文章目录
7 路由器及其配置总结
路由器
工作在网络层、最佳路径
路由器具有异构网络互联、广域网互联、隔离广播的能力
7.1 路由器工作原理
7.11 分组转发
根据路由表,将转发给下一跳的路由器、目的端口或缺省路由
缺省网关,与主机在同一个子网中的路由器端口的ip地址(当报文目标地址不在本地时,发送给缺省网关)
同理,路由器也有缺省路由(内部网络有一个主路由器,其他路由器到外网时,将数据发给该路由)
分组转发的思想:
目的IP地址,全程不变
目的MAC地址,逐跳修改
7.2 路由表
7.21 路由表的主要内容:
- 目的网络地址及其端口
- 下一跳路由器的名字
- 缺省路由的信息
路由分类:静态路由、动态路由
相关符号(了解)
C:直连路由,并没有下一跳地址,而是目的端口
S:静态路由,下一跳地址
S*:默认路由,有下一跳地址
O:OSPF协议
B:BGP协议
R:RIP协议
如果是直连,则这个字段为给出的目的端口
如果有下一跳路由,则为下一跳路由的IP地址
缺省路由的路由表项:网络地址和掩码全是0
7.22 三层交换机的路由表
O:有下一跳地址,还有目的端口
OE1:、OE2:OSPF引入的外部路由,E1外部路由类型1
OE2 202.37.140.40/289 [110/20] via 162.105.1.145,00:13:43,vlan1
[110/20]
110:管理距离,用于从路由表中给定的路由信息可信度,以小为优
20:权值或成本
管理距离
直接连接:0
静态路由:1
OSPF:110
RIP:120
权值:带宽、延迟、负载、可靠性、跳数、滴答数、花费
7.3 路由器结构
中央处理器,内存,存储器,接口
CPU:处理能力影响路由表查找事件、吞吐量、路由器的性能
内存比较
| 类型 | 功能 |
|---|---|
| ROM只读内存 | 包括开机诊断程序、引导程序和操作系统软件,不能修改其中的信息(类似于CMOS) |
| RAM随机存储器 | 中间数据,**路由表,ARP缓冲区,运行配置文件,**路由器被关闭或重启RAM都丢失,断电不保存(类似于内存) |
| NVRAM可读可写存储器 | 用来存储路由器的启动配置文件 |
| FLASH闪存 | 可读可写保存操作系统的映像文件和一些微代码,路由器断点内容仍能保存(类似于硬盘) |
接口
用途:接受接受数据,转发数据
配置接口:有控制接口console(RJ-45)和辅助接口(AUX)
AUX通过modem猫连接,实现远程拨号,远程管理
7.4 路由器的工作模式
一、用户模式
只读模式,不能进行配置和修改,只能查看
提示符router>
二、特权模式
输入enable进入特权模式
配置系统时钟,进行错误检测,查看和保存配置文件,清除闪存,不能对端口及网络协议进行配置
提示符router#
三、全局配置模式
configure terminal命令进入全局模式
修改主机名、口令密码、TFTP服务器、静态路由、访问控制列表
提示符router(config)#
四、其他模式
接口配置模式:
router(config)#interface f0/12
router(config-if)#
虚拟终端模式:
router(config)#line vty 0 15 远程登录口令需要虚拟终端模式
router(config-line)#
接口配置模式:
router(config)#router rip
router(config-router)#
退出exit
五、设置模式
出厂路由器帮助配置模式,建立第一次配置文件
六、RXBOOT模式
恢复密码
实训任务
路由器的配置方式
AUX通过远程拨号模式配置路由器
TFTP、telnet、snmp都是通过网络模式
console通过本地线路
router(config)#line vty 0 15
router(config-line)#password 7 zzz307
远程登录的具体步骤
运行串口,输入telnet 202.112.7.4
TFTP
需要一台安装TFTPserver软件的服务器
拷贝文件到TFTP server 备份
Router#write network
拷贝running-config 到 TFTP server
Router# Copy running-config tftp
拷贝booteflash到TFTP server
Router# Copy bootflash: tftp
把TFTP上的配置文件拷贝到路由器
Router# Copy tftp: running-config
路由器基本配置
1.配置主机名
Router(config)#hostname router-phy
2.配置超级用户口令
Router(config)#enable secret phy123
Router(config)#enable password 7 phy123
secret优先于password
3.配置系统时钟
Router(config)#calendar set hh:mm:ss <1-31> MONTH <1993-2035>
Router(config)#calendar set 10:24:00 22 march 2007
几个公用命令
1.退出
Router(config-if)#exit
Router(config)#exit
Router#
Router(config)# end
Router#
exit只能返回一级,end可以直接跳回第二级
2.保存配置
Router#write memory (保存到路由器NVRAM)
Router#write network tftp (保存到TFTP服务器)
3.删除配置
Router#write erase
4.网络的基本检测命令
登录其他网络设备
Router> telnet paris(或IP地址)
ping
trace
都使用ICMP协议
show
Router> show flash
Router> show clock
Router> show version
Router> show configuration
Router# show ip route 查看路由表 注意模式
Router# show ip protocols 查看当前的路由协议
路由器接口配置
1.配置接口的描述信息
Router(config)#int q6/0
Router(config-if)#description to-beijing
2.配置接口带宽
Router(config)#int POS3/0
Router(config-if)#bandwidth 2500000 默认单位kbps,2.5Gbps
3.接口ip地址
Router(config-if)#ip add 202.112.7.249 255.255.255.255
4.接口的开启与关闭
Router(config-if)#shutdown 关闭接口
Router(config-if)#no shutdown 开启接口
配置以太网接口
Router(config)#int E0
配置快速以太网接口
Router(config)#int f2/1
配置广域网
1.配置异步串行口(用于连接modem,为用户提供拨号上网服务)
Router(config)#interface a1 异步口a1,a2
Router(config-if)#ip unnumbered ethernet0 复用ip地址
Router(config-if)#Encapsulate ppp 数据链路层只支持ppp封装,不能封装成HDLC,
Router(config-if)#Async default ip address 202.112.7.129 异步口的默认网关地址
Router(config-if)#Async dynamic routing 动态路由
Router(config-if)#Async mode interactive 模式
Router(config-if)#no shutdown
Router(config-if)#Exit
2.配置同步串行口
s开头接口,主要用于DDN专线、帧中继、微信、微博等广域网连接
Router(config)#interface s1/1
Router(config-if)#bandwidth 2048 2Mdps,1024单位
Router(config-if)#Encapsulate hdlc 同时支持ppp,hdlc,默认hdlc
195.233.56.16/28分配的地址第一个是网络地址(后面全0),路由器不能使用
195.233.56.17/28路由器可以使用(最后一位是1)
配置POS接口
Router(config)# int POS3/0
Router(config-if)#Crc32 可以选择的CRC校验位是16和32
Router(config-if)#Pos framing sdh 可选帧格式SDH或SONET
Router(config-if)#Pos flag s1s0 2
sls0=00表示SONET帧数据,s1s0=10(十进制2)
sdh—》s1s0 2
sonet—》s1s0 0
loopback接口配置 本地还回口
虚拟接口,接口号0-2147483647
永远处于激活状态,子网掩码255.255.255.255
Router(config)# int loopback 0
Router(config-if)# Ip address 192.168.1.1 255.255.255.255
路由器的静态路由配置
Router(config)# ip route 目的网络地址 子网掩码 下一跳路由器的ip地址
静态默认路由
路由器在路由表中查询失败,都会使用默认路由
ip route 0.0.0.0 0.0.0.0 下一跳路由器的IP地址
动态路由协议的配置
一、RIP动态路由协议的配置
依据路由器的跳数决定最佳路径,RIP最大跳数15(大于15为不可达路径)
v1和v2,版本一不支持可变长子网掩码;v2支持VLSM,即多点广播路由更新(组播)
更新周期30s
rip的基本配置
Router(config)# router rip 启用rip
Router(config-router)#network 159.105.0.0
宣告网络(所有的直连网络,不需要子网掩码,只需要写有类地址,写网络号就可以了,不需要子网掩码)
Router(config-router)#network 212.112.7.0
这是router而不是route
rip的高级配置
配置被动接口 不对外发送更新报文,只接受更新报文 只收不发
Router(config)# router rip
Router(config-router)#passive-interface ethernet 0
配置路由过滤 只接受报文中自己感兴趣的部分
Router(config)#access-list 12 deny any 定义规则
Router(config)#router ip
Router(config-router)#distribute-list 12 in ethernet0 学习规则
管理距离 默认 rip 为 120
Router(config)#router ip
Router(config-router)#distance 50
定义邻居 相互可以更新接受报文
Router(config)#router ip
Router(config-router)#neighbor 202.112.7.2
因为在NBMA可以将广播报文过滤掉,设置邻居后,单播发送报文更新rip
这是router而不是route
二、OSPF动态路由协议的配置
OSPF的基本配置
1.使用network命令定义参与OSPF的子网地址
配置单个IP地址参与OSPF
Router(config)# router ospf 63 63为进程号
Router(config-router)# network 131.107.25.1 0.0.0.0 area 0
这是router而不是route
通告单个接口时,反掩码为0.0.0.0(通配符),area 0 为区域名
网络地址参与OSPF
Router(config-router)# network 131.107.0.0 0.0.255.255 area 0
定义参与OSPF的子网地址
Router(config-router)# area 0 range 212.37.123.0 255.255.255.0
正掩码
配置被动接口、路由过滤、配置管理距离和rip协议配置一样
配置外部路由到OSPF的参数
配置引入外部路由的花费值
Router(config-router)# redistribute metric 100
配置引入外部路由时缺省标记值
Router(config-router)# redistribute tag 10
配置引入外部路由时缺省的外部路由类型
Router(config-router)# redistribute connected metric type 1 subnets
高级实训任务
路由器的DHCP功能
动态地址分配的管理协议、cs工作模式、DHCP服务器建立和管理ip地址池
给客户机分配ip地址、子网掩码、默认网关、dns
DHCP服务器的配置
Router(config)# ip dhcp pool ttt 定义一个地址池ttt
配置ip地质处的子网地址和子网掩码
Router(dhcp-config)#network 201.23.98.0 255.255.255.0
Router(dhcp-config)#network 201.23.98.0/24
配置不用于动态分配的ip地址
排除201.23.98.2-201.23.98.10
Router(config)#ip dhcp excluded-address 201.23.98.2 201.23.98.10
排除201.23.98.2
Router(config)#ip dhcp excluded-address 201.23.98.2
配置IP地质池的缺省网关
Router(config-config)#default-router 201.23.98.1
配置ip地址池的域名系统
在DHCP Pool配置模式下
Router(config-config)#domain-name pku.edu.cn
配置IP地址池的域名服务器的ip地址
在DHCP Pool配置模式下
Router(config-config)#dns-server address 212.105.129.27 212.105.129.26
主DNS 被DNS
配置ip地址池的地址租约事件
设置租约事件为5小时 默认为8天
lease 天 小时|分钟|无限 天数不可省略
Router(config-config)#lease 0 5 0天 5小时
取消地址冲突记录日志
Router(config)#no ip dhcp conflict logging
路由器IP访问控制列表的功能及其配置
可以用来过滤流入流出的数据包
过滤规则
- 过滤原地址或目的地址
- 过滤端口号
- 过滤协议(ICMP/TCP/UDP)
访问控制列表分类
- 标准访问控制列表:检查源地址 范围1-99 扩展后1300-1999
- 扩展访问控制列表:检查源地址和目的地址,还可以检查协议及端口,范围100-199,扩展后2000-2699
配置访问控制列表
数据包依次匹配控制列表中的项目,语句匹配不上时数据包将被拒绝
ACL语句的顺序非常重要
在语句后面加permit any 表示不满足该条件的都允许通过
deny 202.204.4.2 permit any表示拒绝202.204.4.2,没有匹配上的都允许通过
any代表所有的主机
访问控制列表的参数
表号,名称
通配符掩码:子网掩码的反码
访问控制列表
配置标准访问控制列表
Router(config)#access-list access-list-number表号 permit|deny source网络地址 wildcard-mask通配符
结尾有log时,代表匹配后记录到日志
配置应用接口 telnet接口
Router(config)#line vty 0 5
Router(config)#access-class 10 in 控制远程登录进来的计算机,进入使用in
Router(config)#interface g0/1
Router(config)#ip access-group 30 in
主机在编写配置时只需要ip地址不需要通配符
子网需要ip地址加通配符
配置扩展访问控制列表
使用access-list命令
access-list 访问控制列表 permit|deny 协议 原ip地址 目的ip地址 操作符(lt,gt,eq,neq)目的端口
如果是网络,则后面要跟通配符
拒绝转发所有IP地址进出的,端口号为1434的UDP协议数据包
全局配置模式下:
Router(config)#access-list 130 deny udp any any eq 1434
Router(config)#access-list 130 permit ip any any
配置应用端口:
Router(config)#interface g0/1
Router(config-if)#ip access-group 130 in
Router(config-if)#ip access-group 130 out
封禁某一台主机
Router(config)#access-list 110 deny ip host 202.112.60.230 any log
host表明单个的主机,拒绝该地址到任何ip的信息,
Router(config)#access-list 110 deny ip host any 202.112.60.230 log
拒绝从任何地方到该ip的信息
使用ip access-list命令
ip access-list extended|standard 访问控制列表号|name
permit|deny 协议 原ip 目的ip 操作符 端口号
拒绝转发所有IP地址进出的,端口号为1434的UDP协议数据包
Router(config)#ip access-list extended 130 进入扩展服务列表配置模式
Router(config-ext-nacl)#deny udp any any eq 1434
Router(config-ext-nacl)#permit ip any any
使用名字 标准访问控制列表
Router(config-ext-nacl)#ip access-list standard test
查看控制访问列表
Router#show access-lists