第七章:路由器及其配置(21~24题)
考点1:路由器基础与基础命令
考点2:访问控制列表
考点4:静态路由、rip协议、ospf协议的配置
考点5:路由器的dhcp配置
路由器的概述
路由器是工作在网络层的设备。路由器负责将数据分组从源端主机经最佳路径传送到目的主机。路由器主要用于同类或异类局域网以及局域网与广播网之间的互联。是连接不同逻辑子网的网络连接设备。路由器具有异构网络互联、广域网互联、和隔离广播信息功能
路由器二点基本功能
1、路由选择:路由选择就是依据目的ip地址的网络地址部分,通过路由器选择确定一条从源结点到目的结点最佳路径
2、分组转发:对于一台路由器。其分组转发的任务既是在收到数据包后,根据路由表所提供的最佳路径的信息,将其转发给吓一跳路由器、目的端口或是缺省路由器
分组转发的思想:目的ip地址全程不变,目的mac地址,逐跳修改
路由表
1、路由表基本结构:路由器通过路由表的查询选择最佳路径的策略,路由表中保存着各种传输路径的相关数据,供路由选择时使用
路由表的内容主要包括:1、目的网络地址及其所对应的目的端口
2、吓一跳路由器的名字
3、缺省路由的信息
2、路由表实例一(sisco 12000上的路由表)
gstway of last resort is 202.112.41.217 to network 0.0.0.0
c 212.112.7.0/24 is directly connected,fastethernet0/24(直连路由不记录目的地址,只写吓一跳地址)
212.112.37.0/30 is subnetted,1 subnets
c 212.112.7.0/24 is directly connected,pos3/0
s 167.105.125.128[1/0]via 202.112.7.1(静态路由)
s* 0.0.0.0/0[1/0] via 202.112.41.217
1、路由源码:c:直链,s:静态,I:igrp, o:ospf,r:rip,i:is-is, B:BGP E:EGP
2、第二列:目的网络地址和掩码
3、第三列:目的端口或下一跳路由地址(如果是直链,则这个字段为给出的端口。如果有吓一跳路由器,则为吓一跳路由器的ip地址)
4、缺省路由的路由表项:网络地址和掩码都为0
3、路由表实例二(三层交换机上的路由表)
gstway of last resort is 202.112.41.217 to network 0.0.0.0
o 167.105.125.128[1/0]via 202.112.7.1 ,00:13:43,vlan1
oe1 167.105.125.128[1/0]via 202.112.7.1 ,00:13:43,vlan1 (oe1、oe2指的是ospf引入的外部路由)
oe2 167.105.125.128[1/0]via 202.112.7.1 ,00:13:43,vlan1
例如【110/22】:其中110是管理距离,22是权值(metric)或成本管理距离用于衡量路由表中给定的路由信息源的可信度
路由协议 管理距离
直接连接 0
静态路由 1
外部bgp 20
内部eigrp 90
igrp 100
ospf 110
is-is 115
rip 120
外部eigry 170
内部bgp 200
未知 255
路由器常用的权值:1、宽带:链路的数据能力2、延迟:数据包从源送到目的所用的时间3、负载:链路上的活动数量4、可靠性:链路的差错率5、跳数:通过路由器的数量6、滴答数:用ibm pc的时钟滴答计数延迟7、花费:cost,一般由管理员指定
路由器的结构
1、主要结构:中央处理、内存、存储器、接口
中央处理器:cpu是路由的处理中心,cpu负责实现路由协议、路径选择计算、交换路由信息、查找路由表、分发路由表和维护各种表格,以及转发数据包等更能。cpu的处理能力直接影响路由表查找时间、吞吐量和路由器的性能。
内存:1、只读内存(read only memory):rom中包括开机误诊断程序、引导程序和操作系统软件。不能修改其中保存的内容。
2、随机存储器(ram):ram是可读可写存储器。用来存储用户的数据包队列以及路由器在运行过程中产生的中间数据,如路由表、app缓冲区等。此外、ram还用来存储路由器的运行配置文件。当路由器被关闭或重启时,ram中的内容都将会丢失。
3、非易失性随即路由器(nvram):nveam是可读可写存储器。是用来存储路由器的启动配置文件。在路由器断电时,其内容仍能保存。
4、闪存(flash):是可檫写的rom。他叔要负责保护操作系统的映像文件和一些微代码。在路由器断电时内用仍能保存
接口:1、局域网接口2、广域网接口3、配置接口:控制接口console(rj-45)和辅助接口(aux)
接口编号的格式是mod/port:mod是模块号,port是端口号
路由器的工作模式
1、用户模式:当通过控制台或telnet成功登录到路由器后,将会看到,它是一种只读模式,用户可以浏览关于路由器的某些信息,但不能进行修改。默认提示符为:router>
2、特权模式:在用户模式提示符下输入enable命令进入特权模式。可以管理系统时钟、进行错误检测、查看和保存配置文件、清除缓存、处理并完成路由器的冷启动等操作。该模式不能对端口及网络协议进行配置。默认表示符为:router#
3、全局配置模式:在特权模式下输入configure terminal命令进入。全局配置模式用于配置路由器的全局参数(主机名、口令、tftp服务器、静态路由、访问控制列表),更改已有的配置。默认标识符为:router(config)#
4、其他配置模式:1、接口配置模式:在全局配置模式下输入:interface f0/2 默认标识符为:router(config-if)# 2、虚拟终端配置模式:lin vty 0 15默认标识符为:router(config-line)# 3、接口配置模式:router rip默认标识符为:router(config-router)#
5、设置模式(setup):当通过console端口进入一台刚出场的路由器,第一次启动时的模式。
6、roboot模式:路由器的维护模式。在密码丢失时,可以进入rxboot模式,以恢复密码。
路由器的基本操作与配置方法
1、路由器的配置方法:console(本地线缆),tftp、telnet、snmp(IP网络),aux(同通过远程拨号配置路由器)
2、路由器的配置:router(config)#line vty 0 15
router(config-line)#password 7 zzz307
3、远程登陆的具体步骤:进入“运行串口”,输入“telnet202.112.7.4”
4、使用tftp配置路由器:在网上必须配备一台机据三级作为tftp server并且安装运行tftp server软件,拷贝配置文件到tftp server router#write network
例:拷贝running-config到tftp server :router#copy running-config tftp
拷贝bootflash到tftp server:router# copy bootflash tftp
将tftp上的配置文件拷贝到路由器:router# copy tftp:running-config
路由器的基本配置及其公用命令
1、路由器的基本配置:1、配置主机名:router(config)#hostname router-phy
2、配置超级用户命令:router(config)#enable secret phy123
router(config)#enable password 7 phy123
3、配置系统时间:router# calender set hh:mm:ss <1-31>month <1993-2035>
2、几个公用命令:1、退出命令:exit、end
2、配置的保存:router#write memory(保存到路由器的nvram)
router#write network tftp(保存到tftp服务器中)
3、删除配置:router#writer erase
3、检测命令:1、telnet :router>telnet pqris(或IP地址)
2、ping、trace(测试连通性)
3、show命令:router>show flash(查看缓存文件)/show clock(查看我们的时钟)/show version(当前系统的版本)/show configuration(查看当前配置)/show IP route(查看当前路由表)/show ip protocols(查看当前路由协议)
路由器的接口配置
1、路由器接口的基本配置:1、配置接口描述信息:router(config)#int q6/0 router(config-if)#description to-beijing
2、配置接口宽带:router(config-if)#bandwidth 2500000(设置接口宽带)
3、配置接口IP地址:router(config-if)#ip add 201.31.13.133 255.255.255.0
4、接口的开启与关闭:router(config-if)#shutdown (no shutdown)
2、局域网接口配置:1、配置标准以太网接口(etnernet):router(config)#interface ethernet0
router(config-if)#description to beijing
2、快速以太网接口(fast ethernet):router(config)#interface f2/1
3、广域网接口配置:1、配置异步串行口:router(config)#interface a1
router(config-if)#ipunnumbered ethernet0
router(config-if) #encapsulated ppp(不能封装为hdlc)
router(config-if)#async default ip address 210.23.13.133
2、配置同步串行口:高速同步串行接口列星是serial,简写为s。它主要用于ddn专线、帧中继、卫星、微波等广域网连接。需要配置的参数主要有接口宽带、接口协议和接口IP地址
router(config)#interface s2/1
router(config-if)#description tobeijing
router(config-if)#IP address 。。。。。
router(config-if)#encapsulated hdlc(封装hdlc或ppp,hdlc为缺省)
3、配置pos接口(综合题):router(config)#interfface pos 3/0
router(config-if)#description to beijing
router(config-if)#bandwidth 2500000
router(config-if)#crc 32 (可选的crc效验位是16和32)
router(config-if)#pos framing sdh(可选帧格式是sdh和sonter)
router(config-if)#no ipdirected-broadcast
router(config-if)#pos flao sls0 2(sls0=00表示是sonet帧数据,sls=10(十进制2)便是sdh数据帧)
4、loopback接口配置:loopback接口没有一个实际的物理接口与相对应,也没有哦与其他网络系节点相连接的物理链路。他是一个虚拟的接口,loopback的接口有效值位0~2147483647。主要作用是它作为一台路由器的管理地址,使网络管理员可以随时登陆到路由器上。它还可以作为动态路由协议ospf和bgp的router id使路由器功能更加稳定可靠。每台路由器都配置一个环回接口使它永远处于激活状态。网络管理员位loopback接口分配一个ip作为管理地址,其掩码位255.255.255.255
router(config)#int loopback 0
router(config-if)#IP address 。。。。255。255.255.255
router(config-if)#no ip router-cache
router(config-if)#no ip mroute-cache
路由器的静态路由配置:1、静态路由的配置方法:router(config)#p route <目标网络> <子网掩码> <下一跳地址>
2、静态默认路由配置:router(config)#ip route 0.0.0.0 0.0.0.0 <吓一跳路由器的IP地址>
动态路由协议的配置
1、rip动态路由协议的配置:rip路由协议只依据与游憩跳数决定最短路径。rip限制最大跳数位15跳。rip定期更新时间位30s
router(config)#router rip /启用
router(config-router)#network 159.105.0.0 /宣告网络
router(config-router)#network 212.112.7.0
rip高级配置:配置被动接口(只接受不发):router(config)#router rip router()#passive-interface ethnet 0
配置路由过滤:access-list 12 deny any/router rip/distribute-list 12 in ethnet0
配置管理距离:router /rip distance 50
定义邻居路由器:router rip/neighbor 21.112.2.1
2、ospf动态路由协议的配置(综合题)
1、ospf的基础配置:使用network命令定义参与ospf的子网地址:1、配置单个IP地址参与ospf:router ospf 63/network 131.107.34.1 0.0.0.0(单个地址反掩码0.0.0.0) area 0 2、网络地址参与ospf:network 133.151.0.0 0.0.255.255(反掩码) area 0 3、定义参与ospf的子网地址:area 0 range 212.33.123.0 255.255.255.0(正掩码)
2、几种常见的ospf参数的配置:1、配置被动接口:passive-interface ethernet 0/passive-interface vlan 37 2、配置路由过滤:access-list 12 deny any /router osfp 63/distribute-list 12 in serial 3、配置管理距离:distance 10 4、配置引入外部路由到ospf的参数:redistribute metric 100(外部路由的花费值)/rediteibute tag 10(标记值)/red。 connected metric-type 1 subnets(外部路由类型)
路由器的dhcp功能及其配置
IP地址分配有静态和动态两种,其中动态分配使用的时dhcp协议,使其获取一些IP地址、网关、域名、tcp/ip属性。
工作原理:dhcp采用c/s工作模式。dhcp服务器主要完成两个功能,一是建立和管理IP地址池,二是接受并处理dhcp客户端提出的dhcp请求。//动态为客户端分配IP地址
dhcp服务器的配置:1、配置IP地址池的名称,并进入dhcp pool配置模式:ip dhcp pool <名称>
2、配置IP地址池的子网地址和子网掩码:1、在dhcp pool配置模式下:network<network-number>[mask|/prefix-length]//network 201.23.56.0 255.255.255.0
2、配置不用于动态分配的IP地址:例子:排除201.23.98.2-21.23.98.10:ip dhcp exclude-address 201.23.98.2 21.23.98.10
3、配置IP地址的缺省网关:default-router address [address2.....address8]
4、配置IP地址域名系统:配置IP地址池的域名名:domain-name<name> 配置IP地址池的域名服务器的IP地址:dns-server address 212.105.125.23 212.105.125.26
5、配置ip地址池的地址租约时间:lease {day[hours][minutes]|infinte}
6、取消地址冲突记录日志:no ip dhcp conflict logging
路由器IP访问控制列表的功能及其配置
路由器提供的访问控制列表能够为路由器提供初级的防火墙功能,能够过滤掉不安全的数据包。
IP访问控制列表功能简介1、IP访问控制列表的主要功能:通过灵活地增加访问控制列表,acl可以当作一种网络控制的有力工具,用来过滤流入和流出路由器接口的数据包。2、IP访问控制列表的过滤准则:过滤源地址或目标的地址、过滤端口号、过滤协议(icmp、tcp、udp)
3、访问控制列表的分类:1、标准访问控制列表:只能检查数据包的源地址。(1~99,1300~1999)2、扩展访问控制列表:检查数据包的源地址与目的地址。根据源网络,目标网络,子网掩码,主机的ip地址决定数据包的过滤。该列表还可以检查指定的协议以及端口号。(100~199,2000~2699)
配置访问控制列表:acl语句的顺序非常重要,如果列表都不能匹配则会被隐含的“拒绝”
配置访问控制列表的两个重要参数:1、表号和名字:标号是用来表示或是引用某个访问控制列表。访问控制列名的名字用字符串来表示。通配符掩码 :访问控制列表的通配符掩码是一个32bit的字符串,它点分为4个8位。它实际上反应的是子网掩码的反码。
配置ip访问控制列表:1、配置标准访问列表:access-list access-list-number{permit|deny}source wildcard-mask 例子:只允许源地址为211.105.130.0 255.255.255.0子网的主机登陆路由器:access-list 10 permit 211.105.130.0 0.0.0.255 配置应用接口:line vty 0 5/access-class 10 in
例子2:只允许源地址为192.168.1.102和192.168.1.109的两台主机登录路由器:access-list 20 permit 192.168.1.102/access-list 20 permit 192.168.1.109/access-list 20 deny any(any代表所有主机) 配置接口:line vty 0 5/access-class 20 in
例子3:禁止非法地址的数据包进入路由器或从路由器输出:access-list 30 deny 10.0.0.0 0.255.255.255 log(log为匹配后记录日志)/access-list 30 permit any(其他的都允许) 配置接口:interface g0/1 /IP access-group 30 in
配置扩展访问控制列表:1、使用access-list命令:access-list access-list-number{permit|beny} protocol source wildcard-mask destination wildcard-mask [opertor] [operand]其中:operator(操作:有lt(小于)、gt(大于)、neq(不等于)eq(等于))operatand(操作数),值的是端口号。
例子1:拒绝转发所有ip地址进出口,端口号为1314的udp协议数据包:access-list 130 deny any any eq 1314/access-list 130 permit IP any any 配置应用端口:interface g0/1 /ip access-group 130 in /ip access-group 130 out
例子2:封禁某一台主机:access-list 110 deny ip host 《源IP地址》anylog/access-list 110 deny ip any host《目的IP地址》log(之前都不加)
例子3:封禁icmp协议,只允许两个子网额icmp数据包通过路由器:access-list 120 permit icmp 《IP地址》/access-list 120 deny icmp any any/access-list 120 deny ip any any
2、使用 ip access-list命令:ip access-list extend|standard access-list-number|name 配置过滤:permit|deny protocol source wildcard-mask destination wildcard-mask [operator][operand]
例子1:拒绝转发所有IP地址进与出方向的,端口号为1314的udp协议数据包:ip access-list extended130/deny udp any any eq1314/permit udp any any
3、用名字标识符访问控制列表的配置方法:ip access-list standard test(名称)/deny 10.0.0.0 0.255.255.255 log
