交换机和路由器的使用PPT学习课件

交换机和路由器的使用 1 路由器和交换机 路由器和交换机是互联网中的关键设备 路由器在不同的网络之间进行分组的寻径和转发 使不同网络中的计算机可以互通信息 共享资源 在大型互联网中路由器更是扮演着重要的角色 而随着局域网交换技术的发展 交换机已经成为交换式局域网的核心部件 2 路由器和交换机的使用 8 1路由器简介 8 2路由器的基本操作 8 3端口的IP地址设置 8 4配置静态路由和路由协议 8 5配置广域网协议 8 6使用IP包过滤技术 8 7交换机的使用和VLAN配置 8 8路由器系统管理和故障处理 3 路由器简介 路由器是一种用于网络互连的计算机 它的硬件和其它计算机类似 路由器的硬件组件包括内存 处理器 线路和接口 不同厂家 不同类型的路由器具有不同的配置 华为的Quidway R2501路由器具有2个多协议同 异步串口 1个备份口 两个同 异步串口可接高速同步线路连接远程局域网和分支机构也可以通过异步拨号实现局域网互连 4 路由器的内存体系结构 路由器的内存按照其功能进行分类 5 路由器内存的分类和功能 Cisco路由器的内存分为以下几种 只读存储器ROM其中包含自检程序 引导程序和IOS的一个备份子集 闪存Flash 8 16MB 可编程可擦除的ROM 其中包含IOS的微程序代码 动态随机存取存储器DRAM其中包含路由表 ARP缓存 fast switch缓存 数据包缓存 以及正在运行的路由器配置文件等 非易失性随机存取存储器NVRAM 用于存放路由器配置文件 6 路由器的物理端口 CISCO2600系列路由器 一个Console控制口一个AUX辅助异步串口一到二个LAN端口两个WAN接口卡插槽WIC一个网络模块插槽NM一个高级集成模块插槽AIM Quidway R2501路由器 一个Console控制口一个AUX辅助串口一个以太网端口两个同 异步串口 WAN口 7 Cisco2600系列的端口标识 端口的标识格式为 端口类型插槽号 单元编号如 Ethernet0 0注意 一个插槽中的单元从0开始 从左到右 自下而上地进行编号 WIC的插槽slot编号总是0 NM的插槽slot编号为1 对WAN卡 从所安装的第一快卡开始动态地进行编号 如 若W0为空 W1上有1口的WIC 该端口为Serial0 0 若W0上有2口的WIC W1上有1口的WIC 则W0上的端口为Serial0 0和Serial0 1 W1上的端口为Serial0 2 8 Cisco2600系列的语音端口 语音端口的编号格式为 端口类型机箱插槽号 语音模块插槽号 语音单元编号如 slot1上有一块4口的语音网络模块 则其上的端口分别为 voice1 0 0 voice1 0 1 voice1 1 0 voice1 1 1 9 路由器的软件 IOS Cisco路由器的软件是网际操作系统IOS InternetworkOperatingSystem 它集成了Cisco的所有网络产品的管理功能 提供了全面的网络服务 在IOS的众多版本中 没有一个完全的版本 但所有的路由器共享相同特性集 因此在不同型号的路由器平台上 IOS的命令行界面都是相同的 大部分的IOS配置命令可用于所有的Cisco产品 目前 在CiscoIOS系列产品中有三类版本 基本系统 Base 增强系统 Plus 和加密系统 Encryption 基本版本是具体的路由器平台运行所需的基本内容 增强版本增加了针对IBM连接的附加支持和一些额外的特性 加密版本采用的是40位或56位的加密技术 10 CiscoIOS的版本特性 IOS的名称由三部分构成 硬件平台名称 特性 版本 特性体现了它所支持的功能 版本指明了IOS运行的位置 flash rom ram或可重定位的 压缩类型和扩展名等 例如c2600 i mz 120 7 bin是 用于Cisco2600系列路由器平台的IOS12 0版本 m表明它的运行位置是ram z表明它采用zip格式压缩 i特性集支持SNMP协议 IP协议 桥接技术 WAN协议 远程接点 终端服务等等 11 路由器的启动过程 Cisco路由器的启动过程分为三步 执行ROM中的引导程序进行自检程序 并准备加载IOS 加载CiscoIOS从闪存Flash 或TFTPServer中加载IOS 装入配置文件或进入初始配置模式从NVRAM 或TFTPServer中加载配置文件 若失败就进入Setup模式 12 配置寄存器的引导域 实际上 IOS的加载方式取决于路由器的配置寄存器中的引导域的值 配置寄存器是一个16位的寄存器 它位于NVRAM内的一个特殊位置 它的低4位 0到3位 是引导域 引导域决定了路由器是否加载IOS映像 如果加载 则从哪里得到这个映像 配置寄存器的正常值为0 x2102 即引导域的值为0 x2 表示从闪存加载IOS 如果引导域设置为0 x1 则表示从Rom中的映像加载IOS 如果引导域设置为0 x0 表示不加载IOS 直接进入Rom监视器模式 如果把配置寄存器的值设置为0 x2142 则从闪存加载IOS之后将忽略NVRAM中的设置 直接进入Setup模式 13 路由器的基本配置方式 通常 可以用5种方式来设置路由器 1 Console口接终端或仿真终端 2 AUX口接MODEM 通过电话线连接远方的终端或仿真终端 3 通过Ethernet上的TFTP服务器 4 通过Ethernet上的TELNET程序 5 通过Ethernet上的SNMP网管工作站 14 路由器的初始配置 配置准备新路由器必须通过Setup模式进行初始配置 配置前应进行以下准备 1 确定要支持的网络协议 2 规划端口的网络地址及相应端口的WAN协议 3 按路由器的型号进行硬件配置 4 以9600波特 8位数据位 1位停止位 配置PC仿真终端 配置过程 15 Win9X NT下设置超级终端 对于每一个路由器来说 都有一个控制台接口 Console 管理员可以通过RS 232线缆把控制口和一个终端的主口连接起来 通过这个终端对路由器进行配置 在Windows9X NT下 选择 开始 程序 附件 通讯 超级终端 Hypetrm 键入名称 CISCO选择一个图标单击 确定 16 Win9X NT下设置超级终端 当出现以下对话框时 请选择 直接连接到串口1 单击 确定 17 Win9X NT下设置超级终端 设置COM1端口的属性 波特率 9600bps数据位 8奇偶校验 无停止位 1流量控制 无单击 确定 18 路由器的启动 在设置并连接好路由器控制台之后 先打开终端电源 后打开路由器电源 屏幕将出现路由器的启动信息 启动信息包括 引导程序的版本 主存储器的大小 公司地址 IOS软件的版本 IOS映象名 共享内存的信息 配置的硬件借口 以及IOS的附加特性等信息 19 路由器的初始配置 新路由器初次加电启动时 在启动信息显示完毕将自动进入初始配置 Setup 模式 路由器首先会提示一些信息 如在Cisco2500系列路由器上将提示 SystemConfigurationDialog Atanypointyoumayenteraquestionmark forhelp Usectrl ctoabortconfigurationdialogatanyprompt Defaultsettingsareinsquarebrackets Wouldyouliketoentertheinitialconfigurationdialog yes 键入 y 或回车 将进入初始配置的对话过程 20 查看当前的端口状态 系统首先提示你是否想看一下当前端口的状态 First wouldyouliketoseethecurrentinterfacesummary yes 键入 y 或回车 屏幕将列出当前路由器所具有的硬件配置 InterfaceIP AddressOK MethodStatusProtocolEthernet0unassignedNOunsetupdownSerial0unassignedNOunsetdowndownSerial1unassignedNOunsetdowndown 21 配置任务 在整个配置对话过程中 可完成两个方面的配置 全局参数的配置 包括路由器名 加密的特权用户口令 虚拟终端的用户口令 各种网络协议 路由协议等参数的配置 接口参数的配置 根据接口的类型不同 配置的参数有所不同 主要的参数有接口的网络地址 如IP地址和子网掩码 封装的协议 仅对WAN接口 等 配置完毕 系统将显示所有的配置结果 并询问是否要使用这些配置 或者是否需要再作修改 如果确认要使用这些配置 系统会将配置信息存入NVRAM中 然后结束对话过程 22 路由器的用户界面 IOS采用分级保护方式 防止未授权用户的非法侵入 CISCO和HUAWEI的操作系统都提供了以下用户界面 普通用户模式 特权用户模式 全局配置模式和局部配置模式CISCOIOS的局部配置模式包含接口配置 子接口配置 线路配置 路由配置 IPX路由配置 控制器配置 集线器配置 映象表配置 映象类配置 路由映象配置 CISCO还提供了ROM模式华为VRP的局部配置模式包含路由协议配置模式 接口配置模式 串口配置模式 以太网口配置模式 ISDN接口配置模式 CE1 PRI接口配置模式 Dialer接口配置模式 子接口配置模式 虚拟接口模板配置模式 VPNTunnel配置模式 备份中心逻辑通道配置模式 VPDN组配置模式 路由映射配置模式 23 普通用户模式 普通用户模式UserEXEC提示符Router 进入方法注册后路由器自动进入退出方法用logout命令退出此模式下可进行基本测试 显示系统信息等操作 24 特权模式 特权模式PriviledgedEXEC提示符Router 进入方法User模式下 用enable命令退出方法用exit或disable命令退到userEXEC模式此模式下不仅可执行普通用户模式下的所有命令 而且可以进行高级系统测试 完成各项有特权要求的任务 25 全局配置模式 全局配置模式GobalConfiguration提示符Router config 进入方法在priviledgedEXEC模式下 用命令configterminal退出方法用exit或end或Ctrl Z命令退到priviledgedEXEC模式该模式提供对路由器的总体配置 如 指定主机名 改变系统参数 生成路由表等等 26 接口配置模式 接口配置模式InterfaceConfiguration提示符 Router config if 进入方法 在Globalconfiguration模式下 用interface命令 interfaceinterface typeinterface number该模式下可更改接口操作 设置接口参数 配置时钟 配置协议等 不同的接口具有不同的配置命令 27 局部配置模式 在全局配置模式下 设置了十个局部配置子模式 用于配置路由器的某个局部的参数 接口配置 子接口配置 线路配置 路由配置 IPX路由配置 控制器配置 集线器配置 映象表配置 映象类配置 路由映象配置 除接口配置模式外 常用的有 路由配置模式RouterConfiguration提示符 Router config router 进入方法 在Globalconfiguration模式下 用router命令 routerprotocol该模式用于配置各种路由选择协议 线路配置模式LineConfiguration提示符 Router config line 进入方法 在Globalconfiguration模式下 用line命令 linenumber或 vty aux con number 局部配置模式 28 注意事项 在任意模式下键入exit命令 则返回上一级模式 在局部配置模式下键入全局配置命令 可自动回到全局配置模式 在任意模式下键入Ctrl Z或end命令 则立即返回特权模式 当模式改变时提示符随之改变 29 其它模式 初始配置模式SETUP对话模式进入方法在priviledgedEXEC模式下键入setup即可进入SETUP模式 注意 这是新路由器初次启动时自动进入的模式 ROM监视器模式 RXBOOT模式进入方式 1 在全局配置模式下 键入config register0 x0后关机重启 2 在特权模式下 键入reload命令 3 在路由器加电60秒内 在超级终端下按住Ctrl Break键3 5秒 提示符 rommon1 30 命令的快速输入和求助 从左到右键入命令关键字时 只要键入的字母能将该命令与其它同一模式下的命令完全区分开 路由器即可接收该命令 如 Ints0 0就是interfaceserial0 0的缩写 在任何模式下 键入 即可显示该模式下的所有命令 在键入的命令后加上 即可显示该命令的帮助信息 当键入命令时 无法完整拼写整个命令关键字 可键入开始的几个字母 后随一个 即可获得相匹配的命令提示 在命令关键字之后空一格 键入 即可该位置对应参数的提示信息 31 命令行编辑 光标移动到命令行首 光标移动到命令行尾 光标右移到下一个字符 光标左移到前一个字符 光标移动到上一个词开始 移动到下一个词 删除光标位置的字符或 删除光标前的字符或上箭头 显示上一条命令 或下箭头 显示下一条命令 32 华为的编辑特性 上下箭头 显示历史命令 右箭头 光标向右移动一个字符位置若已经到达命令尾则响铃告警 左箭头 光标向左移动一个字符位置若已经到达命令首则响铃告警 删除键 删除光标位置字符若已经到达命令尾则响铃告警 退格键 删除光标位置的前一个字符光标前移若已经到达命令首则响铃告警 普通按键 若编辑缓冲区未满则插入到当前光标位置并向右移动光标否则响铃告警 33 常用命令 设置路由器名Router config hostnamerouter name设置特权方式的加密口令Router config enablesecretpassword注意 口令对大小写敏感 设置控制口的口令Router config line linecon0Router config line loginRouter config line passwordpassword设置访问用户及口令Router config usernameusernamepasswordpassword检查配置结果Router config showconfig 配置主机名和口令 34 常用命令 在特权模式下可使用show命令检查路由器状况 查看版本及引导信息showversion查看当前进程的各种信息showprocess查看进程堆栈的使用情况showstacks查看缓冲区的统计信息showbuffers查看网络模块的控制信息showcontrollers查看端口的状态信息showinterface typeslot port 查看端口的协议配置信息showprotocols 检查路由器的状况 35 常用命令 在特权模式下也可使用show命令检查内存中的各种信息 查看当前运行的配置信息showrunning configRAM中writeterminal查看保存的初始配置信息showstartup configNVRAM中查看闪存中的IOS信息showflash查看内存中的统计信息showmem 检查路由器的配置信息 36 Copytftpflash 常用命令 CiscoIOS的指令系统是配置完后即时生效的 但关掉电源后会自动丢失 因此 要想保留当前配置信息 必须将配置信息写入NVRAM中 操作命令是 Router writememory在特权模式下 可以使用copy命令 在内存RAM NVRAM flash TFTP服务器之间复制配置信息 保存和复制配置信息 37 配置命令的禁用形式 几乎每一个配置命令都有一个no形式 称为禁用形式 通常 使用no形式禁止使用一个功能 使用不带no的原始命令可以重新激活一个被禁止使用的功能 或者激活被缺省禁止使用的一个功能 例如 在IP路由被激活之后 要禁止使用IP路由 使用noiprouting命令 想重新激活它 使用iprouting 38 规划和配置IP地址 在缺省情况下 路由器的物理端口是没有IP地址的 通常要为物理端口配置一个IP地址 称为主IP地址 一个端口可以配置有一个主IP地址和多个从IP地址 以实现连接在同一物理局域网上的不同逻辑网段之间的通讯 注意 1 同一路由器的不同端口的IP网号不能相同 2 相邻路由器的一对端口的IP网号必须相同 3 除了相邻路由器的相邻端口外 网络中的所有路由器所连接的网段 即所有路由器的任何两个非相邻端口都必须不在同一网段上 39 IP地址的配置命令 配置端口的IP地址 在端口配置模式下完成 命令 ipaddressip addressmask secondary 功能 给一个端口设置一个IP地址 默认设置的是主IP地址 选项secondary表示设置的是从IP地址 命令 noipaddress ip addressmask 功能 删除指定的IP地址 未指定时删除该端口的所有IP地址 40 配置IP地址的注意事项 当配置主IP地址时 如果接口上已经有IP地址 则原主IP地址被删除 当配置从IP地址时 如果接口上没有IP地址 则该IP地址自动成为主IP地址 当删除地址是当前的主IP地址时 如果有从IP地址 则根据时间顺序最先配置的从IP地址上升为主IP地址 41 端口管理命令 路由器的所有端口默认为关闭的 因此配置端口之后必须激活端口 下列命令用于端口的管理 关闭或激活端口 在端口配置模式下进行 命令格式 no shutdown显示某一个端口状态 在特权模式下进行 命令格式 showinterface typeslot port 例如 Router shinte0Ethernet0isadministrativelydown lineprotocolisdown 显示当前运行的配置状态 在特权模式下进行 命令格式 showrunning config 42 使用可变长的子网掩码VLSM 通过使用加长的子网掩码可以进行子网分割 即 将一个逻辑网络划分成多个IP子网 从而将同一网络编号通过使用不同的掩码用于不同端口 这样可以节省IP地址 充分利用有效的IP地址空间 如右图所示 43 子网分割 子网掩码 255 255 255 192子网位数 2主机位数 6子网地址 ID 主机IP地址范围广播地址192 1 0 64 01000000 192 1 0 65 126192 1 0 127192 1 0 128 10000000 192 1 0 129 190192 1 0 191子网掩码 255 255 255 224子网位数 3主机位数 5子网地址 ID 主机IP地址范围广播地址202 112 10 32 00100000 202 112 10 33 62202 112 10 63202 112 10 64 01000000 202 112 10 65 94202 112 10 95202 112 10 96 01100000 202 112 10 97 126202 112 10 127202 112 10 128 10000000 202 112 10 129 158202 112 10 159202 112 10 160 10100000 202 112 10 161 190202 112 10 191202 112 10 192 11000000 202 112 10 193 222202 112 10 223 44 超网 无类域间路由CIDR VLSM的扩展应用是超级网络聚合 即无类域间路由 CIDR ClasslessInterdomainRoute CIDR的思想是 通过缩短子网掩码的长度将多个小规模的 连续的 网络地址合并为一个网络地址 从而可将路由表中的多条路由聚合为一条路由 例1 网络ID 202 60 64 0 子网掩码 255 255 224 0代表了IP地址范围是202 60 64 0 202 60 95 255的32个C类网络 例2 有4个C类网络212 11 20 0 212 11 21 0 212 11 22 0和212 11 23 0 可聚合为一个网络 网络ID 212 11 20 0 子网掩码 255 255 252 0超网聚合的实质是寻找一个较短的子网掩码来合并网络 方法是 将各个网络地址转换为二进制格式 进行比较 保留各个子网地址中完全相同的地址位所对应的子网掩码 其余部分置为0既可 45 配置IP路由 路由器可以自动检测产生直接路由 因此 必须配置的是间接路由和缺省路由 间接路由和缺省路由可以由管理员指定 称为静态路由 也可以由路由协议动态生成 称为动态路由 一般地 路由器查找路由的顺序是 先静态路由 后动态路由 如果以上路由表中都没有合适的路由 则通过缺省路由将数据包传输出去 可以综合使用三种路由 46 建立静态路由 在Global配置模式下1 建立静态路由 iproutenetworkmask address interface distance 2 建立缺省路由 iproute0 0 0 00 0 0 0 address interface 3 激活IP路由 iproutting4 删除静态路由 noiproutenetworkmask 47 管理路由表 在特权模式下 可进行下列操作 1 显示当前的路由表showiproute address interface 2 清空路由表cleariproute3 测试网络是否通ping protocol host address 4 检查IP分组所经过的路由 最多30跳 trace address 48 静态路由配置示例 Router1 iproute192 1 0 64255 255 255 192192 200 10 6Router3 iproute192 1 0 128255 255 255 192192 1 0 65iproute192 200 10 4255 255 255 252192 1 0 65或iproute0 0 0 00 0 0 0192 1 0 65注意 必须激活IP路由 所做的设置才有效 49 路由器仿真软件SybexVirtualLab 在浏览器地址栏输入 ftp 211 80 184 8匿名访问FTP服务器 进入Soft文件夹 找到router文件夹 将其复制到本地硬盘中 双击routersim switch exe的图标 运行该程序安装路由器仿真软件 安装结束 桌面上会出现SybexVirtualLab的快捷方式图标 双击该图标 选择StartProgram既可启动路由器仿真程序 注意 可以到网站下载该软件 50 SybexVirtualLab的用法 51 模拟实验的网络模型 52 在当前工作方式中可用的命令 命令说明可用命令 53 配置路由协议的注意事项 在大型网络中 建议使用OSPF EIGRP 如果网络中含有变长的子网掩码 VLSM 不能使用IGRP和RIP版本1 可以使用RIP版本2 OSPF EIGRP或静态路由 如果使用路由安全设置可以使用RIP版本1或OSPF 选用OSPF EIGRP在系统稳定后所占带宽比RIP IGRP少得多 IGRP比RIP所占带宽也少 综合使用动态路由 静态路由和缺省路由 以保证路由的冗余 在拨号线路上尽量使用静态路由 以节省费用 在小型网络上数据量不大的情况下 若不需要高可性 广域网线路为X 25SVC时 建议用静态路由 54 路由信息协议RIP RIP通过广播UDP报文来交换路由信息 提供跳跃计数 hopcount 作为尺度来衡量路由距离 跳跃计数是一个包到达目标所必须经过的路由器的数目 RIP最多支持的跳数为15 即在源和目的网间所要经过的最多路由器的数目为15 跳数16表示不可达 缺省情况下 RIP的路由更新时间是30秒 路由无效的时间是180秒 路由保持的时间是180秒 路由删除的时间是240秒 RIP版本2支持验证 密钥管理 路由聚合 无类域间路由 CIDR 和变长子网掩码 VLSMs 55 配置RIP协议 在全局设置模式下 启动 关闭RIP路由 no routerrip设置参与RIP路由的子网networknetwork all允许在非广播型网络中进行RIP路由广播neighbor相邻路由器相邻端口的IP地址要禁止某个端口发送RIP路由信息 键入 passive interface端口号设置RIP的版本version 1 2 56 设置RIP的版本 注意 在不同厂商路由器相连时 版本要一致 缺省状态下 Cisco路由器接收RIP版本1和2的路由信息 但只发送版本1的路由信息 可设置RIP的版本vesion1或2 还可以控制特定端口发送或接收特定版本的路由信息 若只在特定端口发版本1或2的信息 在端口设置模式下键入 ipripsendversion1or2 华为 ipripoutput ipripversion1or2 若要同时发送版本1和2的信息 键入 ipripsendreceive1or2在特定端口接受版本1或2的路由信息 键入 ipripreceive1or2 华为 ipripinput ipripversion1or2 57 相关调试命令 所有的调试命令都是在特权用户模式下执行 使用debug 命令可以查看系统支持哪些调试功能 打开IP协议调试器 debugipprotocol all例如 debugiprip关闭调试器 undebugall nodebugall查看IP协议 showipprotocol查看IP路由 showiproute 58 RIP配置示例 Router1 routerripversion2network192 200 10 0network192 20 10 0相关调试命令 debugipripshowipprotocolshowiproute注意 动态路由协议也必须激活 才有效 59 内部网关路由协议IGRP IGRP InteriorGatewayRoutingProtocol 是一种动态距离向量路由协议 它由Cisco公司八十年代中期设计 使用组合配置尺度 包括延迟 带宽 可靠性和负载来计算距离 缺省情况下 IGRP的路由更新时间是90秒 路由无效的时间是270秒 路由保持的时间是280秒 路由删除的时间是630秒 IGRP不支持VLSM和CIDR 60 配置IGRP协议 在全局设置模式下 启动IGRP路由协议 键入 routerigrp自治系统号指定本路由器参加动态路由的子网 键入 network子网号指定某路由器所知的IGRP路由信息广播给那些与其相邻接的路由器 键入 neighbor邻接路由器的相邻端口IP地址通常 在以太网上只有一台路由器时 IGRP广播没有任何意义 且浪费带宽 完全可以将其过滤掉 要禁止某个端口发送IGRP路由信息 键入 passive interface端口号IGRP可以在两个进行IP通信的设备间同时启用四条线路 且任何一条路径断掉都不会影响其它路径的传输 当两条路径或多条路径的metric相同或在一定的范围内 就可以启动负载平衡功能 61 IGRP配置示例 Router1 routerigrp200network192 200 10 0network192 20 10 0相关调试命令 showipprotocolshowiproute 62 配置开放最短路径优先协议OSPF OSPF OpenShortestPathFirst 是一个内部网关协议 InteriorGatewayProtocol 简称IGP 用于在单一自治系统 autonomoussystem AS 内决策路由 OSPF是链路状态路由协议 通过路由器之间通告网络接口的状态来建立链路状态数据库 生成最短路径树 每个OSPF路由器使用这些最短路径构造路由表 有关命令 指定使用OSPF协议routerospfprocess id指定与该路由器相连的网络networknetworkwildcard maskareaarea id指定相邻的路由器端口地址neighborip address 63 配置广域网协议 CiscoIOS提供了广泛的广域网支持性能 适合于各种网络环境的需求 在CCNA考试中要求掌握以下内容 配置HDLC或PPP协议配置PPP验证理解帧中继的工作原理配置帧中继理解ISDN协议 功能组和参考点配置ISDNBRI 64 高级数据链路控制协议HDLC ISOHDLC协议由IBMSDLC协议演化过来 采用SDLC的帧格式 支持同步 全双工操作 其帧格式中没有标识所承载的上层协议信息的字段 因此 只能承载单一的网络层协议 Cisco路由器默认封装的是其私有的HDLC协议 它在控制字段和信息字段之间插入了一个私有字段 其中包含了上层协议的信息 因此 在单一链路上可以承载多种网络层协议 在Cisco路由器之间用同步专线连接时 采用CiscoHDLC协议效率最高 因此当两台Cisco路由器进行广域连接时 通常使用缺省的HDLC封装 但由于HDLC的兼容性问题 Cisco路由器与非Cisco路由器连接时 建议使用PPP封装 65 带宽和时钟的配置 在DDN专线上 Cisco路由器之间采用CiscoHDLC协议 DDN DigitalDataNetwork 是一种点对点的同步数据通信链路 它支持PPP SLIP HDLC和SDLC等链路层通信协议 允许IP NovellIPX Bridging CLNS AppleTalk DECnet等多种上层协议在上面运行 当两台Cisco路由器连接DDN时 同步串口通过V 35或RS232DTE电缆连接CSU DSU 由后者提供时钟 注意 两台Cisco路由器直连时 连接DCE线缆的一方提供同步时种 需要配置 bandwithclockrate 66 华为路由器WAN口的带宽和时钟 华为的同步串口有两种工作方式 DTE和DCE 不同的工作方式有不同的工作时钟选择 如果同步串口作为DTE设备则需要接受对端DCE设备提供的时钟 由于同步设备的接收和发送时钟是独立的 则DTE设备的接收时钟可以选择DCE设备的发送或接收时钟DTE设备的发送时钟也可以选择DCE设备的发送或接收时钟由此产生四种组合即在DTE侧可以有四种时钟选择 选择DTE侧同步串口时钟 clock select DTE1 DTE2 DTE3 DTE4 选择DCE侧同步串口时钟 clock selectDCEclkDTE侧同步串口缺省时钟选择为DTE3 67 配置HDLC或PPP 设置HDLC封装在接口配置模式下 键入 encapsulationhdlc或ppp如果本端口连接的是DCE线缆 仅限于Cisco 则设置DCE端线路速度 clockratespeed显示接口状态命令 在特权模式下键入 showinterfaces typeslot port 复位一个硬件接口 CISCOclearinterface typeslot port HUAWEIclearport typeslot port 68 配置PPP验证 Cisco 登记对方的路由器名 PAP被验证方可省略 在全局设置模式下 键入 username对方路由器名password口令注意 两边路由器的口令必须一致 设置PPP封装在接口配置模式下 键入 encapsulationppp设置DCE端的线路速度clockratespeed设置验证协议 pppauthentication chap chappap papchap pap 监控验证过程在特权模式下 键入 debugpppauthe 69 配置PPP主验证方 Huawei 在全局配置模式下 键入 userpassword 0 7 口令在接口配置模式下 键入 encapsulationppp设置验证协议 键入 pppauthenticationpap或chap 对于CHAP验证 发送本路由器名 键入 pppchaphost本方路由器名 70 配置PPP被验证方 Huawei 对于CHAP验证 在全局配置模式下 键入 userpassword 0 7 注意 两边路由器的口令必须一致 在接口配置模式下 键入 encapsulationppp设置验证协议 键入 pppauthenticationpap chap 对于CHAP验证 发送本路由器名键入 pppchaphost本方路由器名 对于PAP验证 发送本路由器名和口令键入 ppppapsent username本方路由器名 0 7 口令 71 HDLC配置示例 HDLC是CISCO路由器使用的缺省协议 一台新路由器在未指定封装协议时默认使用HDLC封装 Router1 interfaceSerial0ipaddress192 200 10 1255 255 255 0clockrate1000000Router2 interfaceSerial0ipaddress192 200 10 2255 255 255 0 72 PPP配置示例 Router1 hostnamerouter1usernamerouter2passwordxxxinterfaceSerial0ipaddress192 200 10 1255 255 255 0clockrate1000000pppauthenticationchapRouter2 hostnamerouter2usernamerouter1passwordxxxinterfaceSerial0ipaddress192 200 10 2255 255 255 0pppauthenticationchap 路由器Router1和Router2的S0口均封装PPP协议 采用CHAP做认证 在Router1中应建立一个用户 以对端路由器名router2作为用户名 同时在Router2中应建立一个用户 以对端路由器名router1作为用户名 所建的这两用户的password必须相同 73 申请DDN连接CHINANET的配置 CHINANET骨干路由器均为Cisco路由器 当申请DDN上网时 ISP会给用户分配一组真IP地址 以及一个广域网端口的IP地址 因此 配置步骤如下 进入全局配置模式 配置以太网端口 设置一个真IP地址 配置广域网端口 封装广域网协议 若端口连接的是DCE电缆 则配置时钟 配置端口的IP地址和子网掩码 配置缺省路由 configterminalinterfacee0 0ipaddressip addr1 mash1exitinterfaces0 0encapsulationHDLCclockrateclockrateipaddressip addre2 mash2exitiproute0 0 0 00 0 0 0serial 74 帧中继地址映射 帧中继地址映射是把对端设备的协议地址与其帧中继地址DLCI关联起来 以便高层协议能通过对端设备的协议地址找到对端设备 帧中继主要用来承载IP协议 由于路由器只知道报文分组的下一跳IP地址 所以发送报文分组前必须确定下一跳IP地址所对应的DLCI 这是通过查找PVC地址映射表来完成的 地址映射表可以手工配置 也可采用逆向地址解析协议InvferseARP来动态求解每条虚电路连接的对端设备的协议地址 IP或IPX 从而简化帧中继的配置 75 帧中继的基本配置 封装帧中继协议 在接口配置模式下完成 键入 enscapsulationframe relay ietf ciscocompatible Cisco设备之间默认使用cisco封装类型 如果和其他厂家设备通信 需要使用ietf封装类型 Huawei路由器默认使用ietf封装类型 配置帧中继接口的终端类型键入 frame relayintf dce dte nni 注意 对于dce和nni 要在全局配置模式键入 frame relayswitching选择LMI类型键入 frame relaylmi type ansi cisco compatiple q933a 76 本地管理接口LMI 本地管理接口 LMI LocalManagementInterface 用来建立与维护路由器和交换机之间的连接 LMI消息提供了关于当前DLCI值 虚电路状态等的信息 路由器支持的LMI信号格式有 ANSI AnnexDdefinedbyANSIstandardT1 617ITU T Q 933A AnnexAdefinedbyQ 933ACisco LMIdefinedbythegangoffour default 从IOS11 2起 LMI类型可以被自动检测到 77 配置帧中继地址映射 缺省情况下路由器接口允许InverseARP协议 当所有路由器都连到同一台帧中继交换机上时 可使用InverseARP协议 若多个路由器使用多个交换机 就必须手工增加映射表 要禁止InverseARP 键入 noInverse arp要重新激活 键入 frame relayInverse arp手工配置静态映射 键入 frame relaymap ip ipx 协议地址dlci broadcast 78 配置帧中继子接口和虚电路号 在接口配置模式下 创建帧中继子接口 进入子接口配置模式 键入 interfacetypenumber subnterface number multipoint point yo point 配置帧中继主接口或子接口的虚电路号 键入 frame replyinterface dlcidlci 79 FrameRelay配置示例 ints0encapsulationframe relayints0 16ipaddress192 168 1 22255 255 255 252frame relayinterface dlci16ints0 17ipaddress192 168 1 201255 255 255 252frame relayinterface dlci17ints1encapsulationframe relayipaddress199 1 1 1255 255 255 0 80 监测FrameRelay showframe relay ip lmi map pvc route traffic showinterface debugframe relay ip lmi map pvc route traffic 81 两路由器直接连接的帧中继配置 注意 如果通过直连方式将两路由器连接起来 则两路由器的帧中继地址必须一致 地址可以随意设置 在实际应用中 申请的帧中继地址只有本地意义 两边进行通讯的路由器的帧中继地址可以不同 82 DTE端配置 在端口配置模式下 封装帧中继 键入 encapsulationframe relayIETF设置LMI信令格式 键入 frame relaylmi typeCisco映射IP地址与帧中继地址 键入 frame relaymapip对方路由器的IP地址本端口的帧中继号码 broadcast broadcast参数表示允许在帧中继线路上传送路由广播信息设置本端口IP地址 ipaddress本端口IP地址子网掩码 83 DCE端的路由器设置 在全局配置状态下 打开帧中继交换 frame relayswitching在端口设置状态下 封装帧中继encapsulationframe relayIETF设置本端口在帧中继线路中充当DCEframe relayintf typeDCE映射IP地址及帧中继地址frame relaymapip对方路由器的IP地址本端口帧中继号码 broadcast 设置带宽bandwith带宽单位为K设置同步时钟clockrate同步时钟设置本端口IP地址ipaddress本端口IP地址子网掩码 84 IP包过滤技术 包过滤 对路由器需要转发的数据包 获取报头信息 和设定的规则进行比较 根据比较的结果对数据包进行转发或丢弃 实现包过滤的核心技术是访问控制列表 85 什么是访问控制列表 路由器的访问列表 AccessList 是网络防御的前沿阵地 访问列表提供了一种机制 可以控制通过路由器的不同接口的信息流 用户可以使用访问列表来管理信息流 以制定公司的内部网络相关策略 这些策略可以描述安全功能 并且反映流量的优先级别 例如 某个机构可能希望允许或拒绝Internet对内部Web服务器的访问 或者允许内部局域网上一个或多个工作站能够将流量发到广域网的ATM骨干网络上 访问控制列表是一个有序的语句集 它通过匹配报文中的信息与访问表参数 来允许或拒绝报文通过某个接口 86 ACL监控的对象 入站接口进入路由器的数据包通过路由器进行中继的数据包从出站接口跳出路由器的数据包ACL不检查路由器自己产生的数据包 只对其他来源的数据包进行检查 CISCO每个ACL末尾隐含一项规则 DenyAll 87 ACL的工作流程 88 当数据包进入路由器后 路由器对它进行检查 看它是否可以路由 如果遇到任何不可路由的情况 则数据包被丢弃 如果是可路由的 路由表里为它指定一个目标网络 以及使用的接口 然后路由器检查相关接口是否被编在某一个访问控制列表中 如果没有被编组 则直接从端口发送 否则 路由器对该数据包与ACL依次进行对照 如果某个数据包的报头跟ACL的某个判断语句相附合 就执行相应操作 转发或拒绝该数据包 并忽略剩下的判断语句 路由器将通知被拒绝数据包的发送端该数据报被拒绝 ACL的工作方式 89 IP访问控制列表 一个封装了TCP段的IP数据包如图所示 IP访问列表就是利用这些信息来定义规则 区分不同的数据包 路由器将在应用访问列表的接口上对所有的数据包进行规则的匹配检查 90 IP访问列表的类型 访问列表的一般格式如下 access list列表号列表字段 路由器支持两种类型的IP访问表 标准的访问表列表号为1 99只允许过滤源地址 且功能十分有限 扩展的访问表列表号为100 199允许过滤源地址 目的地址和上层应用数据 91 CiscoACL的号码范围 协议范围IP1 99扩展IP100 199Ethernet类型码200 299DECnet300 399XNS400 499扩展XNS500 599AppleTalk600 699Ethernet地址700 799IPX800 899扩展IPX900 999IPXSAP1000 1099 92 ACL的语法格式 标准ACL的语法 router config access list列表号 deny permit source source wildcard log 扩展ACL的语法 router config access list列表号 permit deny protocolsource source mask source port destination destination mask operatoroperand establ