计算机三级网络技术（7）

计算机三级网络技术（7）

路由器的结构

1. 路由器的基本概念

路由器是工作在网络层的设备，负责将数据分组从源端主机经最佳路径传送到目的端主机实现在网络层的互联。

2. 路由器的结构

路由器有硬件和软件组成，路由器软件主要由路由器的操作系统（互联网操作系统组成）用于控制和实现路由器的全部功能。

路由器硬件组成部分有：中央处理器（CPU）、内存（ Memory）、存储器（ Storage）、接口（Interface）。

（1）中央处理器

CPU是路由器的心脏，是路由器的处理中心，负责实现路由协议、路径选择计算、交换路由信息、查找路由表、分发路由表和维护各种表格，以及转发数据包等功能。CPU的能力直接影响路由器的路由表查找时间、吞吐量和路由器的性能。

（2）内存

路由器内存用于保存路由器配置、路由器操作系统、路由协议软件等。主要的类型有：只读内存（ROM）、闪存（Flash）、随机存储器（RAM）和非易失性随机存储器（ NVRAM）。

只读内存（ROM）用来永久保存路由器的开机诊断程序、引导程序和操作系统软件。

ROM的主要任务是完成路由器的初始化进程，具体包括路由器启动时硬件诊断、装入路由器操作系统IOS等。

ROM是只读存储器，不能修改其中保存的内容。

随机存储器（RAM）是可读可写存储器。

在路由器操作系统运行期间，RAM主要存储路由表、快速交换缓存、ARP缓存、教据分组缓冲区和缓冲队列、运行配置文件，以及正在执行的代码和一些临时数据信息等。

在关机和重启路由器之后，RAM里的数据会自动丢失。

非易失性随机存储器（ NVRAM）也是一个可读可写存储器，主要用于存储启动配置文件（startup-config）或备份配置文件。

NVRAM容量较小，通常存储量只有32KB-128KB，但是存取速度非常快，而且保存的数据不会丢失。

闪存（ Flash）是可擦写的ROM，主要用于存储路由器当前使用的操作系统映像文件和一些微代码。

闪存的容量比较大，可以用来保存备份的配置文件，也不会丢失保存数据。

路由器的工作原理

1. 路由选择

路由选择就是路由器根据目的地址的网络地址部分，通过路由选择算法确定一条从源节点到目的节点的最佳路径。

2. 分组转发

分组转发即沿找好的最佳路径传送信息分组。路由器在接收到—个数据分组时，首先査看数据分组头中的目的P地址字段，根据目的IP地址的网络地址部分去查询路由表。

注意：在数据分组通过每一个路由器转发时，分组中的目的MAC地址是变化的，但是它的目的网络地址始终不变。在转发过程中，MAC地址为路由器MAC地址，会不断变化。

3. 路由表

路由表中记录着所有路由信息，路由表的内容主要包括目的网络地址及其所对应的目的端口或下一跳路由器地址或缺省路由的信息。

第1列表示路由表项的来源，标识这个路由表项是通过什么方式或者通过何种路由选择协议建立的。

“C"表示直连路由（ conected），表示目的网络直接与路由器端口相连；（0）

“S"表示为静态（ static）路由;（1）

"T"表示使用IGRP内部网关路由协议学习到的路由信息；(100）

“O"表示使用OSPF开放最短路径优先协议学习到的路由信息；（110）

第2列表示的是目标网络的地址和掩码长度；

第3列表示目的端口或者下一跳路由器的地址；

第4列“[]“中的前半部分为管理距离，后半部分为权值;（P163-164)

【解题技巧】 Gateway of last resort is 192.168.1.254 to network 0.0.0.0

​ C 192.168.2.0/24 is directly connected，Fast Ethernet 0/1（端口名）

​ 192.168.3.0/30 issubnetted ，1subnets

​ S* 0.0.0.0/0 [1/0] via 192.168.1.254

​ S 210.202.60.0/20 [1/0] via 192.168.1.254

​ S 211.210.16.0/21 [1/6] via 192.168.2.254

​ S 202.76.0.0/20 [10] via 192.168.3.254

出题点：connected+端口名(如果是三层交换机， connected+虚拟局域网号)

​ via+目的网络（IP地址）

​ 管理距离值

路由器的工作模式

1. 用户模式: Router>（ User EXEC）

在该模式下，用户只能运行少数的命令（如ping、 show version、 telnet等），有限度地查看路由器的相关信息，但不能对路由器的配置做任何修改，也不能查看路由器的配置信息，只能对路由器做一些简单的操作，因而它是一个只读模式。

2. 特权模式: Router#（ Privileged EXEC）

在用户模式下，输入“enable"命令后按回车键，即可进入超级权限模式（如果设置了口令，还需要在回车后按提示输入口令）。该模式下，最常用的操作包括管理系统时钟、进行错误检测、查看和保存配置文件、清除闪存、处理并完成路由器的冷启动等操作。

3. 全局配置模式：Router（ config）＃（Global Configuration）

在特权模式下，输入“config terminal"命令后回车，即可以进入全局配置模式。在全局配置模式下，可以配置子模式、接口配置子模式等其他配置模式。

4. RXBOOT横式：>

当密码丢失时，可以从该模式下恢复，因此该模式是路由器的维护模式。

5. 设置（ SETUP）模式

在任何时候，要进入设置模式，在特权横式下，输入setup即可。新路由器第一次进行配置时，系统会自动进入设置模式，并询问是否采用该方式进行配置。

路由器的基本配置及常用命令

1. 路由器的配置方式

• 通过控制端口（ Console）进行配置管理

• 使用 telnet远程登录配置，即使用telnet远程登录到路由器上进行配置管理。

• 使用TFTP服务，以复制配置文件、修改配置文件的形式配置路由器。

• 在AUX端口连接一台 Modem，在远端拨号配置路由器。

• 使用网络管理协议SNMP修改路由器配置文件的方式，对路由器进行配置。

2. 路由器的基本配置

路由器的基本配置一般都是通过使用 Console端口配置方式完成，配置的内容主要包括配置路由器的主机名、超级用户口令和远程登录口令等，包括网络的基本检测命令和配置文件的保存命令。

（1）配置路由器的主机名

在全局配置模式下

Router（config）＃hostname Router-test

Router-test（config）＃

（2）配置超级用户口令

Router-test＃ configure terminal

Router-test（config）＃enable secret 111111（设置超级用户明码密码）

Router-test（config）＃enable password 7111111（设置超级用户加密密码）

Router-test（config）＃

（3）设置系统时钟

命令格式： calendar set hh：mm：ss <1-31> MONTH <1993-2035>

Router-test＃ calendar set 20：26：00 3 may 2013

3路由器常用命令

（1）退出命令

无论是从端口模式退岀，返回全局配置模式，还是从全局配置模式退岀返回特权用户模式，都可以使用exit命令—级一级地退出，也可以使用end命令，直接退回到特权用户模式。

Router-test（config-if）＃ exit

Router-test（config）＃ exit

Router-test #

或

Router-test（config-if）＃ end

Router-test #

（2）保存配置

当完成路由器配置，需要保存配置时，可以在特权用户模式下，使用 write命令。

Router-test>enable（进入特权用户模式）

Router-test＃ write memory（保存路由器配置到 NVRAM中）

Router-test ＃write network tftp（保存到TFTP服务器中）

若要删除路由器的全部配置，也可以在特权用户模式下，使用 write命令。

Router -test ＃write erase（清除配置文件）

（3）网络的基本检测命令

• ping命令使用echo协议，通过向目标主机发送数据包，根据目标主机的应答情况，来了解路径的可靠性、链路的延迟时间和目的主机是否可以到达，从而判別到目标网络的连通情况。

• trace命令是—个实用的网络诊断工具，它不仅能诊断到目的网络的连通性，还能跟踪到目标网络转发路径上每一级路由器的工作状况、延迟时间（最多30跳，超过则视为不可达）等。

• telnet命令在进行网络诊断时，需要经常登录到不同路由器上迸行査看。一般路由器可支持5个telnet同时连接。该命令可在用户模式或特权用户模式下使用。

• show命令可以査看到路由器的配置情况、接口的工作状态、路由表信息、路由器软硬件版本、路由器资源的利用情况和各种协议工作信息等。该命令可以在用户模式下或特权用户模式下运行，但不同模式下可以查看的信息不同。在用户模式下可以査看路由器系统的软硬件版本、系统时钟、flash的使用情等。在特权用户模式下，则能够査看路由器配置、路由表信息、I的相关信息以及IP协议的统计信息等。

路由器的接口配置

1. 路由器接口的基本配置

（1）配置接口描述信息

进入端口配置模式，使用 description命令：

Router-test（config）# interface f0/1

Router-test（config-if）＃description To-websever

Router-test（config-if）＃

（2）配置接口带宽

进入接口配置模式，使用 bandwidth命令设置接口带宽，带宽单位是 kbit/s。

Router-test（config）＃interface f0/1

Router-test（config-if）＃bandwidth 100000

Router-test（config-if）＃

（3）配置接口地址。

进入接口配置模式，使用 ip address$命令配置接口的IP地址。

命令格式：ip address<IP地址><子网掩码>

Router-test（config）＃interface f0/1

Router-test（config-if） ＃ip address 192.168.1.254 255.255.255.0

Router-test（config-if）＃

（4）接口的开启与关闭

进入接口配置模式，使用 shutdown、 no shutdown命令关闭和开启接口。

Router-test（config-if）＃shutdown（关闭接口）

Router-test（config-if） ＃no shutdown（打开接口）

Router-test（config- if）

2. 配置POS接口

POS（ Packet over SONET/SDH）是一种利用 SONET/SDH提供的高速传输通道直接传送数据包的技术，同时它也是一种高速、先进的广域网连接技术。

POS使用的链路层协议主要有PPP和HDLC。目前POS可以提供155 Mbit/s、622 Mbit/s、2.5 Gbit/s和10 Gbit/s等多种传输速率的接口。

POS接口的配置任务包括：接口带宽、接口地址、接口的链路层协议、接口的帧格式、接口的CRC校验和flag（帧头中净负荷类型的标志位）等。

POS可选的帧格式是sdh和 sonet，s1s0=00表示是 sonet帧的数据，s1s0=10（十进制2）表示是sdh帧的数据。

POS可选的crc校验位是16和32。

在全局配置模式下，配置操作如下：

Router-test（config）＃interface POS0/1

Router-test（config-if） ＃description To-lab5

Router-test（config-if）＃bandwidth 10000000

Router-test（config-if） ＃ip address 192.168.5.1 255.255.255.252

Router-test（config-if）＃crc16

Router-test（config- lf）pos framing sonet

Router-test（config-if） ＃no ip directed-broadcast

Router-test（config-if） ＃pos flag s1s0 0

Router-test（config-if） ＃no shutdown

Router-test（config-if） ＃exit

Router-test（config）# exit

Router -test #

3. Loopback接口的配置

环回（ loopback）接口是一种应用最为广泛的虚接口， loopback接口号有效值为0-2147483647，主要用于网络管理。网络管理员为 loopback接口分配一个IP地址最为管理地址，其掩码应为255.255.255.255。loopback接口不会关闭，总是处于激活的状态loopback接口的参数配置比较简单，主要配置IP地址。

在全局配置模式下:

Router-test（config ）＃interface loopback 0

Router -test（ config-if＃ ip address192.168.100.1 255.255.255.255（配置接口IP地址和掩码，注意环回接口地址的掩码一般为4个255）

Router-test（config-if）＃ no ip route-cache（禁用 groute-cache功能）

Router-test（config-if）＃no ip mroute-cache

Router-test（config-if）＃exit

Router-test（config） ＃exit

Router＃

路由器的静态路由配置

1. 静态路由概念

静态路由是指由网络管理员手工配置的路由信息，使用静态路由协议时，路由器不能根据网络的实际情况动态地进行路由选择。当网络的拓扑结构或链路的状态发生变化时，也无法动态地更新路由表，必须由网络管理员手动去修改路由表中相关的静态路由信息。因此它适合规模较小，网络拓扑结构没有变化的局域网和采用点到点方式连接的较为简单的网络互连环境。

2. 静态路由配置命令

静态路由由“ip route”命令在全局配置模式下配置，使用“ no ip route“命令可删除静态路由配置。静态路由配置的命令格式如下：

命令格式：ip route<目的网络地址><子网掩码><下一跳路由器的IP地址>

Router-test（config）# ip route 10.0.0.0 255.0.0.0 192.168. 1.1

其中，默认路由的静态配置方式为：

ip route 0.0.0.0 0.0.0.0下—跳路由器的IP地址

动态路由协议配置

1. OSPF的基本配置

① Router ospf：该命令用来启动OSPF进程，命令格式为“ Router ospf< Process ID>“，其中Process ID（PID）是OSPF的进程号，它的范围是1-65535，Process ID可以在指定范围内随意设置，它只对本地路由器内部有意义，不同的路由器PID可以相同，也可以不同。

② network ip：该命令用来定义参与OSPF的子网地址，它的命令的格式为“network <子网号><子网掩码的反码><area区域号>“，在单个IP地址参与OSPF时也使用此命令。

其中，子网掩码的反码的计算方法为，将子网掩码表示成二进制，然后各位取反，再转换成10进制即可。如子网掩码255.0.0.0的反码为0.255.255.255。

③ range：该命令用于定义某一特定范围子网的聚合，它的命令格式为“area <区域号> range <子网地址><子网掩码>“

（1）配置参与OSPF的网络地址

Router-test（config） ＃router ospf 10

Router-test（config-router）＃network 192.168.1.0.0 0.0.255 area 0

Router-test（config-router）＃exit

Router-test（config）＃ exit

Router -test＃

（2）配置单个IP地址参与OSPF

Router-test（config ） router ospf 10

Router-test（config-router）＃network 192.168.1.1.0 0.0.0.0 area 0

Router-test（config-router）＃exit

Router-test（config）＃ exit

Router-test＃

（3）使用 area range命令定义参与OSPF的子网地址

Router-test（config ）＃ router ospf 10

Router-test（config-router）＃ area 0 range 212.37.123.0 255. 255. 255. 0

Router-test（config-router）＃exit

Router-test（config）＃ exit

Router -test＃

路由器DHCP的配置

1. DHCP服务器的配置

设置为DHCP服务器，在路由器上需要完成的配置任务主要是建立IP地址池（Pool）和配置IP地址池的相关参数。首先需要配置的是IP地址池的名称，再进入DHCP地址池配置模式，在该配置模式下对DHCP进行配置，主要任务包括：IP地址池的子网地址和子网掩码、默认网关、域名和域名服务器地址、IP地址租用时间等配置。

（1）IP地址池的建立

配置方法为在全局配置模式下使用“ip dhcp pool < name>“命令为地址池赋予一个名称，其中< name>是为所建的地址池提供的名称，可以是一组字符串或数字。

Router-test（config）ip dhcp pool 123（建立名为123的地址池）

Router-test（dhcp-config）

（2）IP地址池的子网地址与子网掩码的配置

IP地址池建立后，便进入地址池配置模式，在该模式下可进行IP子网地址和子网掩码的配置，用于设定DHCP服务器可以分配的IP地址的范围。配置的方法是在IP地址池配置模式下，执行“network<网络地址><子网掩码>”命令，其中，<子网掩码>可采用标准的子网掩码表示（如255.255.255.0）或使用掩码前缀长度表示（如/24）。

Router-test（dhcp-config）＃network 192.168.1.0 255.255.255.0

Router-test（dhcp-config）#

上述命令也可以表示如下：

Router-test（ dhcp-config） network 192.168.1.0/24

Router-test（ dhcp-config）＃

（3）排除不用于动态分配的IP地址

配置方法为在全局配置模式下，使用“ ip dhcp excluded- address low-address [high-address]"命令，其中“low- address [high- address]”表示要排除的IP地址的范围。

①排除从192.168.1.1到192.168.1.10的一段IP地址

router-test（config）＃ip dhcp excluded-address 192.168.1.1 192.168.1.10

router-test（config）＃

②排除单个IP地址192.168.1.11。

router-test（config）ip dhcp excluded-address 192.168.1.11

router-test（config）＃

（4）配置默认网关。

动态分配IP地址时，还需要同时为客户端指定默认网关，以便客户端TCP/IP协议正常工作。

配置方法为在地址池配置模式下，执行“default- router address [address2 ... address8]″命令，其中默认网关的地址，最多可以设置8个。

router-test（dhcp-config）＃default-router 192.168.1.254

router-test（dhcp-config）＃

（5）配置P地址池的域名系统。

①配置DNS

域名服务器的配置方法为在地址池配置模式下使用“dns-server address”命令，该命令允许最多配置8个域名服务器地址，但是在实际应用中，域名服务器一般只有两个或三个。

router -test（ dhcp-config）＃dns-server 202.102.192.68（在地址池配置模式下）

router-test（dhcp-config）＃

②配置DHCP客户端域名

IP地址池中客户端域名的配置方法为在DHCP地址池配置模式下，使用“ domain-name< name>”命令，其中< name>为指定的域名名称。

router-test（dhcp-config）＃domain-name aaa.com.cn

router-test（dhcp-config）＃

（6）IP地址租用时间

在DHCP地址池配置模式下，使用“lease {day [hours] [minutes] | infinite}“命令，其中参数可以包含天数、小时数以及分秒数，还可以设置为永不过期（infinite）。

router-test（ dhcp-config） ＃lease 0 3（设置租用的间为小时）

router-test（dhcp-config）lease infinite

router-test（dhcp-config）＃

路由器IP访问控制列表的配置

1. IP访问控制列表功能

访问控制列表（ Access Control list，ACL）通过在路由器接口处控制路由数据包是被转发还是被阻塞来过滤网络通信流量。路由器根据ACL中指定的条件来检测通过路由器的毎个数据包，从而决定是转发还是丢弃该数据包。

2. IP访问控制列表的分类

标准访问控制列表只能检查数据包的源地址，根据源网络、子网或者主机的P地址来决定对数据包的过滤。

标准访问控制列表的表号范围是1-99。后来又进行扩展，扩展的表号是1300-1999。

扩展访问控制列表可以检査教据包的源地址和目的地址，根据源网络或者目的网络、子网主机的IP地址决定数据包的过滤操作。

扩展访问控制列表除了检査源地址和目的地址外，还可以检査指定的协议，根据数据包头中的协议类型进行过滤，比如P协议、ICMP协议、TCP协议和UDP协议等。

扩展访问控制列表的麦号范围是100-199，后来又进行了扩展，扩展的表号是2000-2699。

3. 配置IP访问控制列表

• IP访问控制列表是一个连续的列表，至少由一个“ permit（允许）”语句和一个或多个“deny（拒绝）”语句组成。

• IP访问控制列表用名字（name）或表号（ number）标识和引用。

• 在配置IP访问控制列表的首要任务就是使用“aces-lis‘“或“ ip access-list“命令，定义一个访问控制列表。

• access-list命令要求只能使用表号标识列表，而 ip access-list命令可以使用表号或者名字标识列。

• 在配置过滤规则时，ACL语句顺序很重要。

• 路由器执行ACL是按照配置的问控制列表中条件语句来决定的。

• 数据包只有在跟第一个判断条件不匹配时才能被交给ACL中下—个条件语句迸行比较。

• 若要允许“202.204.4.2″以外的所有源地址通过路由器，这时就需要先配置“deny 202.204.4.2″再配置“ permit any any。

• 通配符掩码（访问控制列表掩码位配置过程）是一个32位的数字字符串，它被用点号分成4个8位组，每组包含8位。

注意通配符掩码即为子网掩码的反码。

• 在通配符掩码位中，0表示“检查教据包的IP地址相对应的比特位”，1表示“不检查（忽略）数据包的IP地址相对应的比特位”。

• 可以使用缩写字“any“代替0.0.0.0 255.255.255.255，代表所有主机。

• 通配符host

例如： Router（config）＃access-list 1 deny 172.33.160.29 0.0.0.0

等于： Router（ config）＃access-list 1 deny host 172.33.160.29

与整个主机地址的所有位相匹配，可以使用缩写字“host“

（1）使用 ip access-list命令

①定义访问控制列表。

命令格式：access-list<表号> {permit | deny}<协议类型><IP源地址/目的地址><子网掩码的反码> [operator] [operand]

其中， operator（操作）有It（小于）、gt（大于）、eq（等于）、neq（不等于）几种；operand指的是端口号。

例:拒绝转发所有IP地址进出的、端口号为1433的UDP协议数据包。

在全局配置模式下：

Router（config）＃access-list 130 deny udp any eq 1433

Router（config）＃access-list 130 permit ip any any

Router（config）＃

配置应用接口：

Router（config）＃interface g0/1

Router（config-if） ＃ip access-group 130 in

Router（config-if） ＃ip access-group 130 out

Router（config-if）＃

（2）使用 ip access-list命令

命令格式：ip access-list extended | standard access-list-number | name

其中，== extended | standard分别表示访问控制列表的类别，access-list-number | name表示可以选择标号或名称方式对访问控制列表进行标识==

在扩展或标准访问控制模式下（如：Router（ config-ext-nacl）＃），配置过滤规则，

命令格式：permitideny protocol<IP源地址 | IP目的地址><子网掩码的反码> [operator] [operand]

②应用到接口。

命令格式: ip access-group<表号>{in | out}

其中 access-list-number指出连接到这个接口的访问控制列表表号；in | out指示该ACL是应用到入站接口还是出站接口。

如果in和out都没有指定，那么默认认为是out。

例：拒绝转发所有IP地址进与出方向的、端口号为1437的UDP协议数据包

在全局配置模式下：

Router（ config）＃ access-list extended130（进入扩展访问控制列表配置模式）

Router（config-ext-nacl）＃

Router（config-ext-nacl）＃demmy udp any anmy eq 1437

Router（config-ext-nacl） ＃permit ip any any

Router（config-ext-nacl）＃

配置到应用接口：

Router（config）＃interface g0/1

Router（config-if）＃ip access-group 130 in

Router（config-if）＃ip access-group 130 out

Router（config-if）＃