路由器的配置
1、路由器的配置大致与交换机相同。
路由获取方法有3个,如下:
1)直接路由:由链路层协议发现的,一般指去往路由器的接口地址所在网段的路径,不需要网络管理员维护,也不需要路由器通过某种算法进行计算获得,只要该接口处于活动状态(Active)就会把通向该网段的路由信息填写到路由表中去。
2)静态路由:由网络规划者根据网络拓扑,使用命令在路由器上配置的路由信息。
3)动态路由:路由器能够按照特定的算法自动计算新的路由信息,适应网络拓扑结构的变化。
当一个分组在路由器中进行寻径时,路由器首先查找静态路由,如果查到则根据相应的静态路由转发分组;否则再查找动态路由。
直接路由就是直接设定端口的IP地址得到的目的网段号,如:
#int f0/1
#ip address 192.168.3.1 255.255.255.0
如果使用show ip route可以看到
C 192.168.3.0/24 is directly connected ,FastEhternet0/1
这样的路由表。
2、路由器配置好之后,可以将配置保存或删除,也可以对配置信息进行查看。
write memeory:在特权模式下,将配置保存到路由器的NVRAM中。
write erase :在特权模式下,删除路由器的全部信息。
Show可以帮助获得监控路由器的重要信息
3、静态路由的配置
使用ip route命令配置静态路由,使用no ip route命令删除静态路由配置。命令格式:
ip route <目的网络地址> <子网掩码> <下一跳路由器的IP地址>
ip route 192.168.1.0 255.255.255.0 10.1.1.1 注意:目的网络地址不能是一台主机的地址
4、RIP动态路由协议的配置
RIP基本配置包括启用并进入RIP路由协议的配置模式,设置参与RIP协议的网络地址。RIP根据各类IP地址的网络号的位数来确定掩码,在配置网络地址时不需要给定掩码
(1)启动RIP协议,命令格式:
route rip
(2)设置参与RIP协议的网络地址,命令格式为:
network 网络地址
RIP的高级配置主要包括:配置被动接口、配置路由过滤、设置RIP的管理距离值、指定邻居路由器和重新配置度量权值等。
R1 (config)#ip routing // 打开路由功能,默认是关闭的 R1 (config)#router rip // 进入RIP配置模式 R1 (config-router)#network 192.168.1.0 // 声明网络 R1 (config-router)#network 192.168.151.0 R1 (config-router)#network 192.168.253.0 R1 (config-router)#version2 // 设置RIP协议版本2
(1)配置被动接口
被动接口,就是在指定的接口上抑制路由更新,也就是阻止路由更新报文通过该路由器接口。
在RIP路由配置模式下,使用passive-interface命令指定一个路由器接口为被动接口。在被动接口上,可以抑制路由更新信息,防止端口发送路由信息。
#route rip
#passive-interface serial 0(在S0端口,只接收而不转发PIP路由通告)
(2)配置路由过滤
(3)配置管理距离
管理距离(AD)是测量路由可信度的值,AD值越小路由的可信度越高,RIP的默认AD值是120.
在RIP管理模式下,可以使用distance命令指定一个管理距离值,这样可以提高或降低可信度,有效的管理距离值是1~255。
(4)定义邻居路由器
5、OSPF动态路由配置
(1)OSPF基本配置
OSPF基本配置包括启用并运行OSPF进程,在进入OSPF配置模式后,在配置路由器所属的区域、区域范围和区域内参与OSPF路由的网络地址。
在全局配置模式下,使用route ospf <Process ID>命令,这个ID为1~65535内随意设置,启动OSPF进程。
在OSPF配置模式下,使用:network <子网号> <wildcard-mask> area <区域号>
如network 192.1.0.128 0.0.0.63 area 1
其中子网号必须为一个网段,wildcard-mask为子网掩码的反吗,区域号为一个数字。
6、配置NAT地址转换技术实现内部网络接入Internet
例:只申请到200.8.7.3和200.8.7.4两个内部全局地址,通过路由器NAT地址转换技术,代理局域网192.168.1.0/24全部计算机访问Internet。
1)静态NAT转换技术。
#interface f1/0 #ip address 192.168.1.1 255.255.255.0 #no shutdown #ip nat inside // 定义内部转换接口 #exit # #int f1/1 #ip address 200.8.7.1 255.255.255.0 #no shutdown #ip nat outside// 定义外部转换接口 #exit # #ip nat inside source static 192.168.1.7 200.8.7.3
NAT静态地址转换技术只能把一个内部的本地地址映射为一个内部全局地址,建立的是一一对应的关系,在现实生活中不多见,因为对于内部网络而言,无法申请到很多的内部全局地址,在有限个内部全局地址情况下,需要采用动态地址映射技术,建立一个地址映射池,进行随机映射。
2)动态NAT转换技术
与NAT静态地址映射过程一样,配置路由器设备的接口地址,分布内外网络的情况等基本信息。
首先定义默认路由,定义内部网络的默认路由,使内部网络具有连接外部网络的路由信息。
#ip route 0.0.0.0 0.0.0.0 f1/1
即访问外网的信息直接通过f1/1端口进行转发出去。
#ip nat pool pool1 200.8.7.3 200.8.7.4 netmask 255.255.255.0 // 定义内部全局地址池 #access-list 1 permit 192.168.1.0 0.0.0.255 // 定义允许转换的内部本地网络地址范围 #ip nat inside source list 1 pool pool1 // 为内部本地网络调用转换内部全局地址池
3)过载NAT转换技术
把内部地址映射到外部网络的一个IP地址的不同端口上,与动态NAT转换技术有点类似。
#ip route 0.0.0.0 0.0.0.0 f/1 #exit # #ip nat pool pool1 200.8.7.3 netmask 255.255.255.0 #access-list 1 permit 192.168.1.0 0.0.0.255 #ip nat inside source list 1 pool pool1 overload // 多了这个overload关键字
7、ISDN(DDR,PRI,BRT,PPP)等配置
一般需要配置的信息有ISDN交换机类型、IP地址、封装类型、拨号串、拨号组合拨号列表等信息。
#isdn switch-type basic-net3 // 设置ISDN交换类型,可使用isdn switch-type ?查询帮助 #int bri0 // 进入BRI接口配置模式 #ip address 192.168.1.2 255.255.255.0 // 设置接口ip地址 #encapsulation ppp // 封装协议为PPP #dialer string 88888888 // 设置拨号串R1的ISDN号码 #dialer-group 1 // 设置拨号组号码为1,把BRI接口与拨号列表1相关联 #no shut // 激活接口 #exit # #dialer-list 1 protocol ip permit #dialer idle-timeout 30 #dilaer load-threshold 128
#ppp authentication chap
#dialer-list 1 protocol ip permit
8、FR(帧中继)配置
如:
#interface s0/0
#ip address 202.114.13.1 255.255.255.0
#encapsulation frame-relay
9、访问控制列表
路由器能够提供初级防火墙的功能,该功能时通过路由器提供的访问控制列表(Access Control List,ALC)功能实现,它可以根据一些准则过滤不安全的数据包,如攻击包、病毒包等,保证网络的可靠性和安全性。
ip访问控制列表主要有两种类型,一类是标准访问控制列表(ip Standard Access List),一类是扩展访问控制列表(IP Extended Access Lists)。
标准访问控制列表只对数据包中的源地址进行检查,而不考虑目的地址及端口号等过滤选项,表号为1~99。
扩展访问控制列表除了检查源地址和目的地址外,还可以检查指定的协议,根据数据包头中的协议类型进行过滤;还可以检查端口号,根据端口号对数据包进行过滤。扩展访问控制列表的表号范围是100~199,后来又进行了扩展,扩展的表号是2000~2699。
标准访问控制列表命令格式如下:
# access-list <number> {permit | deny } protocal source wildcard-mask destination wildcard-mask
number是定义访问列表的编号,取值范围从1~99;deny或permit指定了允许还是拒绝数据包;protocol一般为ip,可以省略不写;source是发送数据包的主机地址;wildcard-mask是发送数据包的主机的通配符掩码,相当于子网掩码的反码。
1)为了更好地了解IP地址和通配符掩码的作用,这里举一个例子。假设您的公司有一个分支机构,其IP地址为C类的192.46.28.0。在您的公司,每个分支机构都需要通过总部的路由器访问Internet。要实现这点,您就可以使用一个通配符掩码 0.0.0.255。因为C类IP地址的最后一组数字代表主机,把它们都置1即允许总部访问网络上的每一台主机。因此,您的标准型IP访问列表中的access-list语句如下:
---- access-list 1
permit 192.46.28.0 0.0.0.255
---- 注意,通配符掩码是子网掩码的补充
2)如果您想要指定一个特定的主机,可以增加一个通配符掩码0.0.0.0。例如,为了让来自IP地址为192.46.27.7的数据包通过,可以使用下列语句:
---- Access-list 1
permit 192.46.27.7 0.0.0.0
3)在Cisco的访问列表中,用户除了使用上述的通配符掩码0.0.0.0来指定特定的主机外,还可以使用"host"这一关键字。例如,为了让来自IP地址为192.46.27.7的数据包通过,您可以使用下列语句:
---- Access-list 1
permit host 192.46.27.7
4)除了可以利用关键字"host"来代表通配符掩码0.0.0.0外,关键字"any"可以作为源地址的缩写,并代表通配符掩码0.0.0.0 255.255.255.255。例如,如果希望拒绝来自IP地址为192.46.27.8的站点的数据包,可以在访问列表中增加以下语句:
---- Access-list 1
deny host 192.46.27.8
---- Access-list 1
permit any
---- 注意上述2条访问列表语句的次序。第1条语句把来自源地址为192.46.27.8的数据包过滤掉,第2条语句则允许来自任何源地址的数据包通过访问列表作用的接口。如果改变上述语句的次序,那么访问列表将不能够阻止来自源地址为192.46.27.8的数据包通过接口。因为访问列表是按从上到下的次序执行语句的。这样,如果第1条语句是:
---- Access-list 1
permit any
---- 的话,那么来自任何源地址的数据包都会通过接口。
5)拒绝的奥秘
---- 在默认情况下,除非明确规定允许通过,访问列表总是阻止或拒绝一切数据包的通过,即实际上在每个访问列表的最后,都隐含有一条"deny any"的语句。假设我们使用了前面创建的标准IP访问列表,从路由器的角度来看,这条语句的实际内容如下:
---- access-list 1
deny host 192.46.27.8
---- access-list 1
permit any
---- access-list 1
deny any
---- 在上述例子里面,由于访问列表中第2条语句明确允许任何数据包都通过,所以隐含的拒绝语句不起作用,但实际情况并不总是如此。例如,如果希望来自源地址为192.46.27.8和192.46.27.12的数据包通过路由器的接口,同时阻止其他一切数据包通过,则访问列表的代码如下:
---- access-list 1
permit host 192.46.27.8
---- access-list 1
permit host 192.46.27.12
---- 注意,因为所有的访问列表会自动在最后包括该语句.
10、Route-map 结合路由重分布
Route-map 来将我们需要的路由信息挑选出来,在重分布的时候将他们分布进去。 Route-map 挑选出来的信息如果是 permit 则分布进去,否则不分布进去。
Route-map 的语法及注意事项
Route-map 名称 [deny| permit] [ 编号 ]
Match 条件
Set 动作
解释:就是一个数据流当满足条件的时候我们给出一个动作(如打标签等)并根据上面的 deny 或 permit 来执行,负责丢弃当有多个编号的语句的时候继续向下执行直到没有可执行的语句至此仍然没有匹配的条目则丢弃
注意事项:
1)在编写语句的时候我们不写编号则编号默认为 10
2)在编写语句的时候我们不写 deny 或 permit 则默认为 permit
3)当有多个 match 语句的时候,仅当所有的 match 语句都匹配的时候该 Route-map 语句才算匹配成功。当一个match 语句有多个条件的时候只要匹配其中的一个条件则整句 match 语句就算匹配成功
4)当我们之前没写编号的语句,之后我们有写了编号为 10 的语句则覆盖之前的语句
5)我们在删除 Route-map 语句的时候,没写编号则删除整个 Route-map 语句
6)执行的时候自上而写下执行
7)如果一条语句没有 match 则意味着匹配所有条目
access-list 10 permit ip host 10.10.30.1 any access-list 10 permit ip host 10.10.30.2 any access-list 12 permit ip any 158.124.0.0 0.1.255.255 access-list 12 permit ip any 158.124.0.0 0.0.15.255 access-list 12 deny ip any any // 策略路由配置 route-map test permit 10 match ip adddress 10 set ip next-hop 10.10.20.1