【培训课件】第7章路由器的原理及配置

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第,7,章 路由器的原理及配置,本章要点:,7.1,路由器的概念,7.2,路由器的工作,7.3,路由器的配置,7.4,路由器静态路由配置,7.5,路由器动态协议配置,7.6 DHCP,的功能及配置,7.7 IP,访问控制列表的功能及配置,7.1,路由器的概念,7.1.1,基本概念,7.1.2,路由器的基本功能,7.1.3,路由器的结构,7.1.1 基本概念,作为网络层的网络互连设备，路由器在网络互连中起到了不可或缺的作用。与物理层或数据链路层的网络互连设备相比，其具有一些物理层或数据链路层的网络互连设备所没有的重要功能。它能实现异构网络的互连，在物理上拓展了网络的规模；实现网络的逻辑划分；实现,VLAN,之间的通信；同时，还可以实现其他一些重要的网络功能，如提供访问控制功能、优先级服务和负载平衡等。,图,7-1,路由器,1,路由选择,路由器的主要工作就是为经过路由器的每个数据帧寻找一条最佳传输路径，并将该数据有效地传送到目的主机 。,路由器通过路由协议、网络连接的情况及网络的性能来建立网络的拓结构。路由算法为网络上的路由产生一个权值，路由器通过权值来选择最佳路由，权值越小，路由越佳。,7.1.2,路由器的基本功能,路由器常用的权值包括：,（,1,）带宽,（,2,）延迟,（,3,）负载,（,4,）可靠性,（,5,）跳数,（,6,）花费,2,分组转发,对于一台路由器，其分组转发的任务即是在收到数据包后，根据路由表所提供的最佳路径的信息，将其转发给下一跳的路由器、目的端口或是缺省路由器。,缺省路由也称为缺省网关，它是与主机在同一个子网中的路由器端口的,IP,地址。,图,7-3,主机的缺省路由,主机,1,的缺省网关是,222.205.20.1,主机,4,的缺省网关是,222.205.112.1,路由器也有它的缺省网关，它一般指向与该路由器的一个端口的直接相连接的，并且通往,Internet,的出口路由器。,图,7-4,路由器的缺省路由,7.1.3,路由器的结构,1,中央处理器（,CPU,）,2,只读内存（,ROM,）,3,随机存储器,RAM,4,非易失性随机存储器,NVRAM,5,闪存,flash,6,接口,（,1,）局域网接口,（,2,）广域网接口,（,3,）配置接口,图,7-5,路由器硬件结构,7.2,路由器的工作,7.2.1,路由器的工作原理,7.2.2,路由表,7.2.3,路由器的工作模式,7.2.1 路由器的工作原理,路由器工作在,OSI,参考模型的第,3,层，即网络层。路由器利用网络层定义的“逻辑”上的网络地址来区别不同的网络，实现网络的连接和隔离，保持各个网络的独立性。已知路由器的两个基本功能即是路由选择和分组转发，路由器接收到数据包后，通过路由选择获得将该数据包转发到目的端口的路径，并沿着这个路径将数据包从源主机一跳一跳地经过若干个路由器，发送到目的主机。,图,7-6,路由器工作原理图,7.2.2,路由表,路由器通过对路由表的查询来选择最佳路径的策略，路由表中保存着各种传输路径的相关数据，供路由选择时使用。路由表中保存着目的网络所对应的目的端口、网上路由器的个数和下一个路由器的名字以及缺省路由等内容。路由表可以是由系统管理员固定设置好的，也可以由系统动态修改，可以由路由器自动调整，也可以由主机控制。,图,7-7,路由表结构,路由协议,管理距离,路由协议,管理距离,直接连接,0,静态路由,1,外部,BGP,20,内部,EIGRP,90,IGRP,100,OSPF,110,IS-IS,115,RIP,120,外部,EIGRP,170,内部,BGP,200,未知,255,表,7-1,各路由协议的管理距离,7.2.3,路由器的工作模式,1,用户模式,以终端或,Telnet,方式进入路由器时系统会提示用户输入口令，这时只要输入正确有口令后便进入第,1,级用户模式级别。,2,特权模式,在用户模式下先输入,“enable”,，再输入相应的超级用户密码，即进入第,2,级特权模式。,3,设置模式,这种模式下，允许用户真正修改路由器的配置。如果一台路由器还没进行任何配置时，,Console,将会进入这个工作模式，它可以协助用户对路由器进行初始化的配置。,4,全局配置模式,在特权模式中输入命令,“config terminal”,，也可以进入设置模式。,5,其它配置模式,其它配置模式包括端口配置模式、虚拟终端配置模式、路由配置模式等。在全局配置的模式下输入相应的命令即可进入相应的配置模式。,6,RXBOOT,模式,在路由器出现问题时,有时可以,RXBOOT,模式解决，它是路由器的维护模式。,7.3,路由器的配置,7.3.1,路由器配置方式,7.3.2,常用配置命令,7.3.3,接口配置,7.3.1 路由器配置方式,（,1,）使用,Console,端口配置。,（,2,）使用,telnet,远程登录配置,（,3,）从,TFTP,服务器上下载配置文件和修改配置文件的方式配置。,（,4,）在,AUX,端口接一台,Modem,同电话网相连，在远端拨号配置。,（,5,）使用网管协议,SNMP,进行配置。,图,7-8,远程登录路由器,7.3.2 常用配置命令,1,配置路由器主机名,2,配置超级用户口令,3,保存配置,4,删除配置,5,telenet,命令,6,ping,命令,7,trace,命令,8,show,命令,9,系统时钟设置,10,退出,图,7-9,路由器的网络检测命令,7.3.3,接口配置,1,基本接口配置,（,1,）启动与关闭,（,2,）配置模式,（,3,）带宽配置,（,4,）,IP,地址配置,（,5,）,Ethernet,的工作方式,2,分类接口配置,（,1,）,LAN,接口,（,2,）,WAN,接口,（,3,）,POS,接口,（,4,）,loopback,接口,7.4,路由器静态路由配置,静态路由是指由网络管理员手工配置的路由信息，使用静态路由协议时，路由器不能根据网络的实际情况动态地进行路由选择。当网络的拓扑结构或链路的状态发生变化时，也无法动态地改新路由表，必须网络管理员手工去修改路由表中相关的静态路由信息。因此它适合规模较小，网络拓扑结构一般不会变化的较为简单的局域网。,图,7-10,静态路由配置示例,7.5 路由器动态协议配置,7.5.1 RIP,配置,7.5.2 OSPF,配置,7.5.1 RIP,配置,1,RIP,的原理,在默认情况下，,RIP,不考虑带宽、时延等因素，而使用一种非常简单的制度：距离就是通往目的站点所需经过的链路数，也称为跳数，跳数越小，路径越佳，,RIP,将跳数最小的路径作为最佳路径。,RIP,的跳数取值为,115,，数值,16,表示无穷大，即路径不可达。,RIP,不支持可变长掩码，因此它只根据各类网络的网络号来确定这个,IP,地址的掩码。,2,配置命令,（,1,）,router rip,命令,该命令用于启动,RIP,协议，开始,RIP,进程。,（,2,）,network,命令,该命令用于设置参与,RIP,协议的网络地址，它的命令格式为,。,（,3,）,passive-interface,命令,该命令用于指定被动接口，该接口将被抑制路由更新，即路由更新报文不再通过该路由器的接口。它的命令格式为,。,（,4,）,distribute-list,命令,该命令用于指定有路由过滤功能的接口，在被指点的路由器的接口上，既可以过滤其接收的路由更新信息，还可以过滤输出的路由更新信息，它常与,passive-interface,一起使用，这样被指定的接口既可以过滤接收的路由信息，也可阻止该路由器更新信息的输出，即禁止了该接口参加,RIP,。它的命令格式为,。,（,5,）,distance,命令,该命令用来配置或改变,OSPF,的管理距离，它用来测量路由的可信度，该值越小则可信度越高，,OSPF,的管理距离默认值为,110,，有效值范围为,1 255,。它的命令格式为,。,（,6,）,neighbor,命令,该命令用于指定邻居路由器，这样，,RIP,路由器在不容许发送广播包或是在网络技术不支持网络广播的特殊情况下，路由器仍可以单播的方式向该邻居路由器发送路由更新信息。它的命令格式为,。,7.5.2 OSPF,配置,1,OSPF,的原理,OSPF,全称为开放式最短路径优先协议。相比于,RIP,，,OSPF,克服了它的许多缺陷：,OSPF,不再采用跳数的概念，而是根据接口的吞吐率、拥塞状况、往返时间、可靠性等实际链路的负载能力来进行路由选择，在选择出最短、最优路由的同时并允许保持到达同一目标地址的多条路由。,OSPF,是一种分层次的路由协议，其层次中最大的实体是自治系统，在每个自治系统中，再将网络划分为不同的区域，每个区域都有自己特定的标识号，即区域,ID,，它是一个,32,位的无符号数值，范围是,04 294 967 295,，其中区域,ID,为,0,时表示的是主干区域。,路由表的计算包括下面五个步骤：,（,1,）存储当前的路由表，如果当前的路由表是无效的，则从头开始重新建立路由表。,（,2,）通过,Dijkstra,算法建立最短路径树，计算域内路由。,（,3,）通过检查链路状态总结报告来计算域间路由，若该路由器连到多个域，则只检查主干域的链路状态总结报告。,（,4,）在连到一个或多个传输域的域边界路由器中查看链路状态总结报告，比较是否有比（,2,）（,3,）步更好的路径；,（,5,）自治系统外部路由的计算，通过查看自治系统外部的链路状态报告来计算目的地在自治系统外的路由。,2,配置命令,（,1,）,router ospf,命令,该命令用来启动,OSPF,进程，命令格式,，其中,Process ID,是,OSPF,的进程号，它的范围是,165535,。,（,2,）,network ip,命令,该命令用来定义参与,OSPF,的子网地址，它的命令的格式为,，在单个,IP,地址参与,OSPF,时使用。,（,3,）,range,命令,该命令用于某一特定范围的子网聚合参与,OSPF,时定义参与的这一范围子网的子网，它的命令格式为,。,（,4,）,passive-interface,命令,该命令用来配置,OSPF,的被动接口。,（,5,）,distribute,命令,该命令用来配置路由过滤功能。,（,6,）,distance,命令,该命令用来配置或改变,OSPF,的管理距离。,（,7,）,redistribute metric,命令,该命令用来配置引入外部路由到,OSPF,的参数 。,（,8,）,redistribute tag,命令,该命令用来配置引入外部路由时缺省的标记值。,（,9,）,redistribute connected metric-type,命令,该命令用来设置个入外部路由时的外部路由类型,7.6 DHCP,的功能及配置,7.6.1 DHCP,的原理,7.6.2 DHCP,的配置,7.6.1 DHCP的原理,（,1,）当,DHCP,客户机第一次登录网络的时候,该客户机没有任何,IP,数据设定，它将向网络发出一个,DHCPDISCOVER,封包。由于客户端还不知道自己属于哪一个网络，所以封包的来源地址会,0.0.0.0,，其目的地址则为,255.255.255.255,，向网络进行广播。,（,2,）一般默认,DHCP discover,的等待时间为,1,秒，当客户机将第一个,DHCPDISCOVER,封包送出去之后，在,1,秒之内没有得到响应的话，就会进行第二次,DHCPDISCOVER,广播。客户端最多有四次广播，除了第一次会等待,1,秒之外，其余三次的等待时间分别是,9,秒、,13,秒、,16,秒。如果都没有得到,DHCP,服务器的响应，客户端则会显示错误信息，宣告,DHCPDISCOVER,的失败。之后，系统会继续在,5,分钟之后再重复一次,DHCPDISCOVER,的过程。,（,3,） 当,DHCP,服务器监听到客户端发出的,DHCPDISCOVER,广播后，将会对客户机作出应答。它会从那些还没有租出的地址中，选择最前面的闲置,IP,，,DHCP,客户所需的,TCP/IP,设定，响应给客户端一个,DHCPOFFER,封包。,（,4,）,DHCP,协议允许网络上配置多台,DHCP,，客户机将会收到网络上多台,DHCP,服务器的响应，但它只会挑选其中一个,DHCPOFFER,，通常都是最先抵达的那个，然后客户机向网络发送一个,DHCPREQUEST,广播封包，告诉所有,DHCP,服务器它将接受哪一台服务器提供的,IP,地址。同时,客户端还会向网络发送一个,ARP,封包，确认网络上是否有其它机器在使用该,IP,地址；如果发现该,IP,已经被占用，客户机则会发出一个,DHCPDECLINE,封包给,DHCP,服务器,拒绝接受其,DHCPOFFER,并重新发送,DHCPDISCOVER,信息。,（,5,）当,DHCP,服务器接收到客户端的,DHCPREQUEST,封包之后，向客户端发出一个,DHCPACK,响应，确认该,IP,租约的正式生效。,图,7-11 DHCP Server/Client,工作模式,图,7-12 DHCP,的工作流程,7.6.2 DHCP,的配置,DHCP,的配置主要,IP,池的建立与配置以及数据库代理的配置。建立,IP,池后，进行,DHCP,配置模式，该配置模式下对,DHCP,进行配置，主要任务包括：,IP,池地址的子网地址、子网掩码以及缺省网关、域名、域名服务器,IP,地址、,IP,地址租用时间等的配置。,1,IP,池的建立与配置,（,1,）,IP,池的建立,（,2,）,IP,池子网地址与子网掩码的配置,（,3,）排除不用于动态分配的,IP,地址,（,4,）配置缺省网关,（,5,）配置,IP,地址池的域名系统,（,6,）,IP,地址租用时间,2,数据库代理的配置,DHCP,数据库代理是用于存储,DHCP,绑定信息的一台主机。在一般情况下可以不对其进行配置。若不想配置,DHCP,数据库代理，则使用命令,no ip dhcp conflict logging,，该命令取消了地址冲突日志的记录的功能，以实现不配置数据库。,7.7 IP,访问控制列表的功能及配置,7.7.1,访问控制列表的作用,7.7.2,访问控制列表的执行过程,7.7.3,访问控制列表的过滤准则,7.7.4,访问控制列表的分类,7.7.5,访问控制列表的重要参数,7.7.6,访问控制列表的配置,216,7.7.1 访问控制列表的作用,（,1,）限制网络流量,（,2,）限制通信流量,（,3,）网络安全访问,（,4,）限制通信类型,图,7-13,访问控制列表对数据包进行过滤,7.7.2,访问控制列表的执行过程,访问控制列表是一个连续的列表，该控制列表在建立并配置好后，接着其应用于一个接，一个,VTY line,或被其他命令引用后，列表开始生效。一个端口执行哪条访问控制列表，这需要按照列表中的条件语句执行顺序来判断。一般是从第一条开始顺序执行的，如果一个数据包的报头与表中的某个条件判断语句相匹配，那么后面的语句就将被忽略，不再进行检查，反之，才交给下一条语句进行比较。,7.7.3,访问控制列表的过滤准则,（,1,）过滤源地址或目的地址,该准则不仅可以允许或拒绝来自某源,IP,地址的数据包进入路由器，还可以允许和拒绝目的地址为某,IP,地址的数据包通过路由器。,（,2,）过滤端口号,该准则可以允许或拒绝某些协议的某些端口号的数据包通过路由器。,（,3,）过滤协议,该准则可以允许或拒绝如,TCP,、,UDP,、,ICMP,等协议的数据包通过路由器。,图,7-14,访问控制列表的过滤准则,7.7.4,访问控制列表的分类,（,1,）标准访问控制列表,标准访问控制列表基于网络地址的信息流，且只允许过滤源地址。标准,IP,访问表的表号标识是从,199,后来又扩展了范围,13001999,。,（,2,）扩展访问控制列表,扩展访问控制列表通过网络地址和传输中的数据类型进行信息流控制，允许过滤源地址、目的地址和上层应用数据，它既检查数据包的源地址，也检查数据包的目的地址，还检查数据包的特定协议类型、端口号等。,7.7.5,访问控制列表的重要参数,1,表号和名字,表号是用来标识或是引用某个访问控制列表。访问控制列名的名字用字符串来表示。,2,通配符掩码,访问控制列表的通配符掩码是一个,32bit,的数字字符串，它点分成,4,个,8,位，每组包含,8bit,。在通配符掩码位中，表示形式与,IP,地址的子网掩码相同。它实际上即是子网掩码的反码。,表,7-2,访问控制列表表号范围,表号范围,访问列表种类,说明,199,13001999,IP standard access list,基于,IP,的标准访问控制列表,100199,20002699,IP extended access list,基于,IP,的扩展访问控制列表,10001099,IPX SAP access list,基于,IPX,业务通告协议的访问控制列表,11001199,Extended 48-bit MAC address access list,扩展的基于,48,位,MAC,地址的访问控制列表,200299,Protocol type-code access list,基于协议类型码的访问列表,700799,48-bit MAC address access list,基于,48,位,MAC,地址的访问列表,800899,IPX standard access list,基于,IPX,的标准访问控制列表,900-999,IPX extended access list,基于,IPX,的扩展访问控制列表,7.7.6,访问控制列表的配置,1,标准访问控制列表的配置,配置命令为,2,扩展访问控制列表的配置,配置命令为：,（,1,）,，“操作”的命令包括：“,lt”,（小于）、“,gt”,（大于）、“,eq”,（等于）、“,neq”,（不等于）。,（,2,）,3,命名访问控制列表的配置,配置命令为,（,1,）,（,2,）,permit/deny+,协议,+,源,IP,地址,+,通配符掩码,+,目的,IP,地址,+,通配符掩码,+,（操作）,+,（端口号）,