#interface s1/1
Router (config-if)#ip address 222.112.41.81 255.255.255.252
Router (config-if)#encapsulation ppphdlc
D) Router (config)#interface a1
Router (config-if)#encapsulation hdlcppp
Router (config-if)#async default ip address 195.223.56.17
Router (config-if)#exit
Router (config)#interface s1/1
Router (config-if)#ip address 222.112.41.81 255.255.255.252
Router (config-if)#encapsulation ppphdlc