CISCO路由器

路由器概述 一、路由器功能介绍： 路由器可以实现将局域网与互联网广域网连接 路由器具有防火墙功能，确保内网安全 具有网络地址转化功能（NAT），可实现内网地址转化为外网地址，确保内网安全与节省地址。 同时具有端口映射功能，将访问路由器的端口直接映射到内网某台计算机。 网络路由器的功能通常是宽带路由器所不能代替的，网络路由器同时还支持各种广域网类型，并 完整与之连接。 二、路由器的结构： 1、CPU 用于路由器的数据处理及运算控制 2、ram 内存，用于路由器工作时临时数据存放。 （路由器断电或重启后，ram中的数据丢失） 3、rom 只读存储器，其存放路由器的引导程序以及路由器诊断程序。 4、flash ram 闪存，用于存放路由器的操作系统 IOS [网际操作系统 路由器系统等] 5、nvram 非断电式存储器，即数据存放到 nvram 中，不会丢失。相当于计算机中硬盘功能。 nvram中，所存放的是路由器的具体配置。 三、路由器接口的类型： [局域网接口 广域网接口 配置端口 辅助配置口 bri口] 1、局域网接口： 局域网接口为 RJ45口 局域网接口的标识 10 BASE -T ==>[10示该局域网接口速度为 10 M] base 表示该接口的类型是 数字信号 -T 表示扭曲，即该接口所连接的介质为 双绞线 局域网接口，主要用于连接内网中的交换机，计算机等。 局域网接口，在路由器中的名称为 ethernet , 如 第一个局域网接口，称为 ethernet 0 简写为 e0 2、广域网接口： 通常是的V24接口，可以连接各种类型的广域网线路， [将广域网线路接入路由器，需要采用csu/dsu进行接口转化] 广域网接口速度，取决于广域网线路的速度。 广域网接口，所允许连接的线路，包括 ddn 网络 frame-relay 网络 x.25网络 atm网络等 广域网接口，在路由器中的名称为 serial ，如第一个广域网接口，称为 serial 0 简写为 s0 3、console 接口： 该接口为 rj45接口，但并不能连接内网的双绞线。 该接口称为路由器的配置端口，主要用于通过计算机对路由器做配置。 路由器购回后，必须要做对应的配置，否则无法工作。 [通过配置电缆（路由器自带），将计算机的com串口，连接到路有器的配置端口，并且打开 计算机的超级终端，此时即可以对路由器做调试] 路由器的配置端口，其名称为console，如第一个配置口称为 console 0 简称 con 0 4、AUX接口 该接口称为路由器的辅助配置端口，主要用于通过电话线远程对路由器做调试 远程计算机通过电话线接入modem,再通过modem以及modem数据线，接入路由器的AUX接口，实现 远程调试。 在路由器中 AUX口的名称为 AUX ，如第一个AUX口称为 AUX0 5、BRI接口 该接口称为路由器的基本速率接口，专用于连接 isdn 专线网络 四、搭建路由器的配置平台： 1、通过路由器配置电缆，用计算机直接调试路由器 * 将路由器的console接口与计算机的com接口，通过配置电缆连接。 * 启动路由器电源，并打开计算机的“超级终端”， 将com接口的属性，还原为默认值，回车后即连接到路由器的配置界面。 * 该配置方法，是路由器的基本配置方法，当路由器购买回来后，必须要采用该方法进行配置。 否则无法使用。 2、通过路由器的AUX接口，配置路由器 该方法可以远程调试路由器。 远程的计算机首先接上MODEM，然后MODEM连接电话线，再通过电话网，接入路由器所在地的MODEM 再将MODEM通过MODEM电缆，接入路由器AUX接口。 3、通过网络，远程调试路由器 该方法要求，路由器事先已经配置好路由器各接口的网络参数，如 ip地址，掩码，网关等信息 具体的方法是，在计算机中，通过telnet方式，直接连接到路由器，并调试 如 telnet 10.0.0.16 路由器的基本配置 一、掌握cisco路由器的各配置模式： 1、路由器普通配置模式： * 路由器一启动，即会进入该模式，普通模式只能进行基本信息的查询，而无法做任何配置 * 普通模式的提示符为 router> 2、路由器特权配置模式： * 特权模式，需要从普通配置模式进入，采用 命令 enable 进入 * 特权模式，所允许的操作包括路由器各信息的查询，包括路由器配置以及配置文件的管理， 操作系统的升级等。 * 特权模式的提示符为 router# 3、路由器全局配置模式： * 全局配置模式，需要从特权模式进入，采用命令 config terminal * 全局配置模式，则可以允许对路由器的所有参数做修改以及设定。 * 全局配置模式提示符为 router(config)# 4、路由器接口配置子模式： * 接口配置子模式，需要从路由器的全局模式进入，属于全局模式下的子配置模式。 * 接口配置子模式，可以为路由器的各接口包括广域网接口及局域网接口设定相关的参数， 如IP地址配置，子网掩码配置，防火墙加载，时钟频率等均需要在接口配置子模式下完成。 * 接口配置子模式提示符为 Router(config-if)# * 从全局配置模式进入接口配置子模式命令为 interface 接口名称 如 interface fastethernet 0/0 可简写为 int f0/0 5、路由器路由配置子模式： * 路由协议，即配置与自动搜寻路由器到达目标地的具体路径。路由协议配置子模式，也属于 全局模式下的子模式，需要从全局模式进入。 * 路由协议配置子模式的提示符为 router(config-router)# * 进入路由协议配置子模式的命令为 router 路由协议 如 router rip 6、路由器console口配置子模式： * 该子模式能够针对于console接口配置，如配置从console口进入路由器的密码 * 该子模式同样需要从全局模式进入，提示符为 router(config-line)# * 进入该子模式的命令为 line con 0 7、路由器vty虚拟终端配置子模式： * 当为路由器接口配置了IP地址以后，则可以通过远程的计算机telnet到路由器，并远程配置路由器。 telnet到路由器，就算连接到路由器的一个VTY虚拟终端，默认路由器提供0~4共五个终端vty * vty 配置子模式，需要从全局配置模式进入，其提示符为 router(config-line)# * 进入vty配置模式的命令为 line vty 0 4 二、cisco 路由器的命令类型： * 标准命令：命令执行后，将显示或得到具体的效果或功能，如在全局配置模式下运行命令 hostname abc * 主命令：主命令通常是用于进入各子模式的命令，如在全局配置模式下运行 int f0/0 * 子命令：子命令是当主命令运行完成后，进入了某一模式后提供的命令，如在接口配置模式下，有一命令 ip address 172.16.0.1 255.255.0.0 注意：在全局配置模式或者其子模式下，按ctrl+z均可以返回到 特权模式 在任何一个模式下，均可以用命令 exit 返回上一层 三、路由器的基本配置与信息查询： 1、查看路由器的配置信息： [在特权模式，配置信息在内存中] show running-config 2、查看路由器的nvram中配置信息： [特权模式] show startup-config 3、查看路由器的接口信息： [特权模式] show interface 接口名称 如 show interface fastethernet 0/0 -->查看第一个模块的第一个局域网接口信息 show interfaces serial 1/1 4、查看路由器flash ram 中的文件及信息 [特权] show flash ->可查看出路由器的操作系统文件以及大小，包括flash ram 的空间 5、查看cisco路由器操作系统的版本信息 show version 6、将路由器中的配置文件，保存到 nvram 中 [特权] copy running-config startup-config -->将配置从内存保存到nvram 7、将路由器nvram中的配置文件，恢复到内存 copy startup-config running-config 8、将路由器中的配置，保存到网络中的tftp服务器中 copy running-config tftp =>回车后，指出tftp服务器的IP地址，以及保存的文件名 9、从网络中的tftp服务器，恢复培植到路由器内存中 copy tftp running-config =>回车后，指出tftp服务器IP地址，以及具体的文件名 说明：tftp 服务器是轻量型文件传输协议的服务器，主要用于传输重要且小型的数据。 该服务器实际上是一个小程序，运行时，其提供的端口为 69 四、cisco 路由器的发现协议： [cdp 思科发现协议 ] 1、cdp 协议说明： cdp 协议，可以完成与cisco 设备相邻的路由器或交换机的信息。 注意，cdp 协议，只允许应用在 cisco 设备上。 并且所查询的信息是相邻设备的信息。要求注意，所有的设备之间网络必须要保持连通。 2、确保网络的连通。 将所连接的所有的端口，全部 no shutdown ==>开启端口 如果路由器是用广域网接口连接，并且其所使用的是提供时钟频率的端口，则还需要添加 时钟频率命令。 clock rate 1000000 ==>保持同步 3、查看相关的相邻cisco设备信息： show chp ==>查看发送 cdp 广播信息的时间 show chp neighbors ==>查看与当前路由器相连接的所有相邻cisco 设备信息 show chp neighbors detail ==>查看更加详细的信息 4、开启及关闭cdp协议 * 为防止对方查询当前cisco设备的信息，则需要将对应接口的cdp协议关闭 进入对应的接口配置子模式，如 int s1/0 运行禁用命令 no cdp enable * 若要开启某一个接口的cdp协议，则进入该接口配置子模式，并 运行命令 cdp enable 五、路由器密码配置 1、修改路由器的名称： [全局配置模式] hostname 路由器名称 如 hostname cisco 2、默认情况下，计算机通过超级终端连接到路由器的console口，并对路由器设置，无需输入密码： * 从全局配置模式，进入console 接口配置子模式 line con 0 * 开启从 console 接口连接时的密码检测功能 login * 设定连接时的密码 password 具体密码 3、开启允许外界计算机，telnet到路由器，并且路由器做调试： 默认情况下，路由器允许telnet的功能，是处于关闭状态。 * 从全局配置模式进入vty配置子模式 line vty 0 4 * 开启 telnet 连接的检测功能 login * 设定连接时的密码 password 具体密码 4、配置路由器进入特权模式的密码： [该密码是为了确保路由器的安全而设定的，只要进入了特权模式，则将允许对路由器做任何配置] * 进入全局配置模式，采用命令 enable password 具体命令 enable secret 具体密码 * 以上两者命令，均是用于配置进入特权模式的密码，但后者为加密密码，其安全性高，并且优先 于前者密码。 tcp/ip协议与IP路由 一、tcp/ip协议的介绍以及相关术语： 1、介绍： * tcp/ip协议，称为传输控制协议/网际协议。 * tcp/ip协议，实际上是一个协议簇，即该协议实际上是由多个子协议构成。 包括用于数据传输的 tcp 协议与 udp 协议，均工作于 传输层 包括用于网络连接的IP协议 icmp 协议，工作于网络层和 arp 协议 rarp 协议，工作于链路层 * 与tcp/ip协议，有关的包括IP地址 子网掩码 网关 DNS 等 2、IP地址： [以IPV4型IP地址为例] w . x . y . z * IPV4型地址，应用时采用十进制数表示。共分为四段。 将每一段转化为二进制，则每段有8位二进制，总共 32 位二进制。 * IPV4地址，共分为 A B C D E 五类 其中D类与E类是分别用作地址保留以及多播。 * A B C 三类的划分方法： A 类的划分方法 ==> w 1 ~ 126 B 类的划分方法 ==> w 128 ~ 191 C 类的划分方法 ==> w 192 ~ 223 * IPV4型地址，可分成两部分 网络号 + 主机号 注意： 只有网络号相同的IP地址，才可以直接通讯。 如果网络号不同的IP地址，则必须通过路由器才能通讯。 A 类地址的网络号为 w B 类地址的网络号为 w.x C 类地址的网络号为 w.x.y 注意： 主机号中的每一位，其数字均可以从 0 ~ 255 * 网络应用中的特例地址： 以 127 开头的地址，称为环回地址，表示本机，用于测试本机是否具备网络连接功能。不做任何 网络数据传输之用。 以下地址，只应用于局域网当中 10.0.0.1 ~ 10.255.255.254 172.16.0.1 ~ 172.31.255.254 192.168.0.1 ~ 192.168.255.254 以下地址是不可用的： 主机号转化为二进制，如果二进制全部为 0 ，该地址表示为网络号 主机号转化为二进制，如果二进制全部为 1 ，该地址表示为广播地址 3、子网掩码的介绍及功能： * 子网掩码，可以实现对具体IP地址中的网络号求解。 * 默认情况下，A B C 三类的IP地址，其对应的子网掩码分别是 255.0.0.0 255.255.0.0 255.255.255.0 * 在实际的广域网络中，子网掩码并不会以默认的形式存在，会改变的。 如 116.10.242.141 255.255.255.248 * 实例，通过对子网掩码以及IP地址的计算，求出网络号 192.168.11.2 255.255.255.0 求解方法： 192.168.11.2 的二进制 11000000.10101000.00001011.00000010 and 255.255.255.255 的二进制为 11111111.11111111.11111111.00000000 --------------------------------------- 11000000.10101000.00001011.00000000 192 . 168 . 11 . 0 -->结果为网络号 116.10.242.141 255.255.255.248 求解方法： 116.10.242.141 二进制为 01110100.00001010.11110010.10001101 and 255.255.255.248 二进制为 11111111.11111111.11111111.11111000 ---------------------------------------------- 01110100.00001010.11110010.10001000 116.10.242.136 ==>结果为网络号 4、通过子网掩码，实现一个大网络的划分（切割）： 目的在于方便网络管理，以及节省IP地址。 将网络 192.168.0.0/24 划分成 4 个小网络（每个小网络，称为一个子网） <1>、将网络划分成 4 个子网，需要重新计算子网掩码。 4 <= 2^n 此时N取最小整数是 2 n=2，就表示需要在原来的子网掩码的主机位置上，至左向右取N位，并且将0全部改为 1 即： 原来子网掩码为 /24 ，相当于 255.255.255.0 ,转化成二进制后是 11111111.11111111.11111111.00000000 [1对应着网络号，0对应着主机号] 按提示，在主机号中，至左向右，连续取N位，并改为1，结果为 11111111.11111111.11111111.11000000 转化为十进制为 255.255.255.192 <2>、在重新计算后的子网掩码（二进制）中，可以得出 11 为网络号 000000 为主机号 * 网络号 11 ，网络号范围，可以是 00 01 10 11 * 主机号 000000 ，主机号范围，可以 000000 ~ 111111 注意，主机号不能取 000000 ，其表示为 网络号 也不能取 111111 ，其表示为 广播地址 因此，主机范围应该是 000001 ~ 111110 <3>、将步骤<2>中所计算得到的网络号与主机号进行合并，方法如下 编号 网络号 主机号 ------- 网络号 主机号 1 00 000001 00 111110 [1 - 62] 0 63 2 01 000001 01 111110 [65 - 126] 64 127 3 10 000001 10 111110 [129 - 190] 128 191 4 11 000001 11 111110 [193 - 254] 192 255 256\n-2 注：分为n段 5、通过改变子网掩码，实现多个小网络组建成一个大网络[ 超网 ] 使用超网，在个别情况下，可以减少路由器中路由表的复杂性（简化路由表） 例： 有以下四个网络 192.168.0.1/24 =>192.168.0.0/24 192.168.1.1/24 =>192.168.1.0/24 192.168.2.1/24 =>192.168.2.0/24 192.168.3.1/24 =>192.168.3.0/24 以上四个IP地址均不能互相通讯，原因在于其各网络号均不相同。 要实现各IP地址相互通讯，则需要将以上各IP的网络号配置成相同，方法如下 将第一个IP与第四个IP求解出对应的网络号 192.168.0.1/24 11000000.10101000.00000000.00000001 and 11111111.11111111.11111000.00000000 ------------------------------------------------- 11000000.10101000.00000000.00000000 192.168.0.0 192.168.4.1/24 11000000.10101000.00000100.00000001 and 11111111.11111111.11111000.00000000 --------------------------------------------------- 11000000.10101000.00000000.00000000 192.168.0.0 此时子网掩码为 255.255.248.0 注意：将最大的IP地址网络段与最小IP地址网络段比较，得出网络段中不同的位，将对应 的子网掩码位，由原来的1更改为0 6、网关 gateway : 二、在网络路由器中IP地址的配置原则： 1、配置原则： * 相邻路由器的相邻端口，其所配置的IP必须处在同一个网络中[网络号相同] * 同一个路由器的各端口，必须处在单独的网络号中[各端口网络号要求均不相同] * 网络中，相邻路由器的不相邻端口，必须处在不同的网络号中。 2、为指定的端口，配置对应的IP地址： * 进入指定端口的配置模式，如 int f0/0 * 使用IP地址配置命令，配置IP ip addess 具体的IP地址 对应的子网掩码 如 ip address 192.168.1.1 255.255.255.0 * 使用激活端口的命令，开启端口 no shutdown 3、配置广域网接口时，注意配置时钟频率： 两个广域网接口连接时，必须要有其中的一个端口，作为提供时钟频率之用。 [具体哪个端口作为时钟，在设定拓扑结构时，已经指定。] 指定时钟频率，同样要进入广域网接口配置模式，使用命令 clock rate 1000000 ==>给端口配置了 1000000 的频率 三、IP路由介绍及配置： 1、IP路由配置的类型： * 路由器最主要的功能，是可以实现不同网络号IP之间的通讯 其实现的原因，在于路由器中会存在着路由表。 而路由表是保存到达网络中每个目标网络所走的路径 * 路由表保存在路由器的内存中，通过两种方式得到，即系统管理员手工添加和 路由器自行产生 * IP路由配置的两种类型，即包括了 静太路由 ==>到达目标网络的每一条路径，由管理员手工添加 动态路由 ==>由管理员为路由器配置路由协议，并由路由器的路由协议自行产生到达 每个目标网络的路径。 2、在路由器中，配置静态路由的方法： 在路由器全局配置模式下，使用 IP route 命令，为路由器添加静态路由 格式： ip route 目标网络号 子网掩码 下一跳IP 如 ip route 10.0.0.0 255.0.0.0 211.98.1.2 注意：在当前路由器中，应该配置除路由器所在本地网络以外的所有目标网络路径 3、在路由器中配置默认路由的方法： 在路由器，为了简化路由表，可以采用默认路由，代替静态路由。 默认路由中，可以采用 0.0.0.0 0.0.0.0 表示所有的网络（未知网络） 因此，假设有一路由器中配置了如下静态路由： ip route 192.168.1.0 255.255.255.0 211.98.1.1 ip route 211.98.2.0 255.255.255.0 211.98.1.1 ip route 10.0.0.0 255.0.0.0 211.98.1.1 则以上的三条静态路由，均可以采用一条默认路由代替 即 ip route 0.0.0.0 0.0.0.0 211.98.1.1 该默认路由即表示到达所有的网络，经过下一跳IP 211.98.1.1 注意： 静态路由与默认路由相比，前者的优先级别要高于后者。 在整个网络中，至少要保留一台路由器，其未使用默认路由。 四、动态路由介绍： * 静态路由应用于小型网络，路由器当中的每一条路径，均需要由系统管理员添加。 当所处的网络是大中型网络时，网络中的路由器数目较多，此时采用静态路由，将十分复杂。 * 针对于大中型网络而言，应该考虑采用动态路由，完成路由器中各条路径的生成。 而采用动态路由时，路由器中的各条路径由路由器中的路由协议自动生成。 * 静态路由与动态路由相比，前者的优先级最高，后者的优先级其次。 静态路由完全由系统管理员手工添加，因此在任何时候，这条路径均不会改变，故静态路由 的路径安全性较高。 动态路由是由路由器中的路由协议自动产生，当网络结构发生变化时，路径也会重新生成，因此 安全性较低。 五、CIDR 与 VLSM ： CIDR ，称为 无类域间路由 ：当把一个网络，通过改变子网掩码，划分成多个小网络，经过子网划分 后，原来IP地址的A类B类C类等均不存在，即无类型 这些IP地址所参与的网络路由，以及各子网之间进行的数据通讯，均称为无类域间路由 {注意，每一个子网称为一个域} VLSM ，称为 可变长型子网掩码 ：即通过子网划分或者超网后，原来的子网掩码长度已经发生改变。 如 标准的是 /24 ，而经过划分后可能是 /27 或者超网后 /21 动态路由及具体配置 一、动态路由概述： 动态路由，其路径完全由路由协议自行产生。路由协议其需要在路由器中进行配置。 完成后，路由协议会根据网络结构以及网络状态自行选择一条最佳的路径。 路由协议选择路径的方式，包括路径最短或者路径性能最好或者路径速度最快等。 常用的路由协议包括 rip 路由信息协议 igrp 内部网关路由协议 eigrp 增强型内部网关路由协议 ospf 开放式最短路径优先协议 bgp 外部网关路由协议 等 二、路由协议的分类： 1、自治系统 AS 介绍： 自治系统，实际上是一种逻辑上的划分，表示某一个特定的区域。 每一个区域，均会有一个特定的 AS 号码，实际网络中，需要到 cnnic 或电信部门申请。 划分 AS 区域的方式是一种逻辑上的划分。在同一个自治系统中的网络通讯，只需要知道 到达对方的路径即可。与对方无关的路径，不需要知道。 采用 AS 自治系统，可以简化路由表。 2、按路由协议的应用规模分： * 内部路由协议 ：该类路由协议仅用在同一个AS自治系统中 如 rip igrp eigrp ospf * 外部路由协议 ：该类路由协议用在 不同的AS自治系统之间， 如 BGP EGP 3、按路由协议的路径更新方式分： * 距离矢量路由协议 该类路由协议所产生路径的方式，通常是采用跳数来决定的。如 rip 路由协议规定， 到达目的地，最短的路径就是最佳路径，其最多可以支持 15 跳[发送端到接收端最多 支持15个路由器，超过即认为不可到达目的地。] 当网络状态发生变化，如某一个路由器的所连线路断开，则整个网络中所有的路由器 均会将本身的路由表进行更新[会将所有的路径，包括发生变化与未发生变化的全部广播到 相邻路由器] 常用的距离矢量路由协议有 rip igrp eigrp * 链路状态路由协议 链路状态包括网络连接线路的速度 传输数据的质量可靠性 误码率 等。 链路状态路由协议，通常会综合考虑，并选择一条最佳的路径，进行数据传输。 当网络状态发生变化，如某一个路由器所连线路断开，则所有路由器的路由表将发生更新， 相邻路由器会将发生变化的路径广播到相邻路由器。 常用的有 eigrp , ospf 三、rip 路由信息协议的配置： 1、路由信息协议介绍： rip 路由协议由 ietf 开发，因此其在所有的路由器中均存在。 rip 路由协议实现较简单，该协议最多支持 15 跳，即发送端到目的地之间，最多 允许经过 15 个路由器，超过15个路由器，则认为目的地不可到达。 rip 路由协议在选择路径时，其采用最少跳数作为依据，即从发送端到目的地之间，跳 数最少的路径，即认为最佳路径。 rip 路由协议提供两个版本，即 version 1 与 version 2 其中第一版本不支持 cidr 与 vlsm 2、rip 路由协议的配置： * 为路由器配置各接口的IP地址，子网掩码，并启用。 * 如果接口是广域网接口，并且要求提供时钟频率，则还需要配置 clock rate * 配置路由协议 rip 在全局配置模式下，输入命令 router rip ，进入rip 路由协议配置模式 将所使用的 rip 协议，版本号更改为 第二版本 ，命令为 version 2 接着，指出当前路由器，各接口所在的子网网络号 方法为 network 网络号 要求，有几个子网，就添加多少条 network * 当所有的路由器rip协议全部配置完成后，则可以采用命令 show ip route ==> 查看路由器的路由表 show ip protocols ==> 查看当前路由器的路由协议信息 四、IGRP 路由协议介绍及配置 1、igrp 路由协议介绍： igrp 路由协议，称为内部网关路由协议。由cisco 公司开发，专用于cisco 路由器上。 在其他的路由器上是不存在。 igrp路由协议，最大支持 255 条的大型网络。与 rip 路由协议相比，igrp路由协议占用的路由器资源将更少。 在选择网络传输路径时，igrp路由协议会通过对路径的传输速度，传输的质量可靠性，以及 传输时的衰减与传输时的误差等，进行综合考虑，选择一条最佳路径。[rip路由协议跳数最少，则 路径最好] igrp 应用时注意，首先只能用于cisco路由器，同时 igrp 是不支持 cidr 与 vlsm. 2、igrp 路由协议配置方法： * 为网络中各接口配置IP地址，子网掩码，并激活 * 如果是广域网接口，并且提供时钟频率，则需要配置时钟频率 clock rate * 进入路由器全局配置模式，输入进入 igrp 路由协议配置模式的命令： [igrp路由协议是一款内部路由协议，用于同一个AS内的路由器通讯] router igrp as号 ==>AS号在实际配置过程中，由电信公司提供。实验室中，AS号 随意指定，但要通讯的路由器间，AS号必须要相同。 在路由协议配置模式下，运行 network 命令，指出当前路由器各接口所在的网络。 network 网络号 注意，当前路由器有多少个接口，就添加多少条 network 命令 * 配置完成后，通过 show ip route 查看路由表 也可以通过 show ip protocols 查看当前路由协议信息 五、eigrp 路由协议介绍及配置方法： 1、eigrp 路由协议介绍： * eigrp 称为增强型内部网关路由协议，该路由协议是从 igrp 内部网关路由协议升级 而来。 * eigrp 协议，是由cisco公司开发，专用于cisco路由器上，因此如果两台cisco路由器 之间要完成路径的建立，则可以直接考虑采用 eigrp . * 与 igrp 路由协议相比，eigrp 路由协议所支持的跳数最多为 112 跳。 eigrp 路由协议，其支持 cidr 与 vlsm ,即支持子网划分与超网。 eigrp 路由协议，从路径的更新方式看，该协议是一款链路状态路由协议，即当网络 结构发生变化后，所有应用 eigrp 的路由器，均会更新发生变化的部分路径。 同时，由于eigrp是支持跳数计算的（最多112跳），因此该路由协议又是一款距离矢量路由协议。 * eigrp 路由协议，在选择路径，同样也会综合考虑，针对于路径的传输速度，传输质量，误码率及 衰减率等进行综合选择出一条最佳路径，作为数据传输。 2、eigrp 路由协议配置方法： [eigrp 路由协议配置方法与 igrp 路由协议配置方法相同] * 为网络中各路由器接口，配置对应的IP地址 子网掩码 并激活接口 * 如果是广域网接口，同时还需要考虑时钟频率 * 以上配置完成后，并不能使所有的计算机均可互相通讯，还需要到达网络中每个子网的 具体路径，这些路径就需要由 eigrp 路由协议产生。 在全局配置模式下，运行命令 router eigrp as号 ==>在实验室中，as号随意指定，所有的路由器 使用相同的as号即可。在实际运用中，as号 由电信公司指定。 上述协议进入了 eigrp 路由协议配置模式 接着运行 network 命令，指定当前路由器的接口分别在哪些网络中 即 network 网络号 六、ospf 路由协议介绍及配置方法： 1、ospf 路由协议介绍： * ospf 称为 开放式最短路径优先协议。 * 该协议由 ietf (internet任务组)开发完成，因此该路由协议可以应用 在所有的路由器当中。 * ospf 是一款自动进行最佳路径选择的路由协议，会根据路径的速度状态衰减及通讯质量 进行综合考虑。 ospf 不考虑路径中存在多少跳路由，但是 ospf 会考虑同一个as的通讯，与不同as之间的通讯。 该路由协议是一款链路状态路由协议。当网络结构发生变化时，会将发生变化的部分， 在其他的路由器中做相应的更新。 * ospf 路由协议工作时，要注意所有的网络连接线路（广域网线路）均配置为主干。 而且在配置时，应该将主干的编号配置为 0 2、ospf 路由协议配置方法： * 为网络中各路由器接口配置IP地址，子网掩码，并激活接口 * 如果是广域网接口，若有时钟频率支持，则还需要考虑时钟频率 clock rate * 在全局配置模式下，采用命令 router ospf pid号 进入 ospf 路由协议模式，注意其中的pid号即为进程编号。在不同的路由器中， pid号可以不一样。 * 在路由协议模式下，需要确定路由器各接口的 网络号 以及 逆向掩码 和所在的区域 格式为 network 网络号 逆向掩码 area 区域号 <1> 网络号 即为每个接口所使用IP所在的网络 如 211.98.2.1/24 ，则其网络号为 211.98.2.0 <2> 逆向掩码 用于确定某一个IP地址或者网络号中，哪些位会参与到 ospf 的路径选择中 通常可以将逆向掩码理解成 用 255 分别减去原来的子网掩码所得到的。 如 原子网掩码为 255.255.255.0 ,则逆向掩码为 255.255.255.255 - 255.255.255.0 -------------------- 0 . 0 . 0 . 255 ------>逆向掩码 逆向掩码与网络号之间是如何工作的： 211.98.2.0 0.0.0.255 将网络号与逆向掩码均转化为二进制： 11010011.01100010.00000010.00000000 ->211.98.2.0 00000000.00000000.00000000.11111111 ->0.0.0.255 -------------------------------------- 经过上述表达式，得知逆向掩码位上是 0 的，则网络号中的位必须匹配 在上述例子中，逆向掩码前24位均为 0 ，则网络号中前24位要求匹配 <3>、area 区域号 现所使用的网络均讨论的是同一个AS中的网络，因此将网络全部定义 为主干，并且主干的区域编号为 0 即 area 0 <4>、命令实例： network 211.98.2.0 0.0.0.255 area 0 network 192.168.1.0 0.0.0.255 area 0 广域网协议配置 一、广域网的介绍： 广域网的范围要比局域网范围大得多，因此用局域网的技术去调试配置广域网是行不通的。 广域网的距离，决定了广域网所使用的技术要复杂得多。 广域网所使用最多的网络设备是路由器，同时还需要相应的一些技术来确保广域网的安全。 广域网的类型较多，通常所使用的有 x.25 分组交换网络 frame relay 侦中继网络 ddn 数字数据网 atm 异步传输网络 isdn 综合业务数字网 等 广域网中，为路由器配置了对应的接口参数（IP 掩码 启用接口），路由协议等，同时还需要为路由器配置 能够使数据包适合于广域网中传输的配置（广域网协议）。 注意，广域网技术，重点要了解 采用什么接口 传输什么数据 怎么传数据 二、广域网中所使用的术语： 1、广域网线路的接入方法： 广域网线路，先进入dce设备，再由dce设备进入dte设备。 如果广域网线路是 光纤 ，则先进入光纤收发器，再由光纤收发器进入 dce 设备，由dce设备进入dte设备 常见的dce设备是 csu/dsu 以及 dtu 常见的dte设备是 路由器 以及 计算机 2、dte： dte 又称为数据终端设备，是计算机网络的终端，主要用于实现某一种网络应用。 如常用的dte包括 计算机 以及 路由器。其均实现某一种特定的网络应用。 dte是不提供时钟频率的。 3、dce： dce 又称为数据传输设备或者数据连接设备。其功能是 * 完成线路的接口转化。如 电话线接入modem,再由modem通过modem电缆接入计算机com口 光纤接入csu/dsu,再由路由器v24电缆接入路由器的广域网接口。 * dce 设备需要向路由器等 dte 设备 提供时钟频率，保持数据传输与接收时的同步。 * dce 设备用于将从外网当中所接收的数据转发给路由器dte设备。 4、常用的dce设备 csu/dsu : csu/dsu 是一种常用的dce设备，为路由器提供接口转化以及时钟频率等功能。 csu/dsu 又可以分为 csu 设备与 dsu 设备 其中 csu 称为信道服务单元，专用于对数据传输的线路进行管理，包括线路连接的建立， 以及线路通讯质量的检测，接口转化等。 dsu 称为 数据服务单元，专用于外网数据接收并转化给路由器进行使用。 注明：在当前广域网络中，与csu/dsu设备相同功能的还有 dtu 以及 cable modem 三、当前的广域网络类型： （ x.25 frame-relay ddn isdn atm ） 1、 x.25 网络： x.25 称为分组交换网，该网络应用于数据传输，采用电话线作为网络传输介质。 也是最早的一种广域网线路。 由于早期电话线路质量较差，因此其需要采用较多的编码差错检测机制，因此该机制 会导致网络传输速度慢。 2、frame-relay 网络： frame-relay 称为贞中继网络。是从x.25分组交换网络发展而来。 首先侦中继网络提高了网络传输线路的通讯质量，使得数据传输可靠性增强 其次，侦中继网络将用于检测误码的差错检测机制去掉，而是由高层进行差错检测（传输层） 因此，侦中继网络传输的速度较快，同时也能保证传输的质量。 3、ddn 网络： ddn网络，又称为数字数据网，是现在广域网中常用的一种网络连接方式。 其网络传输线路，通常是采用光纤（早期ddn网络采用的是电话线作为传输线路）。ddn网络 进行数据传输的可靠性强，数据传输速度快，同时实时性较好。广域网络采用ddn进行数据 通讯，可以确保数据安全可靠传输，但ddn网络的费用较高，通常在企业当中使用。 4、isdn网络： isdn称为综合业务数字网，其中中国所使用的网络属于窄带型，最高速度为 128kbps 其所使用的传输线路为 电话线，但是所传输的信号为数字信号。 由于其传输数据较慢，并且价格较高。在当前的网络中应用较少。 在个别的路由器上，还留有为 isdn 线路准备的接口 bri 基本速率接口。 有的路由器，会使用isdn线路，作为网络的备份。 5、atm 网络： atm 称为异步传输模式，使用该模式进行网络传输，可得到高速的速度。 使用该模式的网络，称为 atm 网络，并且要求使用支持该模式的交换机以及路由器等。 通常的 atm 网络，应用于电信公司的网络主干，并且对应的设备价格昂贵，技术复杂。 三、常用的广域网协议： [针对于不同的广域网线路，必须采用不同的广域网协议对网络中的数据做封装操作] 1、x.25协议： 应用于x.25分组交换网络 2、frame-relay协议： 应用于 frame-relay 贞中继网络 3、hdlc 协议： 称为 高级数据链路控制协议，该协议最初是由ietf internet 工程任务组开发，可应用于 所有的路由器，但在发展中该协议出现了多个版本，其中在cisco路由器中，所使用的hdlc协议，就是 由cisco公司修改后的协议。因此在cisco路由器之间，如果采用ddn连接，则可以直接采用路由器 所带有的hdlc协议进行封装并传输数据。 如果是非cisco路由器之间的数据传输，则需要考虑采用其他的广域网协议。 4、ppp协议： 称为点对点拨号协议，该协议是从slip第二层网际协议发展而来，可以被应用在所有的路由器 中，包括不同品牌之间的路由器中。 如cisco路由器与华为路由器之间，就必须采用 ppp 协议进行封装数据包传输。 注明：hdlc 协议与 ppp 协议均是应用于 ddn 网络 5、ladp 协议： 称为平衡型访问链路协议。 五、ddn 网络的配置方法： [ddn网络中所使用的路由器可以是cisco,也可以是非cisco路由器。] [在ddn网络中，可以采用 hdlc 广域网协议或着 ppp 广域网协议封装数据包] 1、hdlc 高级数据链路控制协议： 所有的cisco路由器之间建议使用该广域网协议，完成数据包的封装。 默认情况下，在cisco路由器的广域网口上已经封装了该协议。 实例： 配置路由器，使其通过ddn网络，与另一路由器完成通讯。 * 配置路由器的IP地址，子网掩码，并激活 int s1/0 ip address 211.98.1.1 255.255.255.0 clock rate 1000000 no shutdown int f0/0 ip address 192.168.1.1 255.255.255.0 no shutdown * 配置路由器的路由协议 router eigrp 100 network 192.168.1.0 network 211.98.1.0 * 进入广域网接口，配置广域网封装协议 int s1/0 encapsulation hdlc 注意：相邻路由器的相邻端口，要求封装的广域网一致，否则数据无法发送出去。导致网络中断。 2、ppp点对点拨号协议： ppp广域网，是所有的路由器，均支持的一种广域网协议，在ddn网络中广泛应用。 非cisco路由器，由于其不支持cisco公司开发的hdlc广域网协议，因此这些路由器，应该采用 ppp广域网协议实现数据封装。 在路由器中配置ppp广域网协议时，要求启动ppp封装，并且还要指出对方路由器的名称以及密码， 同时为了安全，还要启用身份验证。 * 为路由器配置各接口IP地址掩码，并激活 int s1/0 ip address 211.98.1.1 255.255.255.0 clock rate 1000000 no shut int f0/0 ip address 192.168.1.1 255.255.255.0 no shut * 为路由器配置路由协议 ospf router ospf 200 network 211.98.1.0 0.0.0.255 area 0 network 192.168.1.0 0.0.0.255 area 0 * 修改路由器名称 hostname router0 * 指出对方所使用的路由器名称以及所使用的密码，连接到当前路由器 username router1 password 123456 [前提对方路由器名已改为 router1,要求双方上述命令中的密码必须一致] * 为路由器广域网接口配置PPP封装 int s1/0 encapsulation ppp ==>封装成 ppp 广域网协议 ppp authentication chap ==>为了安全，采用chap方式进行身份验证。 access-list 访问控制列表 一、访问控制列表介绍： access-list 又称为 acl ,是路由器内置的防火墙，能够提供网络安全保护的功能。 acl 可以实现指定IP的数据包，通过路由器进入内部网络或者离开路由器，进入外部网络。 高级的访问控制列表，可以实现发送端IP地址，发送端端口，接收端IP地址，接收端端口，通讯协议等 数据包参数的检测，使满足的条件的数据包通过，不满足条件的数据将被路由器丢弃。 二、访问控制列表的类型： 1、按访问控制列表的作用范围分类： * 标准型访问控制列表： 编号范围 1 ~ 99 作用范围 可以针对于数据包的发送端IP地址，进行检测。[又称为源地址] * 扩展型访问控制列表： 编号范围 100 ~ 199 作用范围 可以针对于数据包的源地址，目标地址，源端口，目标端口，传输协议等进行检测。 2、按访问控制列表中数据包流向分类： * 入站访问控制列表： 入站 是指从一个接口进入路由器 入站访问控制列表，是指该种访问控制列表是作用在进入路由器的数据包上。 * 出站访问控制列表： 出站 是指从某一个接口离开路由器 出站访问控制列表，是指该访问控制列表作用在离开路由器的数据包上。 三、标准型访问控制列表的配置方法： 1、说明： 访问控制列表，应该是应用于网络正常工作的情况下，在路由器中配置访问控制列表。 {网络一定是能正常工作的} 标准型访问控制列表，其所能检测的是 数据包中的源地址（发送端地址）， 标准型访问控制列表的编号，可以是 1 ~ 99 2、方法： 在全局配置模式下，建立标准型访问控制列表 access-list 列表编号 permit 具体的IP地址或者网络号或者所有地址 * 列表编号，可以是 1 ~ 99 * permit ，称为允许，表示允许哪些IP地址通过路由器 与permit对应的命令称为 deny ,即表示拒绝。 在所有的访问控制列表的末尾，均会存在一条隐式语句，即 deny any ==>表示拒绝所有 所以，如果要拒绝某一个IP地址，则 写成 access-list 1 deny 10.0.0.1 ==>将是错误的 通常情况下，访问控制列表中添加的是一些允许的语句 permit * 源地址的表示方式： 所有的IP地址 ==> any 或者 0.0.0.0 255.255.255.255 某一个网络 ==> 211.98.1.0 0.0.0.255 211.98.100.32 0.0.0.31 某一个IP地址 ==> host 10.0.0.1 或者 10.0.0.1 0.0.0.0 逆向掩码说明: 在访问控制列表中,表示一个IP地址,应该写成 192.168.0.1 0.0.0.0 其中逆向掩码，转化成二进制后，如果某一位上是 0 ，则表示对应IP地址 二进制位上的数必须是当前的数，而不可改变 如果某一位上是1，则表示对应IP地址二进制位上的数可以取 0 ，也可以取 1 因此 192.168.0.1 0.0.0.0 ==>访问控制列表作用在一个具体的IP地址 192.168.0.1 192.168.0.1 0.0.0.255 ==>发现逆向掩码最后一段转化为二进制是 8个1,则对应的IP地址的各位,将可以随意 取 0 或者取 1 ,因此该访问控制列表将作用 在以 192.168.0 开头的网络上 访问控制列表实例: access-list 1 permit host 10.0.0.1 access-list 1 permit 192.168.0.0 0.0.0.255 access-list 1 permit 211.98.1.0 0.0.0.15 当访问控制列表添加完成后,需要将访问控制列表绑定到某一个接口的某一个方向上 如 进入f0/0 接口配置模式,运行命令 ip access-group 1 out ==>将1号列表绑定在f0/0接口出站上. 如果是入站则是 ip access-group 1 in . 注意,某一个接口的一个方向上,只允许绑定一个访问控制列表. 练习:拒绝某一个网络禁止访问web 服务器 四、通过标准型访问控制列表，限制计算机 telnet 到路由器 [确保路由器安全] * 确定路由器是否开启了 允许 telnet 的功能 如果没有开启，则通过如下方法开启 全局 line vty 0 4 login password 123456 * 为了确保安全，在路由器中配置只允许计算机 192.168.1.2 telnet 到路由器 首先,建立一个标准型访问控制列表 access-list 11 permit host 192.168.1.2 接着,将该列表绑定在 路由器 vty 的入站数据流上 line vty 0 4 access-class 11 in 五、扩展型访问控制列表介绍及配置方法： 1、扩展型访问控制列表介绍： * 标准型访问控制列表，如果允许某一个网络或IP通过一个接口， 则该网络或者IP可以通过该接口访问任何数据 如果配置是拒绝，也是相同道理。 假设要配置访问列表，而且是允许一个网络或IP通过一个接口，访问特定的数据，如网页， 此时标准型访问控制列表，将无法完成该功能。 * 扩展型访问控制列表，要比标准型访问控制列表详细，而且可控制的参数较完整。 扩展型访问控制列表的编号，可以是 100 ~ 199 并且可以针对于 发送端地址 发送端端口 接收端端口 传输协议 进行检测 2、扩展型访问控制列表配置格式： access-list 列表编号 permit 网络协议 源地址 eq 源端口 目标地址 eq 目标端口 说明： 网络协议，包括 tcp --> 传输控制协议，该协议会负责 网页 ftp 邮件 telnet 等 数据传输 udp -->用户数据报协议，该协议负责 dns 解析 qq 等数据传输 ip --> 网际协议，该协议负责所有的通过 tcp/ip 传输的数据 源地址，即发送端地