企業(yè)網(wǎng)絡(luò)的構(gòu)建技術(shù)10章

1、第10章 路由器配置10.1 路由器的配置10.2 配置點(diǎn)對點(diǎn)協(xié)議(PPP)及其認(rèn)證10.3 配置靜態(tài)路由10.4 配置RIP 10.5 配置IP訪問控制列表10.6 配置網(wǎng)絡(luò)地址轉(zhuǎn)換 10.7 軟路由器的配置 10.1 路由器的配置10.1.1 路由器初始化配置在第一次使用路由器的時候，必須采用通過Console口方式對路由器進(jìn)行配置，具體操作步驟如下。(1) 將終端計(jì)算機(jī)的串口通過標(biāo)準(zhǔn)的RS-232電纜和路由器的Console口(也叫配置口)連接，如圖10-1所示。(2) 打開“開始”|“程序”|“附件”|“通信”|“超級終端”，建立連接，如圖10-2所示，輸入連接名稱后單擊“確定”按鈕。

2、 配置口 圖10-1 通過Console口方式對路由器進(jìn)行配置 圖10-2 建立超級終端連接(3) 打開“連接到”窗口，如圖10-3所示，在“連接時使用”端口選擇“com”后單擊“確定”按鈕。(4) 在“com，屬性”窗口，如圖10-3所示，單擊“還原為默認(rèn)值”按鈕，單擊“確定”按鈕，進(jìn)入“超級終端”窗口。(5) 路由器上電，啟動路由器，這時將在超級終端窗口內(nèi)顯示啟動信息，自檢結(jié)束后提示用戶按Enter鍵，直到出現(xiàn)命令行提示符“Route”。如果是路由器出廠后第一次啟動或者使用了“write erase”指令后再次啟動，則路由器自動進(jìn)入Setup智能配置，以交互式提示用戶配置路由器最初啟動所需

3、要的參數(shù)。在路由器首次上電使用時，在路由器內(nèi)部沒有任何配置，這時路由器自動進(jìn)入Setup交互式配置模式中，也可以在特權(quán)用戶模式下，隨時輸入Setup進(jìn)入交互式配置模式。這時用戶只需要簡單回答提示的問題，便可以輕松地將路由器配置完成。但是由于Setup方式只能配置有限的命令，所以建議按Ctrl+C快捷鍵中斷Setup，而采用命令行的方式進(jìn)行配置。例如：Route#setup- System Configuration Dialog.At any point you may enter a question mark ? for help.Use ctrl-C to abort configura

4、tion dialog at any prompt.Default settings are in square brackets 。Continue with configuration dialog yes：CRouter(6) 這時便可以在終端或者超級終端對路由器進(jìn)行配置，查看路由器的信息。如圖10-4所示。如果需要幫助，可以隨時輸入“?”，路由器便可以隨時提供詳細(xì)的在線幫助。圖10-3 選擇和路由器連接的串口 圖10-4 設(shè)置通信參數(shù) 10.1.2 路由器的常見命令模式在進(jìn)行路由器配置時，經(jīng)?？梢姷蕉喾N不同的命令提示狀態(tài)，其實(shí)這些不同的命令狀態(tài)對應(yīng)不同的用戶模式，也代表當(dāng)前所處的不同配

5、置位置，不同位置也代表著不同的配置權(quán)限。正確理解這些不同的命令狀態(tài)，對正確配置路由器非常重要。(1) Route用戶模式。這時用戶只具有最低的權(quán)限，可以查看路由器的當(dāng)前連接狀態(tài)，訪問其他網(wǎng)絡(luò)和主機(jī)，但不能看到和修改路由器的設(shè)置。(2) Route#特權(quán)模式。在上面介紹的Route提示下輸入“enable”命令即可進(jìn)入。這時用戶不但可以執(zhí)行所有的用戶命令，還可以看到和配置路由器的設(shè)置。輸入“disable”即返回到用戶模式。(3) Route(config)#全局配置模式。在Route#提示符下輸入“configure terminal”命令，便出現(xiàn)“router(config)#”提示符。此時

6、用戶可以設(shè)置路由器的全局參數(shù)?？奢斎搿癳nd”或“exit”返回到特權(quán)模式。(4) Route(config-if)#接口配置模式。Route(config-line)線路配置模式Route(config-router)#路由配置模式這些狀態(tài)提示都是路由器的局部設(shè)置狀態(tài)提示，處于局部設(shè)置狀態(tài)時，用戶只可以設(shè)置路由器某個局部的參數(shù)。在任何一級模式下都可以用“exit”返回到上一級模式，輸入“end”返回到特權(quán)模式。10.1.3 路由器的常用命令路由器的操作系統(tǒng)是一個功能非常強(qiáng)大的系統(tǒng)，特別是在一些高檔的路由器中，它具有相當(dāng)豐富的操作命令。正確掌握這些命令對配置路由器是最為關(guān)鍵的，因?yàn)橐话銇碚f都是

7、以命令的方式對路由器進(jìn)行配置。下面以R2624路由器為例，介紹路由器的常用操作命令。1. 幫助命令RGNOS提供了豐富的在線幫助功能，只需要輸入一個“?”，便可以得到詳細(xì)的幫助信息。為了得到有效的命令模式、指令名稱、關(guān)鍵字和指令參數(shù)等方面的幫助，可以使用如下的方法。Route#help 顯示簡短的系統(tǒng)幫助描述信息。Route#? 列出當(dāng)前命令模式下的所有的命令。Route#abbreviated-command-entry? 顯示當(dāng)前命令模式下，以指定的字符開始的所有命令。Route#abbreviated-command-entry 自動補(bǔ)齊以指定字符開始的命令。Route#command?

8、 列出這個命令開頭的所有參數(shù)或后續(xù)命令選項(xiàng)。Route為當(dāng)前命令模式下的系統(tǒng)提示符，abbreviated-command-entry為用戶輸入的簡短的命令入口。對于一些命令，可能知道這個命令是以某些字符開頭的，但是完整的命令又不知道，這時可以用RGNOS提供的模糊幫助功能，只需要輸入開頭的少量字符，同時緊挨著這些字符再輸入“?”，RGNOS便會列出以這些字符開頭的所有的指令。例如：Route#c?clear clock configure connect copy在特權(quán)用戶模式下，輸入“c?”，RGNOS便列出在特權(quán)用戶模式下的以字符“c”開頭的所有的命令。對于命令自動補(bǔ)齊功能，在上面的命令

9、行編輯功能中已經(jīng)說明，對于某些命令，不知道后面可以跟隨哪些參數(shù)，或者有哪些后續(xù)命令選項(xiàng)，RGNOS也提供了強(qiáng)大的幫助功能，只需要輸入對應(yīng)的命令，同時輸入一個空格后，再輸入“?”，RGNOS將該命令的所有后續(xù)命令，及對各個后續(xù)命令選項(xiàng)給予的簡短說明，或者參數(shù)類型列出來，并且給出各個參數(shù)的取值范圍，保證輸入指令的正確性。例如：Route#copy?Running-config Copy from current system configurationStartup-config Copy from smup configurationtftp Copy from a TFTP server以上例

10、子便是列出了后續(xù)的所有命令，并且給予簡短的說明。2. 顯示命令顯示命令就是用于顯示某些特定需要的命令，以便用戶查看某些特定設(shè)置信息。常用的顯示命令如下。show version 查看版本及引導(dǎo)信息。show running-config 查看運(yùn)行配置。show startup-config 查看用戶保存在NVRAM中的配置文件。show interface type number 查看端口信息。show ip route 查看路由信息。3. 網(wǎng)絡(luò)控制命令因?yàn)槁酚善饔袝r要進(jìn)行網(wǎng)絡(luò)管理，所以也必須具有一些網(wǎng)絡(luò)命令。常用的有關(guān)網(wǎng)絡(luò)操作和設(shè)置方面的命令如下。telnet hostname|ip add

11、ress 登錄遠(yuǎn)程主機(jī)。ping hostname|ip address 偵測網(wǎng)絡(luò)的連通性。traceroute hostname|ip address 跟蹤遠(yuǎn)程主機(jī)的路徑信息。4. 基本設(shè)置命令除了上面所說的一些特殊命令之外，更多的還是一些基本設(shè)置命令。hostname name 設(shè)置路由器名。enable secret|password password 設(shè)置特權(quán)密碼。ip routing 啟用IP路由。interface type number 端口設(shè)置。no shutdown 激活端口。ip address subnet mask 設(shè)置lP地址。line type number 設(shè)置物

12、理線路。login 啟動登錄進(jìn)程。password password 設(shè)置登錄密碼。 10.1.4 通過Telnet對路由器進(jìn)行遠(yuǎn)程管理 如果用戶對路由器已經(jīng)配置好各接口的IP地址，這時可以正常進(jìn)行網(wǎng)絡(luò)通信，并且可以通過局域網(wǎng)或者廣域網(wǎng)，使用Telnet客戶端登錄到路由器，對路由器進(jìn)行本地或者遠(yuǎn)程的配置。具體的操作步驟如下。(1) 如圖10-5所示，建立本地Telnet配置環(huán)境只需要將計(jì)算機(jī)上的網(wǎng)卡接口通過局域網(wǎng)與路由器的以太網(wǎng)接口連接。圖10-5 路由器本地Telnet配置環(huán)境(2) 在路由器上配置fastethernet0端口的IP地址。Routerenable 進(jìn)入特權(quán)模式 Router

13、#configure terminal 進(jìn)入全局配置模式Route(config)#hostname RouterA 配置路由器名稱為“RouterA”RouterA(config)#interfase fastethernet0 進(jìn)入路由器接口配置模式RouterA(config)#ip address 38 配置路由器管理接口IP地址RouterA(config)#no shutdown 開啟路由器fastethernet0接口RouterA#show ip interface fastethernet0 驗(yàn)證接口fastethenet0的

14、IP地址已經(jīng)配置和開啟Fastethernet0 is up,line protocol is upInternet address is 38/24Broadcast address is 55Address determined by setup commandMTU is 1500 bytesHelper address is not setDirected broadcast forwarding is disabledOutgoing access list is not set Inbound access list is not s

15、etProxy ARP is enabledSecurity level is defauitSplit horizon is enabledICMP redirects are always sentICMP unreachables are always sentICMP mask replies are never sentIP fast switching is enabledIP fast switching on the same interface is disabledIP multicast fast switching is enabledIP output packet

16、accounting is disabledIP access violation accounting is disabledTCPIP header compression is disabledPolicy routing is disabled或router#show ip interface brief 驗(yàn)證接口fastethernet0的IP地址已經(jīng)配置和開啟Interfaceip-addressok!method statusprotocolfastethernet038yes manual upFastethernet1unassignedyes unse

17、t administratively down Fastethernet2unassignedyes unset administratively down Fastethernet3unassignedyes unset administratively down serial 0unassignedyes unset administracively down serial lunassignedyes unset administratively down (3) 配置路由器錄密碼。RouterA(config)#line vty 0 4 進(jìn)入路由器線路配置模式RouterA(confi

18、g-line)#login 配置遠(yuǎn)程登錄RouterA(config-line)#password star 設(shè)置路由器遠(yuǎn)程登錄為“star”RouterA(config-line)#end(4) 配置路由器特權(quán)模式密碼。RouterA(config)#enable secret star 設(shè)置路由器特權(quán)模式密碼為“star”或RouterA(config)#enable password star(5) 在Windows的命令提示符下，直接輸入Telnet X.X.X.X。這里的X.X.X.X是路由器的以太口的IP地址(如果在遠(yuǎn)程Telnet 配置模式下，為路由器的廣域網(wǎng)口的IP地址)，與路

19、由器建立連接，提示輸入登錄密碼。常見的有以下錯誤提示。Password required，but none set：以Telnet方式登錄時，需要在對應(yīng)的line vty num 配置密碼，該提示是沒有配置對應(yīng)的登錄密碼的結(jié)果。%No password set：說明沒有設(shè)置控制密碼，對于非Console口登錄時，必須配置控制密碼，否則無法進(jìn)入特權(quán)用戶模式。10.1.5 命令行配置編輯功能1. 快捷鍵RGNOS提供了強(qiáng)大的命令行編輯功能，使用快捷鍵可以方便地編輯命令行。以下是一些常用的快捷鍵。Ctrl+B快捷鍵或者左方向鍵：向左移動光標(biāo)，最多可以移動到系統(tǒng)提示符。Ctrl+F快捷鍵或者右方向鍵：

20、向右移動光標(biāo)，最多可以移動到行末。Esc，B鍵：向前移動一個詞，直到系統(tǒng)提示符。鍵：向后移動一個詞，最多到行末。Ctrl+A快捷鍵：光標(biāo)直接移動到命令行的最左端。Ctrl+E快捷鍵：光標(biāo)直接移動到命令行的末端。Delete快捷鍵或者Backspace鍵：刪除光標(biāo)鍵前邊的一個字符，最多到系統(tǒng)提示符。Ctrl+D快捷鍵：刪除光標(biāo)鍵所在的一個字符。Ctrl+K快捷鍵：刪除光標(biāo)鍵右邊的所有命令行字符。Ctrl+U快捷鍵或者Ctrl+X快捷鍵：刪除光標(biāo)鍵左邊的所有命令行字符。Ctrl+W快捷鍵：向左刪除一個詞。鍵：向右刪除一個詞。2. 命令行自動補(bǔ)齊功能如果忘記了一個完整的命令，或者希望可以減少輸入的字

21、符數(shù)量，可以采用GGNOS提供的命令行自動補(bǔ)齊功能。只需要輸入少量的字符，然后按Tab鍵，或者Ctrl+I快捷鍵，由RGNOS自動補(bǔ)充完整的命令，當(dāng)然必要條件是輸入的少量字符已經(jīng)可以確定唯一的命令。比如在特權(quán)用戶層，只需要輸入conf，然后按Tab鍵或者Ctrl+I快捷鍵，則RGNOS將自動補(bǔ)齊成為完整的configure命令。Route #conf Route#configure3. 命令行錯誤提示信息RGNOS對于用戶輸入的命令、參數(shù)進(jìn)行嚴(yán)格的檢查判斷，對于錯誤的命令、不合法的參數(shù)會給出相應(yīng)的錯誤提示，方便用戶找出問題，常見的錯誤提示信息如下。%inVanlinput detected：輸

22、入的命令有錯誤，錯誤的地方在標(biāo)明的位置。%Incomplete command：命令輸入不完整。%Ambiguous command：“command”以command開頭的指令有多個，指令輸入不夠明確。10.2 配置點(diǎn)對點(diǎn)協(xié)議(PPP)及其認(rèn)證10.2 配置點(diǎn)對點(diǎn)協(xié)議(PPP)及其認(rèn)證1. 配置接口PPP封裝配置PPP首先需要在接口封裝PPP。要封裝PPP，應(yīng)在接口配置模式中執(zhí)行以下命令：Route(config-if)#encapsulation PPP 將該接口配置成PPP2. 配置PPP CHAP被驗(yàn)證方CHAP認(rèn)證一般有驗(yàn)證方和被驗(yàn)證方，CHAP的協(xié)商由驗(yàn)證方發(fā)起，被驗(yàn)證方只發(fā)送PP

23、P認(rèn)證用的用戶名和密碼。默認(rèn)情況下，被驗(yàn)證方發(fā)送自己的主機(jī)名作為PPP用戶名。要配置PPP CHAP的被驗(yàn)證方，在接口配置模式下的操作步驟如下。(1) Route (config-if)#ppp chap hostnamehostname，指定PPP CHAP驗(yàn)證的主機(jī)名。(2) Route (conng-if)#ppp chap password0|7password，指定PPPCHAP驗(yàn)證的密碼。如果知道驗(yàn)證方PPP CHAP所用的主機(jī)名，也可以執(zhí)行以下操作。(1) Route (config-if)#ppp chap hostname，指定pppchap驗(yàn)證的主機(jī)名。(2) Route

24、(config)#usemame password0|7password，為驗(yàn)證的主機(jī)名創(chuàng)建用戶數(shù)據(jù)庫記錄，兩端的密碼要保持一致。 說明：密碼的設(shè)定有明文輸入和密文輸入兩種，用0是非密文輸入，用17是密文輸入，默認(rèn)輸入方式為明文輸入。與其他廠家設(shè)備互連時，只能采用不加密方式輸入。如果要配置雙向驗(yàn)證，還要增加驗(yàn)證方的配置。3. 配置PPP CHAP驗(yàn)證方PPP CHAP驗(yàn)證方將主動挑起驗(yàn)證，由于需要驗(yàn)證對方路由器發(fā)送的用戶名和密碼的有效性，驗(yàn)證方還需要創(chuàng)建和維護(hù)一個本地用戶數(shù)據(jù)庫。要配置PPP CHAP的被驗(yàn)證方，在接口配置模式下的操作步驟如下。(1) Route(config-if)#ppp

25、authentication chppp chap，啟動PPP驗(yàn)證，并指定PPPCHAP驗(yàn)證方式。(2) Route (config-if#no PPP authentication chap，取消PPP CHAP驗(yàn)證。(3) Route (config-if)#username username password password，創(chuàng)建用戶數(shù)據(jù)庫記錄。作為驗(yàn)證方，在用戶數(shù)據(jù)庫中需要設(shè)置好各個用戶名和相應(yīng)的密碼，而用戶名即是對方路由器(被驗(yàn)證方)的PPP主機(jī)名。說明：Call in是可選的命令選項(xiàng)，設(shè)定后，只有當(dāng)對方路由器(被驗(yàn)證方)通過撥號網(wǎng)絡(luò)撥入時才挑起CHAP驗(yàn)證，對于由本路由器撥出而建

26、立的PPP連接則不挑起CHAP驗(yàn)證。因此該命令選項(xiàng)不會影響專線PPP協(xié)商過程。10.3 配置靜態(tài)路由10.3.1 配置靜態(tài)路由和默認(rèn)路由靜態(tài)路由就是手工配置的路由器，使得到指定目標(biāo)網(wǎng)絡(luò)的數(shù)據(jù)包的傳送按照預(yù)定的路徑進(jìn)行。要配置靜態(tài)路由，在全局配置模式下執(zhí)行以下命令：Router(config)#ip route network maskip-address l interface-type interface-number“distance”“tag tag”“permanent”當(dāng)一個接口屬于“down”狀態(tài)時，所有指向該接口的路由將全部從路由表中消失。另外，當(dāng)路由器找不到靜態(tài)路由下一跳地址的

27、轉(zhuǎn)發(fā)路由時，該靜態(tài)路由也會從路由表中消失。不是所有的路由器都有一張完整的全網(wǎng)路由表，為了使每臺路由器都能夠處理所有包的路由轉(zhuǎn)發(fā)，通常的做法是配置網(wǎng)絡(luò)核心路由器，使其具有完整的路由表，其余的路由器 將默認(rèn)路由器指向核心路由器。默認(rèn)路由可以通過動態(tài)路由協(xié)議進(jìn)行傳播，也可以在每臺路由器上進(jìn)行手工配置。當(dāng)路由器有默認(rèn)路由時，不管是動態(tài)路由協(xié)議學(xué)習(xí)的還是手工配置產(chǎn)生的，執(zhí)行show ip route時，路由表中的“gateway of last resort”會顯示該最后網(wǎng)關(guān)的信息。一個路由表可能會有多條網(wǎng)絡(luò)路由為候選默認(rèn)路由，但只有最好的默認(rèn)路由才能成為“gateway of last resort”

28、。 10.3.2 配置靜態(tài)路由實(shí)例1. 目的掌握通過靜態(tài)路由方式實(shí)現(xiàn)網(wǎng)絡(luò)的連通性。2. 環(huán)境如圖10-6所示。圖10-6 靜態(tài)路由配置實(shí)訓(xùn)環(huán)境3. 內(nèi)容校園網(wǎng)通過一臺路由器連接到校園外的另一臺路由器上，先要在路由器上做配置，實(shí)現(xiàn)校園網(wǎng)內(nèi)部主機(jī)與校園網(wǎng)外部主機(jī)的相互通信。4. 實(shí)訓(xùn)操作步驟(1) 在路由器Routerl上配置接口的IP地址和串口上的時鐘頻率。Routerl(config)#interface fastethernet 0 進(jìn)入接口f0的配置模式Routerl(config-if)#ip address 配置路由器接口f0的IP地址R

29、outerl(config)#no shutdown 開啟路由器fastethernet0接口Router1(config)#interface serial 0 進(jìn)入接口s0配置模式Router1(config-if)#ip address 配置路由器接口s0的IP地址Router1(config-if)#clock rate 64000 配置Routerl的時鐘頻率(DCE)Routerl(config)#no shutdown 開啟路由器fastethernet0接口驗(yàn)證測試：驗(yàn)證路由器接口的配置。Router1#show ip inte

30、rface briefInterface IP-AddressOK?Method Status ProtocolFastEthernet0YES manual upSerial0YES manual downSerial1unassignedYES unset administrativel downRouterl#show interface serial 0Serial0 is down，line protocol is downHardware is HDLC4530AInternet address iS l 72.1 6.2.124MTU 1

31、500 bytes，BW 2048 Kbit，DLY 20000 usec，rely 255/255。load 1/255Encapsulation HDLC，loopback not set，keepalive set(10 sec)Last input neveoutput neveoutput hang neverInput queue：0/75/0(size/max/drops)；Total output drops：0Queueing strategy：weighted fairOutput queue：0/64/0(size/threshold/drops)Conversation

32、s 0/0(active/max active)Reserved Conversations 0/0(allocated/max allocated)5 minute input rate 0 bits/sec，0 packets/sec5 minute output rate 0 bits/see，0 packets/see0packetsinput，0bytes，0 nobufferReceived 0 broadcasts0 input errors，0 CRC，0 frame，0 overrun，0 ignored，0 abort0 packets output，0 bytes，0 u

33、nderruns0 output errors，0 collisions，8 interface resets0 output errors，0 collisions，8 interface resets0 outputbufferfailures，0 outputbuffers swappedout0 carrier transitionsDCD=down DSR=down DTR-lown RTS-down CTS=down(2) 在路由器Routerl上配置靜態(tài)路由。Routerl(config)#ip route 或

34、Routerl(config)#ip route serial 0驗(yàn)證測試：驗(yàn)證Routerl上的靜態(tài)路由配置。RouterI#show ip routeCodes：C-connected，S-static，R-RIPO-OSPF,IA-OSPF inder areaE1.OSPF external type i，E2OSPF external type 2Gateway of last resort is not set /24 is subneted，1 subnetsC is directly co

35、nnected，F(xiàn)astethernet0C is directly connected，Serial 0S/24 1101 via (3) 在路由器Router2上配置接口的IP地址和串口上的時鐘頻率。Router2(config)#interface fastethernet 0 進(jìn)入接口f0的配置模式Router2(config-if)#ip address 配置路由器接口f0的IP地址Router2(config)#no shutdown 開啟路由器fastethernet0接

36、口Router2(config)#interface serial 0 進(jìn)入接口s0配置模式Router2(config-if)#ip address 配置路由器接口s0的IP地址Router2(config)#no shutdown 開啟路由器fastethernet0接口驗(yàn)證測試：驗(yàn)證路由器接口的配置。Router2#show ip interface briefInterface IPAddress OK?Method Status ProtocolFastEthernet0 YES manual up Serial

37、0 YES manual up Serial 1unassigned YES unset administratively down Router2#show interface serial 0Serial0 is up，line protocol is upHardware is HDLC4530AInternet address iS l/24MTU 1500 bytes，BW 2048 Kbit，DLY 20000 usec，rely 255/255，load 1/255Encapsulation HDLC，loopback not set，kee

38、palive set(10 sec)Last input neve“output neve”output hang neverLast clearing of“show interface”counters neverInput queue：0/75/0(size/max/drops)；Total output drops：0Queueing strategy：weighted fairOutput queue：0/64/0(size/threshold/drops) Conversations 0/0(active/max active) Reserved Conversations 0/0

39、(allocated/max allocated)5 minute input rate 0 bits/sec，0 packets/sec5 minute output rate 0 bits/sec，0 packets/sec 0packetsinput，0bytes，0110 bufferReceived 0 broadcasts 0 input errors，0 CRC，0 frame，0 overrun，0 ignored，0 about 0 packetsoutput，0 bytes，0 underruns 0 output errors，0 collisions，8 interfa

40、ce resets 0 output buffer failures，0 output buffers swapped out 0 carrier transitions DCD=up DSR=up DTR=up RTS=up CTS=up(4) 在路由器Router2上配置靜態(tài)路由。Router2(config)#ip route 或：Router2(config)#ip route serial 0驗(yàn)證測試：驗(yàn)證Router2上的靜態(tài)路由配置。Router2#show i

41、p routeCodes：C-connected，S-static，R-RIP O-OSPF, IA-OSPF inter area El-OSPF external type 1，E2-OSPF external type 2Gateway of last resort is not setl/24 is subnetted subnetsC172 l6.3.0 is directly connected, Fastethemet0C is directly connected, Serial0S/24 via (

42、5) 測試網(wǎng)絡(luò)的互連互通性。C：ping 2 !從PCI ping PC2Pinging 2 with 32 bytes of data：Reply from 2：bytes=32 time10ms TTL=i26Reply from 2：bytes=32 time10ms TTL=i26Reply from 2：bytes=32 time10ms TTL=i26Reply from 2：bytes=32 timeping 1 !從PC2 ping PCI

43、Pinging 1 with 32 bytes of data：Reply from 1：bytes=32time10ms TTL=i26Reply from 1：bytes=32time10ms TTL=i26Reply from 1：bytes=32 time10ms TTL=i26Reply from 1：bytes=32timeping 2 從PC1 Ping PC2，如圖10-8所示。C：ping 1 從PC2 Ping PC1，如圖10-9所

44、示。圖10-8 從PC1 Ping PC2 圖10-9 從PC2 Ping PC1 5. 小結(jié) (1) 在串口上配置時鐘頻率時，一定要在電纜DCE端的路由器上配置，否則鏈路不通。(2) 定義關(guān)聯(lián)網(wǎng)絡(luò)時，命令netWork后面必須是與該路由器直連的主類網(wǎng)絡(luò)地址。10.5 配置IP訪問控制列表10.5.1 配置訪問控制列表訪問控制列表(Access Control List，ACL)，最直接的功能便是包過濾。通過ACL可以在路由器、三層交換機(jī)上進(jìn)行網(wǎng)絡(luò)安全屬性配置，可以實(shí)現(xiàn)對進(jìn)入到路由器、三層交換機(jī)的輸入數(shù)據(jù)流進(jìn)行過濾。圖10-10所示為ACL的工作過程。認(rèn)證輸入數(shù)據(jù)流的定義可以基于網(wǎng)絡(luò)地址、TC

45、P/UDP的應(yīng)用等。可以選擇對于符合過濾標(biāo)準(zhǔn)的流是丟棄還是轉(zhuǎn)發(fā)，因此必須了解網(wǎng)絡(luò)是如何設(shè)計(jì)的，以及路由器接口是如何在過濾設(shè)備上使用的。要通過ACL配置網(wǎng)絡(luò)安全屬性，只有通過命令來完成配置，而無法通過SNMP來完成這些設(shè)置。圖10-10 ACL工作過程10.5.2 ACL的類型ACL的類型主要分為IP標(biāo)準(zhǔn)訪問控制列表(Standard IP ACL)和IP擴(kuò)展訪問控制列表：(Extended IP ACL)。主要的動作為允許(Permit) 和禁止(Deny)；主要的應(yīng)用方法分為入棧(In)應(yīng)用和出棧(Out)應(yīng)用。1. 編號的訪問控制列表在路由器上可配置編號的訪問控制列表，具體如下。(1) I

46、P標(biāo)準(zhǔn)訪問控制列表所有的訪問控制列表都是在全局配置模式下生成的。IP標(biāo)準(zhǔn)訪問控制列表(如圖10-11所示)的格式如下：Access-list listnumberpermit|deny address wildcard-mask其中，listnumber是規(guī)則序號，IP標(biāo)準(zhǔn)訪問控制列表的規(guī)則序號范圍是l99。Permit和deny表示允許或禁止?jié)M足該規(guī)則的數(shù)據(jù)包通過；Address是源地址IP；wildcard-mask是源地址IP的通配比較位，也稱反掩碼。 I P T C P /U D P 數(shù) 據(jù) 源 地 址 圖10-11 IP標(biāo)準(zhǔn)訪問控制列表 例如：(config)#access.list

47、 1 permit 55(config)#access-list 1 deny 55(2) IP擴(kuò)展訪問控制列表IP擴(kuò)展訪問控制列表(如圖10-12)都也是在全局配置模式下生成的，其格式如下：Access-list listnumber permit| denyprotocolsource source-wildcard-mask destination-wildcard-maskoperator operand其中，IP擴(kuò)展訪問控制列表的規(guī)則序號范圍是100199；protocol是指定的協(xié)議，如IP、TCP和

48、UDP等；destination是目的地址；destination-wildcard-mask是目的地址的反掩碼；operator和operand用于指定端口范圍，默認(rèn)為全部端口號065535，只有TCP和UDP需要指定的端口范圍。IP擴(kuò)展訪問控制列表支持的操作符及其語法如表10-1所示。圖10-12 IP擴(kuò)展訪問控制列表 表10-1 IP擴(kuò)展訪問控制列表支持的操作符及其語法操作符及其語法意 義eq portnumber等于端口號 portnumbergt portnumber大于斷口號portnumberIt portnumber小于斷口號portnumberneq portnumber不等

49、于端口號portnumberrange portnumberI portnumber2介于端口號 portnumberI和portnumber2之間2. ACL命令中的反掩碼反掩碼(如圖10-13)與子網(wǎng)掩碼算法相似但寫法不同，區(qū)別是：在反掩碼中，0表示需要比較，表示不需要比較。對于55，只比較前24位；55只比較前22位；55只比較前8位。3. 入棧(In)應(yīng)用和出棧(Out)應(yīng)用入棧和出棧應(yīng)用是相對于設(shè)備的某一端口而言，當(dāng)要對從設(shè)備外的數(shù)據(jù)經(jīng)端口流入設(shè)備時做訪問控制，就是入棧(In)應(yīng)用；當(dāng)要對從設(shè)備內(nèi)的數(shù)據(jù)經(jīng)端口流出設(shè)備時做訪問控制，就是

50、出棧(Out)應(yīng)用。圖10-13 反掩碼10.5.3 配置命名的訪問控制列表在三層交換機(jī)上配置命名的ACL，可以采用創(chuàng)建ACL、接口上應(yīng)用ACL和查看ACL這3個步驟進(jìn)行。1. 創(chuàng)建Standard IP ACL在特權(quán)配置模式下，可以通過如下步驟來創(chuàng)建一個Standard IP ACL。(1) configure terminal，進(jìn)入全局配置模式。(2) ip access-list standardname，用數(shù)字或名字來定義一條Standard IP ACL并進(jìn)入access-list配置模式。(3) denysource source-wildcardlhost sourcelany或

51、permitsource source-wildcardlhost sourcelany，在access-list配置模式，申明一個或多個允許通過(Permit)或丟棄(Deny)的條件用于決定報(bào)文是轉(zhuǎn)發(fā)還是丟棄。host source代表一臺源主機(jī)，其source-wildcard 為0.0. 0.0； any代表任意主機(jī)，即source為，source-wild為55。下例顯示如何創(chuàng)建一個IP Standard Access-list，該ACL名為deny-host 192.168.12.x。有兩條ACE(訪問控制條目)，一條ACE拒絕來自192.1

52、68.12.0網(wǎng)段的任一主機(jī)，另一條ACE接受其他任意主機(jī)。Route(config)#ip access-list standard deny-host l92.168.12.xRoute(config.std-nacl)#deny 55Route(config-std-nacl)#permit anyRoute(config-std-nacl)#endRoute#show access-list2. 創(chuàng)建Extended IP ACL在特權(quán)配置模式下，創(chuàng)建一個Extended IP ACL的操作步驟如下。(1) configure terminal，

53、進(jìn)入全局配置模式。(2) ip access.1ist extendedname，用數(shù)字或名字來定義一條Extended IP ACL并進(jìn)入access-list配置模式。(3) denysource source-wildcardlhost sourcelany permitsource source-wildcardlhost sourcelany。如果操作符在source source-wildcard之后，則報(bào)文的源端口匹配指定值時條件生效。如果操作符在destination destination.wildcard之后，則報(bào)文的目的端口匹配指定值時條件生效。Port為十進(jìn)制值，它代表

54、TCP或UDP的端口號，值范圍為065535。protocol可以取值如下。tcp：指明為TCP數(shù)據(jù)流。udp：指明為UDP數(shù)據(jù)流。ip：指明為任意IP數(shù)據(jù)流。下例顯示如何創(chuàng)建一條Extended IP ACL，該ACL有一條ACE，用于允許指定網(wǎng)絡(luò)。 192.168. x.x的所有主機(jī)以HTTP訪問服務(wù)器，但拒絕其他所有主機(jī)使用。 Route(config)#ip access-list extended allow Route(config-std-nacl)#permit tcp 55 host 1

55、 eq wwwRoute(configstd-nacl)#endRoute#show access-1ist3. 將命名IP ACL應(yīng)用到指定接口上在特權(quán)模式下，將IP ACL應(yīng)用到指定接口上的操作步驟如下。(1) configure terminal，進(jìn)入全局配置模式。(2) interface interface id，指定一個接口并進(jìn)入接口配置模式。(3) ip access groupnamein/out，將指定的ACL應(yīng)用于該接口上，使其對輸入或輸出該接口的數(shù)據(jù)流進(jìn)行接入控制。下例顯示如何將access-list deny-unknow-device應(yīng)用于VLA

56、N接口2上。Route(config)#interface vlan 2Route(config-if)#ip access group deny unknow device in10.5.4 顯示ACLS配置可以通過以下命令來顯示ACL配置。show access-listsname 顯示所有配置或指定名字的ACL。show ip access-listsname顯示IP ACL。show ip access groupinterface interface-id 顯示指定接口上的IP ACL配置。show running-config 顯示所有配置。下例顯示名字為ip-act的Standa

57、rd IP access-lists的內(nèi)容。Router#show ip access-lists ip-actStandard ip access list ip-actPermit host Permit host 下例顯示名字為ipextact的Extended IP access list的內(nèi)容。Router#show ip access-lists ipextactExtended ip access list ipextactpermit tcp host eq w

58、wwpermit tcp host eq www下例顯示所有IP access-lists的內(nèi)容。Route#show ip access-listsStandard ip access list ip actPermit host Permit host Extended ip access list ip-ext-actpermit tcp 55 host eq wwwpermit tcp 192.167.0

59、.0 55 host 192.168.I.1 eq www下例顯示所有access-lists的內(nèi)容。Router#show access-listsStandard ip access list ip_act 276Permit host Permit host Extended ip access list ip _ext_ actpermit tcp 55 host eq wwwpermit tcp 55 host 1

60、 eq wwwExtended MAC access list MACext deny host 0 x00dOF8000000 any aarp permit any any10.6 配置網(wǎng)絡(luò)地址轉(zhuǎn)換 10.6.1 配置內(nèi)部源地址NAT 要配置靜態(tài)NAT，在全局配置模式下其操作步驟如下。(1) Route(config)#ip nat inside source static local address global address，定義內(nèi)部源地址靜態(tài)轉(zhuǎn)換關(guān)系。(2) Route(config)#interface interface-type interface num