路由器的配置及使用
计算机三级——网络技术 知识点
服务质量(QoS)要求的技术有资源预留(RSVP)、区分服务(DiffServ)、多协议标记(MPLS)。
RPR(弹性分组环)技术:①与FDDI一样使用双环结构②RPR环中每一个节点都执行SRP公平算法 ③RPR环能够在50ms内实现自愈 ④在RPR环中,源节点向目的节点成功发出的数据帧要由目的节点从环中收回
OC-3的传输速率是155.520Mb/s;OC-12的传输速率是622.08Mb/s
关于接入技术:光纤传输系统的中继距离可达100km以上;Cable Modem 利用频分复用的方法,可将信道分为上行信道和下行信道;ADSL技术具有非对称带宽特性,上传64~640kbps 下载640~6000kbps;802.11b的最高传输速率是11Mbps,802.11a的最高传输速率是54Mbps,802.11g的最高传输速率是54Mbps
IEEE 802.11三种协议比较
属性 | IEEE 802.11b | IEEE 802.11a | IEEE 802.11g |
最大传输速率 | 11Mbps | 54Mbps | 54Mbps |
实际吞吐量 | 5~7Mbps | 28~31Mbps | 28~31Mbps |
最大容量 | 33Mbps(3信道*11) | 432Mbps(8信道*54) | 162Mbps(3信道*54) |
系统可用性达到99.9%,每年停机时间 ≤8.8 h
系统可用性达到99.99%,每年停机时间 ≤ 53 min
系统可用性达到99.999%,每年停机时间 ≤ 5 min
关于外部网关协议BGP:BGP是不同自治系统的路由器之间交换路由信息的协议;一个BGP发言人使用TCP与其它自治系统中的BGP发言人交换路由信息;BGP协议交换路由信息的节点数不小于自治系统数;BGP-4采用路由向量协议
关于OSPF(最短路径优先协议):OSPF使用分布式的链路状态协议,而不像RIP(路由信息协议)使用距离向量协议;一个区域内的路由器数一般不超过200个;每一个OSPF区域拥有一个32位的区域标识符;在区域内的路由器只知道本区域的完整网络拓扑,而不知道其他区域的网络拓扑;对于规模很大的网络,OSPF通过划分区域来提高路由更新收敛速度
综合布线系统中,双绞线扭绞可以减少电磁干扰,多介质插座用来连接铜缆和光纤,对于建筑子系统来说,管道内布线是最理想的方式。
在Windows2003中,netstat -a 用于显示主机上活动的TCP连接状况的命令是;
nbtstat -a 用于显示使用远程计算机的基于TCP/IP的NetSIOSde统计和连接信息;
net view 用于显示域列表、计算机列表或指定计算机上共享资源列表。
交换机系统信息配置
Cisco3500(Cisco IOS) | Cisco6500(CatOS) | |
进入全局配置模式 | enable | enable Enter password |
主机名配置 | hostname SW1 | set system name SW1 |
设置系统时间 | clock set 12:00:00 28 8 2013 | set time Wed 8/28/2013 12:00:00 |
配置设备管理IP地址 |
interface VLAN1 |
set interface sc0 <ip地址> <子网掩码> <广播地址> set interface sc0 192.168.1.1 255.255.255.0 192.168.1.255 |
配置默认路由 | ip default-gateway 162.168.1.254 | set ip route 0.0.0.0 192.168.1.254 |
建立VLAN(100是VLAN号:1~1001 |
vlan database //进入vlan配置模式 vlan 100 name vlanwork //建立VLAN 100,命名为vlanwork no vlan 100 //删除vlan100 vlan 100 name vlanwork2 //修改VLAN |
set vlan 100 name vlan100 //建立VLAN 100,命名为vlan100 clear vlan 100 //删除vlan 100 set vlan 100 name v100 //修改VLAN |
分配端口到VLAN中 |
int f0/1 switchport access vlan 100 //将端口f0/1划分到VLAN 100中 |
set vlan 100 0/1 //将端口0/1划分到VLAN 100中 |
VLAN Trunk的配置 |
configure terminal int f0/24 switchport mode trunk switchport trunk encapsulation dot1 q //封装VLAN协议 switchport trunk allowed vlan 1,10 //设置允许通过的VLAN |
set trunk 1/24 on dot1 q set trunk 1/24 vlan 11-20 //设置允许通过的VLAN |
根据可信计算机系统评估准则(TESEC):
D级:最小保护,该级的计算机系统除了物理上的安全设施外没有任何安全措施,任何人只要启动系统就可以访问系统的资源和数据。
C1级:自主保护类,具有自主访问机制、用户登录时需要验证身份。
C2级:自主保护类,具有审计和验证机制。
B1级:强制保护类,引入强制访问控制机制,能够对主体和客体的安全标记进行管理。
B2级:具有形式化的安全模型,着重强调实际评估的手段,能够对隐通道进行限制。
B3级:具有硬件支持的安全域分离措施,从而保护安全域中软件和硬件的完整性,提供可信通道。
A1级:要求对安全模型做形式化的证明,对隐通道做形式化的分析,有可靠的发行安装过程。
第七章 路由器的配置和使用
路由器接口的配置
1.路由器接口基本配置
configure terminal ——进入全局配置
interface f0/1 ——进入接口f0/1
bandwidth 100000 ——配置接口带宽(单位:kb/s)100000kb/s = 100Mb/s
description To - lab1 ——配置接口描述信息
ip address 192.168.1.254 255.255.255.0 ——配置接口地址 格式:ip address <IP地址> <子网掩码>
no shutdown ——开启接口 shutdown为关闭接口
2. 回环(Loopback)接口的配置
interface loopback 0
ip address 192.168.100.1 255.255.255.255
3. 局域网接口配置
(1)标准以太网接口配置
interface Ethernet1
description To - lab1
ip address 192.168.1.1 255.255.255.0
bankwidth 10000
no shutdown
exit
(2)快速以太网接口配置
interface FastEthernet0/1 注:FastEthernet可简写为f
description To-lab2
ip address 192.168.1.1 255.255.255.0
bankwidth 10000
duplex half ——设置工作模式为半双工
no ip directed-broadcast ——禁止转发主机位全为1的广播包
no ip proxy - arp ——关闭代理ARP(Address Resolution Protocol,地址解析协议)
no shutdown
exit
(3)千兆以太网接口配置
interface GigabitEthernet0/1 注:GigabitEthernet 可简写为g
description To-lab2
ip address 192.168.1.1 255.255.255.0
bankwidth 10000
duplex half ——设置工作模式为半双工
no ip directed - broadcast ——禁止转发主机位全为1的广播包
no ip proxy - arp ——关闭代理ARP(Address Resolution Protocol,地址解析协议)
no shutdown
exit
4. 广域网接口配置
(1)异步串行接口配置
interface Async1 注:Async 可简写为a
ip unnumbered ethernet0
encapsulation ppp ——封装协议为ppp
async default ip address 192.168.1.1
async dynamic routing
async mode interactive
no shutdown
exit
(2)高速同步串行接口配置
interface Serial0/0 注:Serial 可简写为s
description To-lab4
ip address 192.168.4.1 255.255.255.252
bankwidth 2048
encapsulation ppp ——封装协议为ppp
no ip directed-broadcast ——禁止转发主机位全为1的广播包
no ip proxy-arp ——关闭代理ARP(Address Resolution Protocol,地址解析协议)
no shutdown
exit
(3)POS接口的配置
interface POS0/1
description To-lab5
bandwidth 10000000 ——单位:kb/s 10Gb/s
ip address 192.168.5.1 255.255.255.252
crc16 ——可选的crc校验位是16和32
pos framing sonet ——可选的帧格式是sdh和sonet
no ip directed-broadcast
pos flag s1s0 0 ——s1s0 0 表示是 sonet 帧的数据;s1s0 2 表示是 sdh 帧的数据
no shutdown
exit
路由器静态路由器配置
静态路由是指网络管理员手工配置的路由信息。静态路由由“ip route” 命令在全局配置模式下配置,使用“no ip route” 命令删除静态路由配置。
格式:ip route <目的网络地址> <子网掩码> <下一跳路由器的IP地址>
ip route 10.0.0.0 255.0.0.0 192.168.1.1 其中默认路由的静态配置为 ip route 0.0.0.0 0.0.0.0 下一跳地址
动态路由协议配置
动态路由协议使用路由选择算法根据实测或估计的距离、时延和网络拓扑结构等度量权值,自动计算最佳路径,建立路由表。
1. RIP(Routing Information Protocol 路由信息协议)的配置
RIP定时更新路由表项,每隔30秒发送一次路由更新信息。RIP选择具有最少“跳数(hop数)”(度量)的路由作为最佳路径。它所能接受的最长距离是15跳,若大于15跳则认为不可到达,舍弃。
RIP的配置命令如下
router rip ——启动RIP
network 192.168.0.0 ——设置参与RIP的网络地址 前两步是基本配置,完成后RIP便能正常工作。
passive-interface f0/1 ——配置被动接口
distribute-list 10 in FastEthernet0/1 ——配置路由过滤
distance 100 ——配置管理距离为100 可以1-255 默认是120
neighbour 131.55.101.2 ——配置邻居路由
2. OSPF动态路由协议配置
OSPF(Open Shortest Path First 开放式最短路径优先)采用的是一种链路状态算法,因此克服了RIP采用距离矢量的算法协议的缺点。OSPF具有收敛速度快、路由汇聚使路由表变小、支持可变长掩码(VLSM)、路由更新信息量少、路由更新不采用光广播报文而是组播报文等优点。
router ospf 10 启动OSPF进程
network 192.168.1.0 0.0.0.255 area 0 ——参与OSPF的子网地址 格式:network <ip地址> <子网掩码的反码> area <区域号>
area 0 range 212.37.123.0 255.255.255.0 ——定义某一特定范围子网的聚合。格式:area <区域号> range <子网地址> <子网掩码>
路由器DHCP的功能及其配置
DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)是一个局域网的网络协议,使用UDP协议工作, 主要有两个用途:给内部网络或网络服务供应商自动分配IP地址。
路由器上DHCP服务器的配置
en
conf t ——进入全局配置模式
ip dhcp pool 123 ——建立名为123的地址池
network 192.168.1.0 255.255.255.0 ——IP地址池的子网地址与子网掩码的配置
或 network 192.168.1.0/24
ip dhcp exclude-address 192.168.1.1 192.168.1.10 ——排除不用于动态分配的IP地址 192.168.1.1 到 192.168.1.10的一段IP地址
ip dhcp exclude-address 192.168.1.11 ——排除单个IP地址
default-route 192.168.1.254 ——配置默认网关
配置IP地址池的域名系统:
dns-server 202.102.192.68
domain-name aaa.com.cn
IP地址租用时间(默认租用时间为1天):
lease 05 ——租用时间为5小时
lease infinite ——永不过期
no ip dhcp conflict logging ——地址冲突记录日志取消
show run ——配置验证
DHCP的工作原理
(1)在客户端第一次登录网络时,获取IP地址的步骤。
①向网络发出一个DHCP Discover 封包,进行广播。源地址是0.0.0.0 目的地址是255.255.255.255 等待时间是1s,9s,13s,16s,5min
②当DHCP服务器听到客户端的DHCP Discover 广播后,它会通过UDP端口回应客户一个DHCP offer 广播包。源地址是DHCP服务器的IP地址 目的地址是255.255.255.255
③当客户端收到服务器的DHCP Offer 广播后,客户端向网络发送一个DHCP request 广播封包。源地址是0.0.0.0 目的地址是255.255.255.255
④当DHCP服务器收到DHCP Request 广播后,发送一个DHCP Ack消息以确认该IP
(2)当客户端第二次登录网络时,会直接用已经租用到的IP向DHCP发送DHCP Request 消息,无需再发送Discover消息。(除非其租约失效并且IP地址也重新设定为0.0.0.0)
参考: https://blog.csdn.net/OPBocai/article/details/80852159
路由器IP访问控制列表的功能及其配置
1. IP地址访问控制列表(Access Control List,ACL)通过在路由器接口处控制路由数据包是被转发还是被阻塞来过滤网络通信流量。(是转发还是丢弃)。访问控制列表适合于所有网络协议,如IP、IPX、AppleTalk等。
IP访问控制列表分为IP标准访问控制列表和IP扩展访问控制列表。标准访问控制列表只能检查数据包的源地址,局限性大但配置简单;数据包的源地址和目的地址,查指定的协议、端口号和其他参数,具有控制灵活、精确控制的特点。ACL表号范围 IP标准: 1~99 1300~1999 ;Extended IP(扩展):100~199 2000~2699
IP访问控制列表的配置方法
access-list 1 permit 0.0.0.0 255.255.255.255 ——允许任何IP地址通过。可以用 any 代替 0.0.0.0 255.255.255.255
access-list 1 deny 172.33.160.29 0.0.0.0 ——访问控制列表拒绝一个特定的主机地址。可写作:access-list deny host 172.33.160.29
IP标准访问控制列表的配置:
格式:(1)定义:access-list <列表号1~99> permit / deny <源IP地址> <wildcard-mask 子网掩码的反码>
(2)应用到接口:ip access-group <access-list-number> in / out
例如:
1. 只允许源地址为172.16.0.0 255.255.0.0 子网上的主机登录路由器
access-list 1 permit 172.16.0.0 0.0.255.255
line vty 0 5
access-class 1 in
2. 只允许源地址为192.168.2.2和 192.168.10.2 的两台主机登录到路由器
access-list 10 permit 192.168.2.2
access-list 10 permit 192.168.10.2
access-list 10 deny any
line vty 0 5
access-class 10 in
show configuration ——查看访问控制列表配置信息
show access-list ——查看访问控制列表
4. 在g0/1端口上,用标准访问控制列表禁止源地址为10.0.0.0 ~ 10.255.255.255 和 172.16.0.0 ~ 172.31.255.255的数据包进入路由器。
access-list 30 deny 10.0.0.0 0.255.255.255 log //log表示出现此情况写入日志
access-list 30 deny 172.16.0.0 0.15.255.255
access-list 30 permit any
interface g0/1
access-group 30 in
access-group 30 out
扩展IP访问控制列表的配置
(1)定义:access-list <ACL号100~199> permit / deny protocol source wildcard-mask destination wildcard-mask [operator] [operand]
access-list <ACL号100~199> permit / deny [协议] [定义过滤源主机范围] [定义过滤源端口] [定义过滤目的主机访问] [定义过滤目的端口]
(2)应用到接口:ip access-group <ACL号> in / out
例如:
1. 拒绝转发所有IP地址进出,端口为1433的UDP数据包
access-list 130 deny udp any any eq 1433
access-list 130 permit ip any any
interface g0/1
access-group 130 in
access-group 130 out
show access-list
-----------------或者如下
access-list 130
deny udp any any eq 1433
permit ip any any
interface g0/1
access-group 130 in
access-group 130 out
show access-list
2. 封禁某一台主机
access-list 110 deny ip host 212.102.60.230 any log
access-list 110 deny ip any host 212.102.60.230 log
access-list 110 permit ip any any
interface g0/1
access-group 110 in
access-group 110 out
show access-list
3. 禁止端口号为1434的UDP数据包和端口为4444的数据包
ip access-list extended block1434 //用名字标识访问控制列表 格式: ip access-list extend | standard ACL号 | name
deny udp any any eq 1434
deny tcp any any eq 4444
permit ip any any
interface g0/1
ip access-group block1434 in
ip access-group block1434 out
show access-list
常记溪亭日暮,沉醉不知归路。兴尽晚回舟,误入藕花深处。争渡,争渡,惊起一滩鸥鹭。
昨夜雨疏风骤,浓睡不消残酒。试问卷帘人,却道海棠依旧。知否?知否?应是绿肥红瘦。