網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程 課件 第四章 路由設(shè)備配置

第四章

路由設(shè)備配置網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程CONTENTS教學目標路由器是網(wǎng)絡(luò)的核心，負責在網(wǎng)絡(luò)間將數(shù)據(jù)包從初始源位置轉(zhuǎn)發(fā)到最終目的地；路由器可以實現(xiàn)路由、網(wǎng)絡(luò)訪問控制、防止廣播風暴，提高網(wǎng)絡(luò)安全等功能；路由器的安裝和調(diào)試比較復(fù)雜，相對其他網(wǎng)絡(luò)互連設(shè)備的價格較高。【知識目標】?了解路由器的類型。?掌握路由器基本原理。?掌握各種路由的常用命令?！炯寄苣繕恕?能夠配置靜態(tài)路由、動態(tài)路由，是網(wǎng)絡(luò)暢通。?能夠用OSPF路由完成路由配置，使網(wǎng)絡(luò)暢通。?能夠配置標準ACL實現(xiàn)網(wǎng)絡(luò)基本流量控制。?能夠配置DHCP服務(wù)實現(xiàn)內(nèi)部網(wǎng)絡(luò)地址動態(tài)獲取。?能夠配置靜態(tài)NAT、動態(tài)NAT，實現(xiàn)內(nèi)網(wǎng)和外網(wǎng)的互訪。?能夠配置三層交換機實現(xiàn)VLAN間的路由轉(zhuǎn)發(fā)。CONTENTS4.1路由器基本配置4.24.34.44.54.64.7靜態(tài)路由動態(tài)路由訪問控制列表DHCP與NAT廣域網(wǎng)鏈路三層交換機配置4.1路由器基本配置網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程

4.1.1項目背景

1.需求分析路由器是網(wǎng)絡(luò)的核心，負責在網(wǎng)絡(luò)間將數(shù)據(jù)包從初始源位置轉(zhuǎn)發(fā)到最終目的地；路由器可以實現(xiàn)路由、網(wǎng)絡(luò)訪問控制、防止廣播風暴，提高網(wǎng)絡(luò)安全等功能；路由器的安裝和調(diào)試比較復(fù)雜，相對其他網(wǎng)絡(luò)互連設(shè)備的價格較高。

現(xiàn)在需要盡快完成對公司路由器設(shè)備的檢查和基本配置，使之能夠應(yīng)用在今后的網(wǎng)絡(luò)建設(shè)中。本項目練習所涉及的技能是完成本章其他項目練習的基礎(chǔ)。2.環(huán)境準備?設(shè)備：華為路由器2臺，以太網(wǎng)交換機1臺，PC2臺。?線纜：標準直通線2根，交叉線1根，Null。串行電纜一組。?每組2名學生，各操作1臺PC，協(xié)同進行實訓(xùn)。4.1路由器基本配置網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程

3.技能準備（1）認識路由器的組成

路由器由硬件和軟件兩部分組成，了解其結(jié)構(gòu)組成將有助于設(shè)備操作。

路由器硬件及接口編號。路由器的硬件主要包括以下部分，并由總線將其連接起來，如下圖所示。

圖4-2模塊化路由器接口編號示意圖?中央處理單元CPU。?4種存儲器：只讀存儲器ROM、內(nèi)存RAM、閃存Flash和非易失性內(nèi)存NVRAM。?配置端口：包括控制臺端口

Console和輔助端口AUX網(wǎng)絡(luò)接口：快速以太網(wǎng)接口

FastEthemet、異步串行廣域網(wǎng)接口Serial等。

目前很多路由器都是模塊化的，模塊化路由器接口編號在配置路由器時必須注意。4.1路由器基本配置網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程

（2）正確識別路由器的線纜線纜是路由設(shè)備互連的重要配件，一般常用到的線纜主要有控制臺線纜、以太網(wǎng)線纜和串行廣域網(wǎng)線纜。

①控制臺線纜。與交換機一樣，路由器的控制臺電纜用來做帶外配置時的控制臺連接，一端連到設(shè)備的Console口，另一端通過RJ45-DB9轉(zhuǎn)換器連接到PC機的串口，如圖所示。連接和配置過程略。②以太網(wǎng)線纜。常見的以太網(wǎng)線纜包括用于不同類設(shè)備相連的直通線和同類設(shè)備相連的交叉線，注意在路由器直連連接計算機網(wǎng)卡時要采用交叉連接，如圖4-4所示。4.1路由器基本配置網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程

③串行廣域網(wǎng)接口線纜。較新的路由器（如1841、2811）串口一般使用V.24標準思科智能串口電纜，而比較老的路由器（如2500系列）則通常采用V.35標準華為60針接口電纜，如圖所示。

WAN連接使用V.24或V.35串口電纜連接路由器（DTE）和WAN服務(wù)提供商的數(shù)據(jù)線路終端設(shè)備（DCE），并由DCE設(shè)備將來自DTE的數(shù)據(jù)轉(zhuǎn)換成服務(wù)提供商可接受的格式。V.24和V.35即是兩種常用的DCE物理層接口標準。4.1路由器基本配置網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程

在實驗環(huán)境中，因為不存在WAN網(wǎng)云和DCE設(shè)備，通常使用背對背連接的DTE-DCE電纜來連接兩臺路由器，稱作Null。串行電纜。該電纜由一根DCE電纜和一根DTE電纜組成，如圖所示的V.35DCE電纜（凹連接頭）和V.35DTE電纜（凸連接頭）。凹連接頭和凸連接頭連接在一起就構(gòu)成了Null0串行電纜。

需要注意的是，與課堂實驗中使用的電纜不同，真實環(huán)境中的串行電纜并不是直連的背對背連接。其中一臺路由器可能在北京，而另一臺路由器可能在上海，進行故障排除時，北京的管理員需要通過WAN網(wǎng)云連接到位于上海的路由器。4.1路由器基本配置網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程

（3）路由器配置途徑

①控制臺端口方式?？刂婆_端口是一個管理端口，通過該端口能夠?qū)β酚善鬟M行帶外訪問。該端口用于設(shè)置路由器的初始配置并對其進行監(jiān)控，具體連接及設(shè)置方法同交換機，請參閱項目3.1；也可以將PC與路由器輔助端口AUX直連相連，以進行路由器的配置。這兩種途徑都屬于帶外配置，不占用網(wǎng)絡(luò)帶寬，但需要做額外的連接。

②遠程登錄（Telnet）方式。如果為路由器設(shè)置了管理IP地址和相關(guān)的Telnet管理口令，并啟動了Telnet管理方式，就可通過運行Telnet程序的計算機作為路由器的虛擬終端與路由器建立通信，完成路由器的配置。這種配置方式屬于一種帶內(nèi)配置，占用網(wǎng)絡(luò)帶寬，但配置地點靈活，在任何一臺聯(lián)網(wǎng)的計算機上均可完成；遠程登錄與控制臺端口方式的操作界面都是命令行CLI。4.1路由器基本配置網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程

③網(wǎng)絡(luò)管理軟件方式?？梢酝ㄟ^運行網(wǎng)絡(luò)管理軟件對路由器進行配置。

這種配置方式屬于帶內(nèi)配置，基于圖形化界面，操作簡單，但需要安裝額外的軟件，而且不是所有的設(shè)備都支持。任務(wù)1：對使用路由器的網(wǎng)絡(luò)進行布線連接并清除可能的配置。

任務(wù)2：為路由器配置基本信息，如為路由器命名、配置標語、設(shè)置口令、配置接口地

址等。

任務(wù)3：整理配置文檔以保存路由器配置信息。

任務(wù)4：為路由器執(zhí)行密碼恢復(fù)過程。

任務(wù)5：對路由器執(zhí)行IOS備份與升級，并模擬執(zhí)行IOS災(zāi)難恢復(fù)。4.1路由器基本配置網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程

（4）路由器配置途徑

①控制臺端口方式?？刂婆_端口是一個管理端口，通過該端口能夠?qū)β酚善鬟M行帶外訪問。該端口用于設(shè)置路由器的初始配置并對其進行監(jiān)控，具體連接及設(shè)置方法同交換機，請參閱項目3.1；也可以將PC與路由器輔助端口AUX直連相連，以進行路由器的配置。

這兩種途徑都屬于帶外配置，不占用網(wǎng)絡(luò)帶寬，但需要做額外的連接。

②遠程登錄（Telnet）方式。如果為路由器設(shè)置了管理IP地址和相關(guān)的Telnet管理口令，并啟動了Telnet管理方式，就可通過運行Telnet程序的計算機作為路由器的虛擬終端與路由器建立通信，完成路由器的配置。

這種配置方式屬于一種帶內(nèi)配置，占用網(wǎng)絡(luò)帶寬，但配置地點靈活，在任何一臺聯(lián)網(wǎng)的計算機上均可完成；遠程登錄與控制臺端口方式的操作界面都是命令行CLE。

③網(wǎng)絡(luò)管理軟件方式?？梢酝ㄟ^運行網(wǎng)絡(luò)管理軟件對路由器進行配置。

這種配置方式屬于帶內(nèi)配置，基于圖形化界面，操作簡單，但需要安裝額外的軟件，而且不是所有的設(shè)備都支持。4.1路由器基本配置網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程4.1.2項目設(shè)計

任務(wù)1：對使用路由器的網(wǎng)絡(luò)進行布線連接并清除可能的配置。

任務(wù)2：為路由器配置基本信息，如為路由器命名、配置標語、設(shè)置口令、配置接口地址等。

任務(wù)3：整理配置文檔以保存路由器配置信息。

任務(wù)4：為路由器執(zhí)行密碼恢復(fù)過程。

任務(wù)5：對路由器執(zhí)行IOS備份與升級，并模擬執(zhí)行IOS災(zāi)難恢復(fù)。

1.拓撲設(shè)計

本項目的網(wǎng)絡(luò)拓撲設(shè)計如圖所示。4.1路由器基本配置網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程

2.IP地址設(shè)計

本項目中局域網(wǎng)默認網(wǎng)關(guān)地址設(shè)計為所屬網(wǎng)段第1個地址，而計算機地址采用第2個地址；串行鏈路接口地址采用所屬網(wǎng)段的前兩個地址。具體設(shè)備接口地址設(shè)計方案見表。設(shè)備接口IP地址子網(wǎng)掩碼默認網(wǎng)關(guān)R1G0/0/0不適用G0/0/1不適用R2G0/0/1不適用E0/0/0不適用PC1不適用0PC2不適用0設(shè)備接口IP地址表4.1路由器基本配置網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程

4.1.3項目實施1.網(wǎng)絡(luò)布線任務(wù)1：按照拓撲設(shè)計實施網(wǎng)絡(luò)布線。

?使用直通以太網(wǎng)電纜將R1路由器的G0/0/0接口連接到S1交換機的E0/0/2接口。

?使用直通以太網(wǎng)電纜將PC1的網(wǎng)卡連接到S1交換機的E0/0/1接口。

?使用交叉以太網(wǎng)電纜將R2路由器的E0/0/0接口連接到PC2的網(wǎng)卡。?制作串行電纜，將R1路由器的s0/0/0和R2的s0/0/0接口做背對背連接，R1的s0/0/0為DCE端。

?使用控制臺電纜連接R1路由器的Console口和PC的COM1或COM2口。2.路由器基本信息配置

任務(wù)1：為路由器配置全局信息。

配置R1主機名為“R1”。[Huawei]sysnameR1[R1]4.1路由器基本配置網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程

任務(wù)2：為路由器配置接口信息。

配置局域網(wǎng)接口G0/0/1。

[Huawei-GigabitEthernet0/0/0]intg0/0/1[Huawei-GigabitEthernet0/0/1]ipadd

任務(wù)3：保存配置。

<R1>SAVEThecurrentconfigurationwillbewrittentothedevice.Areyousuretocontinue?[Y/N]YInfo:Pleaseinputthefilename(*.cfg,*.zip)[vrpcfg.zip]:Sep19202116:29:09-08:00R1%%01CFM/4/SAVE(l)[2]:TheuserchoseYwhendecidingwhethertosavetheconfigurationtothedevice.

任務(wù)4：配置R2及PC。

①對R2重復(fù)任務(wù)1?任務(wù)3，進行相關(guān)參數(shù)的配置，注意主機名、接口地址的不同。

②使用IP地址0/24和默認網(wǎng)關(guān)配置主機PC1。

③使用IP地址0/24和默認網(wǎng)關(guān)配置主機PC2。4.1路由器基本配置網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程

任務(wù)5：檢驗并測試配置。

①使用displayiprouting-table命令檢驗路由。

<R1>disiprouting-tableRouteFlags:R-relay,D-downloadtofib--------------------------------------------------------------RoutingTables:PublicDestinations:9 Routes:11Destination/MaskProtoPreCostFlagsNextHopInterface/8Direct00DInLoopBack0/8Direct00DInLoopBack0

displayiprouting-table命令及其輸由將在后續(xù)項目中深入探討。目前，R1和R2中都包含兩條路由，每條路由前都帶有“D”標識，這表示它們是直連相連網(wǎng)絡(luò)，一旦在每臺路由器上配置了相關(guān)接口便會激活直連路由。4.1路由器基本配置網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程

②使用displayipinterfacebrief命令檢驗接口配置。

如路由表中沒有出現(xiàn)以上兩個直連路由，一個常見的問題是沒有正確配置或激活路由器接口。使用displayipinterfacebrief命令快速檢驗每臺路由器接口的配置。屏幕上會顯示與以下類似的輸出：<R1>disipinterfacebrief*down:administrativelydown!down:FIBoverloaddown^down:standby(l):loopback(s):spoofing(d):DampeningSuppressedThenumberofinterfacethatisUPinPhysicalis3ThenumberofinterfacethatisDOWNinPhysicalis8ThenumberofinterfacethatisUPinProtocolis3ThenumberofinterfacethatisDOWNinProtocolis84.1路由器基本配置網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程

InterfaceIPAddress/MaskPhysicalProtocolEthernet0/0/0unassigneddowndownEthernet0/0/1unassigneddowndownGigabitEthernet0/0/0/24upupGigabitEthernet0/0/1/24upupGigabitEthernet0/0/2unassigneddowndownGigabitEthernet0/0/3unassigneddowndownNULL0unassignedupup(s)Serial0/0/0unassigneddowndownSerial0/0/1unassigneddowndownSerial0/0/2unassigneddowndownSerial0/0/3unassigneddowndown

如果兩個接口的狀態(tài)都是up和up，則路由表中將包含兩條路由。使用displayiprouting-table命令再次進行檢驗。4.1路由器基本配置網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程

③測試局域網(wǎng)連通性。?從每臺主機ping其默認網(wǎng)關(guān)，以此來測試連通性。?從連接到R1的主機是否能ping通其默認網(wǎng)關(guān)？?從連接到R2的主機是否能ping通其默認網(wǎng)關(guān)？

如果上述任一問題的答案為否，則按照以下流程檢査配置，找出問題所在：

步驟1：檢查PC：它們是否實際連接到了正確的路由器？（應(yīng)該是直連相連或通過交換機連接在一起。）

是否所有相關(guān)端口的鏈路指示燈都在閃爍

步驟2：檢查PC的配置：其配置是否與拓撲圖一致

步驟3：使用displayipinterfacebrief命令檢査路由器接口：是否所有接口都為up。

如果上述所有3個環(huán)節(jié)的答案都為是，應(yīng)該能成功ping通默認網(wǎng)關(guān)。4.1路由器基本配置網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程

④測試路由器R1和R2之間的連通性。

在路由器R1上，是否能夠使用ping命令ping通R2？在路由器R2上，是否能夠使用ping命令ping通R1？如果上述問題的答案為否，則按照以下流程檢查配置，找出問題所在。

步驟1：檢查布線：路由器是否連接妥當？是否所有相關(guān)端口的鏈路指示燈都在閃爍？

步驟2：檢查路由器配置：其配置是否與拓撲圖一致？

步驟3：使用displayipinterfacebrief命令檢查路由器接口：是否所有接口都為up和up？

如果上述所有3個環(huán)節(jié)的答案都為是，那么應(yīng)該能成功從R2ping通R1，從R1ping通R2。

問題及思考：

嘗試從連接到R1的主機PC1ping連接到R2的主機PC2；或從主機PC1

ping路由器R2以及從主機PC2ping路由器R1，這些ping應(yīng)該會失敗，這些設(shè)備之間無法通信是因為網(wǎng)絡(luò)中缺少什么？

⑤測試遠程登錄。

輸入命令“telnet”，進行遠程登錄。4.1路由器基本配置網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程

3.整理配置文檔

利用TFTP服務(wù)器可以實現(xiàn)路由器和交換機配置文件的備份和恢復(fù)，在項目3.1中已有介紹；這里介紹另一種保存和恢復(fù)配置的方法，即整理配置文檔的方法。

路由器配置可以截取到文本（txt）文件并保存下來供今后使用，保存的配置還可以復(fù)制回路由器，這樣在快速恢復(fù)路由器配置時就不需要逐一輸入命令了。下面以R1路由器為例說明如何截取配置并保存，R2的操作類似。

任務(wù)1：保存配置到文本文件Rl_config.txt。

①使用displaycurrent-configuration命令查看路由器的當前運行配置。<R1>discurrent-configuration#sysnameR1#aaaauthentication-schemedefaultauthorization-schemedefault4.1路由器基本配置網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程accounting-schemedefaultdomaindefaultdomaindefault_adminlocal-useradminpasswordcipherOOCM4m($F4ajUn1vMEIBNUw#local-useradminservice-typehttp#firewallzoneLocalpriority16#interfaceEthernet0/0/0#interfaceEthernet0/0/1#interfaceSerial0/0/0link-protocolppp#interfaceSerial0/0/1link-protocolppp4.1路由器基本配置網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程4.1.4項目總結(jié)與文檔

1.項目總結(jié)

本項目介紹了如何對路由器進行布線連接和基本參數(shù)的配置。

路由器的控制臺連接、以太網(wǎng)連接和串行連接分別使用Console電纜、標準直通線和交叉線。

路由器的初始配置包括為路由器命名、配置標語、設(shè)置口令、配置接口地址等；將配置文檔整理并保存到文本文件中可以為快速恢復(fù)路由器配置提供可能，應(yīng)養(yǎng)成整理配置文檔的習慣。2.項目文檔

在項目結(jié)束后完成項目規(guī)劃及實施報告。謝謝！THANKYOU!網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程主講人：萬鵬第四章

路由設(shè)備配置網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程CONTENTS教學目標路由器是網(wǎng)絡(luò)的核心，負責在網(wǎng)絡(luò)間將數(shù)據(jù)包從初始源位置轉(zhuǎn)發(fā)到最終目的地；路由器可以實現(xiàn)路由、網(wǎng)絡(luò)訪問控制、防止廣播風暴，提高網(wǎng)絡(luò)安全等功能；路由器的安裝和調(diào)試比較復(fù)雜，相對其他網(wǎng)絡(luò)互連設(shè)備的價格較高?！局R目標】?了解路由器的類型。?掌握路由器基本原理。?掌握各種路由的常用命令?！炯寄苣繕恕?能夠配置靜態(tài)路由、動態(tài)路由，是網(wǎng)絡(luò)暢通。?能夠用OSPF路由完成路由配置，使網(wǎng)絡(luò)暢通。?能夠配置標準ACL實現(xiàn)網(wǎng)絡(luò)基本流量控制。?能夠配置DHCP服務(wù)實現(xiàn)內(nèi)部網(wǎng)絡(luò)地址動態(tài)獲取。?能夠配置靜態(tài)NAT、動態(tài)NAT，實現(xiàn)內(nèi)網(wǎng)和外網(wǎng)的互訪。?能夠配置三層交換機實現(xiàn)VLAN間的路由轉(zhuǎn)發(fā)。CONTENTS4.1路由器基本配置4.24.34.44.54.64.7靜態(tài)路由動態(tài)路由訪問控制列表DHCP與NAT廣域網(wǎng)鏈路三層交換機配置4.2靜態(tài)路由網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程1.拓撲設(shè)計本項目的網(wǎng)絡(luò)拓撲設(shè)計如圖所示。4.2靜態(tài)路由網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程2.IP地址設(shè)計

本項目中涉及3個本地局域網(wǎng)和2個串行廣域網(wǎng)連接，網(wǎng)絡(luò)地址分配情況見表4-2。局域網(wǎng)默認網(wǎng)關(guān)地址設(shè)計為所屬網(wǎng)段第1個地址，而計算機地址采用第2個地址；串行鏈路接口地址采用所屬網(wǎng)段的前兩個地址。

具體設(shè)備接口地址設(shè)計方案見表。設(shè)備接口IP地址子網(wǎng)掩碼默認網(wǎng)關(guān)R1E0/0/0不適用S0/0/0不適用R2E0/0/0不適用S0/0/0不適用S0/0/1不適用R3E0/0/0不適用S0/0/1不適用PC1網(wǎng)卡0PC2網(wǎng)卡0PC3網(wǎng)卡0

設(shè)備接口IP地址表4.2靜態(tài)路由網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程4.2.3項目實施

首先進行布線及路由器的初始配置。注意：本部分任務(wù)1～任務(wù)3所涉及的技能均已在項目4.1中實現(xiàn)過，任務(wù)4是補充內(nèi)容，可以跳過不做，不影響本項目的整體結(jié)果。

任務(wù)1：布線、清除配置并重新啟動路由器。

①選擇正確的線纜完成網(wǎng)絡(luò)連接，構(gòu)建類似拓撲圖所示的網(wǎng)絡(luò)。

②清除每臺路由器上的配置。

任務(wù)2：執(zhí)行路由器基本配置。

①配置路由器主機名。

任務(wù)3：配置接口地址。

①按照地址表配置各路由器的接口IP。

②按照地址表配置各主機的IP地址。4.2靜態(tài)路由網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程任務(wù)4：測試并校驗配置。

步驟1：測試各PC與其默認網(wǎng)關(guān)的連通性，應(yīng)該是通的。

步驟2：測試直連路由器之間的連通性，應(yīng)該是通的。

步驟3：測試非直連相連設(shè)備（如任兩臺PC）之間的連通性。這些ping命令全部都會失敗。為什么？因為沒有配置遠程網(wǎng)絡(luò)路由。

至此為止，已經(jīng)完成了項目的基本搭建和除路由之外的其他配置，下面將為路由器配置靜態(tài)路由，以實現(xiàn)遠程網(wǎng)絡(luò)之間的通信。1.配置靜態(tài)路由

任務(wù)1：為R1配置靜態(tài)路由。

使用下一跳地址配置靜態(tài)路由。

[R1]iproute-static24[R1]iproute-static24

或者使用送出接口配置靜態(tài)路由：

[R1]iproute-static24s0/0/0[R1]iproute-static24s0/0/04.2靜態(tài)路由網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程

任務(wù)2：配置R2靜態(tài)路由。

使用下一跳地址配置靜態(tài)路由。

[Huawei]iproute-static24[Huawei]iproute-static24

或者使用送出接口配置靜態(tài)路由：

[Huawei]iproute-static24s0/0/0[Huawei]iproute-static24s0/0/1

任務(wù)3：配置R3靜態(tài)路由。

使用下一跳地址配置靜態(tài)路由。

[Huawei]iproute-static24[Huawei]iproute-static24

或者使用送出接口配置靜態(tài)路由：

[Huawei]iproute-static24s0/0/1[Huawei]iproute-static24s0/0/14.2靜態(tài)路由網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程

任務(wù)4：查看路由表并測試網(wǎng)絡(luò)。①R2上路由表輸出如下，R1、R3類似。

[Huawei-Ethernet0/0/0]displayiprouting-tableRouteFlags:R-relay,D-downloadtofib----------------------------------------------------------------RoutingTables:PublicDestinations:9 Routes:9

Destination/Mask Proto Pre Cost FlagsNextHop Interface

/8Direct00DInLoopBack0/32Direct00DInLoopBack0

②測試網(wǎng)絡(luò)連通性：各主機之間應(yīng)該已經(jīng)全部能ping通了。4.2靜態(tài)路由網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程2.配由默認路由

在前面的靜態(tài)路由配置中，已為路由器配置了通往特定目的地的具體路由。但是能為Internet上的每一臺路由器都執(zhí)行同樣的操作嗎？答案是不能。工作量是如此之大，根本無法應(yīng)付。為了縮小路由表的大小，可以使用默認路由。當路由器沒有更好、更精確的路由能到達目的地時，它就會使用默認路由。

實際上，本項目實驗中R1是末節(jié)路由器，這意味著R2即是R1的默認網(wǎng)關(guān)。如果R1要路由的數(shù)據(jù)包不屬于其任何一個直連網(wǎng)絡(luò)，那么R1應(yīng)將該數(shù)據(jù)包發(fā)給R2。必須在R1上明確配置一條默認路由，這樣R1才能將目的地未知的數(shù)據(jù)包發(fā)給R2，否則R1會將目的地未知的數(shù)據(jù)包丟棄。

下面將本項目中R1路由器改用靜態(tài)默認路由實現(xiàn)。①首先要刪除已配置的靜態(tài)路由。[R1]undoiproute-static[R1]undoiproute-staticSerial0/0/0[R1]undoiproute-static[R1]undoiproute-staticSerial0/0/04.2靜態(tài)路由網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程②配置靜態(tài)默認路由[R1]iproute-static24

或者：[R1]iproute-static24s0/0/0③查看R1路由表，輸出如下：<R1>disiprouting-tableRouteFlags:R-relay,D-downloadtofib----------------------------------------------------------------RoutingTables:PublicDestinations:9 Routes:9Destination/Mask Proto PreCostFlagsNextHop Interface/24Static600RDSerial0/0/0Static600DSerial0/0/0/8Direct00DInLoopBack0/32Direct00DInLoopBack0

測試網(wǎng)絡(luò)連通性，網(wǎng)絡(luò)應(yīng)該還是通的。4.2靜態(tài)路由網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程3.配置總結(jié)路由

前面在R3上可以配置3條靜態(tài)路由分別到達/24、/24和/24，由于這些網(wǎng)絡(luò)彼此非常接近，可將它們總結(jié)為一條路由。該方法同樣可縮小路由表的大小，從而使得路由查找過程更有效率。

觀察以二進制形式表示的這3個網(wǎng)絡(luò)，會發(fā)現(xiàn)它們的靠左22位完全相同。010101100.00010000.00000001.00000000010101100.00010000.00000010.00000000010101100.00010000.00000011.00000000

如果不考慮這22位之后的其余位，可以將這3個網(wǎng)絡(luò)總結(jié)為/22。以點分十進制格式來表示的掩碼為：。4.2靜態(tài)路由網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程①在R3上重新配置總結(jié)靜態(tài)路由。

[R3]iproute-static24

在R3上配置總結(jié)路由不會刪除之前配置的靜態(tài)路由，因為這些路由更加精確。之前的路由都使用/24掩碼，而新的總結(jié)路由使用/22掩碼。為了縮小路由表的大小，可以刪除更為精確的/24路由。②刪除R3上已配置的靜態(tài)路由。

[R3]undoiproute-static[R3]undoiproute-staticSerial0/0/1[R3]undoiproute-static[R3]undoiproute-staticSerial0/0/14.2靜態(tài)路由網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程③使用displayiproute命令檢查之前配置的靜態(tài)路由已從路由表中消失，取而代之的是一條靜態(tài)總結(jié)路由，如下所示。[R3]displayiprouting-tableRouteFlags:R-relay,D-downloadtofib----------------------------------------------------------------RoutingTables:PublicDestinations:8 Routes:8

Destination/Mask Proto PreCostFlagsNextHop Interface

/8Direct00DInLoopBack0/32Direct00DInLoopBack0/24Static600RDSerial0/0/1④測試網(wǎng)絡(luò)連通性，網(wǎng)絡(luò)應(yīng)該還是通的。

清理實驗設(shè)施：清除配置并重新啟動路由器；斷開連接并將電纜收好；對于平時連接到其他網(wǎng)絡(luò)（例如學校LAN或Internet）的PC主機，請恢復(fù)往日的連接并還原TCP/IP設(shè)置。4.2靜態(tài)路由網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程4.2.4項目總結(jié)與文檔

1.項目總結(jié)

本項目回顧了項目4.1路由器基本配置的實施過程，并學習了路由表及靜態(tài)路由、默認路由、總結(jié)路由的配置。路由表是存儲了網(wǎng)絡(luò)相關(guān)信息的數(shù)據(jù)表，包含有路由類型、網(wǎng)絡(luò)地址和子網(wǎng)掩碼、出站接口、下一跳地址等信息，路由器就是依靠路由表來轉(zhuǎn)發(fā)數(shù)據(jù)包的。

靜態(tài)路由是由管理員手工輸入的路由，它不會自動跟隨網(wǎng)絡(luò)拓撲的變化而變化，一般適用于結(jié)構(gòu)比較簡單的網(wǎng)絡(luò)，可以通過iproute-static命令來配置。

默認路由是指當路由表中與數(shù)據(jù)包的目的地址之間沒有匹配的表項時路由器能夠做出的選擇。如果沒有默認路由，那么目的地址在路由表中沒有匹配項的包將被丟棄。靜態(tài)默認路由通常用來表示，在末節(jié)網(wǎng)絡(luò)中，配置靜態(tài)默認路由可以大大減小管理工作量。

總結(jié)路由是指對彼此非常接近的多個網(wǎng)絡(luò)進行超網(wǎng)化得出的一條路由，可縮小路由表的大小，從而使得路由查找過程更有效率。靜態(tài)總結(jié)路由可以大大提高路由效率。

2.項目文檔

在項目結(jié)束后完成項目規(guī)劃及實施報告。謝謝！THANKYOU!網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程主講人：萬鵬第四章

路由設(shè)備配置網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程CONTENTS教學目標路由器是網(wǎng)絡(luò)的核心，負責在網(wǎng)絡(luò)間將數(shù)據(jù)包從初始源位置轉(zhuǎn)發(fā)到最終目的地；路由器可以實現(xiàn)路由、網(wǎng)絡(luò)訪問控制、防止廣播風暴，提高網(wǎng)絡(luò)安全等功能；路由器的安裝和調(diào)試比較復(fù)雜，相對其他網(wǎng)絡(luò)互連設(shè)備的價格較高?！局R目標】?了解路由器的類型。?掌握路由器基本原理。?掌握各種路由的常用命令?！炯寄苣繕恕?能夠配置靜態(tài)路由、動態(tài)路由，是網(wǎng)絡(luò)暢通。?能夠用OSPF路由完成路由配置，使網(wǎng)絡(luò)暢通。?能夠配置標準ACL實現(xiàn)網(wǎng)絡(luò)基本流量控制。?能夠配置DHCP服務(wù)實現(xiàn)內(nèi)部網(wǎng)絡(luò)地址動態(tài)獲取。?能夠配置靜態(tài)NAT、動態(tài)NAT，實現(xiàn)內(nèi)網(wǎng)和外網(wǎng)的互訪。?能夠配置三層交換機實現(xiàn)VLAN間的路由轉(zhuǎn)發(fā)。CONTENTS4.1路由器基本配置4.24.34.44.54.64.7靜態(tài)路由動態(tài)路由訪問控制列表DHCP與NAT廣域網(wǎng)鏈路三層交換機配置4.3動態(tài)路由網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程4.3.1項目背景

1.需求分析

靜態(tài)路由由于需要管理員根據(jù)網(wǎng)絡(luò)狀況手動添加，當網(wǎng)絡(luò)規(guī)模較大或經(jīng)常容易發(fā)生結(jié)構(gòu)變化時，將給管理員帶來極大的工作量，而且容易出錯。此時，采用路由器自動計算路由的動態(tài)路由將給網(wǎng)絡(luò)管理帶來極大的方便。而且，在大型公司網(wǎng)和ISP網(wǎng)絡(luò)中，采用靜態(tài)路由幾乎是不可能的。

本項目模擬一家成長中的公司網(wǎng)絡(luò)，由于公司的發(fā)展和業(yè)務(wù)調(diào)整，公司網(wǎng)絡(luò)面臨著經(jīng)常變化的狀況，請為公司網(wǎng)絡(luò)配置動態(tài)路由以滿足網(wǎng)絡(luò)的有效運行。4.3動態(tài)路由網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程2.技能準備(1)了解動態(tài)路由協(xié)議

動態(tài)路由協(xié)議自20世紀80年代初期開始應(yīng)用于網(wǎng)絡(luò)。通過動態(tài)路由協(xié)議，路由器可以動態(tài)共享有關(guān)遠程網(wǎng)絡(luò)的路由信息，并將其自動添加到各自路由表中。

RIP（路由信息協(xié)議）是最早出現(xiàn)的路由協(xié)議，目前已經(jīng)演變到RIPv2版，但新版的RIP協(xié)議仍不具有擴展性，無法用于較大型的網(wǎng)絡(luò)。為了滿足大型網(wǎng)絡(luò)的需要，兩種高級路由協(xié)議——OSPF（開放最短路徑優(yōu)先）協(xié)議和IS-IS（中間系統(tǒng)到中間系統(tǒng)）協(xié)議應(yīng)運而生。也推出了面向大型網(wǎng)絡(luò)的IGRP（內(nèi)部網(wǎng)關(guān)路由協(xié)議）和EIGRP（增強型IGRP）協(xié)議。

此外，不同網(wǎng)際網(wǎng)絡(luò)之間的互連也提出對網(wǎng)間路由的需求。現(xiàn)在，各ISP之間以及ISP與其大型專有客戶之間采用BGP（邊界網(wǎng)關(guān)路由）協(xié)議來交換路由信息。4.3動態(tài)路由網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程(2)路由協(xié)議分類

①內(nèi)部網(wǎng)關(guān)協(xié)議（IGP）和外部網(wǎng)關(guān)協(xié)議（EGP），是按照自治系統(tǒng)（AS）來區(qū)分的。所謂AS，也稱路由域，是指共同管理區(qū)域內(nèi)的一組路由器。

IGP就是在自治系統(tǒng)內(nèi)部進行路由的路由協(xié)議；EGP則用于在自治系統(tǒng)之間路由，如圖所示。

只有BGP—種路由協(xié)議屬于EGP，而其他常見的RIP、IGRP、EIGRP、OSPF等路由協(xié)議全部都是IGP。4.3動態(tài)路由網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程

②距離矢量路由協(xié)議和鏈路狀態(tài)路由協(xié)議，采用不同的路由算法，其路由效率也有較大差異。距離矢量路由協(xié)議以距離和方向構(gòu)成的矢量來通告路由信息，定期（如每隔30s）向所有鄰居發(fā)送完整路由表，在大型網(wǎng)絡(luò)中，這些路由更新會在鏈路中產(chǎn)生大規(guī)模的通信流量，因而適用于結(jié)構(gòu)簡單的小型網(wǎng)絡(luò)中。

鏈路狀態(tài)路由協(xié)議則使用鏈路狀態(tài)信息來創(chuàng)建拓撲圖，并據(jù)此選擇最佳路徑。鏈路狀態(tài)路由協(xié)議采用觸發(fā)式更新，只在網(wǎng)絡(luò)拓撲結(jié)構(gòu)發(fā)生變化時才發(fā)送鏈路狀態(tài)更新信息，節(jié)省了網(wǎng)絡(luò)流量。鏈路狀態(tài)協(xié)議適用于分層設(shè)計、對收斂速度要求極高的大型網(wǎng)絡(luò)。RIP和IGRP屬于距離矢量路由協(xié)議，OSPF是典型的鏈路狀態(tài)路由協(xié)議，EIGRP則是一種混合型路由協(xié)議。OSPF和EIGRP是目前網(wǎng)絡(luò)中經(jīng)常使用的內(nèi)部路由協(xié)議。4.3動態(tài)路由網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程③有類路由協(xié)議和無類路由協(xié)議。首先要明確一下有類網(wǎng)絡(luò)和無類網(wǎng)絡(luò)的概念。有類網(wǎng)絡(luò)最初指使用有類地址（A類、B類、C類）的網(wǎng)絡(luò)，后特指整個網(wǎng)絡(luò)拓撲結(jié)構(gòu)中使用同一子網(wǎng)掩碼的網(wǎng)絡(luò)，如圖所示。無類網(wǎng)絡(luò)指整個網(wǎng)絡(luò)中使用多個子網(wǎng)掩碼的網(wǎng)絡(luò)，如圖所示。4.3動態(tài)路由網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程

有類網(wǎng)絡(luò)和無類網(wǎng)絡(luò)在路由問題上的需求是不一樣的：在有類網(wǎng)絡(luò)的路由信息更新中不需要包括子網(wǎng)掩碼，因為子網(wǎng)掩碼全網(wǎng)一致；而無類網(wǎng)絡(luò)的路由信息更新中必須同時包括網(wǎng)絡(luò)地址和子網(wǎng)掩碼。這也正是有類路由協(xié)議和無類路由協(xié)議的差別。

有類路由協(xié)議在路由更新中不發(fā)送子網(wǎng)掩碼信息，不支持VLSM，不支持非連續(xù)網(wǎng)絡(luò)，如RIPv1和IGRP。目前已很少在網(wǎng)絡(luò)中使用有類路由協(xié)議。無類路由協(xié)議由于在路由更新中同時包括網(wǎng)絡(luò)地址和子網(wǎng)掩碼信息，支持VLSM和非連續(xù)網(wǎng)絡(luò)及無類網(wǎng)絡(luò)，得到廣泛認可。如今的大部分網(wǎng)絡(luò)都采用無類路由協(xié)議，如RIPv2、EIGRP、OSPF、IS-IS和BGP等。

將默認路由行為從有類更改為無類，默認情況下進行配置的是ipclassless命令。使用無類路由行為意味著，路由過程不再假定有類主網(wǎng)絡(luò)的所有子網(wǎng)只能通過在父路由的子路由中找到的匹配路由到達。4.3動態(tài)路由網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程

（3）管理距離

管理距離（AD）是從0-255的整數(shù)值，用來定義路由來源的優(yōu)先級別，值越低表示路由來源的優(yōu)先級別越高。0表示優(yōu)先級別最高；255表示路由器不信任該路由來源，并且不會將其添加到路由表中。

直連路由的管理距離為0，且該值不能更改；靜態(tài)路由的管理距離為1；動態(tài)路由的管理距離各不相同，例如，RIP—120、EIGRP—90、OSPF—80……可以修改靜態(tài)路由和動態(tài)路由協(xié)議的管理距離，如果從多個不同的路由來源獲取到同一目的網(wǎng)絡(luò)的路由信息，huawei路由器會使用AD值小的來選擇最佳路徑。4.3動態(tài)路由網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程4.3.2項目設(shè)計

任務(wù)1：按照拓撲設(shè)計連接網(wǎng)絡(luò)，清除可能的設(shè)備配置并完成網(wǎng)絡(luò)初始配置。

任務(wù)2：為網(wǎng)絡(luò)配置OSPF路由實現(xiàn)網(wǎng)絡(luò)連通。

任務(wù)3：記錄網(wǎng)絡(luò)并清理實驗設(shè)備。1.拓撲設(shè)計

本項目的網(wǎng)絡(luò)拓撲設(shè)計如圖所示。

4.3動態(tài)路由網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程2.IP地址設(shè)計

設(shè)備接口地址設(shè)計方案見表。設(shè)備接口IP地址子網(wǎng)掩碼默認網(wǎng)關(guān)RTAG0/0/0不適用RTBG0/0/0不適用設(shè)備接口

IP地址表4.3動態(tài)路由網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程4.3.3項目實施1.動態(tài)路由協(xié)議OSPF

當網(wǎng)絡(luò)中有其他廠商的路由器時，就只能使用OSPF協(xié)議。OSPF是一種鏈路狀態(tài)路由協(xié)議，支持無類網(wǎng)絡(luò)和非連續(xù)網(wǎng)絡(luò)，收斂速度快，適用于大型網(wǎng)絡(luò)。下面配置OSPF協(xié)議以使網(wǎng)絡(luò)連通。

任務(wù)1:啟動OSPF并通告本地直連網(wǎng)絡(luò)。

步驟1:配置R1。[R1]ospfrouter-id[R1-ospf-1]area0[R1-ospf-1-area-]network554.3動態(tài)路由網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程

在配置OSPF時，需要首先使能OSPF進程。

命令ospf[processid]用來使能OSPF，在該命令中可以配置進程ID。如果沒有配置進程ID，則使用1作為缺省進程ID。

命令ospf[processid][router-id<router-id>]既可以使能OSPF進程，還同時可以用于配置RouterID。在該命令中，router-id代表路由器的ID。

命令network用于指定運行OSPF協(xié)議的接口，在該命令中需要指定一個反掩碼。反掩碼中，“0”表示此位必須嚴格匹配，“1”表示該地址可以為任意值。

OSPF網(wǎng)絡(luò)中可以存在很多個區(qū)域，劃分區(qū)域的根本原因是為了減少一個區(qū)域內(nèi)路由器的數(shù)量，從而加快收斂的時間。所有區(qū)域都與區(qū)域0進行路由交換，區(qū)域0是主要區(qū)域。單區(qū)域OSPF配置中網(wǎng)絡(luò)必須通告到區(qū)域0。

步驟2：配置RTB方法同RTA相同。4.3動態(tài)路由網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程

任務(wù)3：驗證OSPF的運行情況。

用displayospfpeer查看路由表中OSPF路由。[R1]displayospfpeerOSPFProcess1WithRouterID

任務(wù)4：配置OSPF開銷。

OSPF度量稱為開銷，開銷與每個路由器接口的輸出端關(guān)聯(lián)，接口帶寬越高則開銷值越低。在OSPF路由度量中，開銷最低的路由是首選路由。[R1]intg0/0/0[R1-GigabitEthernet0/0/0]ospfcost20

[R2]ospfrouter-id[R2-ospf-1]bandwidth-reference100004.3動態(tài)路由網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程

任務(wù)5：記錄網(wǎng)絡(luò)配苫.并清理實驗設(shè)施。

步驟1：記錄網(wǎng)絡(luò)實施方案。

在每臺路由器上，截取以下命令的輸出并保存到文本文件（txt），以供將來參考：?displaycu?displayiproute?displayinterfacebrief

步驟2：清理實驗設(shè)施。

最后，對網(wǎng)絡(luò)設(shè)備執(zhí)行以下操作以清理實驗設(shè)施：?清除配置并重新啟動路由器。?斷開連接并將電纜收好。?對連接到其他網(wǎng)絡(luò)（例如學校LAN或Internet）的PC機，恢復(fù)連接并還原TCP/IP設(shè)置。4.3動態(tài)路由網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程4.3.4項目總結(jié)與文檔1.項目總結(jié)

本項目介紹了網(wǎng)絡(luò)中的動態(tài)路由協(xié)議和配置方法。動態(tài)路由協(xié)議是運行在路由器上，動態(tài)共享有關(guān)遠程網(wǎng)絡(luò)的路由信息，并將其自動添加到各自的路由表中的軟件。常用的內(nèi)部路由協(xié)議OSPF路由，而外部路由協(xié)議目前只有BGP一種。

OSPF協(xié)議是適用于大型網(wǎng)絡(luò)的收斂較快的鏈路狀態(tài)路由協(xié)議

路由器ID用于在OSPF路由域內(nèi)唯一標識每臺路由器，Huawei路由器根據(jù)3個條件得出路由器ID：OSPFrouter-id命令配置的IP地址；環(huán)回接口地址最高IP地址；物理接口最高活動IP地址。路由器ID最大的路由器將成為DR。2.項目文檔

在本項目結(jié)束后完成項目規(guī)劃及實施報告。謝謝！THANKYOU!網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程主講人：萬鵬第四章

路由設(shè)備配置網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程CONTENTS教學目標路由器是網(wǎng)絡(luò)的核心，負責在網(wǎng)絡(luò)間將數(shù)據(jù)包從初始源位置轉(zhuǎn)發(fā)到最終目的地；路由器可以實現(xiàn)路由、網(wǎng)絡(luò)訪問控制、防止廣播風暴，提高網(wǎng)絡(luò)安全等功能；路由器的安裝和調(diào)試比較復(fù)雜，相對其他網(wǎng)絡(luò)互連設(shè)備的價格較高?！局R目標】?了解路由器的類型。?掌握路由器基本原理。?掌握各種路由的常用命令。【技能目標】?能夠配置靜態(tài)路由、動態(tài)路由，是網(wǎng)絡(luò)暢通。?能夠用OSPF路由完成路由配置，使網(wǎng)絡(luò)暢通。?能夠配置標準ACL實現(xiàn)網(wǎng)絡(luò)基本流量控制。?能夠配置DHCP服務(wù)實現(xiàn)內(nèi)部網(wǎng)絡(luò)地址動態(tài)獲取。?能夠配置靜態(tài)NAT、動態(tài)NAT，實現(xiàn)內(nèi)網(wǎng)和外網(wǎng)的互訪。?能夠配置三層交換機實現(xiàn)VLAN間的路由轉(zhuǎn)發(fā)。CONTENTS4.1路由器基本配置4.24.34.44.54.64.7靜態(tài)路由動態(tài)路由訪問控制列表DHCP與NAT廣域網(wǎng)鏈路三層交換機配置4.4訪問控制列表網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程4.4.1項目背景1.需求分析

隨著企業(yè)開放式網(wǎng)絡(luò)的不斷開發(fā)和建設(shè)，網(wǎng)絡(luò)面臨的威脅越來越多。數(shù)據(jù)在網(wǎng)絡(luò)上的任意流動會給網(wǎng)絡(luò)帶來很多安全問題，網(wǎng)絡(luò)的可用性和安全性成為網(wǎng)絡(luò)管理員最為關(guān)心的問題。一方面，為了業(yè)務(wù)的發(fā)展，必須允許對網(wǎng)絡(luò)資源開放訪問權(quán)限；另一方面，又必須確保數(shù)據(jù)和資源的盡可能安全。

網(wǎng)絡(luò)安全采用的技術(shù)很多，而訪問控制列表是最重要的技術(shù)之一。本項目將說明管理員如何使用訪問控制列表實現(xiàn)網(wǎng)絡(luò)安全定義，阻止不合理的和非法

的流雖，允許特定流量的同時阻止網(wǎng)絡(luò)中的所有其他流量，從而保護中型企業(yè)的分支機構(gòu)網(wǎng)絡(luò)。

2.環(huán)境準備

?設(shè)備：路由器2臺，PC3臺，服務(wù)器1臺。?線纜：標準交叉線3根，串行電纜2組，控制臺電纜1根。?每組2名學生，各操作一臺PC，協(xié)同進行實訓(xùn)。4.4訪問控制列表網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程3.技能準備

（1）訪問控制列表簡介

訪問控制列表（ACL）是一種路由器配置腳本，它根據(jù)從數(shù)據(jù)包報頭中發(fā)現(xiàn)的條件（源地址、目的地址、源端口、目的端口和協(xié)議等）來控制路由器應(yīng)該允許還是拒絕數(shù)據(jù)包通過，從而達到訪問控制的目的。ACL可以實現(xiàn)的主要功能如下：

①檢查和過濾數(shù)據(jù)包。

②限制網(wǎng)絡(luò)流量，提高網(wǎng)絡(luò)性能。③限制或減少路由更新的內(nèi)容。④提供網(wǎng)絡(luò)訪問的基本安全級別。

問控制列表ACL（AccessControlList）可以定義一系列不同的規(guī)則，設(shè)備根據(jù)這些規(guī)則對數(shù)據(jù)包進行分類，并針對不同類型的報文進行不同的處理，從而可以實現(xiàn)對網(wǎng)絡(luò)訪問行為的控制、限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能、防止網(wǎng)絡(luò)攻擊等等。默認情況下，路由器上沒有配置任何ACL，不會過濾流量。進入路由器的流量根據(jù)路由表進行路由。如果路由器上沒有使用ACL，所有可以被路由器路由的數(shù)據(jù)包都會經(jīng)過路由器到達下一個網(wǎng)段。4.4訪問控制列表網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程（2）配置ACL的原則

①順序處理原則。對ACL表項的檢查是按照自上而下的順序進行的，從第1行起，直到找到第1個符合條件的行為止，其余的行不再繼續(xù)比較。因此必須考慮在訪問控制列表中放入語句的次序，如測試性的語句最好放在ACL的最頂部。②最小特權(quán)原則。對ACL表項的設(shè)置應(yīng)只給受控對象完成任務(wù)所必需的最小的權(quán)限。如果沒有ACL，則等于permitany。一旦添加了ACL，默認在每個ACL中最后一行為隱含的拒絕（denyany）。如果之前沒找到一條許可（permit）語句，意味著包將被丟棄。因此每個ACL必須至少有一行permit語句，除非用戶想將所有數(shù)據(jù)包丟棄。③最靠近受控對象原則。盡量考慮將擴展的ACL放在靠近源地址的位置上這樣創(chuàng)建的過濾器就不會反過來影響其他接口上的數(shù)據(jù)流。另外，盡量使標準的ACL靠近目的地址，由于標準ACL只使用源地址，如果將其靠近源地址會阻止報文流向其他端口。4.4訪問控制列表網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程

（3）ACL類型①標準ACL，比較簡單，根據(jù)數(shù)據(jù)包的源IP地址進行過濾。其表號范圍是1—99或1300?1999。②擴展ACL，根據(jù)多種屬性（協(xié)議類型、源IP地址、目的IP地址、源TCP或UDP端口、目的TCP或UDP端口）過濾IP數(shù)據(jù)包，并可依據(jù)協(xié)議類型信息進行更為精確的控制。其表號范圍是100?199或2000?2699。

除了使用數(shù)字定義ACL外，也可以使用命名的方法定義ACL，即命名ACL。包括標準命名ACL和擴展命名ACL兩種。

（4）復(fù)雜ACL

復(fù)雜ACL是指在標準ACL和擴展ACL的基礎(chǔ)上構(gòu)建的實現(xiàn)更多功能的ACL，主要有3種類型：動態(tài)ACL、自反ACL和基于時間的ACL。①動態(tài)ACL：除非使用Telnet連接路由器并通過身份驗證，否則要求通過路由器的用戶都會遭到拒絕。②自反ACL：允許出站流量，而入站流量只能是對路由器內(nèi)部發(fā)起的會話的響應(yīng)。③基于時間的ACL：允許根據(jù)一周以及一天內(nèi)的時間來控制訪問。4.4訪問控制列表網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程4.4.2項目設(shè)計

作為一家公司的網(wǎng)絡(luò)管理員，可以通過訪問控制列表來實現(xiàn)公司網(wǎng)絡(luò)的安全策略。實現(xiàn)網(wǎng)段無法ping通網(wǎng)段

實現(xiàn)網(wǎng)段中的Client1可以訪問網(wǎng)段中的Server1web服務(wù)

1.拓撲設(shè)計

本項目的網(wǎng)絡(luò)拓撲如圖所示。

4.4訪問控制列表網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程2.IP地址設(shè)計

為了簡化網(wǎng)絡(luò)實現(xiàn)而設(shè)計的設(shè)備接口地址方案見表。設(shè)備接口IP地址子網(wǎng)掩碼默認網(wǎng)關(guān)PC2網(wǎng)卡54PC3網(wǎng)卡54Client1網(wǎng)卡54Server1網(wǎng)卡54AR1G0/0/1

AR2G0/0/0

AR1G0/0/054

AR2G0/0/1G54設(shè)備接口IP地址表4.4訪問控制列表網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程4.4.3項目實施1.高級ACL

任務(wù)1：連接網(wǎng)絡(luò)并配置路由器，使網(wǎng)絡(luò)暢通。①按照拓撲圖連接網(wǎng)絡(luò)。②使用ping命令檢驗網(wǎng)絡(luò)連通性。

在進行ACL配置之前，先測試從PC1到PC3（或R3的G0/1接口）的連通性，連通性測試成功后才能應(yīng)用ACL。4.4訪問控制列表網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程

任務(wù)2：為路由器配置高級ACL。

要在路由器上配置ACL，必須先創(chuàng)建ACL，然后在接口上應(yīng)用ACL。

①在ARB上創(chuàng)建并應(yīng)用ACL3000。Aclnumber3000rule5denyicmpsource55destination0分類編號范圍參數(shù)基本ACL2000—2999源IP地址等高級ACL3000—3999源IP地址、目的地址、源端口、目的端口等二層ACL4000—4999源MAC地址、目的MAC地址、以太幀協(xié)議類型等?將ACL應(yīng)用到接口或VTY線路上。可以用traffic-filter命令將ACL應(yīng)用到具體的接口上以控制通過接口的流量，語法格式為：interfaceGigabitEthernet0/0/1ipaddress54traffic-filteroutboundacl3000

ACL語句的順序應(yīng)該從最具體到最概括，如ACL3000中拒絕網(wǎng)絡(luò)/24的語句應(yīng)在允許所有其他流量的語句（permitany）之前，否則拒絕語句將失去存在的必要。

想一想，是否可以將ACL1應(yīng)用到R3的f0/0接口出方向上為什么？4.4訪問控制列表網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程任務(wù)3：檢驗和測試ACL。

ping測試。

在

PC2上ping服務(wù)器server1（），結(jié)果如圖4-15：

因為只限制了ICMP的ping協(xié)議，所以段地址無法ping通的任意地址。4.4訪問控制列表網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程

使用Client1訪問SERVER1的web服務(wù)，結(jié)果如圖所示：

使用段任意地址可以ping通的任意地址，結(jié)果如圖所示：4.4訪問控制列表網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程4.4.4項目總結(jié)與文檔1.項目總結(jié)本項目介紹了如何在公司網(wǎng)絡(luò)中通過訪問控制列表ACL來實現(xiàn)安全策略。ACL是一種路由器配置腳本，它根據(jù)某些規(guī)則來控制路由器應(yīng)該允許還是拒絕數(shù)據(jù)包通過，從而達到訪問控制的目的。

標準ACL最簡單，只根據(jù)數(shù)據(jù)包的源IP地址進行過濾，其表號范圍是1~99或1300-1999；擴展ACL則根據(jù)源IP地址、目的IP地址、源端口、目的端口等過濾數(shù)據(jù)包，并可依據(jù)協(xié)議類型信息進行更為精確的控制，其表號范圍是100-199或2000-2699。命名ACL包括標準命名ACL和擴展命名ACL兩種，定義和修改起來比數(shù)字式的ACL更方便靈活。

復(fù)雜ACL主要有3種類型：動態(tài)ACL、自反ACL和基于時間的ACL。基于時間的ACL是在標準ACL或擴展ACL后應(yīng)用時間段選項（time-range）以實現(xiàn)基于時間段的訪問控制；動態(tài)ACL是使用戶能在防火墻中臨時打開一個缺口，而不會破壞其他已配置的安全限制，動態(tài)ACL依賴于Telnet連接、身份驗證和擴展ACL來實現(xiàn)；自反ACL可以只允許出去的流量，但是阻止從外部網(wǎng)絡(luò)主動產(chǎn)生的向內(nèi)部網(wǎng)絡(luò)的流量，從而可以更好地保護內(nèi)部網(wǎng)絡(luò)。

配置ACL的過程都是要先定義ACL，再將其應(yīng)用到某個位置。2.項目文檔

在項目結(jié)束后完成項目規(guī)劃及實施報告。謝謝！THANKYOU!網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程主講人：萬鵬第四章

路由設(shè)備配置網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程CONTENTS教學目標路由器是網(wǎng)絡(luò)的核心，負責在網(wǎng)絡(luò)間將數(shù)據(jù)包從初始源位置轉(zhuǎn)發(fā)到最終目的地；路由器可以實現(xiàn)路由、網(wǎng)絡(luò)訪問控制、防止廣播風暴，提高網(wǎng)絡(luò)安全等功能；路由器的安裝和調(diào)試比較復(fù)雜，相對其他網(wǎng)絡(luò)互連設(shè)備的價格較高?！局R目標】?了解路由器的類型。?掌握路由器基本原理。?掌握各種路由的常用命令。【技能目標】?能夠配置靜態(tài)路由、動態(tài)路由，是網(wǎng)絡(luò)暢通。?能夠用OSPF路由完成路由配置，使網(wǎng)絡(luò)暢通。?能夠配置標準ACL實現(xiàn)網(wǎng)絡(luò)基本流量控制。?能夠配置DHCP服務(wù)實現(xiàn)內(nèi)部網(wǎng)絡(luò)地址動態(tài)獲取。?能夠配置靜態(tài)NAT、動態(tài)NAT，實現(xiàn)內(nèi)網(wǎng)和外網(wǎng)的互訪。?能夠配置三層交換機實現(xiàn)VLAN間的路由轉(zhuǎn)發(fā)。CONTENTS4.1路由器基本配置4.24.34.44.54.64.7靜態(tài)路由動態(tài)路由訪問控制列表DHCP與NAT廣域網(wǎng)鏈路三層交換機配置4.5DHCP與NAT網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程4.5.1項目背景1.需求分析

公司的網(wǎng)絡(luò)由多個私有地址空間的網(wǎng)絡(luò)互連而成，內(nèi)網(wǎng)已正確部署了RIPv2路由。現(xiàn)需要將公司內(nèi)部網(wǎng)絡(luò)連接到外網(wǎng)讓所有員工能訪問Internet，同時內(nèi)網(wǎng)的Web服務(wù)器需要能在外網(wǎng)訪問。客戶端的IP地址要動態(tài)獲取，由DHCP服務(wù)器統(tǒng)一管理。已知公司申請的公有地址塊是28/30。

分析上述需求，要想將私有地址空間的公司內(nèi)網(wǎng)連接到公有網(wǎng)絡(luò)，必須要進行網(wǎng)絡(luò)地址轉(zhuǎn)換?？梢栽谶B接外網(wǎng)的邊界路由器配置靜態(tài)NAT和動態(tài)NAT以滿足需求；同時，可以在內(nèi)網(wǎng)路由器上配置DHCP服務(wù)。

2.環(huán)境準備

?設(shè)備：華為路由器4臺，PC5臺。?線纜：標準交叉線3根，直通線3根，串行電纜3組，控制臺電纜1根。?每組4名學生，各操作一臺PC，協(xié)同進行實訓(xùn)。4.5DHCP與NAT網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程3.技能準備

(1)了解DHCP

DHCP（DynamicHostConfigurationProtocol，動態(tài)主機配置協(xié)議）是為客戶端動態(tài)分配IP地址的方法，服務(wù)器從預(yù)先設(shè)置的IP地址池里自動給主機分配IP地址，不僅能夠保證IP地址不重復(fù)分配，也能及時回收IP地址以提高地址利用率。

DHCP服務(wù)可以由網(wǎng)絡(luò)服務(wù)器提供，也可以配置一臺路由器來提供。本項目中就采用后一種方式為企業(yè)網(wǎng)絡(luò)提供DHCP服務(wù)。

（2）理解NATNAT（NetworkAddressTranslation，網(wǎng)絡(luò)地址翻譯）是一種將一個IP地址域（如Intranet）轉(zhuǎn)換到另一個IP地址域（如Internet）的技術(shù)。NAT有很多用途，最主要的用途是讓網(wǎng)絡(luò)能使用私有IP地址以節(jié)省IP地址，NAT將不可路由的私有內(nèi)部地址轉(zhuǎn)換成可路由的公有地址；NAT還能在一定程度上增加網(wǎng)絡(luò)的私密性和安全性，因為它對外部網(wǎng)絡(luò)隱藏了內(nèi)部IP地址。

啟用NAT的設(shè)備通常工作在末節(jié)網(wǎng)絡(luò)邊界。

當末節(jié)網(wǎng)絡(luò)內(nèi)部的主機（如PC1、PC2或PC3）希望傳輸數(shù)據(jù)包給外部主機時，數(shù)據(jù)包先是被轉(zhuǎn)發(fā)給R2，即邊界網(wǎng)關(guān)路由器。R2執(zhí)行NAT過程，將主機的內(nèi)部私有地址轉(zhuǎn)換為公有、外部、可路由的地址。4.5DHCP與NAT網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程（3）NAT類型

NAT有3種類型：靜態(tài)NAT、動態(tài)NAT及NAT過載。

靜態(tài)NAT使用本地地址與全局地址的一對一映射，這些映射保持不變。靜態(tài)NAT對于必須具有一致的地址、可從Internet訪問的Web服務(wù)器或主機特別有用。這些內(nèi)部主機可能是企業(yè)服務(wù)器或網(wǎng)絡(luò)設(shè)備。

動態(tài)NAT使用公有地址池，并以先到先得的原則分配這些地址。當具有私有IP地址的主機請求訪問Internet時，動態(tài)NAT從地址池中選擇一個未被其他主機占用的IP地址。

NAT過載（有時稱為端口地址轉(zhuǎn)換或PAT）是一種特殊的動態(tài)NAT，它將多個私有IP地址映射到一個或少數(shù)幾個公有IP地址。大多數(shù)家用路由器就是這樣工作的，ISP分配一個地址給家用路由器，但是多名家庭成員可以同時上網(wǎng)。

（4）內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)

內(nèi)部網(wǎng)絡(luò)（Inside）：指那些由機構(gòu)或企業(yè)所擁有的網(wǎng)絡(luò)，與NAT路由器上被定義為inside的接口相連接。內(nèi)部網(wǎng)絡(luò)中的主機地址通常是私有的，稱為內(nèi)部本地地址，被NAT轉(zhuǎn)換為公有的內(nèi)部全局地址。

外部網(wǎng)絡(luò)（Outside）：指除了內(nèi)部網(wǎng)絡(luò)之外的所有網(wǎng)絡(luò)，常為Internet網(wǎng)絡(luò)，與NAT路由器上被定義為outside的接口相連接。外部網(wǎng)絡(luò)主機使用的IP地址可能是私有的外部本地地址或公有的外部全局地址。4.5DHCP與NAT網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程4.5.2項目設(shè)計

任務(wù)1：在內(nèi)部網(wǎng)絡(luò)路由器上配置DHCP服務(wù)，為內(nèi)網(wǎng)普通客戶主機提供地址管理服務(wù)。

已經(jīng)連通的情況下，在邊界路由器上添加默認路由以訪問外網(wǎng)；并在外網(wǎng)路由器上為申請到的公有地址塊做路由。

任務(wù)2：實現(xiàn)內(nèi)網(wǎng)的地址動態(tài)獲取，在連接內(nèi)網(wǎng)的路由設(shè)備上配置DHCP服務(wù)。

任務(wù)3：在邊界路由器上對內(nèi)網(wǎng)服務(wù)器地址配置靜態(tài)NAT，以使外網(wǎng)能訪問內(nèi)網(wǎng)服務(wù)器。

任務(wù)4：在邊界路由器上配置動態(tài)NAT或PAT以使內(nèi)網(wǎng)用戶都能訪問外網(wǎng)。1.拓撲設(shè)計

本項目的網(wǎng)絡(luò)拓撲如圖所示。4.5DHCP與NAT網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程2.IP地址設(shè)計設(shè)備接口IP地址子網(wǎng)掩碼R1G0/1G0/0/052G0/0/052InsideWebServer網(wǎng)卡本地：5452網(wǎng)卡全局：3152PC1網(wǎng)卡動態(tài)獲取PC2網(wǎng)卡動態(tài)獲取OutsideHost網(wǎng)卡440PublicWebServer網(wǎng)卡209.265.201.3040設(shè)備接口IP地址表4.5DHCP與NAT網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程4.5.3項目實施1.DHCP

DHCP動態(tài)分配IP地址和其他重要的網(wǎng)絡(luò)配置信息。路由器可以提供全功能的DHCP服務(wù)，租用配置的默認期限是24小時。

本項目網(wǎng)絡(luò)中，路由器RTA是DHCP服務(wù)器，負責向PC1和PC2所在網(wǎng)絡(luò)的主機動態(tài)分配IP地址。實施DHCP服務(wù)器配置之前，完成以下任務(wù)。?按照拓撲圖連接網(wǎng)絡(luò)。

經(jīng)測試，內(nèi)部網(wǎng)絡(luò)已經(jīng)全部連通后，才可以進入以下DHCP服務(wù)配置步驟。

任務(wù)1：配置RTA的地址池。

定義地址池，DHCP將把該地址池中的地址分配給R1LAN上的DHCP客戶端?？捎玫刂窞榫W(wǎng)絡(luò)上除在任務(wù)1中已排除地址以外的所有地址。4.5DHCP與NAT網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程

在R1上，將地址池命名為R1_LAN。為請求DHCP服務(wù)的客戶端設(shè)備指定地址池、默認網(wǎng)關(guān)和DNS服務(wù)器。[Huawei]dhcpenable[Huawei]ippool10Info:It'ssuccessfultocreateanIPaddresspool.[Huawei-ip-pool-10]networkmask24[Huawei-ip-pool-10]gateway-list[Huawei-ip-pool-10]dns-list14[Huawei-ip-pool-10]excluded-ip-address[Huawei-ip-pool-10]leaseday1[Huawe