路由器的高级配置

路由器的高级配置第1页，共85页，2023年，2月20日，星期四0—3寄存器的引导字段，控制从哪里引导6：忽略NVRAM位寄存器位1514131211109876543210二进制0010000100000010十六进2102第2页，共85页，2023年，2月20日，星期四路由器IOS的安装Pc和路由器的第一个以太口用反转线连接，com口和console口连接，建立一个TFTP服务器，搭建路由器配置环境。

Rommon>IP_ADDRESS=00Rommon>IP_SUBNET_MASK=Rommon>DEFAULT_GATEWAY=Rommon>TFTP_FILE=c2600-is-mz.120-7.t.binRommon>TFTP_SERVER=Rommon>setRommon>tftpdnld(dnld)第3页，共85页，2023年，2月20日，星期四IP路由配置配置静态路由Router(config)#iproutedestinationdestination_mask[ipaddress|port][metric]

说明：destination代表目的网络的网络IPipaddress代表目的网络的下一跳的IP地址Port代表目的网络的下一跳可以用路由器的端口来表示Metric表示路由的优先级，值越大优先级越低第4页，共85页，2023年，2月20日，星期四Iproute30Iproute50第5页，共85页，2023年，2月20日，星期四配置默认路由当只有一个路由端口或一条路由路径时，可以启用默认路由

Router(config)#iproute启用默认静态路由

Router(config)#Ipclassless应用IPclassless命令后，默认静态路由才会生效。第6页，共85页，2023年，2月20日，星期四启用路由功能

Router(config)#IProuting查看路由表信息

Router#shiproute调试命令

Router#traceroute[ipaddress]跟踪路由第7页，共85页，2023年，2月20日，星期四第8页，共85页，2023年，2月20日，星期四说明：在设计路由器各端口的IP时，应注意同一网段IP不能配置在相同路由器上。第9页，共85页，2023年，2月20日，星期四RIP路由协议采用距离向量算法，路由器收集所有可到达目的地的不同路径，并且保存有关到达每个目的地的最少站点数的路径信息，除到达目的地的最佳路径外，其他信息予以丢弃。同时，将收集到的路由信息用RIP协议通知其他相邻路由器第10页，共85页，2023年，2月20日，星期四RouterRip[ver]Networkx.x.x.x监控RIPDebugiprip第11页，共85页，2023年，2月20日，星期四4.2动态路由的配置动态路由协议是一组规则，描述了第三层路由选择设备之间如何彼此发送有关可用网络的更新。如果到远程网络的路径不止一条，协议还决定如何从中选择一条最佳路径（路由）第12页，共85页，2023年，2月20日，星期四动态路由VS静态路由动态路由更容易使用，但比静态路由要占用更多的CPU资源和网络带宽。适合大型网络第13页，共85页，2023年，2月20日，星期四动态路由协议类型：

IGP：内部网关协议（InteriorGatewayProtocols),在同一路由域中交换路由信息。

EGP：外部网关协议（ExternalGatewayProtocols).在不同AS（自治系统）之间交换路由信息第14页，共85页，2023年，2月20日，星期四三种路由协议:(距离矢量、链路状态、混合）

Router间周期性地交换路由表，经过层层交换，使每个路由器获得所有网络信息，并采用算法得出到达每一个网络最佳路径，生成路由表。周期性交换路由表的缺点在于会带来额外的流量。每个Router不知道网络的拓扑结构，只知道与自己相连的网络情况，因此对网络变化收敛的速度慢。第15页，共85页，2023年，2月20日，星期四链路状态：也叫最短路径优先（Shortest-path-First)，每个路由器创建三个单独的表，一个跟踪直连的相邻路由器，一个决定整个网络拓扑结构（链路状态），一个作为路由表。这种协议比距离矢量协议对网络的了解程度更高。主要有OSPF第16页，共85页，2023年，2月20日，星期四每个Router与所有其它Router交换LSA（链路状态），最终获得所有Router的LSA，并将之放在一个LSA数据库中，再将LSADB转为一张带权有向图，即是对整个网络拓扑的真实反应。每个Router在图中以自已为根，使用算法得出到达每一点的最短路径，生成路由表。因为路由器知道整个网络的拓扑，所以对网络的变化收敛速度快。路由器不定期的交换路由表，只在网络变化时发送更新信息，因此流量小。第17页，共85页，2023年，2月20日，星期四混合型：综合了前两者的特征。协议有EIGRP第18页，共85页，2023年，2月20日，星期四路由协议分类按自治系统

IGP（内部路由协议）：RIP、IGRP、OSPFEGP（外部路由协议）：BGP按路由算法距离矢量：RIP、IGRP、BGP

链路状态：OSPF第19页，共85页，2023年，2月20日，星期四

RIP协议的配置

第20页，共85页，2023年，2月20日，星期四2621A#configt2621A(config)#noiproute2621A(config)#noiproute2621A(config)#noiproute2621A(config)#noiproute2621A(config)#routerrip2621A(config-router)#network2621A(config-router)#^Z2621A#第21页，共85页，2023年，2月20日，星期四2501A2501A#configt2501A(config)#noiproute2501A(config)#noiproute2501A(config)#noiproute2501A(config)#routerrip2501A(config-router)#network2501A(config-router)#^Z2501A#第22页，共85页，2023年，2月20日，星期四VerifyingtheRIPRoutingTablesa.2621A2621A#showiprouteCodes:C-connected,S-static,I-IGRP,R-RIP,M–Gatewayoflastresortisnotset/24issubnetted,5subnetsR[120/3]via,FastEthernet0/0R[120/2]via,FastEthernet0/0R[120/2]via,FastEthernet0/0R[120/1]via,FastEthernet0/0Cisdirectlyconnected,FastEthernet0/0第23页，共85页，2023年，2月20日，星期四自学RoutingLoops、水平分割、路由破坏、抑制计时学生课堂讲述第24页，共85页，2023年，2月20日，星期四第25页，共85页，2023年，2月20日，星期四

IGRP协议的配置

IGRP使用复合度量，克服了RIPv1的距离限制。复合度量包括了4个元素：带宽、延迟、负载、可靠性第26页，共85页，2023年，2月20日，星期四IGRP特点：最大跳数255，默认100跳使用带宽和延迟作为度来寻找最佳路径当配置IGRP时，必须以AS号作为配置参数，所有的路由器必须使用相同的AS号来共享路由表信息，IGRP支持最多6条链路的均衡负载。第27页，共85页，2023年，2月20日，星期四IGRP专有的特征：每90秒发送完整的路由更新使用AS号IGRP计时路由更新：默认90秒路由无效：默认270秒路由刷新：默认630秒第28页，共85页，2023年，2月20日，星期四a.2621A2621A#configt2621A(config)#routerigrp?<1-65535>Autonomoussystemnumber2621A(config)#routerigrp102621A(config-router)#network2621A(config-router)#^Z2621A#第29页，共85页，2023年，2月20日，星期四b.2501A2501A#configt2501A(config)#routerigrp102501A(config-router)#netw2501A(config-router)#^Z2501A#第30页，共85页，2023年，2月20日，星期四VerifyingtheIGRPRoutingTablesa.2621A2621A#showiprouteCodes:C-connected,S-static,I-IGRP,R-RIP,Gatewayoflastresortisnotset/24issubnetted,5subnetsI[100/160360]via,FastEthernet0/0I[100/160260]via,FastEthernet0/0I[100/158360]via,FastEthernet0/0I[100/158260]via,FastEthernet0/0Cisdirectlyconnected,FastEthernet0/0第31页，共85页，2023年，2月20日，星期四访问控制列表访问列表是由一系列语句组成的列表，这些语句主要包括匹配条件和采取的动作两项内容。列表应作用在接口上，通过匹配数据包信息与访问表参数来决定允许还是拒绝数据包通过接口。格式:access-listACL号permit|deny（host）ip地址第32页，共85页，2023年，2月20日，星期四ACL类型标准访问列表：使用源IP地址做过滤决定,访问控制列表号1到99扩展访问列表：可以通过源IP和目的IP以及根据通信的协议类型以及端口号来过滤网络流量，访问控制列表号100到199第33页，共85页，2023年，2月20日，星期四ACL规则按顺序比较，从第一行到最后一行从第一行起，直到找到一个符合条件的行，符合以后，其余的行就不再继续比较默认的每个ACL中最后一行为隐含的拒绝（deny)，所以每个ACL必须要有一行pemit语句，除非用户想所有数据包丢弃。第34页，共85页，2023年，2月20日，星期四ACL作用设置要点作用方向：

IN：先处理，再路由

OUT：先路由，再处理每个接口、每个方向只能设置一个ACLACL是一个整体，如果要修改其中的一行，必须重新写该ACL（命名ACL除外）ACL一定要作用在接口上才能生效第35页，共85页，2023年，2月20日，星期四通配符为反码，全0表示必须检查匹配Host表示精确匹配，是

的简写Any表示全部不进行匹配，是55的简写eg:access-list2permit55可以写成access-list2permitany第36页，共85页，2023年，2月20日，星期四标准ACL的配置Router(config)#access-list[number][deny|permit]source[source-wildcard][log]eg:Router(config)#access-list10permitRouter(config)#linevty04Router(config-line)#access-listin第37页，共85页，2023年，2月20日，星期四小提示：对于标准访问控制列表来说，默认的命令是HOST，也就是说access-list10deny表示的是拒绝这台主机数据包通讯，可以省去我们输入host命令。

第38页，共85页，2023年，2月20日，星期四禁止3这个计算机对/24网段的访问，而/24中的其他计算机可以正常访问。

第39页，共85页，2023年，2月20日，星期四路由器配置命令：access-list1denyhost3

设置ACL，禁止3的数据包通过access-list1permitany

设置ACL，容许其他地址的计算机进行通讯inte1

进入E1端口ipaccess-group1in

将ACL1宣告，同理也可以进入E0端口后使用ipaccess-group1out来完成宣告。配置完毕后除了3其他IP地址都可以通过路由器正常通讯，传输数据包。第40页，共85页，2023年，2月20日，星期四要求：hostA不能访问服务器server1和server2,其他主机可以访问服务器第41页，共85页，2023年，2月20日，星期四routeB:RouterB(config)#access-list2denyhostrouterB(config)#access-list2permitanyrouterB(config)#interfe0routerB(config-if)#ipaccess-group1in第42页，共85页，2023年，2月20日，星期四总结：标准ACL占用路由器资源很少，是一种最基本最简单的访问控制列表格式。应用比较广泛，经常在要求控制级别较低的情况下使用。如果要更加复杂的控制数据包的传输就需要使用扩展访问控制列表了，他可以满足我们到端口级的要求。第43页，共85页，2023年，2月20日，星期四扩展ACL扩展ACL和标准ACL使用方法基本相同，区别在于扩展ACL有更多匹配项。如：源和目的IP地址、协议类型、源和目的端口等访问列表号范围为100—199Eq(等于）、gt(大于）、lt(小于）、neq(不等于）、range(一个范围）第44页，共85页，2023年，2月20日，星期四要求：允许LAN3的所有主机能登陆INTERNET，但只能浏览WWW、FTP、SMTP、POP3协议通讯。LAN2中的主机

向INTERNET提供WWW服务，主机向INTERNET提供FTP服务，主机192。168。2。3向INTERNET提供SMTP服务，其余主机不能被INTERNET访问。LAN1中的主机不能访问INTERNET，但可以访问LAN2和LAN3第45页，共85页，2023年，2月20日，星期四Router(config)#access-list101permittcp55anyeqwwwRouter(config)#access-list101permittcp55anyeqFTPRouter(config)#access-list101permittcp55anyeqSMTPRouter(config)#access-list101permittcp55anyeqPOP3第46页，共85页，2023年，2月20日，星期四Router(config)#access-list101denyip55anyRouter(config)#access-list102permittcpanyhosteqwwwRouter(config)#access-list102permittcpanyhosteqFTPRouter(config)#access-list102permittcpanyhosteqSNMP第47页，共85页，2023年，2月20日，星期四Router(config)#interfs1Router(config-if)#ipaccess-group101outRouter(config)#interfe0Router(config-if)#ipaccess-group102out第48页，共85页，2023年，2月20日，星期四扩展ACL有一个最大的好处就是可以保护服务器，例如很多服务器为了更好的提供服务都是暴露在公网上的，这时为了保证服务正常提供所有端口都对外界开放，很容易招来黑客和病毒的攻击，通过扩展ACL可以将除了服务端口以外的其他端口都封锁掉，降低了被攻击的机率。第49页，共85页，2023年，2月20日，星期四总结：扩展ACL功能很强大，他可以控制源IP，目的IP，源端口，目的端口等，能实现相当精细的控制，扩展ACL不仅读取IP包头的源地址/目的地址，还要读取第四层包头中的源端口和目的端口的IP。不过他存在一个缺点，那就是在没有硬件ACL加速的情况下，扩展ACL会消耗大量的路由器CPU资源。所以当使用中低档路由器时应尽量减少扩展ACL的条目数，将其简化为标准ACL或将多条扩展ACL合一是最有效的方法。第50页，共85页，2023年，2月20日，星期四基于时间的访问控制列表

基于时间的访问控制列表用途：

可能公司会遇到这样的情况，要求上班时间不能上QQ，下班可以上或者平时不能访问某网站只有到了周末可以。对于这种情况仅仅通过发布通知规定是不能彻底杜绝员工非法使用的问题的，这时基于时间的访问控制列表应运而生。第51页，共85页，2023年，2月20日，星期四基于时间的访问控制列表的格式：

基于时间的访问控制列表由两部分组成，第一部分是定义时间段，第二部分是用扩展访问控制列表定义规则。这里我们主要讲解下定义时间段，具体格式如下：

time-range

时间段名称

absolutestart[小时：分钟][日月年][end][小时：分钟][日月年]例如：time-rangesofter

absolutestart0:001may2005end12:001june2005第52页，共85页，2023年，2月20日，星期四路由器连接了二个网段，分别为/24,/24。在/24网段中有一台服务器提供FTP服务，IP地址为3。只容许网段的用户在周末访问3上的FTP资源，工作时间不能下载该FTP资源。第53页，共85页，2023年，2月20日，星期四路由器配置命令：

time-rangesofter

定义时间段名称为softer

periodicweekend00:00to23:59

定义具体时间范围，为每周周末（6，日）的0点到23点59分。当然可以使用periodicweekdays定义工作日或跟星期几定义具体的周几。

access-list101denytcpany3eqftptime-rangesofter

设置ACL，禁止在时间段softer范围内访问3的FTP服务。

access-list101permitipanyany

设置ACL，容许其他时间段和其他条件下的正常访问。

inte1

进入E1端口。

ipaccess-group101out

宣告ACL101。

基于时间的ACL比较适合于时间段的管理，通过上面的设置的用户就只能在周末访问服务器提供的FTP资源了，平时无法访问。第54页，共85页，2023年，2月20日，星期四基于名称的访问控制列表

不管是标准访问控制列表还是扩展访问控制列表都有一个弊端，那就是当设置好ACL的规则后发现其中的某条有问题，希望进行修改或删除的话只能将全部ACL信息都删除。也就是说修改一条或删除一条都会影响到整个ACL列表。用基于名称的访问控制列表来解决上述问题。第55页，共85页，2023年，2月20日，星期四基于名称的访问控制列表的格式：

ipaccess-list[standard|extended][ACL名称]

例如：ipaccess-liststandardsofter就建立了一个名为softer的标准访问控制列表。第56页，共85页，2023年，2月20日，星期四基于名称的访问控制列表的使用方法：当我们建立了一个基于名称的访问列表后就可以进入到这个ACL中进行配置了。

例如我们添加三条ACL规则

permit

permit

permit第57页，共85页，2023年，2月20日，星期四如果我们发现第二条命令应该是而不是，如果使用不是基于名称的访问控制列表的话，使用nopermit后整个ACL信息都会被删除掉。正是因为使用了基于名称的访问控制列表，我们使用nopermit后第一条和第三条指令依然存在。第58页，共85页，2023年，2月20日，星期四总结：如果设置ACL的规则比较多的话，应该使用基于名称的访问控制列表进行管理，这样可以减轻很多后期维护的工作，方便我们随时进行调整ACL规则。第59页，共85页，2023年，2月20日，星期四EIGRP协议的配置重点：EIGRP建立路由表路由汇总负载均衡配置第60页，共85页，2023年，2月20日，星期四4.6EIGRP协议的配置EIGRP：EnhancedInteriorGatewayRoutingProtocol,增强型内部网关协议Cisco公司开发，IOS9.21版中首次发布。平衡混合型路由协议：既有传统距离矢量协议的特点，又有传统的链路状态路由协议的特点，同时还支持非等成本路由上的负载均衡第61页，共85页，2023年，2月20日，星期四EIGRP特点快速收敛：使用差分更新算法(DUAL)来实现快速收敛。减少带宽占用：不做周期性的更新，只在路由的路径和度发生变化后才做部分更新，并且只发送该条路由信息改变了的更新，不发送整个路由表。第62页，共85页，2023年，2月20日，星期四支持多种网络层协议：通过使用PDM(依赖于协议的模块），支持ApplleTalk、IP、NovellNetware等协议。无缝连接数据链路层协议和拓扑结构:能有效的工作在LAN和WAN中，并且保证网络不会产生环路，支持VLSM，使用多播和单播，不使用广播，节约了带宽。使用和IGRP一样的度的算法，但是是32位长。可以做非等价路径的负载均衡。第63页，共85页，2023年，2月20日，星期四等价负载均衡：将流量均等地分布到多条度量相同地路径上，非等价负载均衡：将流量分布到不同度量的多条路径上，各条路径上分布的流量与路由代价成反比。EIGRP支持非等价的负载均衡。RIP,OSPF,IS-IS只支持等价负载均衡。第64页，共85页，2023年，2月20日，星期四EIGRP路由器的表邻居表拓扑表路由表第65页，共85页，2023年，2月20日，星期四邻居表保存了和路由器建立的邻居关系，直接相连的路由器的相关信息第66页，共85页，2023年，2月20日，星期四拓扑表包含拓扑内所有已知的路由，而不仅仅是最佳路由和备份路由，然后EIGRP从这些拓扑表中根据自己度的算法选择最佳路径，并加入到自己的路由表中。第67页，共85页，2023年，2月20日，星期四路由表根据DUAL算法运行后的拓扑建立的，根据拓扑状态选择到目的地的最佳路径建立路由表，所有路由都存储在这里。第68页，共85页，2023年，2月20日，星期四EIGRP使用的报文HELLO报文更新报文查询报文答复报文确认报文第69页，共85页，2023年，2月20日，星期四HELLO报文：用于邻居的发现和恢复的过程，使用的是组播方式发送，使用不可靠的发送方式。更新报文：用于传递路由更新信息。只在必要时候传递给需要的路由器必要的信息。单台需要用单播，多台需要用多播。第70页，共85页，2023年，2月20日，星期四查询报文：当路由器进行路由计算时发现没有可行的后继路由时，它就向邻居发送一个查询数据包，询问是否有一个到达目的地的可行后继路由器。第71页，共85页，2023年，2月20日，星期四答复报文：对查询的应答确认报文：用来确认更新、查询、答复第72页，共85页，2023年，2月20日，星期四EIGRP的可靠性RTP:（ReliableTransportProtocol)可靠传输协议负责EIGRP数据包到所有邻