组网技术与配置(第3版)-(第11章)7-302-34697-5

1、计算机网络组网技术与配置组网技术与配置（第（第3版）版）清华大学出版社清华大学出版社 ISBN 978-7-302-34697-5计算机网络第第11章章 路由器的配置路由器的配置清华大学出版社清华大学出版社 ISBN 978-7-302-34697-5计算机网络第第11章章 路由器的配置路由器的配置 11.1 路由器配置基础路由器配置基础 11.2 路由器配置路由器配置 11.3 Cisco IOS命令行接口命令行接口CLI简介简介 11.4 路由器常用配置路由器常用配置 11.5 路由器配置实验路由器配置实验 11.6路由器密码恢复与系统软件维护路由器密码恢复与系统软件维护计算机网络11.1

2、 路由器配置基础路由器配置基础 11.1.1 路由器的分类路由器的分类 11.1.2 路由器重要性能指标路由器重要性能指标 11.1.3 Cisco路由器系统组成路由器系统组成 11.1.4 Cisco路由器产品系列路由器产品系列计算机网络11.1.1 路由器的分类路由器的分类 从功能上分类，路由器可分为高端路由器和从功能上分类，路由器可分为高端路由器和中低端路由器中低端路由器 从结构上分类，路由器可分为模块化结构与从结构上分类，路由器可分为模块化结构与非模块化非模块化(固定固定)结构结构 根据路由器的技术特点和应用特点，路由器根据路由器的技术特点和应用特点，路由器可分为骨干级可分为骨干级(核

3、心核心)路由器、企业级路由器路由器、企业级路由器和接入路由器和接入路由器 从性能上分类，路由器可分为线速路由器以从性能上分类，路由器可分为线速路由器以及非线速路由器及非线速路由器计算机网络11.1.2 路由器重要性能指标路由器重要性能指标 1）背板能力：）背板能力： 2）吞吐量）吞吐量 3）丢包率）丢包率 4）转发时延）转发时延 5）路由表容量）路由表容量 6）可靠性）可靠性计算机网络11.1.3 Cisco路由器系统组成路由器系统组成 1. CPU 2. 内存内存 1）ROM(只读存储器只读存储器)、2）Flash(闪存闪存)、3）RAM/DRAM(随机存取存储器随机存取存储器/动态随机存取

4、存储器动态随机存取存储器)、4）NVRAM(Non-Volatile-RAM，非易失性存储器，非易失性存储器) 3. 路由器的接口路由器的接口 4. 路由器接口的标识路由器接口的标识 5. IOS和进程和进程 6. IOS配置文件配置文件计算机网络RAM中所存储的信息中所存储的信息 当路由器上电时，执行当路由器上电时，执行ROM中的引导程序，完成中的引导程序，完成一些测试，然后把一些测试，然后把Cisco的的IOS 软件装载到软件装载到RAM计算机网络11.1.4 Cisco路由器产品系列路由器产品系列 低端的路由器有低端的路由器有16XX、25XX系列系列 中等层次的路由器有中等层次的路由器

5、有26XX、36XX系列系列 高端的路由器有高端的路由器有4XXX和和7XXX系列系列计算机网络11.2 路由器配置路由器配置 11.2.1 路由器配置途径以及配置环境搭建路由器配置途径以及配置环境搭建 11.2.2 IOS的启动与系统配置对话的启动与系统配置对话 11.2.3 路由器状态以及配置模式路由器状态以及配置模式计算机网络11.2.1 路由器配置途径以及配置环境搭建路由器配置途径以及配置环境搭建 1. 路由器配置途径路由器配置途径 1）通过控制台端口进行配置）通过控制台端口进行配置 2）通过辅助端口进行配置）通过辅助端口进行配置 3）通过以太网接口（局域网接口）进行配置）通过以太网接

6、口（局域网接口）进行配置 2. 路由器配置环境搭建路由器配置环境搭建 1）通过控制端口配置路由器）通过控制端口配置路由器 2）通过辅助端口）通过辅助端口AUX配置路由器配置路由器 3）通过以太网口配置路由器）通过以太网口配置路由器计算机网络路由器的控制台端口与路由器的控制台端口与PC机的串口连接机的串口连接 将将PC机或终端的串口通过标准机或终端的串口通过标准RS-232电缆与路由电缆与路由器的控制台端口器的控制台端口(Console Port)相连接相连接计算机网络路由器的远程配置环境路由器的远程配置环境、通过以太网口进行通过以太网口进行路由器配置路由器配置计算机网络超级终端的新建连接超级终

7、端的新建连接、超级终端选择端口设置超级终端选择端口设置计算机网络超级终端端口的属性超级终端端口的属性将端口属性设置为：将端口属性设置为：9600波特、波特、8位数据位、无奇偶校验、位数据位、无奇偶校验、1位停止位、无数据流控制位停止位、无数据流控制计算机网络超级终端窗口超级终端窗口计算机网络输入待拨电话的详细资料输入待拨电话的详细资料、 连接拨号对话框连接拨号对话框计算机网络11.2.2 IOS的启动与系统配置对话的启动与系统配置对话 1. 路由器启动顺序路由器启动顺序 启动顺序启动顺序 启动步骤启动步骤 Cisco路由器的引导过程路由器的引导过程 2. 系统配置对话过程系统配置对话过程 如果

8、路由器启动时没有可供载入的启动配置，或如果路由器启动时没有可供载入的启动配置，或是运行了是运行了“setup”命令命令(必须在特权模式下运行必须在特权模式下运行)，都可以进入系统配置对话过程，都可以进入系统配置对话过程 系统配置对话过程主要分为系统配置对话过程主要分为4个阶段个阶段计算机网络11.2.3 路由器状态以及配置模式路由器状态以及配置模式 1. 用户用户EXEC模式模式 2. 特权特权EXEC模式模式 3. 全局配置模式全局配置模式(Global Configuration) 4. 接口配置模式接口配置模式 5. 子接口配置模式子接口配置模式 6. ROM检测模式检测模式 7. 其他

9、配置模式其他配置模式计算机网络11.3 Cisco IOS命令行接口命令行接口CLI简介简介 11.3.1 IOS提供的帮助功能提供的帮助功能 11.3.2 命令行的注释和默认设置命令行的注释和默认设置 11.3.3 显示路由器状态和查看相邻网络设备显示路由器状态和查看相邻网络设备 11.3.4 IOS及配置文件的备份及配置文件的备份 11.3.5 路由器的一般配置过程路由器的一般配置过程 11.3.6 改变工作模式命令改变工作模式命令 11.3.7 口令设置与管理口令设置与管理 11.3.8 路由器测试命令路由器测试命令计算机网络11.3.1 IOS提供的帮助功能提供的帮助功能 对路由器的一

10、般配置方法，是使用对路由器的一般配置方法，是使用IOS的命令行接口的命令行接口CLI 在命令提示符下输入帮助命令在命令提示符下输入帮助命令“？”，即可显示在该模式下，即可显示在该模式下的所有命令的所有命令 如果不会正确拼写某个命令，可以先输入开始的几个字符，如果不会正确拼写某个命令，可以先输入开始的几个字符，其后紧跟一个问号其后紧跟一个问号“？” 路由器会在这些字符的基础上，补充为一个完整的命令词路由器会在这些字符的基础上，补充为一个完整的命令词 输入命令行不完整的字符后，按下输入命令行不完整的字符后，按下Tab健，系统会将命令行健，系统会将命令行剩余的部分逐步补充完整剩余的部分逐步补充完整

11、如果命令输入不正确，如果命令输入不正确，“”符号和帮助会指出错误符号和帮助会指出错误 “”指向的地方，是指向的地方，是IOS所检测到的错误命令、错误关键字、错误所检测到的错误命令、错误关键字、错误参数所在的地方参数所在的地方计算机网络11.3.2 命令行的注释和默认设置命令行的注释和默认设置 1）注释语句用）注释语句用“！”字符引导，到行末结束字符引导，到行末结束 2）编辑组合健）编辑组合健 3）更改路由器的名字）更改路由器的名字 4）关闭）关闭DNS查找查找 5）启用同步记录功能）启用同步记录功能 6）为路由器配置用户名和用户口令）为路由器配置用户名和用户口令 7）禁用）禁用Web服务服务

12、8）配置命令别名）配置命令别名计算机网络11.3.3 显示路由器状态和查看相邻的网络设备显示路由器状态和查看相邻的网络设备 有很多命令可以用于检测显示路由器的状态有很多命令可以用于检测显示路由器的状态计算机网络11.3.4 IOS及配置文件的备份及配置文件的备份 把把IOS装载到路由器中有三种方式装载到路由器中有三种方式 启动配置文件存储在启动配置文件存储在NVRAM中，当路由器重新启动时会读中，当路由器重新启动时会读取这个文件。运行配置文件存储在取这个文件。运行配置文件存储在RAM中中 可以根据需要相互备份其内容。所执行的这些备份命令需可以根据需要相互备份其内容。所执行的这些备份命令需要在特

13、权模式下执行要在特权模式下执行计算机网络11.3.5 路由器的一般配置过程路由器的一般配置过程 在适当的配置模式下使用命令改变路由器配置。使在适当的配置模式下使用命令改变路由器配置。使用用“show running-config”命令来查看结果命令来查看结果计算机网络11.3.6 改变工作模式命令改变工作模式命令 1）Enable命令。在用户模式下运行，进入特权用户模式。命令。在用户模式下运行，进入特权用户模式。 2）Disable命令。退出特权模式。命令。退出特权模式。 3）Setup命令。进入系统配置对话模式。命令。进入系统配置对话模式。 4）Config terminal命令。在特权模式

14、下运行，进入全局设命令。在特权模式下运行，进入全局设置模式。置模式。 5）End命令。退出目前的设置状态。命令。退出目前的设置状态。 6）Interface type slot/number命令。进入接口局部设置命令。进入接口局部设置状态。状态。 7）Interface type number.subinterfacepoint-to-point|multipoint命令。进入子接口设置状态。命令。进入子接口设置状态。 8）Line type slot/number命令。进入线路设置状态。命令。进入线路设置状态。 9）Router protocol命令。进入路由器设置状态。命令。进入路由器设置

15、状态。 10）Exit命令。退出局部设置状态命令。退出局部设置状态计算机网络11.3.7 口令设置与管理口令设置与管理 1. 为控制台设置口令为控制台设置口令 2. 为远程终端设置口令为远程终端设置口令 3. 设置超级用户口令设置超级用户口令 4. 加密口令加密口令计算机网络11.3.8 路由器测试命令路由器测试命令 1. 测试网络路径状态测试网络路径状态 Router#trace protocol destination 2. ping命令检测线路和设置的状态命令检测线路和设置的状态 Router#ping protocol destination 3. 从应用层进行测试从应用层进行测试 “

16、telnet”命令格式为：命令格式为：Router#telnet hostname|IP-address 可以使用可以使用“debug”命令来查看路由器发送和接命令来查看路由器发送和接收协议的消息收协议的消息计算机网络11.4 路由器常用配置路由器常用配置 11.4.1 IP协议的配置协议的配置 11.4.2 IP路由配置路由配置 11.4.3 路由协议配置路由协议配置计算机网络11.4.1 IP协议的配置协议的配置 1. IP协议配置原则协议配置原则 2. IP地址配置地址配置 Router1与与Router2、Router3互互为相邻路由器为相邻路由器计算机网络11.4.2 IP路由配置路

17、由配置 1. 静态路由静态路由 2. 动态路由动态路由 3. 静态路由配置和默认路由配置静态路由配置和默认路由配置计算机网络11.4.3 路由协议配置路由协议配置 1. 自治系统自治系统AS与路由协议分类与路由协议分类 2. 距离向量路由协议距离向量路由协议 3. 链路状态路由协议链路状态路由协议 4. 路由信息协议路由信息协议RIP及其配置及其配置 5. OSPF协议及其配置协议及其配置计算机网络 OSPF协议的区域协议的区域划分划分、OSPF路由路由配置示例配置示例计算机网络11.4.4 广域网协议配置广域网协议配置 1. X.25协议配置协议配置，CCITT定义的定义的X.25协议协议

18、1）X.25数据封装类型数据封装类型 2）定义本路由器接口的）定义本路由器接口的X.121地址地址 3）X.121地址到高层地址的映射地址到高层地址的映射 4）X.25配置实例配置实例 2. DDN配置配置 DDN是一种点对点的同步通信链路是一种点对点的同步通信链路 1）HDLC高级数据链路控制协议及配置高级数据链路控制协议及配置 2）PPP点对点协议及其配置点对点协议及其配置计算机网络X.25配置示例配置示例 RouterA配置过程如下：配置过程如下： RouterA(config)#Interface S 0 ！为！为S0指定指定IP地址地址 RouterA(config-if)#ip a

19、ddress 202.196.73.1 255.255.255.192 ！将！将S0封装为封装为X.25接口，接口，默认默认为为DTE方式方式计算机网络DDN配置配置 如果对同步串行口如果对同步串行口serial0上配置上配置HDLC，则，则可以使用下列命令：可以使用下列命令： Router(config)#interface S 0 Router(config-if)#ip address 202.196.73.1 255.255.255.192 Router(config-if)#encapsulation HDLC计算机网络11.4.5 网络地址转换网络地址转换NAT及配置及配置 1.

20、NAT简介简介 NAT(Network Address Translation，网络地址，网络地址转换转换)是用于将一个专用地址域是用于将一个专用地址域(局域网内部或局域网内部或Intranet)与另一个地址域与另一个地址域(如如Internet)建立起对建立起对应关系的技术应关系的技术 2. NAT的种类与配置的种类与配置 NAT包括静态包括静态NAT和动态和动态NAT两种方式两种方式 3. NAT配置示例配置示例 Intranet和和Internet之间连接的路由器的动态之间连接的路由器的动态port NAT配置配置过程过程计算机网络11.5 路由器配置实验路由器配置实验 11.5.1 路

21、由器配置实验环境路由器配置实验环境 11.5.2 静态路由协议配置静态路由协议配置 11.5.3 RIP路由协议配置路由协议配置 11.5.4 OSPF路由协议配置路由协议配置 11.5.5 访问控制列表配置访问控制列表配置 11.5.6 访问控制列表配置示例访问控制列表配置示例 11.5.7 基于基于MAC扩展的访问控制列表扩展的访问控制列表 11.5.8 基于时间的访问控制列表基于时间的访问控制列表计算机网络11.5.1 路由器配置实验环境路由器配置实验环境 以以3台台Cisco 2811路由器通过路由器通过V.35电缆连接电缆连接为例说明路由器的配置为例说明路由器的配置 配置环境采用逻辑

22、网段和逻辑接口（模拟一配置环境采用逻辑网段和逻辑接口（模拟一个终端节点）的方式，可以节省交换机的连个终端节点）的方式，可以节省交换机的连接，给配置实验带来方便接，给配置实验带来方便 子网掩码均为子网掩码均为255.255.255.0。逻辑接口的。逻辑接口的IP地址分别为地址分别为192.168.1.1、192.168.2.1、192.168.3.1计算机网络采用采用loopback的路由器配置环境的路由器配置环境实验环境中有实验环境中有5个网段个网段，分别用，分别用PC机与机与3台路由器的台路由器的控制口连接，对路由器进行配置，通过控制口连接，对路由器进行配置，通过show命令查命令查看路由器

23、的设置情况，通过看路由器的设置情况，通过ping命令测试通过路由器命令测试通过路由器的连通性的连通性计算机网络Cisco 2811路由器的前、后面板路由器的前、后面板Cisco 2811路由器的前面板设计有控制端口、辅助控制端口、路由器的前面板设计有控制端口、辅助控制端口、支持热插拔的支持热插拔的Flash模块、电源连接器、电源开关、面板指示灯模块、电源连接器、电源开关、面板指示灯Cisco 2811路由器的后面板设计有多个模块化的插槽，可以支路由器的后面板设计有多个模块化的插槽，可以支持多种网络接口的配置持多种网络接口的配置计算机网络11.5.2 静态路由协议配置静态路由协议配置 1对对R1

24、的配置的配置 2对对R2的配置的配置 3对对R3的配置的配置 4对静态路由配置的测试对静态路由配置的测试计算机网络1对对R1的配置的配置！对逻辑网段！对逻辑网段192.168.1.0的配置。的配置。R1(config)#interface loopback 1R1(config-if)#ip add 192.168.1.1 255.255.255.0R1(config-if)#no shutdownR1(config-if)#exit！对路由器接口！对路由器接口s0/0/0的配置。的配置。R1(config)#interface s0/0/0R1(config-if)#ip add 192.1

25、68.12.1 255.255.255.0R1(config-if)#encapsulation pppR1(config-if)#clock rate 64000R1(config-if)#no shutdownR1(config-if)#exit！R1路由器的静态路由配置路由器的静态路由配置R1(config)#ip route 192.168.2.0 255.255.255.0 192.168.12.2R1(config)#ip route 192.168.23.0 255.255.255.0 192.168.12.2R1(config)#ip route 192.168.3.0 255

26、.255.255.0 192.168.12.2计算机网络 对对R2的配置如下：的配置如下： 对逻辑网段对逻辑网段192.168.2.0的配置。的配置。 R2(config)#interface loopback 2 R2(config-if)#ip add 192.168.2.1 255.255.255.0 R2(config-if)#no shutdown R2(config-if)#exit ！R2路由器的静态路由配置路由器的静态路由配置 R2(config)#ip route 192.168.1.0 255.255.255.0 192.168.12.1 R2(config)#ip rou

27、te 192.168.3.0 255.255.255.0 192.168.23.3 R2(config)#ip route 0.0.0.0 0.0.0.0 192.168.12.1计算机网络 对对R3的配置如下：的配置如下： 对逻辑网段对逻辑网段192.168.3.0的配置。的配置。 R3(config)#interface loopback 3 R3(config-if)#ip add 192.168.3.1 255.255.255.0 R3(config-if)#no shutdown R3(config-if)#exit ！对路由器接口！对路由器接口s0/0/1的配置。的配置。 R3(c

28、onfig)#interface s0/0/1 R3(config-if)#ip add 192.168.23.3 255.255.255.0 R3(config-if)#encapsulation ppp R3(config-if)#no shutdown R3(config-if)#exit计算机网络 配置完成后，在特权模式下输入配置完成后，在特权模式下输入“show ip route”查看静查看静态路由表，以态路由表，以R3路由器为例：路由器为例： R3# show ip route 用用ping命令测试网络的连通性：命令测试网络的连通性： R3#ping 192.168.23.2 R3

29、#ping 192.168.12.1 在路由器上进行的路由配置会对后面的路由配置实验产生在路由器上进行的路由配置会对后面的路由配置实验产生影响，可以执行取消静态路由设置命令影响，可以执行取消静态路由设置命令“no ip route”，取消路由设置。以取消路由设置。以R3路由器为例：路由器为例： R3(config)#no ip route 192.168.2.0 255.255.255.0 192.168.23.2计算机网络11.5.3 RIP路由协议配置路由协议配置 1对对R1的配置的配置 2对对R2的配置的配置 3对对R3的配置的配置 4RIP配置后的测试配置后的测试 5对对RIP配置结果

30、查看的命令配置结果查看的命令 6将将RIPv1路由协议升级成路由协议升级成RIPv2的方法的方法 7将网络（物理）接口配置成将网络（物理）接口配置成passive-interface的方法的方法 8使用使用neighbor 命令配置命令配置RIP 的单播更新的方法的单播更新的方法计算机网络对对R1的配置的配置 ！启动！启动RIP路由协议。路由协议。 R1(config)#router rip ！指明路由器直接相连的网段，使用！指明路由器直接相连的网段，使用RIP动态路由动态路由 R1(config-router)#network 192.168.1.0 R1(config-router)#ne

31、twork 192.168.12.0 R1(config-router)#exit R1(config)#计算机网络对对R2的配置的配置 ！启动！启动RIP路由协议。路由协议。 R2(config)#router rip ！指明路由器直接相连的网段，使用！指明路由器直接相连的网段，使用RIP动动态路由。态路由。 R2(config-router)#network 192.168.2.0 R2(config-router)#network 192.168.12.0 R2(config-router)#network 192.168.23.0计算机网络对对R3的配置的配置 ！启动！启动RIP路由协

32、议。路由协议。 R3(config)#router rip ！指明路由器直接相连的网段，使用！指明路由器直接相连的网段，使用RIP动动态路由。态路由。 R3(config-router)#network 192.168.3.0 R3(config-router)#network 192.168.23.0计算机网络RIP配置后的测试配置后的测试 RIP路由协议配置完成后，在特权模式下可以显示路由协议配置完成后，在特权模式下可以显示路由器所配置的路由信息，也可以显示路由器所配置的路由信息，也可以显示IP路由表，路由表，以以R3路由器为例：路由器为例： R3#show ip protocols R3

33、#show ip route 然后用然后用ping命令测试配置后的连通性命令测试配置后的连通性 需要注意的是，若在路由器上做了多种路由协议配置，需要注意的是，若在路由器上做了多种路由协议配置，在运行路由时，默认设置是静态路由优先，若要使动态在运行路由时，默认设置是静态路由优先，若要使动态路由起作用，需要先删除原来配置的静态路由路由起作用，需要先删除原来配置的静态路由计算机网络对对RIP配置结果查看的命令配置结果查看的命令 在路由器上使用在路由器上使用“show ip route”、“show ip rip database”、“show ip rip data”和和“show ip proto

34、col”命令，可以命令，可以查看配置路由后的结果查看配置路由后的结果 其中，显示信息用较小的字号标识，其中，显示信息用较小的字号标识，“”表表示省略的部分信息或示省略的部分信息或IP地址值地址值 为避免为避免RIP路由协议配置对以后路由协议实路由协议配置对以后路由协议实验的影响，需要取消已经做的路由配置，所验的影响，需要取消已经做的路由配置，所采用的命令为采用的命令为“no router rip”计算机网络将将RIPv1路由协议升级成路由协议升级成RIPv2的方法的方法 将将RIPv1路由协议升级成路由协议升级成version 2的的RIPv2路由协议的配置方法是：路由协议的配置方法是： R1

35、(config)#router rip R1(config-router)#version 2 在路由器上使用在路由器上使用“debug ip rip”和和“clear ip route *”命令查看命令查看RIPv2的动态更新情况的动态更新情况，查看完毕之后，使用，查看完毕之后，使用“undebug all”关关闭调试闭调试计算机网络将网络（物理）接口配置成将网络（物理）接口配置成passive-interface的方法的方法 将路由器所有网络（物理）接口配置成将路由器所有网络（物理）接口配置成passive-interface的方法：的方法： R1(config)# router rip

36、R1(config-router)# passive-interface fa0/1 然后用然后用sh ip route rip命令查看结果命令查看结果 在路由器上使用在路由器上使用“clear ip route”和和“debug ip rip”查看查看RIP 的动态更新情况的动态更新情况 只要物理接口上执行了只要物理接口上执行了passive-interface命令命令，该网络接口就只接收路由更新包，而不发送更，该网络接口就只接收路由更新包，而不发送更新包新包计算机网络使用使用neighbor 命令配置命令配置RIP 的单播更新的单播更新的方法的方法 使用使用neighbor 命令配置命令配

37、置RIP 的单播更新，的单播更新，让网络重新互通的方法是：让网络重新互通的方法是： R1(config)# router rip R1(config-router)# neighbor 10.1.1.2 /neighbor 相邻路由器的相邻路由器的IP 检验完毕后使用检验完毕后使用“clear ip route”和和“debug ip rip”查看查看RIP 的动态更新情况的动态更新情况计算机网络11.5.4 OSPF路由协议配置路由协议配置 1配置配置OSPF的准备的准备 2对对R1的配置的配置 3对对R2的配置的配置 4对对R3的配置的配置 5配置配置OSPF的测试的测试 6配置配置OSP

38、F的步骤总结的步骤总结 7配置配置OSPF的示例的示例 8Show ip protocol命令示例命令示例 9sh ip ospf neighbor命令示例命令示例 10sh ip ospf interface命令示例命令示例 11相应接口的相应接口的ospf 信息信息 12sh ip ospf database命令示例命令示例计算机网络配置配置OSPF的准备的准备 对路由器网络接口的配置及方法与前面的讲对路由器网络接口的配置及方法与前面的讲述是一样的，在对路由器网络接口配置完成述是一样的，在对路由器网络接口配置完成之后，分别对图之后，分别对图8.19实验图中的实验图中的3台路由器台路由器进行

39、进行OSPF路由协议配置路由协议配置 在配置时特别注意在配置时特别注意DCE和和DTE的区分及两条的区分及两条串行（串行（Serial0/0/0、Serial0/0/1）线路速率）线路速率的设定的设定计算机网络对对R1的配置的配置 ！启动！启动OSPF路由协议，路由协议，100为进程号，取值范围为进程号，取值范围165 535，用于标识，用于标识OSPF为该路由器内的一个进程。为该路由器内的一个进程。 R1(config)#router ospf 100 ！指明路由器直接相连的网段，使用！指明路由器直接相连的网段，使用OSPF动态路由动态路由。192.168.1.0为直接相连的网段，统配符为直

40、接相连的网段，统配符0.0.0.255为子网掩码为子网掩码255.255.255.0的反码。区域号的取值范的反码。区域号的取值范围为围为04 294 967 295。 R1(config-router)#network 192.168.1.0 0.0.0.255 area 200 R1(config-router)#network 192.168.12.0 0.0.0.255 area 200 R1(config-router)#exit计算机网络对对R2的配置的配置 ！启动！启动OSPF路由协议。路由协议。 R2(config)#router ospf 100 ！指明路由器直接相连的网段，使

41、用！指明路由器直接相连的网段，使用OSPF动态路动态路由。由。 R2(config-router)#network 192.168.2.0 0.0.0.255 area 200 R2(config-router)#network 192.168.12.0 0.0.0.255 area 200 R2(config-router)#network 192.168.23.0 0.0.0.255 area 200 R2(config-router)#exit计算机网络对对R3的配置的配置 ！启动！启动OSPF路由协议。路由协议。 R3(config)#router ospf 100 ！指明路由器直接相

42、连的网段，使用！指明路由器直接相连的网段，使用OSPF动态路由。动态路由。 R3(config-router)#network 192.168.3.0 0.0.0.255 area 200 R3(config-router)#network 192.168.23.0 0.0.0.255 area 200计算机网络配置配置OSPF的测试的测试 OSPF路由协议配置完成后，在特权模式下可以显路由协议配置完成后，在特权模式下可以显示路由器所配置的路由信息，也可以显示示路由器所配置的路由信息，也可以显示IP路由表路由表，以，以R3路由器为例：路由器为例： R3#show ip protocols R3

43、#show ip route 然后用然后用ping命令测试配置后的连通性命令测试配置后的连通性 需要注意的是，若在路由器上做了多种路由协议配置，需要注意的是，若在路由器上做了多种路由协议配置，在运行路由时，默认设置是静态路由优先，若要使动态在运行路由时，默认设置是静态路由优先，若要使动态路由起作用，需要先删除原来配置的静态路由路由起作用，需要先删除原来配置的静态路由计算机网络配置配置OSPF的步骤总结的步骤总结 Router ospf 100命令启动一个命令启动一个OSPF路由选路由选择协议进程，其中的择协议进程，其中的“100”为进程号为进程号 与配置与配置EIGRP协议中的协议中的AS号不

44、同的是，在配置号不同的是，在配置OSPF时并不需要每台路由器中的进程号一致。时并不需要每台路由器中的进程号一致。 Network命令使相应的网段加入命令使相应的网段加入OSPF路由路由进程中，其格式为：进程中，其格式为： network 网络地址（或网络地址（或IP地址）通配码地址）通配码 area 区域号区域号计算机网络路由器的邻居信息路由器的邻居信息 Show ip ospf neighbor命令列出了当前路由器的命令列出了当前路由器的邻居信息邻居信息计算机网络相应接口的相应接口的OSPF信息信息 命令命令“Show ip ospf interface”可以列出相应接口可以列出相应接口的的

45、OSPF信息。无参数则列出所有接口的信息。无参数则列出所有接口的OSPF信息信息计算机网络查看查看OSPF邻居信息邻居信息 Show ip ospf database查看查看OSPF邻居信息邻居信息计算机网络11.5.5 访问控制列表配置访问控制列表配置 1访问控制列表配置内容访问控制列表配置内容 2访问控制列表分类访问控制列表分类 3访问控制列表配置命令的格式访问控制列表配置命令的格式 4ACL格式及格式及IP协议包主要过滤规则协议包主要过滤规则 5路由访问控制列表配置的实验环境路由访问控制列表配置的实验环境 6. 用访问列表控制用访问列表控制IP通信通信 7. 扩展扩展IP访问列表（协议、

46、端口号）配置访问列表（协议、端口号）配置 8访问控制列表的引用访问控制列表的引用 9配置配置ACL时需要注意的问题时需要注意的问题计算机网络访问控制列表配置内容访问控制列表配置内容 1）配置标准）配置标准IP访问控制列表访问控制列表 2）配置扩展）配置扩展IP访问控制列表访问控制列表 3）配置命名的标准）配置命名的标准IP访问控制列表访问控制列表 4）配置命名的扩展）配置命名的扩展IP访问控制列表访问控制列表 5）在网络接口上引用）在网络接口上引用IP访问控制列表访问控制列表 6）在）在VTY上引用上引用IP访问控制列表访问控制列表 7）查看和监测）查看和监测IP访问控制列表访问控制列表计算机

47、网络访问控制列表配置命令的格式访问控制列表配置命令的格式 access-list access-list-number|access-list-number-name deny|permit access rule|any 其中：其中： 1）access-list-number，访问控制列表的编号，访问控制列表的编号，1-99是标准是标准IP访问控制列表，访问控制列表，100-199是扩展访问控制列表是扩展访问控制列表 2）access-list-number-name，访问控制列表名，使用，访问控制列表名，使用该参数来定义命名的访问控制列表该参数来定义命名的访问控制列表 3）Deny|per

48、mit，拒绝或允许某项规则，拒绝或允许某项规则 4）Access rule，访问规则，访问规则 5）Any，所有主机，所有主机计算机网络ACL格式及格式及IP协议包主要过滤规则协议包主要过滤规则 IP协议包主要过滤规则有两种。一种是只对协议包主要过滤规则有两种。一种是只对IP协议包中的源协议包中的源地址进行检查，称为标准数据包过滤，过滤标识号范围为地址进行检查，称为标准数据包过滤，过滤标识号范围为199，配置命令格式为：，配置命令格式为： access-list 另一种需要检查的内容包括：源另一种需要检查的内容包括：源IP地址、目的地址、目的IP地址、协议地址、协议、端口号，称为扩展数据包过滤

49、，过滤标识号范围为、端口号，称为扩展数据包过滤，过滤标识号范围为100199，配置命令格式为：，配置命令格式为： access-list 在需要数据包过滤功能的接口引用过滤已经定义的规则，引在需要数据包过滤功能的接口引用过滤已经定义的规则，引用格式为：用格式为： ip access-group 计算机网络路由访问控制列表配置的实验环境路由访问控制列表配置的实验环境 采用交换机连接计算机节点。实验环境有采用交换机连接计算机节点。实验环境有3个不同个不同的网段，的网段，192.168.1.0、192.168.2.0、192.168.12.0，子网掩码均，子网掩码均255.255.255.0假设实验

50、中的各路由器、交换机、假设实验中的各路由器、交换机、PC机的连接和基本配置已经机的连接和基本配置已经设置正确，例如在两个路由器之间连接的网络接口上封装了设置正确，例如在两个路由器之间连接的网络接口上封装了PPP协议，网络中设置了动态路由协议协议，网络中设置了动态路由协议RIP计算机网络在路由器在路由器2811-A进行过滤规则的配置进行过滤规则的配置 ！进行过滤规则的配置，标识号为！进行过滤规则的配置，标识号为99 2811-A(config)#access-list 99 deny 192.168.2.2 0.0.0.0 2811-A(config)#access-list 99 permit

51、 0.0.0.0 255.255.255.255 2811-A(config)# ！引用过滤规则！引用过滤规则 2811-A(config)#interface s0/0/1 2811-A(config-if)#ip access-group 99 in 2811-A(config-if)# ！在特权模式下查看！在特权模式下查看IP访问列表访问列表 2811-A#show ip access-list ！在特权模式下查看端口访问列表！在特权模式下查看端口访问列表 2811-A#show ip interface serial 0/0/1计算机网络测试测试ACL的配置情况的配置情况 ！在特权模式

52、下查看！在特权模式下查看IP访问列表访问列表 2811-A#show ip access-list ！在特权模式下查看端口访问列表！在特权模式下查看端口访问列表 2811-A#show ip interface serial 0/0/1 用用ping命令验证访问列表设置后的作用，在命令验证访问列表设置后的作用，在PC-B计算机上计算机上执行执行“ping 192.168.1.2”测试与测试与PC-A计算机通信，因有配计算机通信，因有配置规则过滤，无法进行进行通信。需要注意验证的方向性置规则过滤，无法进行进行通信。需要注意验证的方向性。 配置实验完成后，在全局配置模式下执行下面命令取消访配置实验

53、完成后，在全局配置模式下执行下面命令取消访问控制列表：问控制列表： 2811-A(config)#no access-list 99 在接口配置模式下，执行下面命令取消对访问列表的引用在接口配置模式下，执行下面命令取消对访问列表的引用 2811-A(config-if)#no ip access-group 99 in计算机网络扩展扩展IP访问列表（协议、端口号）配置访问列表（协议、端口号）配置 ！进行过滤规则的配置，标识号为！进行过滤规则的配置，标识号为99 2811-A(config)#access-list 110 deny tcp 192.168.2.2 0.0.0.0 192.168

54、.12.1 0.0.0.0 eq 23 2811-A(config)#access-list 110 permit ip any any 2811-A(config)# ！引用过滤规则！引用过滤规则 2811-A(config)#interface s0/0/1 2811-A(config-if)#ip access-group 110 in 2811-A(config-if)# ！在特权模式下查看！在特权模式下查看IP访问列表访问列表 2811-A#show ip access-list ！在特权模式下查看端口访问列表！在特权模式下查看端口访问列表 2811-A#show ip interf

55、ace serial 0/0/1计算机网络测试和验证扩展访问列表配置结果测试和验证扩展访问列表配置结果 在在PC-B计算机上输入计算机上输入“telnet 192.168.12.1”，不，不能与路由器能与路由器2811-A通信，执行通信，执行“ping 192.168.12.1”命令，却可以与路由器命令，却可以与路由器2811-A通信通信 配置实验完成后，在全局配置模式下执行下面命令配置实验完成后，在全局配置模式下执行下面命令取消扩展访问控制列表：取消扩展访问控制列表： 2811-A(config)#no access-list 110 在接口配置模式下，执行下面命令取消对扩展访问在接口配置模

56、式下，执行下面命令取消对扩展访问列表的引用：列表的引用： 2811-A(config-if)#no ip access-group 110 in计算机网络进行进行telnet操作操作的设置方法的设置方法 若要进行若要进行telnet操作，需要预先进行虚拟终操作，需要预先进行虚拟终端端VTY配置，方法是：配置，方法是： Router(config)#line vty 0 4 Router(config)#login password cisco enable password cisco 其中，其中，cisco为用为用telnet登录时使用的密码设登录时使用的密码设置，需要用户输入置，需要用户输

57、入计算机网络访问控制列表的引用访问控制列表的引用 首先进入要引用访问控制列表的端口，然后首先进入要引用访问控制列表的端口，然后再指明引用的列表编号或名称再指明引用的列表编号或名称,是进入（是进入（in）方向还是离开方向（方向还是离开方向（out） 这里的这里的in和和out是指以路由器本身为参考点，数是指以路由器本身为参考点，数据包是进入（据包是进入（in）还是离开（）还是离开（out）路由器。例）路由器。例如，要在如，要在S0/0/0接口接口out方向上引用编号为方向上引用编号为1的标的标准访问控制列表，输入的命令为：准访问控制列表，输入的命令为： interface s0/0/0 ip a

58、ccess-groutp 1 out计算机网络配置配置ACL时需要注意的问题时需要注意的问题 1）在定义访问控制列表时，需要注意语句输入的先后顺序）在定义访问控制列表时，需要注意语句输入的先后顺序 2）路由器不对由自身产生的）路由器不对由自身产生的IP包进行过滤，在实验时应由包进行过滤，在实验时应由其他的设备发包进行测试其他的设备发包进行测试 3）show ip access-list命令列出了所定义的访问控制列表命令列出了所定义的访问控制列表的情况。的情况。show ip int s0 命令列出的信息会给出关于访问控命令列出的信息会给出关于访问控制列表引用情况的信息，表明在进入（制列表引用情

59、况的信息，表明在进入（in）或出（）或出（out）路）路由器的方向上引用访问控制列表的情况由器的方向上引用访问控制列表的情况 4）clear access-list counters 指令清空了访问控制列表指令清空了访问控制列表的计数器，以便观察配置结果的计数器，以便观察配置结果 5）为了验证访问控制列表配置的正确性，可以形成回路的）为了验证访问控制列表配置的正确性，可以形成回路的路由器的网络接口关闭，使网络路由拓扑不形成回路路由器的网络接口关闭，使网络路由拓扑不形成回路 6）可以使用扩展的）可以使用扩展的 ping 命令测试访问控制列表的定义和命令测试访问控制列表的定义和引用情况引用情况计算

60、机网络11.5.6 访问控制列表配置示例访问控制列表配置示例 1路由访问控制列表配置示例环境路由访问控制列表配置示例环境 2路由访问控制列表配置示例路由访问控制列表配置示例路由访问控制列表配置示例环境图路由访问控制列表配置示例环境图计算机网络11.5.7 基于基于MAC扩展的访问控制列表扩展的访问控制列表 MAC扩展扩展ACL的工作过程与扩展的工作过程与扩展ACL类似，类似，区别是基于区别是基于MAC地址进行访问控制地址进行访问控制 可以根据协议包的源可以根据协议包的源MAC地址、目的地址、目的MAC地址、以太网协议类型进行过滤设置地址、以太网协议类型进行过滤设置 MAC扩展扩展ACL的设置规