網(wǎng)絡(luò)工程師培訓(xùn)第2部分(完整版)_第1頁
網(wǎng)絡(luò)工程師培訓(xùn)第2部分(完整版)_第2頁
網(wǎng)絡(luò)工程師培訓(xùn)第2部分(完整版)_第3頁
網(wǎng)絡(luò)工程師培訓(xùn)第2部分(完整版)_第4頁
網(wǎng)絡(luò)工程師培訓(xùn)第2部分(完整版)_第5頁
已閱讀5頁,還剩102頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)

文檔簡介

認(rèn)識路由器設(shè)備路由器前面板上具有兩個百兆以太網(wǎng)端口及其對應(yīng)的指示燈路由器通常具有較少的物理鏈路端口(但大型ISP使用具有上百個端口的路由器也是常見的)如果用兩根RJ-45雙絞線分別將該路由器的兩個以太端口與兩臺交換機相連,就可以將位于兩個不同子網(wǎng)的計算機互聯(lián)起來1RJ-45以太網(wǎng)端口RJ-45以太網(wǎng)端口對應(yīng)的指示燈背面通常是一個控制臺(Console)配置端口、電源插口和散熱風(fēng)扇口和若干廣域網(wǎng)模塊的插槽路由器的作用1.網(wǎng)絡(luò)的互聯(lián)路由器可以真正實現(xiàn)網(wǎng)絡(luò)(廣播域)互聯(lián),它不僅可以實現(xiàn)不同類型局域網(wǎng)的互聯(lián),而且可以實現(xiàn)局域網(wǎng)與廣域網(wǎng)的互聯(lián)以及廣域網(wǎng)間的互聯(lián)。在多網(wǎng)絡(luò)互聯(lián)環(huán)境中,路由器只接受源站或其他路由器的信息,不關(guān)心各網(wǎng)段使用的硬件設(shè)備,但要求運行與網(wǎng)絡(luò)層協(xié)議相一致的軟件。2.路徑選擇路由器的主要工作是為經(jīng)過它的每個數(shù)據(jù)包尋找一條最佳傳輸路徑,并將該數(shù)據(jù)有效地傳送到目的站點。3.轉(zhuǎn)發(fā)驗證路由器具有包過濾和訪問列表功能,可以限制在某些方向上數(shù)據(jù)包的轉(zhuǎn)發(fā),從而提供了一種安全措施。這有助于防止一些安全隱患,如防止外部的主機偽裝作內(nèi)部主機通過路由器建立對話。4.拆包/打包路由器在轉(zhuǎn)發(fā)數(shù)據(jù)包的過程中,為了便于在網(wǎng)絡(luò)間傳送數(shù)據(jù)包,可按照預(yù)定的規(guī)則把大的數(shù)據(jù)包分解成適當(dāng)大小的數(shù)據(jù)包,到達(dá)目的地后再把分解的數(shù)據(jù)包封裝成原有形式。5.網(wǎng)絡(luò)隔離路由器可以根據(jù)網(wǎng)絡(luò)標(biāo)識、數(shù)據(jù)類型等來監(jiān)控、攔截和過濾信息,因此路由器具有更強的網(wǎng)絡(luò)隔離能力。這種隔離能力不僅可以避免廣播風(fēng)暴,而且有利于提高網(wǎng)絡(luò)的安全性,克服了交換機作為互聯(lián)設(shè)備的最大缺點。目前許多網(wǎng)絡(luò)安全管理工作是在路由器上實現(xiàn)的,如在路由器上實現(xiàn)的防火墻技術(shù)。6.流量控制路由器有很強的流量控制能力,可以采用優(yōu)化的路由算法來均衡網(wǎng)絡(luò)負(fù)載,從而有效地控制擁塞,避免因擁塞而使網(wǎng)絡(luò)性能下降。路由器的分類按功能分類:分為通用路由器和專用路由器。按結(jié)構(gòu)分類:分為模塊化和固定配置兩類。3.按在網(wǎng)絡(luò)中所處的位置分類按在網(wǎng)絡(luò)中所處的位置,可以把路由器分為以下類型。接入路由器:也稱寬帶路由器,是指處于分支機構(gòu)處的路由器,用于連接家庭或ISP內(nèi)的小型企業(yè)客戶。企業(yè)級路由器:處于用戶的網(wǎng)絡(luò)中心位置,對外接入公共網(wǎng)絡(luò),對下連接各分支機構(gòu)。該類路由器能夠提供大量的端口且支持QoS,能有效地支持廣播和組播,支持IP、IPX等多種協(xié)議,還支持防火墻、包過濾、VLAN以及大量的管理和安全策略。電信骨干路由器:一般常見于城域網(wǎng)中,承擔(dān)大吞吐量的網(wǎng)絡(luò)服務(wù)。骨干路由器必須保證其速度和可靠性,都支持熱備份、雙電源、雙數(shù)據(jù)通路等技術(shù)。路由器的技術(shù)指標(biāo)(1)支持的路由協(xié)議路由器是用來連接不同網(wǎng)絡(luò)的,所連接的網(wǎng)絡(luò)可能采用的是不同的通信協(xié)議。一般說來路由器支持的路由協(xié)議越多,其通用性越強。(2)吞吐量吞吐量是指路由器的包轉(zhuǎn)發(fā)能力。路由器的吞吐量涉及兩個方面的內(nèi)容:端口吞吐量與整機吞吐量。端口吞吐量是指路由器的具體一個端口的數(shù)據(jù)包轉(zhuǎn)發(fā)能力,而整機吞吐量是指路由器整機的數(shù)據(jù)包轉(zhuǎn)發(fā)能力。(3)背板能力背板是路由器輸入端與輸出端之間的物理通道。傳統(tǒng)路由器采用的是共享背板的結(jié)構(gòu),高性能路由器一般采用可交換式背板的設(shè)計。背板能力能夠體現(xiàn)在路由器的吞吐量上。需要注意的是,背板能力一般只能在設(shè)計中體現(xiàn),無法測試。(4)丟包率丟包率是指在穩(wěn)定的持續(xù)負(fù)荷情況下,由于路由器轉(zhuǎn)發(fā)數(shù)據(jù)包能力的限制而造成包丟失的概率。丟包率是衡量路由器超負(fù)荷工作時的重要性能指標(biāo)。(5)路由表容量路由器通常依靠所建立及維護的路由表來決定數(shù)據(jù)包的轉(zhuǎn)發(fā)。路由表容量是指路由表內(nèi)所容納路由表項數(shù)量的極限,其與路由器自身所帶的緩存大小有關(guān)。(6)時延與時延抖動時延是指數(shù)據(jù)包的第一個比特進入路由器到最后一個比特從路由器輸出所經(jīng)歷的時間間隔,即路由器轉(zhuǎn)發(fā)數(shù)據(jù)包的處理時間。時延與吞吐量、背板能力等指標(biāo)密切相關(guān)。時延抖動是指時延的變化量。由于數(shù)據(jù)業(yè)務(wù)對時延抖動要求不高,因此通??刹话哑渥鳛楹饬柯酚善餍阅艿闹饕笜?biāo),但語音、視頻業(yè)務(wù)對該指標(biāo)要求較高。(7)網(wǎng)絡(luò)管理能力大中型企業(yè)網(wǎng)絡(luò)的維護和管理負(fù)擔(dān)越來越重,因此與交換機相比,路由器對標(biāo)準(zhǔn)網(wǎng)絡(luò)管理系統(tǒng)的支持能力尤為重要。在選擇路由器時,必須關(guān)注其對網(wǎng)絡(luò)管理相關(guān)協(xié)議的支持及其管理的精細(xì)程度。(8)可靠性作為企業(yè)網(wǎng)絡(luò)的核心設(shè)備,在選擇路由器時必須保證其可靠性。路由器的可靠性主要體現(xiàn)在其冗余功能(包括接口冗余、插卡冗余、電源冗余、系統(tǒng)板冗余等)、熱插拔組件、無故障工作時間、故障恢復(fù)時間等方面。選擇路由器時需考慮的因素實際需求:一方面必須滿足使用需要,另一方面不要盲目追求品牌、新功能??蓴U展性:要考慮到近期(2~5年)的網(wǎng)絡(luò)擴展,留有一定的擴展余地。性能因素:高性能路由器應(yīng)包括靜態(tài)路由、動態(tài)路由、控制數(shù)據(jù)流向的策略路由、負(fù)載均衡以及雙協(xié)議棧等功能。在價格限定下,應(yīng)重點考察路由器的包轉(zhuǎn)發(fā)能力。價格因素:在滿足實際使用需求下,可選用價格低一些的產(chǎn)品,以降低費用服務(wù)支持:路由器的售前、售后支持和服務(wù)是非常重要的。必須要選擇能絕對保證服務(wù)質(zhì)量的品牌產(chǎn)品。品牌因素:盡可能選擇在國內(nèi)或國際網(wǎng)絡(luò)建設(shè)中占有一定市場份額的主流產(chǎn)品。路由器不是即插即用的網(wǎng)絡(luò)設(shè)備為支持選路,路由器需要由人工配置相關(guān)的信息,這些信息與子網(wǎng)環(huán)境相關(guān),如左側(cè)以太端口應(yīng)當(dāng)配置一個在左側(cè)網(wǎng)絡(luò)中合法的IP地址,而右側(cè)以太端口應(yīng)當(dāng)配置一個在右側(cè)網(wǎng)絡(luò)中合法的IP地址路由器的強大選路功能體現(xiàn)在,只需配置了相鄰子網(wǎng)的端口IP地址,再配置選路協(xié)議后,這些互聯(lián)的路由器就能夠自行學(xué)習(xí)到到達(dá)全網(wǎng)的各個子網(wǎng)的路由信息9用路由器連接兩個不同的子網(wǎng)10配置路由器的方式11路由器首次加電時的配置由于其內(nèi)部沒有任何配置信息,路由器會自動進入setup配置模式中(也可以在特權(quán)用戶模式下,隨時鍵入setup進入交互式配置模式)用戶只需回答IOS不斷提出的問題,便可輕松地完成路由器的初步配置Setup配置模式只能配置有限的功能,也可以按Ctrl+C組合鍵中斷Setup配置方式,轉(zhuǎn)而采用命令行模式配置路由器12路由器命令模式有3種具有不同配置權(quán)限的配置模式用戶模式“Router>”只有最低訪問權(quán)限,可查看路由器的當(dāng)前連接狀態(tài),訪問其他網(wǎng)絡(luò)和主機,但不能看和轉(zhuǎn)發(fā)路由器的設(shè)置內(nèi)容特權(quán)模式“Router#”輸入“enable”命令即進入特權(quán)模式,查看路由器配置和測試路由器,若輸入“exit”或“end”命令可返回用戶模式全局配置模式“Router(config)#”輸入“configureterminal”命令,可配置路由器的全局參數(shù)131利用命令行模式建立基本配置Router>enable

//進入特權(quán)模式Router#configureterminal

//進入全局配置模式Router(config)#hostnameR2811

//設(shè)置主機名為R2811R2811(config)#enablesecretabcdef

//設(shè)置特權(quán)模式口令為abcdefR2811(config)#lineconsole0

//選擇配置Console線路R2811(config-line)#passwordcon123456

//設(shè)置Console線路口令為con123456R2811(config-line)#login

//打開登錄口令檢查R2811(config)#linevty015

//選擇配置vty0~15R2811(config-line)#passwordtel23456

//設(shè)置口令為tel123456R2811(config-line)#login

//打開登錄口令檢查R2811(config-line)#endR2811#showversion

//顯示路由器的硬件和軟件基本信息R2811#showrunning-config//顯示正在RAM中運行的配置文件R2811#copyrunning-configstartup-config

//將當(dāng)前運行配置保存到啟動配置中2配置路由器端口1.查看可用的端口類型和編號由于路由器的端口類型繁多,因此在配置端口前,首先應(yīng)確定路由器有哪些端口類型和端口號可用。在全局配置模式下,可以使用“interface?”幫助方式查看本路由器支持的端口類型。如果要確定路由器使用了哪些端口號,可以在特權(quán)模式下,使用“showipinterfacebrief”命令。另外也可以使用“showrunning-config”命令,通過查看配置文件中的接口信息,來確定路由器的端口名稱和編號。2.配置路由器以太網(wǎng)端口(1)以太網(wǎng)端口基本配置通常對路由器的以太網(wǎng)端口可進行如下配置:R2811(config)#interfaceFastEthernet0/0R2811(config-if)#ipaddress//配置FastEthernet0/0端口的IP地址為,子網(wǎng)掩碼為R2811(config-if)#noshutdown//啟動端口,默認(rèn)情況下Cisco路由器的端口是禁用的R2811(config-if)#duplexfull//將該端口設(shè)置為全雙工模式,默認(rèn)為autoR2811(config-if)#speed100//將該端口的傳輸速度設(shè)置為100Mb/s,默認(rèn)為auto練習(xí)在如圖所示的網(wǎng)絡(luò)中,一臺Cisco2811路由器將兩個由Cisco2960交換機組建的星型結(jié)構(gòu)網(wǎng)絡(luò)通過以太網(wǎng)端口連接起來。如果要實現(xiàn)網(wǎng)絡(luò)的連通,則配置過程為:

為各計算機分配IP地址因為路由器的每一個端口連接的是一個廣播域,因此連接在路由器同一端口的計算機的IP地址應(yīng)具有相同的網(wǎng)絡(luò)標(biāo)識,連接在路由器不同端口的計算機應(yīng)具有不同的網(wǎng)絡(luò)標(biāo)識??梢园裀C1和PC2的IP地址分別設(shè)為和,PC3和PC4的IP地址分別設(shè)為和,子網(wǎng)掩碼均為。此時連接在路由器不同端口的計算機是不能通信的。配置Cisco2811路由器,配置過程為:R2811(config)#interfacefa0/0

R2811(config-if)#ipaddressR2811(config-if)#noshutdownR2811(config-if)#interfacefa0/1

R2811(config-if)#ipaddressR2811(config-if)#noshutdown

為各計算機設(shè)置默認(rèn)網(wǎng)關(guān)路由器端口的IP地址是其對應(yīng)廣播域的默認(rèn)網(wǎng)關(guān),因此PC1和PC2的默認(rèn)網(wǎng)關(guān)應(yīng)設(shè)為,PC3和PC4的默認(rèn)網(wǎng)關(guān)應(yīng)設(shè)為,此時連接在路由器不同端口的計算機就可以相互通信了

3.配置路由器串行端口

在廣域網(wǎng)串行通信中,運營商提供的設(shè)備一般稱為DCE(DataCircuitEquipment,數(shù)據(jù)電路設(shè)備),用戶端的設(shè)備稱為DTE(DataTerminalEquipment,數(shù)據(jù)終端設(shè)備),DTE和DCE通過廣域網(wǎng)串行線纜進行連接。因此配置串行端口通常應(yīng)考慮其在廣域網(wǎng)互聯(lián)和實驗室背靠背連接時的位置,串行端口的配置可以分為DCE端配置和DTE端配置。(1)查看串行端口的工作模式在配置串行端口之前,必須確定串行端口的工作模式,即該端口是DCE端口還是DTE端口??梢栽谔貦?quán)模式下使用“showcontrollers”命令查看串行端口的工作模式,其運行過程如圖所示。(2)配置端口IP地址若要為路由器的Serial0/0/0端口設(shè)置IP地址為,子網(wǎng)掩碼為52,則配置命令為:R2811(config)#interfaceSerial0/0/0R2811(config-if)#ipaddress52R2811(config-if)#noshutdown(3)配置端口時鐘速率在DCE端必須配置端口時鐘速率,若要將路由器Serial0/0/0端口的時鐘速率設(shè)置為2Mb/s,則配置命令為:R2811(config-if)#clockrate2000000//設(shè)置端口的時鐘速率為2Mb/s(4)配置端口帶寬若要將路由器Serial0/0/0端口的帶寬設(shè)置為2000kb(千比特),則配置命令為:R2811(config-if)#bandwidth2000//設(shè)置端口的帶寬為2000kb【注意】若不進行配置,系統(tǒng)將采用端口的默認(rèn)帶寬。練習(xí)在圖所示的網(wǎng)絡(luò)中,兩臺Cisco2811路由器RTA和RTB利用背靠背連接的V.35線纜進行連接,現(xiàn)要求為路由器RTA的Serial0/0/0端口配置IP地址/30,帶寬為2000kb,時鐘速率為2Mb/s,并啟動該端口。將路由器RTB的Serial0/0/0端口配置IP地址/30,帶寬為2000kb,并啟動該端口。在路由器RTA的配置過程為:RTA(config)#interfaceSerial0/0/0RTA(config-if)#ipaddress52RTA(config-if)#clockrate2000000RTA(config-if)#bandwidth2000RTA(config-if)#noshutdownRTA(config-if)#endRTA#showinterfaceSerial0/0/0在路由器RTB的配置過程為:RTB(config)#interfaceSerial0/0/0RTB(config-if)#ipaddress52RTB(config-if)#bandwidth2000RTB(config-if)#noshutdownRTB(config-if)#endRTB#showinterfaceSerial0/0/025要點熟悉并初步配置路由器配置路由器的選路功能配置廣域網(wǎng)接口配置軟路由器的方法網(wǎng)絡(luò)工程案例教學(xué)路由表路由表由多個路由表項組成,路由表中的每一項都被看作是一條路由,路由表項可以分為以下幾種類型:網(wǎng)絡(luò)路由:提供到IP網(wǎng)絡(luò)中特定網(wǎng)絡(luò)(特定網(wǎng)絡(luò)標(biāo)識)的路由。主機路由:提供到特定IP地址(包括網(wǎng)絡(luò)標(biāo)識和主機標(biāo)識)的路由,通常用于將自定義路由創(chuàng)建到特定主機以控制或優(yōu)化網(wǎng)絡(luò)通信。默認(rèn)路由:如果在路由表中沒有找到其他路由,則使用默認(rèn)路由。路由表中的每個路由表項主要由以下信息字段組成:目的地址:目標(biāo)網(wǎng)絡(luò)的網(wǎng)絡(luò)標(biāo)識或目的主機的IP地址。網(wǎng)絡(luò)掩碼:與目的地址相對應(yīng)的網(wǎng)絡(luò)掩碼。下一跳IP地址:數(shù)據(jù)包轉(zhuǎn)發(fā)的地址,即數(shù)據(jù)包應(yīng)傳送的下一個路由器的IP地址。對于主機或路由器直接連接的網(wǎng)絡(luò),該字段可能是本主機或路由器連接到該網(wǎng)絡(luò)的端口地址。轉(zhuǎn)發(fā)接口:將數(shù)據(jù)包轉(zhuǎn)發(fā)到目的地址時所使用的路由器端口,該字段可以是一個端口號或其他類型的邏輯標(biāo)識符?!咀⒁狻坎煌O(shè)備路由表中的信息字段并不相同。在Cisco設(shè)備的路由表中還會包含路由信息的來源(直連、靜態(tài)或動態(tài))、管理距離(路由的可信度)、量度值(路由的可到達(dá)性)、路由的存活時間等信息字段。IP路由選擇主要完成以下功能:搜索路由表,尋找能與目的IP完全匹配的表項,如果找到,則把IP數(shù)據(jù)包由該表項指定的接口轉(zhuǎn)發(fā),發(fā)送給指定的下一個路由器或直接連接的網(wǎng)絡(luò)接口。搜索路由表,尋找能與目的IP網(wǎng)絡(luò)標(biāo)識匹配的表項,如果找到,則把IP數(shù)據(jù)包由該表項指定的接口轉(zhuǎn)發(fā),發(fā)送給指定的下一個路由器或直接連接的網(wǎng)絡(luò)接口。若存在多個表項,則選用網(wǎng)絡(luò)掩碼最長的那條路由。按照路由表的默認(rèn)路由轉(zhuǎn)發(fā)數(shù)據(jù)。路由的生成方式1.直連路由直連路由是路由器自動添加的直連網(wǎng)絡(luò)的路由。由于直連路反映的是路由器各端口直接連接的網(wǎng)絡(luò),因此具有較高的可信度。2.靜態(tài)路由靜態(tài)路由是由管理員手工配置的路由信息。當(dāng)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)或鏈路的狀態(tài)發(fā)生變化時,管理員需要手工修改路由表中相關(guān)的靜態(tài)路由。靜態(tài)路由在默認(rèn)情況下是私有的,不會傳遞給其他的路由器。當(dāng)然,管理員也可以通過對路由器進行設(shè)置使之共享。網(wǎng)絡(luò)出于安全方面的考慮也可以采用靜態(tài)路由。

3.動態(tài)路由動態(tài)路由是各個路由器之間通過相互連接的網(wǎng)絡(luò),利用路由協(xié)議動態(tài)的相互交換各自的路由信息,然后按照一定的算法優(yōu)化出來的路由。在一個路由器中,可同時配置靜態(tài)路由和一種或多種動態(tài)路由。它們各自維護的路由表之間可能會發(fā)生沖突,這種沖突可以通過配置各路由表的管理距離(可信度)來解決,管理距離值越低,學(xué)到的路由越可信。Cisco路由器默認(rèn)情況下各種路由源的管理距離值

路由源默認(rèn)管理距離Connectedinterface(直連路由)0Staticrouteoutaninterface(指明轉(zhuǎn)發(fā)接口的靜態(tài)路由)0Staticroutetoanexthop(指明下一跳IP地址的靜態(tài)路由)1EIGRP(利用EIGRP協(xié)議生成的動態(tài)路由)90IGRP(利用IGRP協(xié)議生成的動態(tài)路由)100OSPF(利用OSPF協(xié)議生成的動態(tài)路由)110RIPv1,v2(利用RIP協(xié)議生成的動態(tài)路由)120未知路由255【注意】若路由表中產(chǎn)生沖突,則路由器會首先根據(jù)路由的管理距離進行選擇,管理距離越小,路由越優(yōu)先;若管理距離一樣,則比較路由的量度值(Metric),該值越小,路由越優(yōu)先。除直連路由外,各種路由的管理距離都可由用戶手工進行配置。配置端口地址必須為路由器的每個端口配置一個合適的IP地址,它才能工作。以為該路由器各個端口配置如下表所列IP地址信息為例進行講解,使這些子網(wǎng)之間能夠互聯(lián)通信32端口IP地址目標(biāo)網(wǎng)段Fastethernet1/0Serial1/2Fastethernet1/1Red-Giant>enable!轉(zhuǎn)入特權(quán)模式Red-Giant#Red-Giant#configureterminal!進入全局配置模式Red-Giant(config)#Red-Giant(config)#interfacefastethernet1/0 !進入路由器Fa1/0接口模式Red-Giant(config-if)#ipaddress!配置端口地址Red-Giant(config-if)#noshutdown

Red-Giant(config)#interfacefastethernet1/1 !進入路由器Fa1/1接口模式Red-Giant(config-if)#ipaddress!配置端口地址Red-Giant(config-if)#noshutdown

Red-Giant(config)#interfaceSerial1/2 !進入路由器Serial1/2接口模式Red-Giant(config-if)#ipaddress!配置端口地址Red-Giant(config-if)#noshutdown

Red-Giant(config-if)#end!直接退回到特權(quán)模式Red-Giant#33配置RIP協(xié)議為路由器各個端口配置了特定的IP地址后,路由器仍不能起到聯(lián)通各個子網(wǎng)的作用,這時需要為該路由器配置選路協(xié)議為路由器配置一種動態(tài)選路協(xié)議后,路由器之間可以通過選路協(xié)議自行調(diào)整路由,從而使分組到達(dá)其目的地當(dāng)前比較典型的動態(tài)選路協(xié)議有OSPF和RIP等選路協(xié)議,前者比較適合大型網(wǎng)絡(luò),后者適合小型網(wǎng)絡(luò)34配置RIP選路協(xié)議啟用RIP選路協(xié)議,并定義與RIP進程關(guān)聯(lián)的網(wǎng)絡(luò)Router(config)#routerrip!啟用RIP選路協(xié)議Router(config-router)#networknetwork-number!定義關(guān)聯(lián)網(wǎng)絡(luò)要用命令指定RIPv1和版本2版本:Router(config)#routerrip!啟用RIP選路協(xié)議Router(config-router)#version{1|2} !定義RIP協(xié)議版本Router(config-router)#networknetwork-number!定義關(guān)聯(lián)網(wǎng)絡(luò)35RIPv1和RIPv2的主要區(qū)別

RIPv1RIPv2在路由更新過程中不攜帶子網(wǎng)信息在路由更新過程中攜帶子網(wǎng)信息不提供認(rèn)證提供明文和MD5認(rèn)證不支持VLSM和CIDR(無類域間路由)支持VLSM和CIDR采用廣播更新采用組播()更新在如圖所示的網(wǎng)絡(luò)中,3臺Cisco2811路由器通過串行端口相互連接,每個路由器通過一臺交換機連接了兩臺計算機?,F(xiàn)要通過在路由器RTA、RTB和RTC上配置動態(tài)路由協(xié)議RIP,實現(xiàn)全網(wǎng)的通信。案例:1.規(guī)劃與分配IP地址設(shè)備接口IP地址子網(wǎng)掩碼網(wǎng)關(guān)PC1NICPC2NICPC3NICPC4NICPC5NICPC6NICRTAF0/0S0/0/052RTBF0/0S0/0/052S0/0/152RTCF0/0S0/0/0522.配置路由器端口在路由器RTA上的配置過程為:RTA(config)#interfaceFastEthernet0/0RTA(config-if)#ipaddressRTA(config-if)#noshutdownRTA(config-if)#interfaceSerial0/0/0RTA(config-if)#ipaddress52RTA(config-if)#clockrate2000000RTA(config-if)#noshutdown在路由器RTB上的配置過程為:RTB(config)#interfaceFastEthernet0/0RTB(config-if)#ipaddressRTB(config-if)#noshutdownRTB(config-if)#interfaceSerial0/0/0RTB(config-if)#ipaddress52RTB(config-if)#noshutdown

RTB(config-if)#interfaceSerial0/0/1RTB(config-if)#ipaddress52RTB(config-if)#clockrate2000000RTB(config-if)#noshutdown在路由器RTC上的配置過程為:RTC(config)#interfaceFastEthernet0/0RTC(config-if)#ipaddressRTC(config-if)#noshutdownRTC(config-if)#interfaceSerial0/0/0RTC(config-if)#ipaddress52RTC(config-if)#noshutdown此時所有點到點鏈路已經(jīng)連通,但是各局域網(wǎng)段之間并不互通。3.配置RIP在路由器RTA上的配置過程為:RTA(config)#routerrip//啟用RIP路由協(xié)議RTA(config-router)#version2//使用RIPv2RTA(config-router)#noauto-summary//關(guān)閉自動匯總RTA(config-router)#network//RIP將通告網(wǎng)段RTA(config-router)#network//RIP將通告網(wǎng)段在路由器RTB上的配置過程為:RTB(config)#routerripRTB(config-router)#version2RTB(config-router)#noauto-summaryRTB(config-router)#network//RIP將通告網(wǎng)段RTB(config-router)#network//RIP將通告網(wǎng)段RTB(config-router)#network//RIP將通告網(wǎng)段在路由器RTC上的配置過程為:RTC(config)#routerripRTC(config-router)#version2RTC(config-router)#noauto-summaryRTC(config-router)#network//RIP將通告網(wǎng)段RTC(config-router)#network//RIP將通告網(wǎng)段4.驗證RIP如果要對RIP進行驗證,可以在路由器上查看相關(guān)的路由設(shè)置,常用命令有:RTA#showiproute

//顯示路由器的路由表RTA#showiprouterip

//顯示路由器的RIP路由RTA#showipripdatabase

//顯示RIP路由數(shù)據(jù)庫信息5.驗證全網(wǎng)的連通性此時可以在計算機上,利用“ping”和“tracert”命令,測試各計算機之間的連通性和路由。也可以在路由器上運行“ping”和“traceroute”命令,測試路由器與計算機,以及路由器之間的連通性和路由。【注意】可以在特權(quán)模式下使用“debugiprip”命令查看RIP路由更新消息的發(fā)送和接收情況。該命令會影響路由器性能,可使用“nodebugiprip”命令關(guān)閉調(diào)試信息。配置靜態(tài)路由重要干線的路由器通常要配置靜態(tài)路由靜態(tài)路由優(yōu)先于動態(tài)路由,無論路由器配置動態(tài)選路協(xié)議是否,它都會按靜態(tài)路由來轉(zhuǎn)發(fā)分組;僅當(dāng)路由器配置靜態(tài)路由的端口出現(xiàn)了故障,才后按動態(tài)選路協(xié)議給出的路由進行轉(zhuǎn)發(fā)靜態(tài)路由和動態(tài)路由的結(jié)合能夠提高網(wǎng)絡(luò)可靠性靜態(tài)路由是網(wǎng)管人員人工配置的,一旦靜態(tài)路由生效,它不會自行發(fā)生變化在所有的路由中,靜態(tài)路由優(yōu)先級最高(即鏈路費用為0或1)44配置靜態(tài)路由的網(wǎng)絡(luò)場景為路由器配置靜態(tài)路由可使用命令“iproute”,其格式如下:router#configureterminalrouter(config)#iproute!配置匹配不成功的數(shù)據(jù)都經(jīng)過接口轉(zhuǎn)發(fā)分別對兩臺路由器配置靜態(tài)路由,配置完可以分別使用“showiproute”命令檢查結(jié)果45在如圖所示的網(wǎng)絡(luò)中,兩臺Cisco2811路由器通過串行端口S0/0/0互連,每個路由器通過一臺交換機連接兩臺計算機,各設(shè)備的IP地址如圖所示,現(xiàn)要通過在路由器RTA和RTB上配置靜態(tài)路由,從而實現(xiàn)全網(wǎng)的通信。1.為各計算機分配IP地址配置計算機PC1至PC4網(wǎng)卡的IP地址信息。各計算機的IP地址和子網(wǎng)掩碼如圖所示,PC1和PC2的默認(rèn)網(wǎng)關(guān)應(yīng)為,PC3和PC4的默認(rèn)網(wǎng)關(guān)應(yīng)為。2.配置路由器端口在路由器RTA上的配置過程為:RTA(config)#interfaceFastEthernet0/0RTA(config-if)#ipaddressRTA(config-if)#noshutdownRTA(config-if)#interfaceSerial0/0/0RTA(config-if)#ipaddress52RTA(config-if)#clockrate2000000RTA(config-if)#noshutdown在路由器RTB上的配置過程為:RTB(config)#interfaceFastEthernet0/0RTB(config-if)#ipaddressRTB(config-if)#noshutdownRTB(config-if)#interfaceSerial0/0/0RTB(config-if)#ipaddress52RTB(config-if)#noshutdown此時所有點到點鏈路已經(jīng)連通,但是路由器RTA連接的/24網(wǎng)絡(luò)和路由器RTB連接的/24網(wǎng)絡(luò)并不互通。3.配置靜態(tài)路由在路由器RTA上的配置過程為:RTA(config)#iproute//配置靜態(tài)路由,把去往/24網(wǎng)絡(luò)的數(shù)據(jù)包,轉(zhuǎn)發(fā)給下一跳RTA(config)#exitRTA#showiproute在路由器RTB上的配置過程為:RTB(config)#iprouteS0/0/0//配置靜態(tài)路由,把去往/24網(wǎng)絡(luò)的數(shù)據(jù)包,從本機S0/0/0端口轉(zhuǎn)發(fā)出去

【注意】配置靜態(tài)路由和默認(rèn)路由的下一跳可以選擇IP地址形式也可以選擇端口名形式。當(dāng)使用IP地址時,該地址必須是和本路由器直接相連的下一個路由器端口的IP地址,這種靜態(tài)路由的默認(rèn)管理距離(AD)為1。當(dāng)使用端口名時,必須是在點對點鏈路上,也就是說像以太網(wǎng)這種廣播型端口是不能使用的,這種靜態(tài)路由條目的默認(rèn)管理距離是0。4.驗證全網(wǎng)的連通性此時可以在計算機上,利用“ping”和“tracert”命令,測試各計算機之間的連通性和路由。也可以在路由器上運行“ping”和“traceroute”命令,測試路由器與計算機,以及路由器之間的連通性和路由。(1)在路由器上使用ping命令使用該命令時,路由器默認(rèn)將發(fā)送5個ICMP報文,如果顯示“!”表示報文有回應(yīng),即網(wǎng)絡(luò)是連通的;如果顯示“.”則表示報文無回應(yīng)。若在路由器上分別測試其與和兩臺計算機的連通性,操作過程為:RTA>ping

Typeescapesequencetoabort.Sending5,100-byteICMPEchosto,timeoutis2seconds:!!!!!//5個報文有回應(yīng),說明與是連通的Successrateis100percent(5/5),round-tripmin/avg/max=1/2/4msRTA>ping

Typeescapesequencetoabort.Sending5,100-byteICMPEchosto,timeoutis2seconds:…..//5個報文都沒有回應(yīng)Successrateis0percent(0/5)(2)在路由器上使用traceroute命令在路由器上可以利用“traceroute”命令測試數(shù)據(jù)包發(fā)送到目標(biāo)主機的路由。使用該命令時,路由器將通過發(fā)送ICMP報文,接收回應(yīng)報文來測試數(shù)據(jù)包沿途經(jīng)過的路由器。若要在路由器上測試到達(dá)目標(biāo)主機的路由,操作過程為:RTA>traceroute

Typeescapesequencetoabort.Tracingtherouteto1 30mesc 43mesc 35mesc2 106mesc 123mesc 123mesc用靜態(tài)路由實現(xiàn)三層交換機與路由器的連通在如圖所示的網(wǎng)絡(luò)中,SW1、SW2和SW3均為Cisco2960交換機,分別通過24號快速以太網(wǎng)端口與三層交換機(Cisco3560)和路由器(Cisco2811)相連,三層交換機通過24號快速以太網(wǎng)端口與路由器相連。若要求將SW1和SW2所連接的所有PC劃分為2個VLAN,并利用靜態(tài)路由實現(xiàn)三層交換機與路由器的連通。

1.規(guī)劃與分配IP地址設(shè)備接口IP地址子網(wǎng)掩碼網(wǎng)關(guān)VLAN10的計算機NIC~54VLAN20的計算機NIC~54SW3連接的計算機NIC~54路由器Fa0/1Fa0/052三層交換機Fa0/2452Interfacevlan10Interfacevlan202.劃分VLAN在三層交換機的配置過程為:S3560#vlandatabaseS3560(vlan)#vlan10nameVLAN10S3560(vlan)#vlan20nameVLAN20S3560(vlan)#exit

S3560#configureterminalS3560(config)#interfacerangefa0/1-2S3560(config-if-range)#switchportS3560(config-if-range)#swithporttrunkencapsulationdotlqS3560(config-if-range)#swithportmodetrunkS3560(config-if-range)#exitS3560(config)#interfacevlan10S3560(config-if)#ipaddressS3560(config-if)#noshutdownS3560(config-if)#interfacevlan20S3560(config-if)#ipaddressS3560(config-if)#noshutdownS3560(config-if)#exitS3560(config)#iprouting

在交換機SW1的配置過程為:SW1#vlandatabaseSW1(vlan)#vlan10nameVLAN10SW1(vlan)#vlan20nameVLAN20SW1(vlan)#exitSW1#configureterminalSW1(config)#interfacefa0/24SW1(config-if)#switchportmodetrunkSW1(config-if)#interfacerangefa0/1-12SW1(config-if-range)#switchportaccessvlan10SW1(config-if-range)#interfacerangefa0/13-23SW1(config-if-range)#switchportaccessvlan20在交換機SW2的配置過程與SW1相同。3.利用靜態(tài)路由實現(xiàn)三層交換機與路由器的連通

在路由器的配置過程為:Router(config)#interfacefa0/1Router(config-if)#ipaddressRouter(config-if)#noshutdownRouter(config-if)#interfacefa0/0Router(config-if)#ipaddress52Router(config-if)#noshutdownRouter(config-if)#exitRouter(config)#iprouteRouter(config)#iprouteRouter(config)#exitRouter#showiproute

在三層交換機配置過程為:S3560(config)#interfacefa0/24S3560(config-if)#no

switchportS3560(config-if)#ipaddress52S3560(config-if)#exitS3560(config)#iprouteS3560(config)#exitS3560#showiproute4.驗證全網(wǎng)的連通性此時可以在計算機上,利用“ping”和“tracert”命令,測試各計算機之間的連通性和路由。也可以在三層交換機和路由器上運行“ping”和“traceroute”命令,測試三層交換機、路由器及各計算機之間的連通性和路由。配置OSPF協(xié)議OSPF適用于較大規(guī)模的網(wǎng)絡(luò),并一般采用分層結(jié)構(gòu),即將OSPF覆蓋的區(qū)域分割成幾個區(qū)域(area),而區(qū)域之間通過一個主干區(qū)域area0(主干區(qū)域定義為區(qū)域0)互聯(lián)59配置OSPF先啟動OSPF協(xié)議,并配置路由器的網(wǎng)絡(luò)地址和區(qū)域信息Router#configureterminalRouter(config)#routerospf !啟動OSPF路由進程定義接口所屬區(qū)域如下:Router(config-router)#networkwildcardareaarea-id 需要定義與該OSPF路由進程關(guān)聯(lián)IP地址,以及該范圍IP地址所屬的OSPF區(qū)域。OSPF路由進程只在屬于該IP地址范圍的接口發(fā)送、接收OSPF報文,并且對外通告該接口的鏈路狀態(tài)60案例在如圖所示的網(wǎng)絡(luò)中,如果要通過在路由器RTA、RTB和RTC上配置動態(tài)路由協(xié)議OSPF,實現(xiàn)全網(wǎng)的通信1.規(guī)劃與分配IP地址按照前面表所示的TCP/IP參數(shù)配置相關(guān)設(shè)備的IP地址信息。2.配置路由器端口路由器RTA、RTB和RTC的端口配置與RIP配置示例相同,這里不再贅述。3.配置OSPF在路由器RTA上的配置過程為:RTA(config)#routerospf1//啟用OSPF路由協(xié)議,1為路由進程ID,用來區(qū)分路由器中的多個進程,其范圍為1~65535,不同路由器的路由進程ID可以不同。RTA(config-router)#router-id//設(shè)置路由器IDRTA(config-router)#network55area0//在區(qū)域0通告/24網(wǎng)段,5為通配符掩碼。區(qū)域范圍為0~4294967295,也可以是IP地址的格式A.B.C.D。當(dāng)區(qū)域ID為0或時稱為主干區(qū)域RTA(config-router)#networkarea0//在區(qū)域0通告/30網(wǎng)段在路由器RTB上的配置過程為:RTB(config)#routerospf1RTB(config-router)#router-idRTB(config-router)#network55area0RTB(config-router)#networkarea0RTB(config-router)#networkarea0在路由器RTC上的配置過程為:RTC(config)#routerospf1RTC(config-router)#router-idRTC(config-router)#network55area0RTC(config-router)#networkarea0【注意】在高版本的IOS中通告OSPF網(wǎng)絡(luò)的時候,可以使用通配符掩碼,也可以使用網(wǎng)絡(luò)掩碼。在OSPF運行過程中,確定RouterID遵循如下順序:①OSPF進程中用命令“router-id”指定的路由器ID;②若沒有指定路由器ID,則選擇最大的環(huán)回接口的IP地址為RouterID;③若沒有環(huán)回接口,則選擇最大的活動的物理接口的IP地址為RouterID。4.驗證OSPF如果要對OSPF進行驗證,可以在路由器上查看相關(guān)的路由設(shè)置,常用命令有:RTA#showiproute

RTA#showipospf

//顯示路由器的OSPF基本信息RTA#showipospfdatabase

//顯示OSPF路由數(shù)據(jù)庫信息RTA#showipospfinterface

//顯示OSPF接口信息RTA#showipospfneighbor

//顯示OSPF鄰居信息5.驗證全網(wǎng)的連通性此時可以在計算機上,利用“ping”和“tracert”命令,測試各計算機之間的連通性和路由。也可以在路由器上運行“ping”和“traceroute”命令,測試路由器與計算機,以及路由器之間的連通性和路由。利用動態(tài)路由實現(xiàn)三層交換機與路由器的連通

在如圖所示的網(wǎng)絡(luò)中,若要求將SW1和SW2所連接的所有PC劃分為2個VLAN,并利用動態(tài)路由協(xié)議OSPF實現(xiàn)三層交換機與路由器的連通。1.規(guī)劃與分配IP地址可按照利用靜態(tài)路由實現(xiàn)三層交換機和路由器連通的例子所示的TCP/IP參數(shù)配置相關(guān)設(shè)備的IP地址信息。2.劃分VLAN在三層交換機及交換機SW1、SW2劃分VLAN的相關(guān)配置與利用靜態(tài)路由實現(xiàn)三層交換機和路由器連通的例子相同,這里不再贅述。3.利用OSPF實現(xiàn)三層交換機與路由器的連通

在路由器的配置過程為:Router(config)#interfacefa0/1Router(config-if)#ipaddressRouter(config-if)#noshutdownRouter(config-if)#interfacefa0/0Router(config-if)#ipaddress52Router(config-if)#noshutdownRouter(config-if)#exitRouter(config)#routerospf1Router(config-router)#router-idRouter(config-router)#network55area0Router(config-router)#networkarea0Router(config-router)#endRouter#showiproute

在三層交換機配置過程為:S3560(config)#interfacefa0/24S3560(config-if)#no

switchportS3560(config-if)#ipaddress52S3560(config-if)#exitS3560(config)#routerospf1S3560(config-router)#router-idS3560(config-router)#network55area0S3560(config-router)#network55area0S3560(config-router)#networkarea0S3560(config-router)#endS3560#showiproute4.驗證全網(wǎng)的連通性此時可以在計算機上,利用“ping”和“tracert”命令,測試各計算機之間的連通性和路由。也可以在三層交換機和路由器上運行“ping”和“traceroute”命令,測試三層交換機、路由器及各計算機之間的連通性和路由。

廣域網(wǎng)主要實現(xiàn)大范圍內(nèi)的遠(yuǎn)距離數(shù)據(jù)通信,因此廣域網(wǎng)在網(wǎng)絡(luò)特性和技術(shù)實現(xiàn)上與局域網(wǎng)存在明顯的差異。廣域網(wǎng)中的設(shè)備多種多樣,通常把放置在用戶端的設(shè)備稱為客戶端設(shè)備(CPE,CustomerPremiseEquipment)或數(shù)據(jù)終端設(shè)備(DTE,DataTerminalEquipment),如路由器、終端或PC。大多數(shù)DTE的數(shù)據(jù)傳輸能力有限,兩個距離較遠(yuǎn)的DTE不能直接連接起來進行通信。所以,DTE首先應(yīng)使用銅纜或光纖連接到最近服務(wù)提供商的中心局CO(CentralOffice)設(shè)備,再接入廣域網(wǎng)。從DTE到CO的這段線路稱為本地環(huán)路。在DTE和WAN網(wǎng)絡(luò)之間提供接口的設(shè)備稱為數(shù)據(jù)電路終端設(shè)備DCE,如WAN交換機或調(diào)制解調(diào)器(Modem)。DCE將來自DTE的用戶數(shù)據(jù)轉(zhuǎn)變?yōu)閺V域網(wǎng)設(shè)備可接受的形式,提供網(wǎng)絡(luò)內(nèi)的同步服務(wù)和交換服務(wù)。DTE和DCE之間的接口要遵循物理層協(xié)議,如RS-232、X.21、V.24、V.35和HSSI等。(1)廣域網(wǎng)的數(shù)據(jù)鏈路層標(biāo)準(zhǔn)PPP(PointtoPointProtocol,點對點協(xié)議):通過同步電路和異步電路提供路由器到路由器和主機到網(wǎng)絡(luò)的連接。PPP可以和多種網(wǎng)絡(luò)層協(xié)議協(xié)同工作。SLIP(SerialLineInternetProtocol,串行線路互連協(xié)議):使用TCP/IP實現(xiàn)點對點串行連接的標(biāo)準(zhǔn)協(xié)議,已經(jīng)基本上被PPP取代。HDLC(High-LevelDataLinkControl,高級數(shù)據(jù)鏈路控制協(xié)議):按位訪問的同步數(shù)據(jù)鏈路層協(xié)議,定義了同步串行鏈路上使用幀標(biāo)識和校驗和的數(shù)據(jù)封裝方法。當(dāng)鏈路兩端均為Cisco設(shè)備時,它是點對點專用鏈路和電路交換連接上默認(rèn)的封裝類型,是同步PPP的基礎(chǔ)。X.25/平衡式鏈路訪問程序(LAPB):定義DTE與DCE間如何連接的ITU-T標(biāo)準(zhǔn),用于在公用數(shù)據(jù)網(wǎng)絡(luò)上維護遠(yuǎn)程終端訪問與計算機的通信,已被幀中繼取代。幀中繼(FrameRelay):一種高性能的分組交換式廣域網(wǎng)協(xié)議,可以被應(yīng)用于各種類型的網(wǎng)絡(luò)接口中。由于幀中繼是一種面向連接,無內(nèi)在糾錯機制的協(xié)議,因此適合高可靠性的數(shù)字傳輸設(shè)備使用。ATM(AsynchronousTransferMode,異步傳輸模式):信元交換的國際標(biāo)準(zhǔn),在定長(53字節(jié))的信元中能傳輸多種類型的服務(wù),適于高速傳輸(如SONET)。

(2)HDLC和PPP1.HDLCHDLC是點到點串行線路上(同步電路)的數(shù)據(jù)鏈路層封裝格式,其幀格式和以太網(wǎng)有很大差別,HDLC幀沒有源MAC地址和目的MAC地址。Cisco公司對HDLC進行了專有化,默認(rèn)情況下Cisco路由器的串行口是采用CiscoHDLC進行數(shù)據(jù)封裝的。需要注意的是CiscoHDLC與標(biāo)準(zhǔn)HDLC并不兼容,因此如果鏈路的兩端都是Cisco設(shè)備,可以使用CiscoHDLC進行數(shù)據(jù)封裝,但如果Cisco設(shè)備與非Cisco設(shè)備進行連接,則應(yīng)使用PPP進行數(shù)據(jù)封裝。另外,HDLC不能提供驗證,缺少對鏈路的安全保護。2.PPP和HDLC一樣,PPP也是串行線路上的一種數(shù)據(jù)鏈路層封裝格式,但PPP可以提供對多種網(wǎng)絡(luò)層協(xié)議的支持,并且支持認(rèn)證、多鏈路捆綁、回?fù)堋嚎s等功能。(3)PPP的驗證方式PPP提供了兩種認(rèn)證方式:PAP和CHAP。PAP(PasswordAuthenticationProtocol,密碼驗證協(xié)議):利用2次握手的簡單方法進行認(rèn)證。PAP驗證過程是在鏈路建立完畢后,源節(jié)點不停地在鏈路上反復(fù)發(fā)送用戶名和密碼,直到驗證通過。在PAP驗證中,密碼在鏈路上是以明文傳輸?shù)?,而且由于是由源?jié)點控制驗證重試頻率和次數(shù),因此PAP驗證不能防范再生攻擊和重復(fù)的嘗試攻擊。CHAP(ChallengeHandshakeAuthenticationProtocol,詢問握手驗證協(xié)議):利用3次握手周期地驗證源節(jié)點的身份。CHAP驗證過程在鏈路建立之后進行,而且在以后的任何時候都可以再次進行。CHAP不允許連接發(fā)起方在沒有收到詢問消息的情況下進行驗證嘗試。CHAP不直接傳送密碼,只傳送一個不可預(yù)測的詢問消息,以及該詢問消息與密碼經(jīng)過MD5加密運算后的加密值。所以CHAP可以防止再生攻擊,其安全性比PAP要高。配置HDLC協(xié)議高級數(shù)據(jù)鏈路控制(HDLC)是面向比特、同步數(shù)據(jù)傳輸鏈路層協(xié)議,是廣域網(wǎng)數(shù)據(jù)鏈路層使用最廣泛的協(xié)議,用于在網(wǎng)絡(luò)節(jié)點間以全雙工、點對點方式傳送數(shù)據(jù)在路由器中,連接廣域網(wǎng)接口的數(shù)據(jù)鏈路層協(xié)議都默認(rèn)為HDLC,可通過如下命令查詢路由器狀態(tài)RouterA#configureterminalRouterA(config)#interfaceserial1/2RouterA#showinterfaceserial1/2!查看RAserial1/2接口的狀態(tài)74------------------------------------------------------------serial1/2isUP,lineprotocolisUP!接口的狀態(tài),是否為UPHardwareisPQ2SCCHDLCCONTROLLERserialInterfaceaddressis:/24!接口IP地址的配置MTU1500bytes,BW512Kbit!查看接口的帶寬為512KBEncapsulationprotocolisHDLC,loopbacknotset!接口封裝的是HDLC協(xié)議

Keepaliveintervalis10sec,setCarrierdelayis2secRXloadis1,Txloadis1Queueingstrategy:WFQ5minutesinputrate17bits/sec,0packets/sec5minutesoutputrate17bits/sec,0packets/sec511packetsinput,11242bytes,0nobufferReceived511broadcasts,0runts,0giants0inputerrors,0CRC,0frame,0overrun,0abort511packetsoutput,11242bytes,0underruns0outputerrors,0collisions,1interfaceresets

1carriertransitionsV35DCEcable!該接口為DCE端DCD=upDSR=upDTR=upRTS=upCTS=up75如該接口封裝的是PPP協(xié)議而不是HDLC協(xié)議,需要修改為HDLC協(xié)議在接口配置狀態(tài)下,使用命令“encapsulation”完成RouterA#configureterminalRouterA(config)#interfaceserial1/2RouterA(config-if)#encapsulationHDLC!把該接口封裝為HDLC協(xié)議RouterA(config-if)#noshutdown76配置PPP在如圖所示的網(wǎng)絡(luò)中,兩臺Cisco2811路由器R1和R2通過串行口相連,其中路由器R1為DTE,路由器R2為DCE,啟用PPP封裝數(shù)據(jù)實現(xiàn)路由器的連通。1.啟用PPP封裝(1)在路由器R1和R2上配置IP地址,保證直連鏈路的連通性在路由器R1的配置過程為:R1(config)#interfaceSerial1/0R1(config-if)#ipaddress52R1(config-if)#noshutdown在路由器R2的配置過程為:R2(config)#interfaceSerial1/0R2(config-if)#clockrate2000000R2(config-if)#ipaddress52R2(config-if)#noshutdown查看路由器串行口封裝協(xié)議:R1#showinterfacesSerial1/0

(2)改變串行鏈路兩端的接口封裝為PPP封裝在路由器R1的配置過程為:R1(config)#interfaceSerial1/0R1(config-if)#encapsulationppp//啟用PPP封裝在路由器R2的配置過程為:R2(config)#interfaceSerial1/0R2(config-if)#encapsulationppp查看路由器串行口封裝協(xié)議:R1#showinterfacesSerial1/0

2.配置PAP認(rèn)證配置路由器R1(遠(yuǎn)程路由器,被認(rèn)證方)在路由器R2(中心路由器,認(rèn)證方)進行PAP認(rèn)證的操作方法為:在路由器R1的配置過程為:R1(config)#interfaceSerial1/0R1(config-if)#encapsulationpppR1(config-if)#ppppapsent-usernameR1password123456//配置在中心路由器上登錄的用戶名和密碼在路由器R2的配置過程為:R2(config)#usernameR1password123456//為遠(yuǎn)程路由器設(shè)置用戶名和密碼R2(config)#interfaceSerial1/0R2(config-if)#encapsulationpppR2(config-if)#pppauthenticationpap

//配置認(rèn)證方式為PAP

【注意】以上步驟只配置了R1在R2取得驗證,即單向驗證。在實際應(yīng)用中也可采用雙向驗證,即R2要驗證R1,R1也要驗證R2。此時只需采用類似的步驟配置R2在R1上進行驗證即可。通常在撥號上網(wǎng)時,只是ISP對用戶進行驗證(要根據(jù)用戶名來收費),用戶不能對ISP進行驗證,即驗證是單向的。另外在設(shè)置認(rèn)證后,可以在特權(quán)模式下使用“debugpppauthentication”命令查看ppp認(rèn)證過程。3.配置CHAP認(rèn)證在路由器R1的配置過程為:R1(config)#usernameR2passwordhello//為對方配置用戶名和密碼,需要注意的是兩方的密碼要相同R1(config)#interfaceSerial1/0R1(config-if)#encapsulationpppR1(config-if)#pppauthenticationchap

//配置認(rèn)證方式為CHAP在路由器R2的配置過程為:R2(config)#usernameR1passwordhelloR2(config)#interfaceSerial1/0R2(config-if)#encapsulationpppR2(config-if)#pppauthenticationchap

【注意】以上是CHAP驗證的最簡單配置,也是實際應(yīng)用中最常用的配置方式。配置時要求用戶名為對方路由器名,且雙方密碼必須一致。原因是:由于CHAP默認(rèn)使用本地路由器的主機名作為建立PPP連接時的識別符。路由器在收到對方發(fā)送過來的詢問消息后,將本地路由器的主機名作為身份標(biāo)識發(fā)送給對方;而在收到對方發(fā)過來的身份標(biāo)識之后,默認(rèn)使用本地驗證方法,即在配置文件中查找相應(yīng)的用戶身份標(biāo)識和密碼;如果有,計算加密值,結(jié)果正確則驗證通過;否則驗證失敗,連接無法建立。ACLCiscoIOS通過ACL實現(xiàn)流量控制的功能。ACL使用包過濾技術(shù),在網(wǎng)絡(luò)設(shè)備上讀取數(shù)據(jù)包頭中的信息,如源地址、目的地址、源端口、目的端口及上層協(xié)議等,根據(jù)預(yù)先定義的規(guī)則決定哪些數(shù)據(jù)包可以接收、哪些數(shù)據(jù)包拒絕接收,從而達(dá)到訪問控制的目的。早期只有路由器支持ACL技術(shù),目前三層交換機和部分二層交換機也開始支持ACL技術(shù)。ACL通??梢詰?yīng)用于以下場合:過濾相鄰設(shè)備間傳遞的路由信息??刂平换ナ皆L問,防止非法訪問網(wǎng)絡(luò)設(shè)備的行為。例如可以利用ACL對Console、Telnet或SSH訪問實施控制。控制穿越設(shè)備的流量和網(wǎng)絡(luò)訪問。例如可以利用ACL拒絕主機A訪問網(wǎng)絡(luò)A。通過限制對某些服務(wù)的訪問來保護網(wǎng)絡(luò)設(shè)備,例如可以利用ACL限制對HTTP、SNMP的訪問。為IPsecVPN定義感興趣流。以多種方式在CiscoIOS中實現(xiàn)QoS(服務(wù)質(zhì)量)特性。在其他安全技術(shù)中的擴展應(yīng)用,例如TCP攔截、IOS防火墻等。ACL的執(zhí)行過程ACL是一組條件判斷語句的集合,主要定義了數(shù)據(jù)包進入網(wǎng)絡(luò)設(shè)備端口及通過設(shè)備轉(zhuǎn)發(fā)和流出設(shè)備端口的行為。ACL不過濾網(wǎng)絡(luò)設(shè)備本身發(fā)出的數(shù)據(jù)包,只過濾經(jīng)過網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)的數(shù)據(jù)包。當(dāng)一個數(shù)據(jù)包進入網(wǎng)絡(luò)設(shè)備的某個端口時,網(wǎng)絡(luò)設(shè)備首先要檢查該數(shù)據(jù)包是否可路由或可橋接,然后會檢查在該端口是否應(yīng)用了ACL。如果有ACL,就將數(shù)據(jù)包與ACL中的條件語句相比較。如果數(shù)據(jù)包被允許通過,就繼續(xù)檢查路由表或MAC地址表以決定轉(zhuǎn)發(fā)到的目的端口。然后網(wǎng)絡(luò)設(shè)備將檢查目的端口是否應(yīng)用了ACL,如果沒有應(yīng)用,數(shù)據(jù)包將直接送到目的端口并從該端口輸出。ACL按各語句的邏輯次序順序執(zhí)行,如果與某個條件語句相匹配,數(shù)據(jù)包將被允許或拒絕通過,而不再檢查剩下的條件語句。如果數(shù)據(jù)包與第一條語句沒有匹配,將繼續(xù)與下一條語句進行比較,如果與所有的條件語句都沒有匹配,則該數(shù)據(jù)包將被丟棄。【注意】在ACL的最后會強加一條拒絕全部流量的隱含語句,該語句是看不到的。ACL的類型1.標(biāo)準(zhǔn)ACL標(biāo)準(zhǔn)ACL是最基本的ACL,只檢查可以被路由的數(shù)據(jù)包的源地址。2.擴展ACL擴展ACL可以根據(jù)數(shù)據(jù)包的源地址、目的地址、協(xié)議類型、端口號和應(yīng)用來決定允許或拒絕發(fā)送該數(shù)據(jù)包。3.命名ACLCiscoIOS系統(tǒng)的11.2版本引入了IP命名ACL,命名ACL允許在標(biāo)準(zhǔn)ACL和擴展ACL中使用一個字符串來代替數(shù)字作為ACL的表號。使用命名ACL有以下優(yōu)點:不受標(biāo)準(zhǔn)ACL和擴展ACL數(shù)量的限制。標(biāo)準(zhǔn)ACL的表號是一個從1~99或1300~1999之間的數(shù)字,擴展ACL的表號是一個從100~199或2000~2699之間的數(shù)字。可以方便的對ACL進行修改,而無須刪除ACL后再對其進行重新配置。案例1配置標(biāo)準(zhǔn)ACL

在如圖所示的網(wǎng)絡(luò)中,2臺Cisco2811路由器通過串行端口相互連接,相關(guān)的IP地址信息如圖所示。整個網(wǎng)絡(luò)配置RIP路由協(xié)議,保證網(wǎng)絡(luò)正常通信。要求在RTB上配置標(biāo)準(zhǔn)ACL,允許PC1訪問路由器RTB,但拒絕/24網(wǎng)絡(luò)中的其他主機訪問RTB,并允許連接在路由器RTA的其他主機訪問RTB。1.配置RIP路由協(xié)議具體的配置過程與RIP配置實例類似,這里不再贅述。2.配置標(biāo)準(zhǔn)ACL在路由器RTB的配置如下:RTB(config)#access-list1permithost//定義1號標(biāo)準(zhǔn)ACL,當(dāng)主機源地址為時允許該入口的通信流量RTB(config)#access-list1deny55//定義1號標(biāo)準(zhǔn)ACL,當(dāng)源地址網(wǎng)絡(luò)標(biāo)識為時拒絕該入口的通信流量RTB(config)#access-list1permitany//定義1號標(biāo)準(zhǔn)ACL,當(dāng)源地址為其他時允許該入口的通信流量。這行非常重要,若不設(shè)置,路由器將拒絕其他所有流量RTB(config)#interfaces0/0/0RTB(config-if)#ipaccess-group1in//將1號標(biāo)準(zhǔn)ACL應(yīng)用于該端口,in表示對輸入數(shù)據(jù)生效,out表示對輸出數(shù)據(jù)生效3.驗證標(biāo)準(zhǔn)ACL配置完標(biāo)準(zhǔn)ACL后,可以通過以下命令進行驗證。RTB#showaccesslists//顯示ACLStandardipaccesslist1 10 permit 20 deny,wildcardbits55(16matches) 30 permitany(18matches)RTB#showipinterface//查看ACL作用在IP接口上的信息配置擴展ACL在如圖所示的網(wǎng)絡(luò)中

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論