第 7 章 路由器及其配置
计算机三级网络技术学习笔记
up在2020年疫情在家的时候看b站网课记的笔记,后来因为日程原因没有参加考试,把笔记分享出来,供大家参考和自己温习知识。
按照考纲来的,看官方参考书和一些网课都适用。欢迎点赞、投币、收藏
加粗的词句属于需要重点看的地方。
第 7 章路由器及其配置
考点1:路由器基础与基本命令
考点2:接口配置、 Pos接口配置
考点3:访问控制列表
考点4:静态路由、 RIP协议、 OSPF协议的配置
考点5:路由器的DHCP配置
7.1 基础知识
7.1.1 路由器概述
路由器是工作在网络层的设备。路由器负责将数据分组从源端主机经最佳路径传送到目的端主机。
路由器主要用于同类或异类局域网以及局域网与广域网之间的互联。是连接不同逻辑子网的网络互连设备。
路由器具有异构网络互连、广域网互连、和隔离广播信息的能力。
7.1.2 路由器工作原理
一、路由器的基本功能
1. 路由选择
路由选择就是路由器依据目的IP地址的网络地址部分,通过路由选择算法确定一条从源结点到达目的结点最佳路由。
路由器通过路由协议、网络连接的情况及网络的性能来建立网络的拓结构。路由算法为网络上的路由产生一个权值,路由器通过权值来选择最佳路由,权值越小,路由越佳。
2. 分组转发
对于一台路由器,其分组转发的任务即是在收到数据包后,根据路由表所提供的最佳路径的信息,将其转发给下一跳的路由器、目的端口或是缺省路由器。
缺省路由也称为缺省网关,它是与主机在同一个子网中的路由器端口的IP地址。
路由器也有它的缺省网关。如果目标网络没有直接显示在路由表里的时候,那么就将数据分组传送给缺省网关。它一般指向与该路由器的一个端口的直接相连接的,并且通往Internet的出口路由器。
分组转发的思想:
目的IP地址,全程不变。
目的MAC地址,逐跳修改。
二、路由表
1. 路由表基本结构
路由器通过对路由表的查询来选择最佳路径的策略,路由表中保存着各种传输路径的相关数据,供路由选择时使用。
路由表的内容主要包括:
目的网络地址及其所对应的目的端口
下一跳路由器的名字
缺省路由的信息。
路由表可以是由系统管理员固定设置好的,也可以由系统动态修改,可以由路由器自动调整,也可以由主机控制。
2. 路由表实例一 (cisco12000上的路由表)
Gateway of last resort is 202.112.41.217 to network 0.0.0.0
C 212.112.7.0/24 is directly connected, FastEthernet2/5
212.112.37.0/30 is subnetted, 1 subnets
C 212.112.37.16/24 is directly connected, POS3/0
S 167.105.125.128 [1/0] via 202.112.7.1
S* 0.0.0.0/0 [1/0] via 202.112.41.217
路由表结构示意图
路由表项讨论:(09下)
路由源码
“C”: 直连,“S”: 静态,“I” : IGRP,“O”: OSPF,“R”: RIP,“i”: IS-IS,“B”: BGP,“E”: EGP
第2列是目的网络地址和掩码
第3列是目的端口或下一跳路由器地址
如果是直连,则这个字段为给出的目的端口
如果有下一跳路由器,则为下一跳路由器的IP地址 (via后面)
缺省路由的路由表项。S*表示缺省路由(默认路由)。网络地址和掩码全是0
3. 路由表实例二 (三层交换机上的路由表)
Gateway of last resort is 202.112.41.217 to network 0.0.0.0
O 222.29.2.0/24 [110/3] via 162.105.1.145,00:13:43,vlan1
O 222.29.32.0/24 [110/3] via 162.105.1.145,00:13:43,vlan1
202.37.140.0/24 is variably subnetted, 3 subnets,2 masks
OE2 202.37.140.40/289 [110/20] via 162.105.1.145,00:13:43,Vlan1
OE1 202.37.140.0/28 [110/22] via 162.105.1.145,00:13:43,Vlan1
…….
第2列表示路由类型:
E1 OSPF外部路由类型1
E2 OSPF外部路由类型2
第4列,如【110/22】:
110是管理距离,22是权值(metric)或成本
管理距离用于衡量路由表中给定的路由信息源的“可信度”。以小为优 (08上)
权值是路由器通过路径选择算法为网络上的路径产生的一个数字。路由器根据这个值确定最佳路径。
路由器常用的权值: (了解)
带宽:链路的数据能力
延迟:数据包从源送到目的所需的时间
负载:链路上的活动数量
可靠性:链路的差错率
跳数:通过路由器的数量
滴答数:用IBM PC的时钟滴答计数延迟。
花费:cost,一般由管理员指定。
7.1.3 路由器的结构
7.1.3 路由器的结构
路由器的结构就像一台计算机,但它是一台具有特殊功能的计算机。
一、中央处理器
CPU是路由器的处理中心,CPU负责实现路由协议、路径选择计算、交换路由信息、查找路由表、分发路由表和维护各种表格,以及转发数据包等功能。CPU的处理能力直接影响路由表查找事件、吞吐量和路由器的性能。
二、内存(09上、10上)
只读内存(Read Only Memory,ROM)
ROM中包括开机开机诊断程序、引导程序和操作系统软件。不能修改其中保存的内容。
随机存储器(RAM)
RAM是可读可写存储器。用来存储用户的数据包队列以及路由器在运行过程中产生的中间数据,如路由表、ARP缓冲区等。此外,RAM还用来存储路由器的运行配置文件。当路由器被关闭或重新启动时,RAM中的内容都将丢失。(易失性)
③非易失性随机存储器(NVRAM)
NVRAM是可读可写存储器。是用来存储路由器的启动配置文件。在路由器断电时,其内容仍能保持。
闪存(FLASH)
是可擦写的ROM。它主要负责保存操作系统的映像文件和一些微代码。在路由器断电时,其内容仍能保持。
三、接口(了解)
局域网接口:包括以太网、快速以太网、千兆以太网、万兆以太网、FDDI、ATM等。
广域网接口 :高速同步串行接口、异步串行接口、ISDN的PRI和BRI接口。
配置接口:有控制接口Console(RJ-45)和辅助接口(AUX)。AUX通过MODEM连接广域网,拨号的方式实现对路由器的远程管理。
路由器的每个接口都有自己的名字和编号,如快速以太网的名字是FastEthernet,它可以简写为f。
接口编号的格式是mod/port,mod是模块号,port是端口号。如接口0/5,指的是第0模块上的第5个端口。
7.1.4 路由器的工作模式
一、用户模式(User EXEC)
当通过控制台或Telnet成功登录到路由器后,将会看到。它是一种只读模式,用户可以浏览关于路由器的某些信息,但不能进行任何修改。
该模式默认的提示符为:router>
二、特权模式(Priviledged EXEC)
在用户EXEC模式提示符后键入enable命令并按提示输入使能口令后将进入特权模式。可以管理系统时钟、进行错误检测、查看和保存配置文件、清楚闪存、处理并完成路由器的冷启动等操作。该模式不能对端口及网络协议进行配置。
该模式默认的提示符为:router#
三、全局配置模式(Global Configuration)
在特权EXEC模式下,通过键入configure terminal命令可以进入。全局配置模式用于配置路由器的全局性的参数(主机名、口令、TFTP服务器、静态路由、访问控制列表等),更改已有配置等。
全局配置模式的默认提示符为:router(config)#
四、其他配置模式
包括接口配置模式、虚拟终端配置模式、路由配置模式等。可以用exit一层一层的退出。
接口配置模式:router (config)#interface f0/12
router(config-if)#
虚拟终端配置模式:router (config)#line vty 0 15
router(config-line)#
接口配置模式:router (config)#router rip
router(config-router)#
五、设置模式(Setup)
当通过console端口进入一台刚出场的没有任何配置的路由器启动时会进入设置模式。系统以对话框提示用户设置路由器,协助用户建立第一次的配置文件。
六、RXBOOT模式
RXBOOT模式是路由器的维护模式。在密码丢失时,可以进入RXBOOT模式,以恢复密码。
7.2 实训任务
7.2.1 实训任务一:路由器的基本操作与配置方法
一、路由器的配置方式
AUX,通过远程拨号配置路由器(11上)
二、使用控制端口(Console)配置路由器
三、使用telnet配置路由器
必备条件
作为模拟终端的计算机与路由器都必须与网络连通,它们之间能够相互通信。
计算机必须有访问路由器的权限。
路由器必须预先配置好远程登录的密码
路由器的配置(08下)
router (config)#line vty 0 15
router(config-line)#password 7 zzz307
3 远程登录的具体步骤
进入“运行窗口”,输入“telnet 202.112.7.4”
四、使用TFTP配置路由器(了解)
在网络上必须配备一台计算机作为TFTP server,且必须安装并运行TFTP server软件。
2.路由器的操作步骤
①拷贝配置文件到TFTP server。
Router#write network
Remote host [ ]? 202.105.130.120
Name of configuration file to write [router-config]?
Write file router-config on host 202.105.130.120 ? [confirm]
################
Writing router-config ……
例1 拷贝running-config 到 TFTP server。
Router# Copy running-config tftp :
Address or name of remote host [ ]? 202.105.130.120
Destination filename [router-config]? config.txt
!!!!
3591 bytes copied in 3.368 secs (1066 bytes/sec)
例2 拷贝bootflash到 TFTP server。
Router# Copy bootflash: tftp :
Source filename [ ]?config.txt
Address or name of remote host [ ]? 202.105.130.120
Destination filename [router-config]? config.txt
!!!!
23584 bytes copied in 0.144 secs (163778 bytes/sec)
将TFTP Server上的配置文件拷贝到路由器。
例1 将TFTP Server上的配置文件拷贝到running-config。
Router# Copy tftp:running-config
Address or name of remote host [ ]? 202.105.130.120
Source filename [ ]?1383-wireless-config
Destination filename [router-config]?
Accessing tftp:// 202.105.130.120 / 1383-wireless-config...
Loading 1383-wireless-config from 202.105.130.120 (via vlan309): !
[OK - 3591 bytes]
3591 bytes copied in 20.712 secs (173 bytes/sec)
例2 将TFTP Server上的配置文件拷贝到bootflash 。
Router# Copy tftp: bootflash:
Address or name of remote host [ ]? 202.105.130.120
Source filename [ ]?config.txt
Destination filename [config.txt ]?
Accessing tftp:// 202.105.130.120 / config.txt...
Loading config.txt from 202.105.130.120 (via vlan1): !
[OK - 23584 bytes]
23584 bytes copied in 0.156 secs (151179 bytes/sec)
7.2.2 实训任务二:路由器的基本配置及公用命令
一、路由器的基本配置
1、配置主机名
Router(config)#hostname router-phy
2、配置超级用户口令
Router(config)#enable secret phy123 (md5方法,和password方法同时出现会替换掉password的)
Router(config)#enable password 7 phy123
3、配置系统时钟。
Router# calendar set hh:mm:ss <1-31> MONTH <1993-2035>
如:Router# calendar set 10:24:00 22 march 2007 (calendar set 小时:分钟:秒 日 月 年)
二、几个公用命令
1. 退出命令(exit)
exit退回到上一级操作模式。一步一步退出
Router(config-if)#exit
Router(config)#exit
Router#
end 指从特权模式以下级别直接返回到特权模式。第三级或第四级直接退到第二级
Router(config-if)#end
Router#
2. 保存配置
Router# write memory (保存到路由器的NVRAM中) 08下、11下
Router# write network tftp (保存到TFTP服务器中)
3. 删除配置
Router# write erase
4. 网络的基本检测命令
① telnet
Router> telnet paris (主机名或IP地址) 路由器可以通过telnet登录其他设备
② ping ping和trace都是ICMP协议测试连通性
③ trace
④ show命令
Router>show flash 查看存储
Router>show clock时钟
Router>show version系统版本
Router>show configuration配置信息
Router# show ip route 查看路由表(09下、12上)注意特权模式与命令的拼写route没有r
Router# show ip protocols查看当前路由协议
7.2.3 实训任务三:路由器的接口配置
一、路由器接口的基本配置
1、配置接口描述信息
Router(config)#int g6/0
Router(config-if)#description to-beijing
2、配置接口带宽
Router(config)#int POS3/0
Router(config-if)#bandwidth 2500000 (设置接口带宽为2.5Gbps。单位Kbps,按1000算)
3、配置接口的IP地址
Router(config-if)#ip add 202.112.7.249 255.255.255.252
4、接口的开启与关闭
Router(config-if)#shutdown
Router(config-if)#no shutdown
二、 局域网接口配置
1、配置标准以太网接口(Ethernet)
Router(config)# interface Ethernet0
Router(config-if)# description TO Beijing
Router(config-if)# ip address 202.112.7.4 255.255.255.0
Router(config-if)# bandwidth 10000
Router(config-if)# no shutdown
Router(config-if)# exit
2、配置快速以太网接口(Fast Ethernet)
Router(config)# interface f2/1
Router(config-if)# description TO BEIJING
Router(config-if)# ip address 202.111.41.145.255.255.255.240
Router(config-if)# bandwidth 100000
Router(config-if)# duplex full
Router(config-if)# no ip directed-broadcast
Router(config-if)# no ip proxy-arp
Router(config-if)# no shutdown
Router(config-if)# exit
3、配置千兆以太网接口(Gigabit Ethernet)
与快速以太网接口配置类似。
三、广域网接口配置(11下、12下、13上)
1、配置异步串行口(用于连接modem,为用户提供拨号上网服务)
Router(config)# interface a1
Router(config-if)# ip unnumbered ethernet0
Router(config-if)# Encapsulation ppp (只支持ppp,不能封装为HDLC)
Router(config-if)# Async default ip address 202.112.7.129
Router(config-if)# Async dynamic routing
Router(config-if)# Async mode interactive
Router(config-if)# no shutdown
Router(config-if)# Exit
2、配置同步串行口
高速同步串行接口类型是Serial,可简写为s。它主要用于DDN专线、帧中继、卫星、微波等广域网连接。需要配置的参数主要有接口带宽、接口协议和接口的IP地址。
Router(config)# Interface s1/1
Router(config-if)# Description TOBEIJING
Router(config-if)# Bandwidth 2048 (带宽为2M,这里转换要按1024)
Router(config-if)# Ip address 212.112.41.81 255.255.255.252
Router(config-if)# Encapsulation hdlc (封装HDLC或PPP协议,HDLC为缺省)
Router(config-if)# No ip directed-broadcast
Router(config-if)# No ip proxy-arp
Router(config-if)# No shutdown
Router(config-if)# Exit
3、配置POS接口(综合题)
Router(config)# Interface POS3/0
Router(config-if)# Description TO BEIJING
Router(config-if)# Bandwidth 2500000
Router(config-if)# Ip address 212.14.37.18 255.255.255.252
Router(config-if)# Crc 32 (可选的CRC校验位是16和32)
Router(config-if)# Pos framing sdh (可选帧格式是SDH和SONET)
Router(config-if)# No ip directed-broadcast
Router(config-if)# Pos flag s1s0 2
(s1s0=00(十进制0)表示是SONET帧数据,s1s0=10(十进制2)表示是SDH帧)
如果前面设置格式是SONET则这里Pos flag s1s0 0,
如果前面设置格式是SDH则这里Pos flag s1s0 2
4、loopback接口配置(12上)
loopback接口没有一个实际的物理接口与之相对应,也没有与其他网络节点相连接的物理链路。它是一个虚拟的接口,loopback接口号的有效值为0~2147483647。主要作用是他作为一台路由器的管理地址,使网络管理员可以随时登录到路由器上,对路由器进行配置管理。它还可以作为动态路由协议ospf和bgp的router id ,使路由器功能更加稳定可靠。每台路由器上都配置一个环回接口,它永远处于激活状态。网络管理员为loopback接口分配一个IP地址作为管理地址,其掩码应为255.255.255.255。
Router(config)# Int loopback 0
Router(config-if)# Ip address 192.168.1.1 255.255.255.255
Router(config-if)# No ip route-cache
Router(config-if)# No ip mroute-cache
7.2.4 实训任务四:路由器的静态路由配置
7.2.4 实训任务四:路由器的静态路由配置(综合题有出题概率)
一、静态路由的配置方法
Router(config)# ip route <目的网络地址><子网掩码><下一跳路由器的IP地址>
如:Router(config)# ip route 59.65.96.0 255.255.240.0 222.112.37.1
二、静态默认路由的配置方法(08上)
默认路由指路由器对接收的数据包找不到匹配路由表项时,如果路由表中有默认路由,路由器按默认路由的下一跳地址转发数据包。
Router(config)# ip route 0.0.0.0 0.0.0.0 <下一跳路由器的IP地址>
7.2.5 实训任务五:动态路由协议的配置
7.2.5 实训任务五:动态路由协议的配置
一、RIP动态路由协议的配置
RIP路由协议只一句路由器跳数(hop数)决定最佳路径,不考虑带宽、延时和其他因素。具有最小跳数值的路径为”最优”路径。RIP限制最大跳数为15,如果为16,意味着路径不可达。另外,RIP在路由更新报文中部携带子网掩码信息,不支持VLSM。RIP定时更新路由周期为30秒。
RIP有两个版本:v1和v2。版本2提供了VLSM,多点广播路由更新(组播)和路由更新认证等新功能。
1、RIP的基本配置(08上、11上、12上)
Router(config)#router rip
Router(config-router)#network 159.105.0.0 (宣告网络,哪些参与学习。要写有类的网络,不能用子网划分后写法159.105.2.0/24直接写159.105.0.0。不写掩码)
Router(config-router)#network 212.112.7.0
2、RIP的高级配置
配置被动接口 (被动接口只收不发报文。过滤输出。比如路由某接口连计算机,不用发更新报文,可以设为被动接口)
Router(config)#router rip
Router(config-router)#passive-interface ethernet 0
配置路由过滤 (过滤输入)
Router(config)#access-list 12 deny any定义一个编号12的访问控制列表
Router(config)#router rip
Router(config-router)#distribute-list 12 in ethernet0
配置管理距离
Router(config)#router rip
Router(config-router)#distance 50
定义邻居路由器
Router(config)#router rip
Router(config-router)#neighbor 202.112.7.2
二、OSPF动态路由协议的配置(综合题)
OSPF的基本配置
1) 使用network命令定义参与OSPF的子网地址
配置单个IP地址参与OSPF
Router (config) # router ospf 63 (63为进程号)
Router (config-router) # network 131.107.25.1 0.0.0.0 area 0 (要用反掩码!!!)
网络地址参与OSPF
Router (config-router) # network 133.181.0.0 0.0.255.255 area 0 (要用反掩码!!!)
2) 定义参与OSPF的子网地址
Router (config-router) # area 0 range 212.37.123.0 255.255.255.0 (要用正常的掩码!!!)
几个常用OSPF参数的配置(了解)
1) 配置被动接口(包括路由器和第三层交换机的配置)
Router (config-router) # passive-interface Ethernet 0
Router (config-router) # passive-interface vlan37
2) 配置路由过滤
Router (config) # access-list 12 deny any
Router (config) # router ospf 63
Router (config-router) # distribute-list 12 in serial 0
3) 配置管理距离
Router (config-router) # distance 10
4)配置引入外部路由到OSPF的参数(了解)
配置OSPF引入外部路由的花费值
Router (config-router) # redistribute metric 100
配置引入外部路由时缺省的标记值
Router (config-router) # redistribute tag 10
配置引入外部路由时缺省的外部路由类型
Router (config-router) # redistribute connected metric-type 1 subnets
7.3 高级实训任务
7.3.1 高级实训任务一:路由器的DHCP功能及其配置
IP地址分配有静态分配和动态分配两种分配方式。动态分配是使用动态主机配置协议(DHCP),由网络站点提出DHCP请求,从DHCP服务器上自动获取一个IP地址与缺省网关、域名及域名服务器的IP地址等相关的TCP/IP属性的信息。
一、DHCP的工作原理
DHCP采用C/S工作模式。DHCP服务器主要完成两个功能,一是建立和管理IP地址池 ,地址池为DHCP客户端攻台分配地址提供有效而连续的一组IP地址,还有每个子网的缺省网关、子网掩码以及域名和域名服务器的IP地址。
另一个功能是接收并处理DHCP客户端提出的DHCP请 求。当DHCP接收到一个DHCP请求时,首先查询IP地址池,为客户分配一个可用的IP地址;然后将分配给DHCP客户的IP地址以及子网掩码、缺省网关、域名和域名服务器的IP地址等信息一并返回给DHCP客户。
二、DHCP服务器的配置(08上、09上、09下、10上、11下)
1. 配置IP地址池的名称,并进入DHCP Pool配置模式
Router (config) # ip dhcp pool ttt (“ttt”为地址池名称)
2. 配置IP地址池的子网地址和子网掩码
在DHCP Pool配置模式下:
命令格式:network <network-number> [mask | /prefix-length] 正常掩码
Router(dhcp-config)#network 201.23.98.0 255.255.255.0
Router(dhcp-config)#network 201.23.98.0/24
配置不用于动态分配的IP地址(除外地址)
命令格式:ip dhcp excluded-address low-address [high-address] (先写小地址再写大地址,中间没有横线)
排除从201.23.98.2到201.23.98.10的一段IP地址
Router(config)#ip dhcp excluded-address 201.23.98.2 201.23.98.10
排除单个IP地址201.23.98.193
Router(config)#ip dhcp excluded-address 201.23.98.193
配置IP地址池的缺省网关
命令格式:default-router address [address2 ... address8]
Router(dhcp-config)#default-router 201.23.98.1
配置IP地址池的域名系统
配置IP地址池的域名
在DHCP Pool配置模式下:
命令格式:domain-name <name>
Router(dhcp-config)#domain-name pku.edu.cn
配置IP地址池的域名服务器的IP地址
在DHCP Pool配置模式下:
命令格式:dns-server address [address2 ... address8]
Router(dhcp-config)#dns-server address 212.105.129.27 212.105.129.26
5.配置IP地址池的地址租约时间
在DHCP Pool配置模式下: (注意单位)
命令格式:lease {days [hours][minutes]|infinite无限制}
例:设置租约时间为5小时
Router(dhcp-config)#lease 0 5 (0天5小时,天小时分钟,天不可省)
6.取消地址冲突记录日志
在全局配置模式下:
Router(config)#no ip dhcp conflict logging
一个完整的DHCP配置信息:
no ip dhcp conflict logging
ip dhcp exeluded-address 182.105.246.2 182.105.246.10
ip dhcp exeluded-address 182.105.247.200 182.105.247.254
ip dhcp pool 246
network 182.105.246.0 255.255.255.0
default-router 182.105.246.1
domain-name pku.edu.cn
dns-server 182.105.129.26 182.105.129.27 222.112.7.13
lease 0 5
ip dhcp pool 247
……
7.3.2 高级实训任务二:路由器 IP 访问控制列表的功能及其配置
7.3.2 高级实训任务二:路由器IP访问控制列表的功能及其配置
路由器提供的访问控制列表能够为路由器提供初级的防火墙功能,它可以根据一些准则过滤不安全的数据包,如攻击包,病毒包等,以保障网络的安全性与可靠性。访问控列表的核心就是根据制定规则进行数据包的过滤,防止病毒包,扫描包,攻击包通过路由器去攻击网络,另外访问控制列表还可以限制网络流量,防止不必要的数据包通过路由,提高宽带利用率以及网络性能。
一、IP访问控制列表功能简介
IP访问控制列表的主要功能
通过灵活地增加访问控制列表,ACL可以当作一种网络控制的有力工具,用来过滤流入和流出路由器接口的数据包。
IP访问控制列表的过滤准则
过滤源地址或目的地址
过滤端口号
过滤协议(ICMP、TCP、UDP)
访问控制列表的分类
标准访问控制列表:只能检查数据包的源地址。表号的范围是:1-99,扩展后是1300-1999
扩展访问控制列表:检查数据包的源地址与目的地址。根据源网络,目的网络,子网掩码,主机的ip地址决定数据包的过滤。该列表还可以检查指定的协议以及端口号。表号范围是100-199,扩展后是2000-2699
二、配置IP访问控制列表
首先在全局配置模式下定义访问列表,然后将其应用到接口中,使通过该接口的数据包需要进行相应的匹配,然后决定被通过还是拒绝。并且访问列表语句按顺序自上向下开始匹配数据 包。如果一个数据包头与访问权限表的某一语句不匹配,则继续检测列表中的下一个语句。在执行到访问列表的最后,还没有与其相匹配的语句,数据包将被隐含的“拒绝”语句所拒绝。(自上向下只要匹配到一条就不继续匹配)
ACL语句的顺序非常重要。若要允许除202.204.4.2以外的所有源地址通过路由器,需要先配置“deny 202.202.4.2拒绝此ip”再配置“permit any允许所有”
配置访问控制列表的两个重要参数
表号和名字
表号是用来标识或是引用某个访问控制列表。访问控制列名的名字用字符串来表示。
通配符掩码
访问控制列表的通配符掩码是一个32bit的数字字符串,它点分成4个8位,每组包含8bit。在通配符掩码位中,表示形式与IP地址的子网掩码相同。它实际上即是子网掩码的反码。
配置IP访问控制列表
配置标准访问控制列表(09下、10上、11上、12上、12下、13上)
在全局模式下,命令格式:
access-list access-list-number {permit | deny} source wildcard-mask
access-list表号 允许或拒绝 源地址 反掩码
应用1 只允许源地址为211.105.130.0 255.255.255.0 子网的主机登录路由器。 (网段要写反掩码)
Router(config)#access-list 10 permit 211.105.130.0 0.0.0.255
配置应用接口:
Router(config)#line vty 0 5
Router(config-line)#access-class 10 in(进用in出用out)
应用2 只允许源地址为182.105.130.111和222.112.7.56的两台主机登录路由器。 (主机不写反掩码)
在全局配置模式下:
Router(config)#access-list 20 permit 182.105.130.111
Router(config)#access-list 20 permit 222.112.7.56
Router(config)#access-list 20 deny any (any 代表所有主机)
配置应用接口:
Router(config)#line vty 0 5
Router(config-line)#access-class 20 in
应用3 禁止源地址为非法地址的数据包进入路由器或从路由器输出
在全局配置模式下:
Router(config)#access-list 30 deny 10.0.0.0 0.255.255.255 log
Router(config)#access-list 30 deny 192.168.0.0 0.0.255.255
Router(config)#access-list 30 deny 172.0.0.0 0.255.255.255
Router(config)#access-list 30 deny 172.16.0.0 0.15.255.255
Router(config)#access-list 30 permit any
配置应用接口:
Router(config)#interface g0/1
Router(config-if)#ip access-group 30 in (interface下用group)
Router(config-if)#ip access-group 30 out
配置扩展访问控制列表(08上、08下、09上、10下、11上、11下)
(1)使用access-list命令。
在全局配置模式下:
命令格式:access-list access-list-number {permit | deny} protocol source wildcard-mask destination wildcard-mask [operator] [operand]
access-list表号100~199 允许或拒绝 协议 源地址 反掩码 目的地址 反掩码 大小等不等 端口
其中:operator(操作),操作有“lt"(小于)、“gt”(大于)、“eq”(等于)、“neq”(不等于)。(还一个range范围,了解)
operatand(操作数),指的是端口号。
应用1 拒绝转发所有IP地址进出的,端口号为1434的UDP协议数据包。
在全局配置模式下:
Router(config)#access-list 130 deny udp any any eq 1434
Router(config)#access-list 130 permit ip any any
Router(config)#
配置应用端口:
Router(config)#interface g0/1
Router(config-if)#ip access-group 130 in
Router(config-if)#ip access-group 130 out
应用2 封禁某一台主机。
在全局配置模式下:
Router(config)#access-list 110 deny ip host 202.112.60.230 any log (log为日志,可选)
Router(config)#access-list 110 deny ip any host 202.112.60.230 log (封禁是两个方向)
Router(config)#access-list 110 permit ip any any
配置应用接口:
Router(config)#interface g0/1
Router(config-if)#ip access-group 110 in
Router(config-if)#ip access-group 110 out
应用3 封禁ICMP协议,只允许162.105.141.0/24和202.38.97.0/24子网的ICMP数据包通过路由器。
在全局配置模式下:
Router(config)#access-list 198 permit icmp 162.105.141.0 0.0.0.255 any
Router(config)#access-list 198 permit icmp 202.38.97.0 0.0.0.255 any
Router(config)#access-list 198 deny icmp any any
Router(config)#access-list 198 permit ip any any
配置应用接口:
Router(config)#interface g0/1
Router(config-if)#ip access-group 198 in
Router(config-if)#ip access-group 198 out
(2)使用ip access-list命令(10下、11上、11下)
在全局配置模式下:
命令格式:ip access-list extended | standard access-list-number | name
ip access-list标准或扩展 表号或表名
在扩展或标准访问控制列表模式下(如:Router(config-ext-nacl)#),配置过滤规则:
命令格式:permit | deny protocol source wildcard-mask destination wildcard-mask [operator] [operand]
允许或拒绝 协议 源地址 反掩码 目的地址 反掩码 大小等不等 端口号
应用 拒绝转发所有IP地进与出方向的,端口号为1434的UDP协议数据包。
在全局配置模式下:
Router(config)#ip access-list extended 130 (进入扩展访问控制列表配置模式)
Router(config-ext-nacl)#deny udp any any eq 1434
Router(config-ext-nacl)#permit up any any
(3)用名字标识访问控制列表的配置方法 只是把表号换成用名字了
在全局配置模式下:
命令格式:ip access-list extended | standard access-list-number | name
在扩展或标准访问控制列表模式下(如:Router(config-ext-nacl)#),配置过滤准则:
命令格式:permit|deny protocol source wildcard-mask destination wildcard-mask [operator] [operand]
应用1 禁止源地址为非法地址的数据包进入路由器或从路由器输出。
在全局配置模式下:
Router(config)#ip access-list standard test
Router(config-std-nacl)#deny 10.0.0.0 0.255.255.255 log
Router(config-std-nacl)#deny 192.168.0.0 0.0.255.255
Router(config-std-nacl)#deny 127.0.0.0 0.255.255.255
Router(config-std-nacl)#deny 172.16.0.0 0.15.255.255
Router(config-std-nacl)#permit any
配置应用接口:
Router(config)#interface g0/1
Router(config-if)#ip access-group test in
Router(config-if)#ip access-group test out
应用2 禁止端口号为1434的UTP数据包和端口号为4444的TCP数据包。
在全局配置模式下:
Router(config)#ip access-list extended block1434
Router(config-ext-nacl)#deny udp any any eq 1434
Router(config-ext-nacl)#deny tcp any any eq 4444
Router(config=ext-nacl)#permit ip any any
Router(config-ext-nacl)#
配置应用接口:
Router(config)#interface g0/1
Router(config-if)#ip access-group block1434 in
Router(config-if)#ip access-group block1434 out
查看控制访问列表:
在特权用户模式下:
Router# show access-lists
Extended IP access list block1434
deny udp any any eq 1434
deny tcp any any eq 4444
permit ip any any
1. 路由器基础与基本命令
分组转发(IP不变MAC变)、路由命令、路由器各种存储器特点及作用
2. 接口配置( 同异步接口、Pos接口配置)
注意异步只能PPP不能HDLC
3. 访问控制列表(标准、扩展、命名)
4. 静态路由、 RIP协议、 OSPF协议的配置
RIP宣告网络写有类网络,不带掩码
OSPF宣告网络network开头写反掩码,area开头正掩码
network地址 反掩码area 0
area 0 range地址 正掩码
5. 路由器的DHCP配置
server排除地址是在全局模式
租约的格式
