1、計算機網絡組網技術與配置組網技術與配置（第（第3版）版）清華大學出版社清華大學出版社 ISBN 978-7-302-34697-5計算機網絡第第11章章 路由器的配置路由器的配置清華大學出版社清華大學出版社 ISBN 978-7-302-34697-5計算機網絡第第11章章 路由器的配置路由器的配置 11.1 路由器配置基礎路由器配置基礎 11.2 路由器配置路由器配置 11.3 Cisco IOS命令行接口命令行接口CLI簡介簡介 11.4 路由器常用配置路由器常用配置 11.5 路由器配置實驗路由器配置實驗 11.6路由器密碼恢復與系統軟件維護路由器密碼恢復與系統軟件維護計算機網絡11.1

2、 路由器配置基礎路由器配置基礎 11.1.1 路由器的分類路由器的分類 11.1.2 路由器重要性能指標路由器重要性能指標 11.1.3 Cisco路由器系統組成路由器系統組成 11.1.4 Cisco路由器產品系列路由器產品系列計算機網絡11.1.1 路由器的分類路由器的分類 從功能上分類，路由器可分為高端路由器和從功能上分類，路由器可分為高端路由器和中低端路由器中低端路由器 從結構上分類，路由器可分為模塊化結構與從結構上分類，路由器可分為模塊化結構與非模塊化非模塊化(固定固定)結構結構 根據路由器的技術特點和應用特點，路由器根據路由器的技術特點和應用特點，路由器可分為骨干級可分為骨干級(核

3、心核心)路由器、企業級路由器路由器、企業級路由器和接入路由器和接入路由器 從性能上分類，路由器可分為線速路由器以從性能上分類，路由器可分為線速路由器以及非線速路由器及非線速路由器計算機網絡11.1.2 路由器重要性能指標路由器重要性能指標 1）背板能力：）背板能力： 2）吞吐量）吞吐量 3）丟包率）丟包率 4）轉發時延）轉發時延 5）路由表容量）路由表容量 6）可靠性）可靠性計算機網絡11.1.3 Cisco路由器系統組成路由器系統組成 1. CPU 2. 內存內存 1）ROM(只讀存儲器只讀存儲器)、2）Flash(閃存閃存)、3）RAM/DRAM(隨機存取存儲器隨機存取存儲器/動態隨機存取

4、存儲器動態隨機存取存儲器)、4）NVRAM(Non-Volatile-RAM，非易失性存儲器，非易失性存儲器) 3. 路由器的接口路由器的接口 4. 路由器接口的標識路由器接口的標識 5. IOS和進程和進程 6. IOS配置文件配置文件計算機網絡RAM中所存儲的信息中所存儲的信息 當路由器上電時，執行當路由器上電時，執行ROM中的引導程序，完成中的引導程序，完成一些測試，然后把一些測試，然后把Cisco的的IOS 軟件裝載到軟件裝載到RAM計算機網絡11.1.4 Cisco路由器產品系列路由器產品系列 低端的路由器有低端的路由器有16XX、25XX系列系列 中等層次的路由器有中等層次的路由器

5、有26XX、36XX系列系列 高端的路由器有高端的路由器有4XXX和和7XXX系列系列計算機網絡11.2 路由器配置路由器配置 11.2.1 路由器配置途徑以及配置環境搭建路由器配置途徑以及配置環境搭建 11.2.2 IOS的啟動與系統配置對話的啟動與系統配置對話 11.2.3 路由器狀態以及配置模式路由器狀態以及配置模式計算機網絡11.2.1 路由器配置途徑以及配置環境搭建路由器配置途徑以及配置環境搭建 1. 路由器配置途徑路由器配置途徑 1）通過控制臺端口進行配置）通過控制臺端口進行配置 2）通過輔助端口進行配置）通過輔助端口進行配置 3）通過以太網接口（局域網接口）進行配置）通過以太網接

6、口（局域網接口）進行配置 2. 路由器配置環境搭建路由器配置環境搭建 1）通過控制端口配置路由器）通過控制端口配置路由器 2）通過輔助端口）通過輔助端口AUX配置路由器配置路由器 3）通過以太網口配置路由器）通過以太網口配置路由器計算機網絡路由器的控制臺端口與路由器的控制臺端口與PC機的串口連接機的串口連接 將將PC機或終端的串口通過標準機或終端的串口通過標準RS-232電纜與路由電纜與路由器的控制臺端口器的控制臺端口(Console Port)相連接相連接計算機網絡路由器的遠程配置環境路由器的遠程配置環境、通過以太網口進行通過以太網口進行路由器配置路由器配置計算機網絡超級終端的新建連接超級終

7、端的新建連接、超級終端選擇端口設置超級終端選擇端口設置計算機網絡超級終端端口的屬性超級終端端口的屬性將端口屬性設置為：將端口屬性設置為：9600波特、波特、8位數據位、無奇偶校驗、位數據位、無奇偶校驗、1位停止位、無數據流控制位停止位、無數據流控制計算機網絡超級終端窗口超級終端窗口計算機網絡輸入待撥電話的詳細資料輸入待撥電話的詳細資料、 連接撥號對話框連接撥號對話框計算機網絡11.2.2 IOS的啟動與系統配置對話的啟動與系統配置對話 1. 路由器啟動順序路由器啟動順序 啟動順序啟動順序 啟動步驟啟動步驟 Cisco路由器的引導過程路由器的引導過程 2. 系統配置對話過程系統配置對話過程 如果

8、路由器啟動時沒有可供載入的啟動配置，或如果路由器啟動時沒有可供載入的啟動配置，或是運行了是運行了“setup”命令命令(必須在特權模式下運行必須在特權模式下運行)，都可以進入系統配置對話過程，都可以進入系統配置對話過程 系統配置對話過程主要分為系統配置對話過程主要分為4個階段個階段計算機網絡11.2.3 路由器狀態以及配置模式路由器狀態以及配置模式 1. 用戶用戶EXEC模式模式 2. 特權特權EXEC模式模式 3. 全局配置模式全局配置模式(Global Configuration) 4. 接口配置模式接口配置模式 5. 子接口配置模式子接口配置模式 6. ROM檢測模式檢測模式 7. 其他

9、配置模式其他配置模式計算機網絡11.3 Cisco IOS命令行接口命令行接口CLI簡介簡介 11.3.1 IOS提供的幫助功能提供的幫助功能 11.3.2 命令行的注釋和默認設置命令行的注釋和默認設置 11.3.3 顯示路由器狀態和查看相鄰網絡設備顯示路由器狀態和查看相鄰網絡設備 11.3.4 IOS及配置文件的備份及配置文件的備份 11.3.5 路由器的一般配置過程路由器的一般配置過程 11.3.6 改變工作模式命令改變工作模式命令 11.3.7 口令設置與管理口令設置與管理 11.3.8 路由器測試命令路由器測試命令計算機網絡11.3.1 IOS提供的幫助功能提供的幫助功能 對路由器的一

10、般配置方法，是使用對路由器的一般配置方法，是使用IOS的命令行接口的命令行接口CLI 在命令提示符下輸入幫助命令在命令提示符下輸入幫助命令“？”，即可顯示在該模式下，即可顯示在該模式下的所有命令的所有命令 如果不會正確拼寫某個命令，可以先輸入開始的幾個字符，如果不會正確拼寫某個命令，可以先輸入開始的幾個字符，其后緊跟一個問號其后緊跟一個問號“？” 路由器會在這些字符的基礎上，補充為一個完整的命令詞路由器會在這些字符的基礎上，補充為一個完整的命令詞 輸入命令行不完整的字符后，按下輸入命令行不完整的字符后，按下Tab健，系統會將命令行健，系統會將命令行剩余的部分逐步補充完整剩余的部分逐步補充完整

11、如果命令輸入不正確，如果命令輸入不正確，“”符號和幫助會指出錯誤符號和幫助會指出錯誤 “”指向的地方，是指向的地方，是IOS所檢測到的錯誤命令、錯誤關鍵字、錯誤所檢測到的錯誤命令、錯誤關鍵字、錯誤參數所在的地方參數所在的地方計算機網絡11.3.2 命令行的注釋和默認設置命令行的注釋和默認設置 1）注釋語句用）注釋語句用“！”字符引導，到行末結束字符引導，到行末結束 2）編輯組合?。┚庉嫿M合健 3）更改路由器的名字）更改路由器的名字 4）關閉）關閉DNS查找查找 5）啟用同步記錄功能）啟用同步記錄功能 6）為路由器配置用戶名和用戶口令）為路由器配置用戶名和用戶口令 7）禁用）禁用Web服務服務

12、8）配置命令別名）配置命令別名計算機網絡11.3.3 顯示路由器狀態和查看相鄰的網絡設備顯示路由器狀態和查看相鄰的網絡設備 有很多命令可以用于檢測顯示路由器的狀態有很多命令可以用于檢測顯示路由器的狀態計算機網絡11.3.4 IOS及配置文件的備份及配置文件的備份 把把IOS裝載到路由器中有三種方式裝載到路由器中有三種方式 啟動配置文件存儲在啟動配置文件存儲在NVRAM中，當路由器重新啟動時會讀中，當路由器重新啟動時會讀取這個文件。運行配置文件存儲在取這個文件。運行配置文件存儲在RAM中中 可以根據需要相互備份其內容。所執行的這些備份命令需可以根據需要相互備份其內容。所執行的這些備份命令需要在特

13、權模式下執行要在特權模式下執行計算機網絡11.3.5 路由器的一般配置過程路由器的一般配置過程 在適當的配置模式下使用命令改變路由器配置。使在適當的配置模式下使用命令改變路由器配置。使用用“show running-config”命令來查看結果命令來查看結果計算機網絡11.3.6 改變工作模式命令改變工作模式命令 1）Enable命令。在用戶模式下運行，進入特權用戶模式。命令。在用戶模式下運行，進入特權用戶模式。 2）Disable命令。退出特權模式。命令。退出特權模式。 3）Setup命令。進入系統配置對話模式。命令。進入系統配置對話模式。 4）Config terminal命令。在特權模式

14、下運行，進入全局設命令。在特權模式下運行，進入全局設置模式。置模式。 5）End命令。退出目前的設置狀態。命令。退出目前的設置狀態。 6）Interface type slot/number命令。進入接口局部設置命令。進入接口局部設置狀態。狀態。 7）Interface type number.subinterfacepoint-to-point|multipoint命令。進入子接口設置狀態。命令。進入子接口設置狀態。 8）Line type slot/number命令。進入線路設置狀態。命令。進入線路設置狀態。 9）Router protocol命令。進入路由器設置狀態。命令。進入路由器設置

15、狀態。 10）Exit命令。退出局部設置狀態命令。退出局部設置狀態計算機網絡11.3.7 口令設置與管理口令設置與管理 1. 為控制臺設置口令為控制臺設置口令 2. 為遠程終端設置口令為遠程終端設置口令 3. 設置超級用戶口令設置超級用戶口令 4. 加密口令加密口令計算機網絡11.3.8 路由器測試命令路由器測試命令 1. 測試網絡路徑狀態測試網絡路徑狀態 Router#trace protocol destination 2. ping命令檢測線路和設置的狀態命令檢測線路和設置的狀態 Router#ping protocol destination 3. 從應用層進行測試從應用層進行測試 “

16、telnet”命令格式為：命令格式為：Router#telnet hostname|IP-address 可以使用可以使用“debug”命令來查看路由器發送和接命令來查看路由器發送和接收協議的消息收協議的消息計算機網絡11.4 路由器常用配置路由器常用配置 11.4.1 IP協議的配置協議的配置 11.4.2 IP路由配置路由配置 11.4.3 路由協議配置路由協議配置計算機網絡11.4.1 IP協議的配置協議的配置 1. IP協議配置原則協議配置原則 2. IP地址配置地址配置 Router1與與Router2、Router3互互為相鄰路由器為相鄰路由器計算機網絡11.4.2 IP路由配置路

17、由配置 1. 靜態路由靜態路由 2. 動態路由動態路由 3. 靜態路由配置和默認路由配置靜態路由配置和默認路由配置計算機網絡11.4.3 路由協議配置路由協議配置 1. 自治系統自治系統AS與路由協議分類與路由協議分類 2. 距離向量路由協議距離向量路由協議 3. 鏈路狀態路由協議鏈路狀態路由協議 4. 路由信息協議路由信息協議RIP及其配置及其配置 5. OSPF協議及其配置協議及其配置計算機網絡 OSPF協議的區域協議的區域劃分劃分、OSPF路由路由配置示例配置示例計算機網絡11.4.4 廣域網協議配置廣域網協議配置 1. X.25協議配置協議配置，CCITT定義的定義的X.25協議協議

18、1）X.25數據封裝類型數據封裝類型 2）定義本路由器接口的）定義本路由器接口的X.121地址地址 3）X.121地址到高層地址的映射地址到高層地址的映射 4）X.25配置實例配置實例 2. DDN配置配置 DDN是一種點對點的同步通信鏈路是一種點對點的同步通信鏈路 1）HDLC高級數據鏈路控制協議及配置高級數據鏈路控制協議及配置 2）PPP點對點協議及其配置點對點協議及其配置計算機網絡X.25配置示例配置示例 RouterA配置過程如下：配置過程如下： RouterA(config)#Interface S 0 ！為！為S0指定指定IP地址地址 RouterA(config-if)#ip a

19、ddress 202.196.73.1 255.255.255.192 ！將！將S0封裝為封裝為X.25接口，接口，默認默認為為DTE方式方式計算機網絡DDN配置配置 如果對同步串行口如果對同步串行口serial0上配置上配置HDLC，則，則可以使用下列命令：可以使用下列命令： Router(config)#interface S 0 Router(config-if)#ip address 202.196.73.1 255.255.255.192 Router(config-if)#encapsulation HDLC計算機網絡11.4.5 網絡地址轉換網絡地址轉換NAT及配置及配置 1.

20、NAT簡介簡介 NAT(Network Address Translation，網絡地址，網絡地址轉換轉換)是用于將一個專用地址域是用于將一個專用地址域(局域網內部或局域網內部或Intranet)與另一個地址域與另一個地址域(如如Internet)建立起對建立起對應關系的技術應關系的技術 2. NAT的種類與配置的種類與配置 NAT包括靜態包括靜態NAT和動態和動態NAT兩種方式兩種方式 3. NAT配置示例配置示例 Intranet和和Internet之間連接的路由器的動態之間連接的路由器的動態port NAT配置配置過程過程計算機網絡11.5 路由器配置實驗路由器配置實驗 11.5.1 路

21、由器配置實驗環境路由器配置實驗環境 11.5.2 靜態路由協議配置靜態路由協議配置 11.5.3 RIP路由協議配置路由協議配置 11.5.4 OSPF路由協議配置路由協議配置 11.5.5 訪問控制列表配置訪問控制列表配置 11.5.6 訪問控制列表配置示例訪問控制列表配置示例 11.5.7 基于基于MAC擴展的訪問控制列表擴展的訪問控制列表 11.5.8 基于時間的訪問控制列表基于時間的訪問控制列表計算機網絡11.5.1 路由器配置實驗環境路由器配置實驗環境 以以3臺臺Cisco 2811路由器通過路由器通過V.35電纜連接電纜連接為例說明路由器的配置為例說明路由器的配置 配置環境采用邏輯

22、網段和邏輯接口（模擬一配置環境采用邏輯網段和邏輯接口（模擬一個終端節點）的方式，可以節省交換機的連個終端節點）的方式，可以節省交換機的連接，給配置實驗帶來方便接，給配置實驗帶來方便 子網掩碼均為子網掩碼均為255.255.255.0。邏輯接口的。邏輯接口的IP地址分別為地址分別為192.168.1.1、192.168.2.1、192.168.3.1計算機網絡采用采用loopback的路由器配置環境的路由器配置環境實驗環境中有實驗環境中有5個網段個網段，分別用，分別用PC機與機與3臺路由器的臺路由器的控制口連接，對路由器進行配置，通過控制口連接，對路由器進行配置，通過show命令查命令查看路由器

23、的設置情況，通過看路由器的設置情況，通過ping命令測試通過路由器命令測試通過路由器的連通性的連通性計算機網絡Cisco 2811路由器的前、后面板路由器的前、后面板Cisco 2811路由器的前面板設計有控制端口、輔助控制端口、路由器的前面板設計有控制端口、輔助控制端口、支持熱插拔的支持熱插拔的Flash模塊、電源連接器、電源開關、面板指示燈模塊、電源連接器、電源開關、面板指示燈Cisco 2811路由器的后面板設計有多個模塊化的插槽，可以支路由器的后面板設計有多個模塊化的插槽，可以支持多種網絡接口的配置持多種網絡接口的配置計算機網絡11.5.2 靜態路由協議配置靜態路由協議配置 1對對R1

24、的配置的配置 2對對R2的配置的配置 3對對R3的配置的配置 4對靜態路由配置的測試對靜態路由配置的測試計算機網絡1對對R1的配置的配置！對邏輯網段！對邏輯網段192.168.1.0的配置。的配置。R1(config)#interface loopback 1R1(config-if)#ip add 192.168.1.1 255.255.255.0R1(config-if)#no shutdownR1(config-if)#exit！對路由器接口！對路由器接口s0/0/0的配置。的配置。R1(config)#interface s0/0/0R1(config-if)#ip add 192.1

25、68.12.1 255.255.255.0R1(config-if)#encapsulation pppR1(config-if)#clock rate 64000R1(config-if)#no shutdownR1(config-if)#exit！R1路由器的靜態路由配置路由器的靜態路由配置R1(config)#ip route 192.168.2.0 255.255.255.0 192.168.12.2R1(config)#ip route 192.168.23.0 255.255.255.0 192.168.12.2R1(config)#ip route 192.168.3.0 255

26、.255.255.0 192.168.12.2計算機網絡 對對R2的配置如下：的配置如下： 對邏輯網段對邏輯網段192.168.2.0的配置。的配置。 R2(config)#interface loopback 2 R2(config-if)#ip add 192.168.2.1 255.255.255.0 R2(config-if)#no shutdown R2(config-if)#exit ！R2路由器的靜態路由配置路由器的靜態路由配置 R2(config)#ip route 192.168.1.0 255.255.255.0 192.168.12.1 R2(config)#ip rou

27、te 192.168.3.0 255.255.255.0 192.168.23.3 R2(config)#ip route 0.0.0.0 0.0.0.0 192.168.12.1計算機網絡 對對R3的配置如下：的配置如下： 對邏輯網段對邏輯網段192.168.3.0的配置。的配置。 R3(config)#interface loopback 3 R3(config-if)#ip add 192.168.3.1 255.255.255.0 R3(config-if)#no shutdown R3(config-if)#exit ！對路由器接口！對路由器接口s0/0/1的配置。的配置。 R3(c

28、onfig)#interface s0/0/1 R3(config-if)#ip add 192.168.23.3 255.255.255.0 R3(config-if)#encapsulation ppp R3(config-if)#no shutdown R3(config-if)#exit計算機網絡 配置完成后，在特權模式下輸入配置完成后，在特權模式下輸入“show ip route”查看靜查看靜態路由表，以態路由表，以R3路由器為例：路由器為例： R3# show ip route 用用ping命令測試網絡的連通性：命令測試網絡的連通性： R3#ping 192.168.23.2 R3

29、#ping 192.168.12.1 在路由器上進行的路由配置會對后面的路由配置實驗產生在路由器上進行的路由配置會對后面的路由配置實驗產生影響，可以執行取消靜態路由設置命令影響，可以執行取消靜態路由設置命令“no ip route”，取消路由設置。以取消路由設置。以R3路由器為例：路由器為例： R3(config)#no ip route 192.168.2.0 255.255.255.0 192.168.23.2計算機網絡11.5.3 RIP路由協議配置路由協議配置 1對對R1的配置的配置 2對對R2的配置的配置 3對對R3的配置的配置 4RIP配置后的測試配置后的測試 5對對RIP配置結果

30、查看的命令配置結果查看的命令 6將將RIPv1路由協議升級成路由協議升級成RIPv2的方法的方法 7將網絡（物理）接口配置成將網絡（物理）接口配置成passive-interface的方法的方法 8使用使用neighbor 命令配置命令配置RIP 的單播更新的方法的單播更新的方法計算機網絡對對R1的配置的配置 ！啟動！啟動RIP路由協議。路由協議。 R1(config)#router rip ！指明路由器直接相連的網段，使用！指明路由器直接相連的網段，使用RIP動態路由動態路由 R1(config-router)#network 192.168.1.0 R1(config-router)#ne

31、twork 192.168.12.0 R1(config-router)#exit R1(config)#計算機網絡對對R2的配置的配置 ！啟動！啟動RIP路由協議。路由協議。 R2(config)#router rip ！指明路由器直接相連的網段，使用！指明路由器直接相連的網段，使用RIP動動態路由。態路由。 R2(config-router)#network 192.168.2.0 R2(config-router)#network 192.168.12.0 R2(config-router)#network 192.168.23.0計算機網絡對對R3的配置的配置 ！啟動！啟動RIP路由協

32、議。路由協議。 R3(config)#router rip ！指明路由器直接相連的網段，使用！指明路由器直接相連的網段，使用RIP動動態路由。態路由。 R3(config-router)#network 192.168.3.0 R3(config-router)#network 192.168.23.0計算機網絡RIP配置后的測試配置后的測試 RIP路由協議配置完成后，在特權模式下可以顯示路由協議配置完成后，在特權模式下可以顯示路由器所配置的路由信息，也可以顯示路由器所配置的路由信息，也可以顯示IP路由表，路由表，以以R3路由器為例：路由器為例： R3#show ip protocols R3

33、#show ip route 然后用然后用ping命令測試配置后的連通性命令測試配置后的連通性 需要注意的是，若在路由器上做了多種路由協議配置，需要注意的是，若在路由器上做了多種路由協議配置，在運行路由時，默認設置是靜態路由優先，若要使動態在運行路由時，默認設置是靜態路由優先，若要使動態路由起作用，需要先刪除原來配置的靜態路由路由起作用，需要先刪除原來配置的靜態路由計算機網絡對對RIP配置結果查看的命令配置結果查看的命令 在路由器上使用在路由器上使用“show ip route”、“show ip rip database”、“show ip rip data”和和“show ip proto

34、col”命令，可以命令，可以查看配置路由后的結果查看配置路由后的結果 其中，顯示信息用較小的字號標識，其中，顯示信息用較小的字號標識，“”表表示省略的部分信息或示省略的部分信息或IP地址值地址值 為避免為避免RIP路由協議配置對以后路由協議實路由協議配置對以后路由協議實驗的影響，需要取消已經做的路由配置，所驗的影響，需要取消已經做的路由配置，所采用的命令為采用的命令為“no router rip”計算機網絡將將RIPv1路由協議升級成路由協議升級成RIPv2的方法的方法 將將RIPv1路由協議升級成路由協議升級成version 2的的RIPv2路由協議的配置方法是：路由協議的配置方法是： R1

35、(config)#router rip R1(config-router)#version 2 在路由器上使用在路由器上使用“debug ip rip”和和“clear ip route *”命令查看命令查看RIPv2的動態更新情況的動態更新情況，查看完畢之后，使用，查看完畢之后，使用“undebug all”關關閉調試閉調試計算機網絡將網絡（物理）接口配置成將網絡（物理）接口配置成passive-interface的方法的方法 將路由器所有網絡（物理）接口配置成將路由器所有網絡（物理）接口配置成passive-interface的方法：的方法： R1(config)# router rip

36、R1(config-router)# passive-interface fa0/1 然后用然后用sh ip route rip命令查看結果命令查看結果 在路由器上使用在路由器上使用“clear ip route”和和“debug ip rip”查看查看RIP 的動態更新情況的動態更新情況 只要物理接口上執行了只要物理接口上執行了passive-interface命令命令，該網絡接口就只接收路由更新包，而不發送更，該網絡接口就只接收路由更新包，而不發送更新包新包計算機網絡使用使用neighbor 命令配置命令配置RIP 的單播更新的單播更新的方法的方法 使用使用neighbor 命令配置命令配

37、置RIP 的單播更新，的單播更新，讓網絡重新互通的方法是：讓網絡重新互通的方法是： R1(config)# router rip R1(config-router)# neighbor 10.1.1.2 /neighbor 相鄰路由器的相鄰路由器的IP 檢驗完畢后使用檢驗完畢后使用“clear ip route”和和“debug ip rip”查看查看RIP 的動態更新情況的動態更新情況計算機網絡11.5.4 OSPF路由協議配置路由協議配置 1配置配置OSPF的準備的準備 2對對R1的配置的配置 3對對R2的配置的配置 4對對R3的配置的配置 5配置配置OSPF的測試的測試 6配置配置OSP

38、F的步驟總結的步驟總結 7配置配置OSPF的示例的示例 8Show ip protocol命令示例命令示例 9sh ip ospf neighbor命令示例命令示例 10sh ip ospf interface命令示例命令示例 11相應接口的相應接口的ospf 信息信息 12sh ip ospf database命令示例命令示例計算機網絡配置配置OSPF的準備的準備 對路由器網絡接口的配置及方法與前面的講對路由器網絡接口的配置及方法與前面的講述是一樣的，在對路由器網絡接口配置完成述是一樣的，在對路由器網絡接口配置完成之后，分別對圖之后，分別對圖8.19實驗圖中的實驗圖中的3臺路由器臺路由器進行

39、進行OSPF路由協議配置路由協議配置 在配置時特別注意在配置時特別注意DCE和和DTE的區分及兩條的區分及兩條串行（串行（Serial0/0/0、Serial0/0/1）線路速率）線路速率的設定的設定計算機網絡對對R1的配置的配置 ！啟動！啟動OSPF路由協議，路由協議，100為進程號，取值范圍為進程號，取值范圍165 535，用于標識，用于標識OSPF為該路由器內的一個進程。為該路由器內的一個進程。 R1(config)#router ospf 100 ！指明路由器直接相連的網段，使用！指明路由器直接相連的網段，使用OSPF動態路由動態路由。192.168.1.0為直接相連的網段，統配符為直

40、接相連的網段，統配符0.0.0.255為子網掩碼為子網掩碼255.255.255.0的反碼。區域號的取值范的反碼。區域號的取值范圍為圍為04 294 967 295。 R1(config-router)#network 192.168.1.0 0.0.0.255 area 200 R1(config-router)#network 192.168.12.0 0.0.0.255 area 200 R1(config-router)#exit計算機網絡對對R2的配置的配置 ！啟動！啟動OSPF路由協議。路由協議。 R2(config)#router ospf 100 ！指明路由器直接相連的網段，使

41、用！指明路由器直接相連的網段，使用OSPF動態路動態路由。由。 R2(config-router)#network 192.168.2.0 0.0.0.255 area 200 R2(config-router)#network 192.168.12.0 0.0.0.255 area 200 R2(config-router)#network 192.168.23.0 0.0.0.255 area 200 R2(config-router)#exit計算機網絡對對R3的配置的配置 ！啟動！啟動OSPF路由協議。路由協議。 R3(config)#router ospf 100 ！指明路由器直接相

42、連的網段，使用！指明路由器直接相連的網段，使用OSPF動態路由。動態路由。 R3(config-router)#network 192.168.3.0 0.0.0.255 area 200 R3(config-router)#network 192.168.23.0 0.0.0.255 area 200計算機網絡配置配置OSPF的測試的測試 OSPF路由協議配置完成后，在特權模式下可以顯路由協議配置完成后，在特權模式下可以顯示路由器所配置的路由信息，也可以顯示示路由器所配置的路由信息，也可以顯示IP路由表路由表，以，以R3路由器為例：路由器為例： R3#show ip protocols R3

43、#show ip route 然后用然后用ping命令測試配置后的連通性命令測試配置后的連通性 需要注意的是，若在路由器上做了多種路由協議配置，需要注意的是，若在路由器上做了多種路由協議配置，在運行路由時，默認設置是靜態路由優先，若要使動態在運行路由時，默認設置是靜態路由優先，若要使動態路由起作用，需要先刪除原來配置的靜態路由路由起作用，需要先刪除原來配置的靜態路由計算機網絡配置配置OSPF的步驟總結的步驟總結 Router ospf 100命令啟動一個命令啟動一個OSPF路由選路由選擇協議進程，其中的擇協議進程，其中的“100”為進程號為進程號 與配置與配置EIGRP協議中的協議中的AS號不

44、同的是，在配置號不同的是，在配置OSPF時并不需要每臺路由器中的進程號一致。時并不需要每臺路由器中的進程號一致。 Network命令使相應的網段加入命令使相應的網段加入OSPF路由路由進程中，其格式為：進程中，其格式為： network 網絡地址（或網絡地址（或IP地址）通配碼地址）通配碼 area 區域號區域號計算機網絡路由器的鄰居信息路由器的鄰居信息 Show ip ospf neighbor命令列出了當前路由器的命令列出了當前路由器的鄰居信息鄰居信息計算機網絡相應接口的相應接口的OSPF信息信息 命令命令“Show ip ospf interface”可以列出相應接口可以列出相應接口的的

45、OSPF信息。無參數則列出所有接口的信息。無參數則列出所有接口的OSPF信息信息計算機網絡查看查看OSPF鄰居信息鄰居信息 Show ip ospf database查看查看OSPF鄰居信息鄰居信息計算機網絡11.5.5 訪問控制列表配置訪問控制列表配置 1訪問控制列表配置內容訪問控制列表配置內容 2訪問控制列表分類訪問控制列表分類 3訪問控制列表配置命令的格式訪問控制列表配置命令的格式 4ACL格式及格式及IP協議包主要過濾規則協議包主要過濾規則 5路由訪問控制列表配置的實驗環境路由訪問控制列表配置的實驗環境 6. 用訪問列表控制用訪問列表控制IP通信通信 7. 擴展擴展IP訪問列表（協議、

46、端口號）配置訪問列表（協議、端口號）配置 8訪問控制列表的引用訪問控制列表的引用 9配置配置ACL時需要注意的問題時需要注意的問題計算機網絡訪問控制列表配置內容訪問控制列表配置內容 1）配置標準）配置標準IP訪問控制列表訪問控制列表 2）配置擴展）配置擴展IP訪問控制列表訪問控制列表 3）配置命名的標準）配置命名的標準IP訪問控制列表訪問控制列表 4）配置命名的擴展）配置命名的擴展IP訪問控制列表訪問控制列表 5）在網絡接口上引用）在網絡接口上引用IP訪問控制列表訪問控制列表 6）在）在VTY上引用上引用IP訪問控制列表訪問控制列表 7）查看和監測）查看和監測IP訪問控制列表訪問控制列表計算機

47、網絡訪問控制列表配置命令的格式訪問控制列表配置命令的格式 access-list access-list-number|access-list-number-name deny|permit access rule|any 其中：其中： 1）access-list-number，訪問控制列表的編號，訪問控制列表的編號，1-99是標準是標準IP訪問控制列表，訪問控制列表，100-199是擴展訪問控制列表是擴展訪問控制列表 2）access-list-number-name，訪問控制列表名，使用，訪問控制列表名，使用該參數來定義命名的訪問控制列表該參數來定義命名的訪問控制列表 3）Deny|per

48、mit，拒絕或允許某項規則，拒絕或允許某項規則 4）Access rule，訪問規則，訪問規則 5）Any，所有主機，所有主機計算機網絡ACL格式及格式及IP協議包主要過濾規則協議包主要過濾規則 IP協議包主要過濾規則有兩種。一種是只對協議包主要過濾規則有兩種。一種是只對IP協議包中的源協議包中的源地址進行檢查，稱為標準數據包過濾，過濾標識號范圍為地址進行檢查，稱為標準數據包過濾，過濾標識號范圍為199，配置命令格式為：，配置命令格式為： access-list 另一種需要檢查的內容包括：源另一種需要檢查的內容包括：源IP地址、目的地址、目的IP地址、協議地址、協議、端口號，稱為擴展數據包過濾

49、，過濾標識號范圍為、端口號，稱為擴展數據包過濾，過濾標識號范圍為100199，配置命令格式為：，配置命令格式為： access-list 在需要數據包過濾功能的接口引用過濾已經定義的規則，引在需要數據包過濾功能的接口引用過濾已經定義的規則，引用格式為：用格式為： ip access-group 計算機網絡路由訪問控制列表配置的實驗環境路由訪問控制列表配置的實驗環境 采用交換機連接計算機節點。實驗環境有采用交換機連接計算機節點。實驗環境有3個不同個不同的網段，的網段，192.168.1.0、192.168.2.0、192.168.12.0，子網掩碼均，子網掩碼均255.255.255.0假設實驗

50、中的各路由器、交換機、假設實驗中的各路由器、交換機、PC機的連接和基本配置已經機的連接和基本配置已經設置正確，例如在兩個路由器之間連接的網絡接口上封裝了設置正確，例如在兩個路由器之間連接的網絡接口上封裝了PPP協議，網絡中設置了動態路由協議協議，網絡中設置了動態路由協議RIP計算機網絡在路由器在路由器2811-A進行過濾規則的配置進行過濾規則的配置 ！進行過濾規則的配置，標識號為！進行過濾規則的配置，標識號為99 2811-A(config)#access-list 99 deny 192.168.2.2 0.0.0.0 2811-A(config)#access-list 99 permit

51、 0.0.0.0 255.255.255.255 2811-A(config)# ！引用過濾規則！引用過濾規則 2811-A(config)#interface s0/0/1 2811-A(config-if)#ip access-group 99 in 2811-A(config-if)# ！在特權模式下查看！在特權模式下查看IP訪問列表訪問列表 2811-A#show ip access-list ！在特權模式下查看端口訪問列表！在特權模式下查看端口訪問列表 2811-A#show ip interface serial 0/0/1計算機網絡測試測試ACL的配置情況的配置情況 ！在特權模式

52、下查看！在特權模式下查看IP訪問列表訪問列表 2811-A#show ip access-list ！在特權模式下查看端口訪問列表！在特權模式下查看端口訪問列表 2811-A#show ip interface serial 0/0/1 用用ping命令驗證訪問列表設置后的作用，在命令驗證訪問列表設置后的作用，在PC-B計算機上計算機上執行執行“ping 192.168.1.2”測試與測試與PC-A計算機通信，因有配計算機通信，因有配置規則過濾，無法進行進行通信。需要注意驗證的方向性置規則過濾，無法進行進行通信。需要注意驗證的方向性。 配置實驗完成后，在全局配置模式下執行下面命令取消訪配置實驗

53、完成后，在全局配置模式下執行下面命令取消訪問控制列表：問控制列表： 2811-A(config)#no access-list 99 在接口配置模式下，執行下面命令取消對訪問列表的引用在接口配置模式下，執行下面命令取消對訪問列表的引用 2811-A(config-if)#no ip access-group 99 in計算機網絡擴展擴展IP訪問列表（協議、端口號）配置訪問列表（協議、端口號）配置 ！進行過濾規則的配置，標識號為！進行過濾規則的配置，標識號為99 2811-A(config)#access-list 110 deny tcp 192.168.2.2 0.0.0.0 192.168

54、.12.1 0.0.0.0 eq 23 2811-A(config)#access-list 110 permit ip any any 2811-A(config)# ！引用過濾規則！引用過濾規則 2811-A(config)#interface s0/0/1 2811-A(config-if)#ip access-group 110 in 2811-A(config-if)# ！在特權模式下查看！在特權模式下查看IP訪問列表訪問列表 2811-A#show ip access-list ！在特權模式下查看端口訪問列表！在特權模式下查看端口訪問列表 2811-A#show ip interf

55、ace serial 0/0/1計算機網絡測試和驗證擴展訪問列表配置結果測試和驗證擴展訪問列表配置結果 在在PC-B計算機上輸入計算機上輸入“telnet 192.168.12.1”，不，不能與路由器能與路由器2811-A通信，執行通信，執行“ping 192.168.12.1”命令，卻可以與路由器命令，卻可以與路由器2811-A通信通信 配置實驗完成后，在全局配置模式下執行下面命令配置實驗完成后，在全局配置模式下執行下面命令取消擴展訪問控制列表：取消擴展訪問控制列表： 2811-A(config)#no access-list 110 在接口配置模式下，執行下面命令取消對擴展訪問在接口配置模

56、式下，執行下面命令取消對擴展訪問列表的引用：列表的引用： 2811-A(config-if)#no ip access-group 110 in計算機網絡進行進行telnet操作操作的設置方法的設置方法 若要進行若要進行telnet操作，需要預先進行虛擬終操作，需要預先進行虛擬終端端VTY配置，方法是：配置，方法是： Router(config)#line vty 0 4 Router(config)#login password cisco enable password cisco 其中，其中，cisco為用為用telnet登錄時使用的密碼設登錄時使用的密碼設置，需要用戶輸入置，需要用戶輸

57、入計算機網絡訪問控制列表的引用訪問控制列表的引用 首先進入要引用訪問控制列表的端口，然后首先進入要引用訪問控制列表的端口，然后再指明引用的列表編號或名稱再指明引用的列表編號或名稱,是進入（是進入（in）方向還是離開方向（方向還是離開方向（out） 這里的這里的in和和out是指以路由器本身為參考點，數是指以路由器本身為參考點，數據包是進入（據包是進入（in）還是離開（）還是離開（out）路由器。例）路由器。例如，要在如，要在S0/0/0接口接口out方向上引用編號為方向上引用編號為1的標的標準訪問控制列表，輸入的命令為：準訪問控制列表，輸入的命令為： interface s0/0/0 ip a

58、ccess-groutp 1 out計算機網絡配置配置ACL時需要注意的問題時需要注意的問題 1）在定義訪問控制列表時，需要注意語句輸入的先后順序）在定義訪問控制列表時，需要注意語句輸入的先后順序 2）路由器不對由自身產生的）路由器不對由自身產生的IP包進行過濾，在實驗時應由包進行過濾，在實驗時應由其他的設備發包進行測試其他的設備發包進行測試 3）show ip access-list命令列出了所定義的訪問控制列表命令列出了所定義的訪問控制列表的情況。的情況。show ip int s0 命令列出的信息會給出關于訪問控命令列出的信息會給出關于訪問控制列表引用情況的信息，表明在進入（制列表引用情

59、況的信息，表明在進入（in）或出（）或出（out）路）路由器的方向上引用訪問控制列表的情況由器的方向上引用訪問控制列表的情況 4）clear access-list counters 指令清空了訪問控制列表指令清空了訪問控制列表的計數器，以便觀察配置結果的計數器，以便觀察配置結果 5）為了驗證訪問控制列表配置的正確性，可以形成回路的）為了驗證訪問控制列表配置的正確性，可以形成回路的路由器的網絡接口關閉，使網絡路由拓撲不形成回路路由器的網絡接口關閉，使網絡路由拓撲不形成回路 6）可以使用擴展的）可以使用擴展的 ping 命令測試訪問控制列表的定義和命令測試訪問控制列表的定義和引用情況引用情況計算

60、機網絡11.5.6 訪問控制列表配置示例訪問控制列表配置示例 1路由訪問控制列表配置示例環境路由訪問控制列表配置示例環境 2路由訪問控制列表配置示例路由訪問控制列表配置示例路由訪問控制列表配置示例環境圖路由訪問控制列表配置示例環境圖計算機網絡11.5.7 基于基于MAC擴展的訪問控制列表擴展的訪問控制列表 MAC擴展擴展ACL的工作過程與擴展的工作過程與擴展ACL類似，類似，區別是基于區別是基于MAC地址進行訪問控制地址進行訪問控制 可以根據協議包的源可以根據協議包的源MAC地址、目的地址、目的MAC地址、以太網協議類型進行過濾設置地址、以太網協議類型進行過濾設置 MAC擴展擴展ACL的設置規