路由器的高级配置优秀PPT.ppt

《路由器的高级配置优秀PPT.ppt》由会员分享，可在线阅读，更多相关《路由器的高级配置优秀PPT.ppt（85页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、路由器的高级配置现在学习的是第1页，共85页n03 寄存器的引导字段，控制从哪里引导n6：忽略NVRAM位寄存器位寄存器位1514131211109876543210二二进进制制0010000100000010十六十六进进2102现在学习的是第2页，共85页路由器IOS的安装nPc和路由器的第一个以太口用反转线连接，com口和console口连接，建立一个TFTP服务器，搭建路由器配置环境。RommonIP_ADDRESS=192.168.1.100 RommonIP_SUBNET_MASK=255.255.255.0 RommonDEFAULT_GATEWAY=192.168.1.1 Rom

2、monTFTP_FILE=c2600-is-mz.120-7.t.bin RommonTFTP_SERVER=192.168.1.1 Rommonset Rommontftpdnld (dnld)现在学习的是第3页，共85页IP路由配置路由配置n配置静态路由nRouter(config)#ip route destination destination_mask ip address|portmetricn 说明：destination代表目的网络的网络IPnip address代表目的网络的下一跳的IP地址nPort代表目的网络的下一跳可以用路由器的端口来表示nMetric表示路由的优先级，

3、值越大优先级越低现在学习的是第4页，共85页nIp route 192.168.1.0 255.255.255.0 192.168.4.1 30nIp route 192.168.1.0 255.255.255.0 192.168.5.1 50现在学习的是第5页，共85页配置默认路由n当只有一个路由端口或一条路由路径时，可以启用默认路由 Router(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1n启用默认静态路由 Router(config)#Ip classlessn应用 IP classless 命令后，默认静态路由才会生效。现在学习的是第6页，

4、共85页n启用路由功能 Router(config)#IP routingn查看路由表信息 Router#sh ip routen调试命令 Router#traceroute ip address 跟踪路由现在学习的是第7页，共85页现在学习的是第8页，共85页n说明：在设计路由器各端口的IP时，应注意同一网段IP不能配置在相同路由器上。现在学习的是第9页，共85页RIP路由协议n采用距离向量算法，路由器收集所有可到达目的地的不同路径，并且保存有关到达每个目的地的最少站点数的路径信息，除到达目的地的最佳路径外，其他信息予以丢弃。同时，将收集到的路由信息用RIP协议通知其他相邻路由器现在学习的是

5、第10页，共85页nRouter Rip vernNetwork x.x.x.xn监控RIP Debug ip rip 现在学习的是第11页，共85页4.2 动态路由的配置n动态路由协议 是一组规则，描述了第三层路由选择设备之间如何彼此发送有关可用网络的更新。如果到远程网络的路径不止一条，协议还决定如何从中选择一条最佳路径（路由）现在学习的是第12页，共85页n动态路由VS静态路由 动态路由更容易使用，但比静态路由要占用更多的CPU资源和网络带宽。适合大型网络现在学习的是第13页，共85页n动态路由协议类型：IGP：内部网关协议（Interior Gateway Protocols),在同一路

6、由域中交换路由信息。EGP：外部网关协议（External Gateway Protocols).在不同AS（自治系统）之间交换路由信息现在学习的是第14页，共85页n三种路由协议:(距离矢量、链路状态、混合）Router间周期性地交换路由表，经过层层交换，使每个路由器获得所有网络信息，并采用算法得出到达每一个网络最佳路径，生成路由表。周期性交换路由表的缺点在于会带来额外的流量。每个Router不知道网络的拓扑结构，只知道与自己相连的网络情况，因此对网络变化收敛的速度慢。现在学习的是第15页，共85页n链路状态：也叫最短路径优先（Shortest-path-First)，每个路由器创建三个单独

7、的表，一个跟踪直连的相邻路由器，一个决定整个网络拓扑结构（链路状态），一个作为路由表。这种协议比距离矢量协议对网络的了解程度更高。主要有OSPF现在学习的是第16页，共85页n每个Router与所有其它Router交换LSA（链路状态），最终获得所有Router的LSA，并将之放在一个LSA数据库中，再将LSADB转为一张带权有向图，即是对整个网络拓扑的真实反应。每个Router在图中以自已为根，使用算法得出到达每一点的最短路径，生成路由表。因为路由器知道整个网络的拓扑，所以对网络的变化收敛速度快。路由器不定期的交换路由表，只在网络变化时发送更新信息，因此流量小。现在学习的是第17页，共85页

8、n混合型：综合了前两者的特征。协议有EIGRP现在学习的是第18页，共85页路由协议分类n按自治系统 IGP（内部路由协议）：RIP、IGRP、OSPF EGP（外部路由协议）：BGPn 按路由算法 距离矢量：RIP、IGRP、BGP 链路状态：OSPF现在学习的是第19页，共85页RIP 协议的配置 现在学习的是第20页，共85页n2621A#configtn2621A(config)#no ip route 172.16.20.0 255.255.255.0 172.16.10.2n2621A(config)#no ip route 172.16.30.0 255.255.255.0 17

9、2.16.10.2n2621A(config)#no ip route 172.16.40.0 255.255.255.0 172.16.10.2n2621A(config)#no ip route 172.16.50.0 255.255.255.0 172.16.10.2n2621A(config)#router ripn2621A(config-router)#network 172.16.0.0n2621A(config-router)#Zn2621A#现在学习的是第21页，共85页n2501An2501A#configtn2501A(config)#no ip route 172.16

10、.30.0 255.255.255.0 172.16.20.2n2501A(config)#no ip route 172.16.40.0 255.255.255.0 172.16.20.2n2501A(config)#no ip route 172.16.50.0 255.255.255.0 172.16.20.2n2501A(config)#router ripn2501A(config-router)#network 172.16.0.0n2501A(config-router)#Zn2501A#现在学习的是第22页，共85页nVerifying the RIP Routing Tabl

11、esa.2621An2621A#show ip routenCodes:C-connected,S-static,I-IGRP,R-RIP,M Gateway of last resort is not set 172.16.0.0/24 is subnetted,5 subnetsnR 172.16.50.0 120/3 via 172.16.10.2,FastEthernet0/0nR 172.16.40.0 120/2 via 172.16.10.2,FastEthernet0/0nR 172.16.30.0 120/2 via 172.16.10.2,FastEthernet0/0nR

12、 172.16.20.0 120/1 via 172.16.10.2,FastEthernet0/0nC 172.16.10.0 is directly connected,FastEthernet0/0现在学习的是第23页，共85页n自学Routing Loops、水平分割、路由破坏、抑制计时n学生课堂讲述现在学习的是第24页，共85页现在学习的是第25页，共85页IGRP 协议的配置 nIGRP使用复合度量，克服了RIPv1的距离限制。复合度量包括了4个元素：带宽、延迟、负载、可靠性现在学习的是第26页，共85页nIGRP特点：1.最大跳数255，默认100跳2.使用带宽和延迟作为度来寻找

13、最佳路径3.当配置IGRP时，必须以AS号作为配置参数，所有的路由器必须使用相同的AS号来共享路由表信息，IGRP支持最多6条链路的均衡负载。现在学习的是第27页，共85页nIGRP专有的特征：1.每90秒发送完整的路由更新2.使用AS号nIGRP计时1.路由更新：默认90秒2.路由无效：默认270秒3.路由刷新：默认630秒现在学习的是第28页，共85页a.2621An2621A#configtn2621A(config)#router igrp?n Autonomous system numbern2621A(config)#router igrp10n2621A(config-route

14、r)#network 172.16.0.0n2621A(config-router)#Zn2621A#现在学习的是第29页，共85页nb.2501An2501A#configtn2501A(config)#router igrp10n2501A(config-router)#netw172.16.0.0n2501A(config-router)#Zn2501A#现在学习的是第30页，共85页nVerifying the IGRP Routing Tablesa.2621An2621A#show ip routenCodes:C-connected,S-static,I-IGRP,R-RIP,G

15、ateway of last resort is not set172.16.0.0/24 is subnetted,5 subnetsnI 172.16.50.0 100/160360 via 172.16.10.2,FastEthernet0/0nI 172.16.40.0 100/160260 via 172.16.10.2,FastEthernet0/0nI 172.16.30.0 100/158360 via 172.16.10.2,FastEthernet0/0nI 172.16.20.0 100/158260 via 172.16.10.2,FastEthernet0/0nC 1

16、72.16.10.0 is directly connected,FastEthernet0/0现在学习的是第31页，共85页访问控制列表n访问列表是由一系列语句组成的列表，这些语句主要包括匹配条件和采取的动作两项内容。列表应作用在接口上，通过匹配数据包信息与访问表参数来决定允许还是拒绝数据包通过接口。n格式:access-list ACL号 permit|deny（host）ip地址 现在学习的是第32页，共85页ACL类型n标准访问列表：使用源IP地址做过滤决定,访问控制列表号1到99 n扩展访问列表：可以通过源IP和目的IP以及根据通信的协议类型以及端口号来过滤网络流量，访问控制列表号1

17、00到199 现在学习的是第33页，共85页ACL规则n按顺序比较，从第一行到最后一行n从第一行起，直到找到一个符合条件的行，符合以后，其余的行就不再继续比较n默认的每个ACL中最后一行为隐含的拒绝（deny)，所以每个ACL必须要有一行pemit语句，除非用户想所有数据包丢弃。现在学习的是第34页，共85页ACL作用设置要点n作用方向：作用方向：IN：先处理，再路由 OUT：先路由，再处理n每个接口、每个方向只能设置一个ACLnACL是一个整体，如果要修改其中的一行，必须重新写该ACL（命名ACL除外）nACL一定要作用在接口上才能生效现在学习的是第35页，共85页n通配符为反码，全0表示必

18、须检查匹配nHost 表示精确匹配，是0.0.0.0 的简写nAny 表示全部不进行匹配，是255.255.255.255的简写eg:access-list 2 permit 10.1.1.1 255.255.255.255 可以写成access-list 2 permit any现在学习的是第36页，共85页标准ACL的配置nRouter(config)#access-list number deny|permitsource source-wildcardlog eg:Router(config)#access-list 10 permit 172.16.1.1Router(config)

19、#line vty 0 4Router(config-line)#access-list in现在学习的是第37页，共85页 小提示：小提示：对于标准访问控制列表来说，默认的命令是HOST，也就是说access-list 10 deny 192.168.1.1表示的是拒绝192.168.1.1这台主机数据包通讯，可以省去我们输入host命令。现在学习的是第38页，共85页n禁止172.16.4.13这个计算机对172.16.3.0/24网段的访问，而172.16.4.0/24中的其他计算机可以正常访问。现在学习的是第39页，共85页n路由器配置命令：路由器配置命令：1.access-list

20、1 deny host 172.16.4.13 设置ACL，禁止172.16.4.13的数据包通过2.access-list 1 permit any 设置ACL，容许其他地址的计算机进行通讯3.int e 1 进入E1端口4.ip access-group 1 in 将ACL1宣告，同理也可以进入E0端口后使用ip access-group 1 out来完成宣告。5.配置完毕后除了172.16.4.13其他IP地址都可以通过路由器正常通讯，传输数据包。现在学习的是第40页，共85页要求：hostA不能访问服务器server1和server2,其他主机可以访问服务器现在学习的是第41页，共85

21、页nrouteB:nRouterB(config)#access-list 2 deny host 192.168.1.1 nrouterB(config)#access-list 2 permit anynrouterB(config)#interf e0nrouterB(config-if)#ip access-group 1 in现在学习的是第42页，共85页n总结：总结：标准ACL占用路由器资源很少，是一种最基本最简单的访问控制列表格式。应用比较广泛，经常在要求控制级别较低的情况下使用。如果要更加复杂的控制数据包的传输就需要使用扩展访问控制列表了，他可以满足我们到端口级的要求。现在学习

22、的是第43页，共85页扩展ACLn扩展ACL和标准ACL使用方法基本相同，区别在于扩展ACL有更多匹配项。如：源和目的IP地址、协议类型、源和目的端口等n访问列表号范围为100199nEq(等于）、gt(大于）、lt(小于）、neq(不等于）、range(一个范围）现在学习的是第44页，共85页要求：允许LAN3的所有主机能登陆INTERNET，但只能浏览WWW、FTP、SMTP、POP3协议通讯。LAN2中的主机192.168.2.1 向INTERNET 提供WWW服务，主机192.168.2.2向INTERNET提供FTP服务，主机192。168。2。3向INTERNET提供SMTP服务，

23、其余主机不能被INTERNET访问。LAN1中的主机不能访问INTERNET，但可以访问LAN2和LAN3现在学习的是第45页，共85页nRouter(config)#access-list 101 permit tcp 192.168.3.0 0.0.0.255 any eq wwwnRouter(config)#access-list 101 permit tcp 192.168.3.0 0.0.0.255 any eq FTPnRouter(config)#access-list 101 permit tcp 192.168.3.0 0.0.0.255 any eq SMTPnRoute

24、r(config)#access-list 101 permit tcp 192.168.3.0 0.0.0.255 any eq POP3现在学习的是第46页，共85页nRouter(config)#access-list 101 deny ip 192.168.1.0 0.0.0.255 any nRouter(config)#access-list 102 permit tcp any host 192.168.2.1 eq wwwnRouter(config)#access-list 102 permit tcp any host 192.168.2.2 eq FTPnRouter(c

25、onfig)#access-list 102 permit tcp any host 192.168.2.3 eq SNMP现在学习的是第47页，共85页nRouter(config)#interf s1nRouter(config-if)#ip access-group 101 outnRouter(config)#interf e0nRouter(config-if)#ip access-group 102 out现在学习的是第48页，共85页n扩展ACL有一个最大的好处就是可以保护服务器，例如很多服务器为了更好的提供服务都是暴露在公网上的，这时为了保证服务正常提供所有端口都对外界开放，很

26、容易招来黑客和病毒的攻击，通过扩展ACL可以将除了服务端口以外的其他端口都封锁掉，降低了被攻击的机率。现在学习的是第49页，共85页n总结：总结：扩展ACL功能很强大，他可以控制源IP，目的IP，源端口，目的端口等，能实现相当精细的控制，扩展ACL不仅读取IP包头的源地址/目的地址，还要读取第四层包头中的源端口和目的端口的IP。不过他存在一个缺点，那就是在没有硬件ACL加速的情况下，扩展ACL会消耗大量的路由器CPU资源。所以当使用中低档路由器时应尽量减少扩展ACL的条目数，将其简化为标准ACL或将多条扩展ACL合一是最有效的方法。现在学习的是第50页，共85页基于时间的访问控制列表基于时间的

27、访问控制列表 n基于时间的访问控制列表用途：基于时间的访问控制列表用途：可能公司会遇到这样的情况，要求上班时间不能上QQ，下班可以上或者平时不能访问某网站只有到了周末可以。对于这种情况仅仅通过发布通知规定是不能彻底杜绝员工非法使用的问题的，这时基于时间的访问控制列表应运而生。现在学习的是第51页，共85页n基于时间的访问控制列表的格式：基于时间的访问控制列表的格式：n 基于时间的访问控制列表由两部分组成，第一部分是定义时间段，第二部分是用扩展访问控制列表定义规则。这里我们主要讲解下定义时间段，具体格式如下：n time-range 时间段名称 absolute start 小时：分钟 日 月

28、年 end 小时：分钟 日 月 年n例如：例如：time-range softer absolute start 0:00 1 may 2005 end 12:00 1 june 2005 现在学习的是第52页，共85页n路由器连接了二个网段，分别为172.16.4.0/24,172.16.3.0/24。在172.16.4.0/24网段中有一台服务器提供FTP服务，IP地址为172.16.4.13。n只容许172.16.3.0网段的用户在周末访问172.16.4.13上的FTP资源，工作时间不能下载该FTP资源。现在学习的是第53页，共85页n路由器配置命令：路由器配置命令：1.time-ra

29、nge softer 定义时间段名称为softer2.periodic weekend 00:00 to 23:59 定义具体时间范围，为每周周末（6，日）的0点到23点59分。当然可以使用periodic weekdays定义工作日或跟星期几定义具体的周几。3.access-list 101 deny tcp any 172.16.4.13 0.0.0.0 eq ftp time-range softer 设置ACL，禁止在时间段softer范围内访问172.16.4.13的FTP服务。4.access-list 101 permit ip any any 设置ACL，容许其他时间段和其他条

30、件下的正常访问。5.int e 1 进入E1端口。6.ip access-group 101 out 宣告ACL101。n 基于时间的ACL比较适合于时间段的管理，通过上面的设置172.16.3.0的用户就只能在周末访问服务器提供的FTP资源了，平时无法访问。现在学习的是第54页，共85页基于名称的访问控制列表基于名称的访问控制列表 n不管是标准访问控制列表还是扩展访问控制列表都有一个弊端，那就是当设置好ACL的规则后发现其中的某条有问题，希望进行修改或删除的话只能将全部ACL信息都删除。也就是说修改一条或删除一条都会影响到整个ACL列表。n用基于名称的访问控制列表来解决上述问题。现在学习的是

31、第55页，共85页n基于名称的访问控制列表的格式：基于名称的访问控制列表的格式：n ip access-list standard|extended ACL名称 例如：ip access-list standard softer就建立了一个名为softer的标准访问控制列表。现在学习的是第56页，共85页n基于名称的访问控制列表的使用方法：基于名称的访问控制列表的使用方法：当我们建立了一个基于名称的访问列表后就可以进入到这个ACL中进行配置了。n 例如我们添加三条ACL规则 permit 1.1.1.1 0.0.0.0 permit 2.2.2.2 0.0.0.0 permit 3.3.3.3

32、 0.0.0.0现在学习的是第57页，共85页n如果我们发现第二条命令应该是2.2.2.1而不是2.2.2.2，如果使用不是基于名称的访问控制列表的话，使用no permit 2.2.2.2 0.0.0.0后整个ACL信息都会被删除掉。正是因为使用了基于名称的访问控制列表，我们使用no permit 2.2.2.2 0.0.0.0后第一条和第三条指令依然存在。现在学习的是第58页，共85页n总结：总结：如果设置ACL的规则比较多的话，应该使用基于名称的访问控制列表进行管理，这样可以减轻很多后期维护的工作，方便我们随时进行调整ACL规则。现在学习的是第59页，共85页EIGRP协议的配置重点：n

33、EIGRP建立路由表n路由汇总n负载均衡n配置现在学习的是第60页，共85页4.6 EIGRP协议的配置nEIGRP：Enhanced Interior Gateway Routing Protocol,增强型内部网关协议nCisco公司开发，IOS9.21版中首次发布。n平衡混合型路由协议：既有传统距离矢量协议的特点，又有传统的链路状态路由协议的 特点，同时还支持非等成本路由上的负载均衡现在学习的是第61页，共85页EIGRP特点n快速收敛：使用差分更新算法(DUAL)来实现快速收敛。n减少带宽占用：不做周期性的 更新，只在路由的路径和度发生变化后才做部分更新，并且只发送该条路由信息改变了

34、的更新，不发送整个路由表。现在学习的是第62页，共85页n支持多种网络层协议：通过使用PDM(依赖于协议的模块），支持ApplleTalk、IP、Novell Netware等协议。n无缝连接数据链路层协议和拓扑结构:能有效的工作在LAN和WAN中，并且保证网络不会产生环路，支持VLSM，使用多播和单播，不使用广播，节约了带宽。使用和IGRP一样的度的算法，但是是32位长。可以做非等价路径的负载均衡。现在学习的是第63页，共85页n等价负载均衡：将流量均等地分布到多条度量相同地路径上，n非等价负载均衡：将流量分布到不同度量的多条路径上，各条路径上分布的流量与路由代价成反比。nEIGRP支持非等

35、价的负载均衡。RIP,OSPF,IS-IS只支持等价负载均衡。现在学习的是第64页，共85页EIGRP路由器的表n邻居表n拓扑表n路由表现在学习的是第65页，共85页邻居表n保存了和路由器建立的邻居关系，直接相连的路由器的相关信息相关信息现在学习的是第66页，共85页拓扑表n包含拓扑内所有已知的路由，而不仅仅是最佳路由和备份路由，然后EIGRP从这些拓扑表中根据自己度的算法选择最佳路径，并加入到自己的路由表中。现在学习的是第67页，共85页路由表n根据DUAL算法运行后的拓扑建立的，根据拓扑状态选择到目的地的最佳路径建立路由表，所有路由都存储在这里。现在学习的是第68页，共85页EIGRP使用

36、的报文nHELLO报文n更新报文n查询报文n答复报文n确认报文现在学习的是第69页，共85页nHELLO报文：用于邻居的发现和恢复的 过程，使用的 是组播方式发送，使用不可靠的发送方式。n更新报文：用于传递路由更新信息。只在必要时候传递给需要的路由器必要的信息。单台需要用单播，多台需要用多播。现在学习的是第70页，共85页n查询报文：当路由器进行路由计算时发现没有可行的 后继路由时，它就向邻居发送一个查询数据包，询问是否有一个到达目的地的可行后继路由器。现在学习的是第71页，共85页n答复报文：对查询的应答n确认报文：用来确认更新、查询、答复现在学习的是第72页，共85页EIGRP的可靠性nR

37、TP:（Reliable Transport Protocol)可靠传输协议1.负责EIGRP数据包到所有邻居的有保证和安顺序传输。2.RTP确保在相邻路由器间正在进行的通讯能被维持。（重传表：未被确认的数据包和16次重传）现在学习的是第73页，共85页n快速收敛机制：当最佳路径出问题的时候，EIGRP不使用Holddown Timer，而立即使用备份路由现在学习的是第74页，共85页nDUAL查找替代路径的过程 当路由度量或拓扑发生变化时，路由器为寻找更好的路由，路由器从可行后继站中寻找更好的度量，如果没有可行后继站，则立即选择新的后继站。过程：现在学习的是第75页，共85页现在学习的是第7

38、6页，共85页发现链路断开查看拓扑表有FS吗更新路由选择表发送更新给邻居等待应答查询所有邻居将路由器置为主动状态邻居应答了吗将相应路由从路由表中删除将相应路由从拓扑表中删除将该邻居从邻居表中删除更新拓扑表运行DUAL现在学习的是第77页，共85页EIGRP建立路由表nEIGRP选择一条主路由和一条备份路由放在拓扑表中，到目的地最多支持6条链路。使用混合度量值。现在学习的是第78页，共85页EIGRP度量值n是IGRP度量值乘以256，使用5个变量1.带宽：源和目的地间最小带宽2.延时：路径上的累积接口延时3.可靠性：源与目的地间最差可靠性4.负载:最重负载5.MTU:路径中最小MTU现在学习的

39、是第79页，共85页EIGRP度量值n度量值计算公式：Metric=k1*bandwidth+(k2*bandwidth)/(256-load)+k3*delay*k5/(reliability+k4)默认：k1=1,k2=0,k3=1,k4=0,k5=0简化如下:metric=bandwidth+delay注：不推荐修改K值，不匹配不能形成邻居关系。bandwidth=107/带宽256 现在学习的是第80页，共85页现在学习的是第81页，共85页n度量值107/64*256+(2000+2000+2000)*256现在学习的是第82页，共85页EIGRP路由汇总目的：n减少路由条目，n减少UPDATA包，边界查询现在学习的是第83页，共85页EIGRP的配置n启用EIGRP路由选择进程 router(config)#router eigrp asn指定需要通告的网络：router(config-router)#network xxx现在学习的是第84页，共85页现在学习的是第85页，共85页