組網(wǎng)技術(shù)與配置(第3版)-(第11章)7-302-34697-5

1、計(jì)算機(jī)網(wǎng)絡(luò)組網(wǎng)技術(shù)與配置組網(wǎng)技術(shù)與配置（第（第3版）版）清華大學(xué)出版社清華大學(xué)出版社 ISBN 978-7-302-34697-5計(jì)算機(jī)網(wǎng)絡(luò)第第11章章 路由器的配置路由器的配置清華大學(xué)出版社清華大學(xué)出版社 ISBN 978-7-302-34697-5計(jì)算機(jī)網(wǎng)絡(luò)第第11章章 路由器的配置路由器的配置 11.1 路由器配置基礎(chǔ)路由器配置基礎(chǔ) 11.2 路由器配置路由器配置 11.3 Cisco IOS命令行接口命令行接口CLI簡(jiǎn)介簡(jiǎn)介 11.4 路由器常用配置路由器常用配置 11.5 路由器配置實(shí)驗(yàn)路由器配置實(shí)驗(yàn) 11.6路由器密碼恢復(fù)與系統(tǒng)軟件維護(hù)路由器密碼恢復(fù)與系統(tǒng)軟件維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)11.1

2、 路由器配置基礎(chǔ)路由器配置基礎(chǔ) 11.1.1 路由器的分類路由器的分類 11.1.2 路由器重要性能指標(biāo)路由器重要性能指標(biāo) 11.1.3 Cisco路由器系統(tǒng)組成路由器系統(tǒng)組成 11.1.4 Cisco路由器產(chǎn)品系列路由器產(chǎn)品系列計(jì)算機(jī)網(wǎng)絡(luò)11.1.1 路由器的分類路由器的分類 從功能上分類，路由器可分為高端路由器和從功能上分類，路由器可分為高端路由器和中低端路由器中低端路由器 從結(jié)構(gòu)上分類，路由器可分為模塊化結(jié)構(gòu)與從結(jié)構(gòu)上分類，路由器可分為模塊化結(jié)構(gòu)與非模塊化非模塊化(固定固定)結(jié)構(gòu)結(jié)構(gòu) 根據(jù)路由器的技術(shù)特點(diǎn)和應(yīng)用特點(diǎn)，路由器根據(jù)路由器的技術(shù)特點(diǎn)和應(yīng)用特點(diǎn)，路由器可分為骨干級(jí)可分為骨干級(jí)(核

3、心核心)路由器、企業(yè)級(jí)路由器路由器、企業(yè)級(jí)路由器和接入路由器和接入路由器 從性能上分類，路由器可分為線速路由器以從性能上分類，路由器可分為線速路由器以及非線速路由器及非線速路由器計(jì)算機(jī)網(wǎng)絡(luò)11.1.2 路由器重要性能指標(biāo)路由器重要性能指標(biāo) 1）背板能力：）背板能力： 2）吞吐量）吞吐量 3）丟包率）丟包率 4）轉(zhuǎn)發(fā)時(shí)延）轉(zhuǎn)發(fā)時(shí)延 5）路由表容量）路由表容量 6）可靠性）可靠性計(jì)算機(jī)網(wǎng)絡(luò)11.1.3 Cisco路由器系統(tǒng)組成路由器系統(tǒng)組成 1. CPU 2. 內(nèi)存內(nèi)存 1）ROM(只讀存儲(chǔ)器只讀存儲(chǔ)器)、2）Flash(閃存閃存)、3）RAM/DRAM(隨機(jī)存取存儲(chǔ)器隨機(jī)存取存儲(chǔ)器/動(dòng)態(tài)隨機(jī)存取

4、存儲(chǔ)器動(dòng)態(tài)隨機(jī)存取存儲(chǔ)器)、4）NVRAM(Non-Volatile-RAM，非易失性存儲(chǔ)器，非易失性存儲(chǔ)器) 3. 路由器的接口路由器的接口 4. 路由器接口的標(biāo)識(shí)路由器接口的標(biāo)識(shí) 5. IOS和進(jìn)程和進(jìn)程 6. IOS配置文件配置文件計(jì)算機(jī)網(wǎng)絡(luò)RAM中所存儲(chǔ)的信息中所存儲(chǔ)的信息 當(dāng)路由器上電時(shí)，執(zhí)行當(dāng)路由器上電時(shí)，執(zhí)行ROM中的引導(dǎo)程序，完成中的引導(dǎo)程序，完成一些測(cè)試，然后把一些測(cè)試，然后把Cisco的的IOS 軟件裝載到軟件裝載到RAM計(jì)算機(jī)網(wǎng)絡(luò)11.1.4 Cisco路由器產(chǎn)品系列路由器產(chǎn)品系列 低端的路由器有低端的路由器有16XX、25XX系列系列 中等層次的路由器有中等層次的路由器

5、有26XX、36XX系列系列 高端的路由器有高端的路由器有4XXX和和7XXX系列系列計(jì)算機(jī)網(wǎng)絡(luò)11.2 路由器配置路由器配置 11.2.1 路由器配置途徑以及配置環(huán)境搭建路由器配置途徑以及配置環(huán)境搭建 11.2.2 IOS的啟動(dòng)與系統(tǒng)配置對(duì)話的啟動(dòng)與系統(tǒng)配置對(duì)話 11.2.3 路由器狀態(tài)以及配置模式路由器狀態(tài)以及配置模式計(jì)算機(jī)網(wǎng)絡(luò)11.2.1 路由器配置途徑以及配置環(huán)境搭建路由器配置途徑以及配置環(huán)境搭建 1. 路由器配置途徑路由器配置途徑 1）通過(guò)控制臺(tái)端口進(jìn)行配置）通過(guò)控制臺(tái)端口進(jìn)行配置 2）通過(guò)輔助端口進(jìn)行配置）通過(guò)輔助端口進(jìn)行配置 3）通過(guò)以太網(wǎng)接口（局域網(wǎng)接口）進(jìn)行配置）通過(guò)以太網(wǎng)接

6、口（局域網(wǎng)接口）進(jìn)行配置 2. 路由器配置環(huán)境搭建路由器配置環(huán)境搭建 1）通過(guò)控制端口配置路由器）通過(guò)控制端口配置路由器 2）通過(guò)輔助端口）通過(guò)輔助端口AUX配置路由器配置路由器 3）通過(guò)以太網(wǎng)口配置路由器）通過(guò)以太網(wǎng)口配置路由器計(jì)算機(jī)網(wǎng)絡(luò)路由器的控制臺(tái)端口與路由器的控制臺(tái)端口與PC機(jī)的串口連接機(jī)的串口連接 將將PC機(jī)或終端的串口通過(guò)標(biāo)準(zhǔn)機(jī)或終端的串口通過(guò)標(biāo)準(zhǔn)RS-232電纜與路由電纜與路由器的控制臺(tái)端口器的控制臺(tái)端口(Console Port)相連接相連接計(jì)算機(jī)網(wǎng)絡(luò)路由器的遠(yuǎn)程配置環(huán)境路由器的遠(yuǎn)程配置環(huán)境、通過(guò)以太網(wǎng)口進(jìn)行通過(guò)以太網(wǎng)口進(jìn)行路由器配置路由器配置計(jì)算機(jī)網(wǎng)絡(luò)超級(jí)終端的新建連接超級(jí)終

7、端的新建連接、超級(jí)終端選擇端口設(shè)置超級(jí)終端選擇端口設(shè)置計(jì)算機(jī)網(wǎng)絡(luò)超級(jí)終端端口的屬性超級(jí)終端端口的屬性將端口屬性設(shè)置為：將端口屬性設(shè)置為：9600波特、波特、8位數(shù)據(jù)位、無(wú)奇偶校驗(yàn)、位數(shù)據(jù)位、無(wú)奇偶校驗(yàn)、1位停止位、無(wú)數(shù)據(jù)流控制位停止位、無(wú)數(shù)據(jù)流控制計(jì)算機(jī)網(wǎng)絡(luò)超級(jí)終端窗口超級(jí)終端窗口計(jì)算機(jī)網(wǎng)絡(luò)輸入待撥電話的詳細(xì)資料輸入待撥電話的詳細(xì)資料、 連接撥號(hào)對(duì)話框連接撥號(hào)對(duì)話框計(jì)算機(jī)網(wǎng)絡(luò)11.2.2 IOS的啟動(dòng)與系統(tǒng)配置對(duì)話的啟動(dòng)與系統(tǒng)配置對(duì)話 1. 路由器啟動(dòng)順序路由器啟動(dòng)順序 啟動(dòng)順序啟動(dòng)順序 啟動(dòng)步驟啟動(dòng)步驟 Cisco路由器的引導(dǎo)過(guò)程路由器的引導(dǎo)過(guò)程 2. 系統(tǒng)配置對(duì)話過(guò)程系統(tǒng)配置對(duì)話過(guò)程 如果

8、路由器啟動(dòng)時(shí)沒(méi)有可供載入的啟動(dòng)配置，或如果路由器啟動(dòng)時(shí)沒(méi)有可供載入的啟動(dòng)配置，或是運(yùn)行了是運(yùn)行了“setup”命令命令(必須在特權(quán)模式下運(yùn)行必須在特權(quán)模式下運(yùn)行)，都可以進(jìn)入系統(tǒng)配置對(duì)話過(guò)程，都可以進(jìn)入系統(tǒng)配置對(duì)話過(guò)程 系統(tǒng)配置對(duì)話過(guò)程主要分為系統(tǒng)配置對(duì)話過(guò)程主要分為4個(gè)階段個(gè)階段計(jì)算機(jī)網(wǎng)絡(luò)11.2.3 路由器狀態(tài)以及配置模式路由器狀態(tài)以及配置模式 1. 用戶用戶EXEC模式模式 2. 特權(quán)特權(quán)EXEC模式模式 3. 全局配置模式全局配置模式(Global Configuration) 4. 接口配置模式接口配置模式 5. 子接口配置模式子接口配置模式 6. ROM檢測(cè)模式檢測(cè)模式 7. 其他

9、配置模式其他配置模式計(jì)算機(jī)網(wǎng)絡(luò)11.3 Cisco IOS命令行接口命令行接口CLI簡(jiǎn)介簡(jiǎn)介 11.3.1 IOS提供的幫助功能提供的幫助功能 11.3.2 命令行的注釋和默認(rèn)設(shè)置命令行的注釋和默認(rèn)設(shè)置 11.3.3 顯示路由器狀態(tài)和查看相鄰網(wǎng)絡(luò)設(shè)備顯示路由器狀態(tài)和查看相鄰網(wǎng)絡(luò)設(shè)備 11.3.4 IOS及配置文件的備份及配置文件的備份 11.3.5 路由器的一般配置過(guò)程路由器的一般配置過(guò)程 11.3.6 改變工作模式命令改變工作模式命令 11.3.7 口令設(shè)置與管理口令設(shè)置與管理 11.3.8 路由器測(cè)試命令路由器測(cè)試命令計(jì)算機(jī)網(wǎng)絡(luò)11.3.1 IOS提供的幫助功能提供的幫助功能 對(duì)路由器的一

10、般配置方法，是使用對(duì)路由器的一般配置方法，是使用IOS的命令行接口的命令行接口CLI 在命令提示符下輸入幫助命令在命令提示符下輸入幫助命令“？”，即可顯示在該模式下，即可顯示在該模式下的所有命令的所有命令 如果不會(huì)正確拼寫(xiě)某個(gè)命令，可以先輸入開(kāi)始的幾個(gè)字符，如果不會(huì)正確拼寫(xiě)某個(gè)命令，可以先輸入開(kāi)始的幾個(gè)字符，其后緊跟一個(gè)問(wèn)號(hào)其后緊跟一個(gè)問(wèn)號(hào)“？” 路由器會(huì)在這些字符的基礎(chǔ)上，補(bǔ)充為一個(gè)完整的命令詞路由器會(huì)在這些字符的基礎(chǔ)上，補(bǔ)充為一個(gè)完整的命令詞 輸入命令行不完整的字符后，按下輸入命令行不完整的字符后，按下Tab健，系統(tǒng)會(huì)將命令行健，系統(tǒng)會(huì)將命令行剩余的部分逐步補(bǔ)充完整剩余的部分逐步補(bǔ)充完整

11、如果命令輸入不正確，如果命令輸入不正確，“”符號(hào)和幫助會(huì)指出錯(cuò)誤符號(hào)和幫助會(huì)指出錯(cuò)誤 “”指向的地方，是指向的地方，是IOS所檢測(cè)到的錯(cuò)誤命令、錯(cuò)誤關(guān)鍵字、錯(cuò)誤所檢測(cè)到的錯(cuò)誤命令、錯(cuò)誤關(guān)鍵字、錯(cuò)誤參數(shù)所在的地方參數(shù)所在的地方計(jì)算機(jī)網(wǎng)絡(luò)11.3.2 命令行的注釋和默認(rèn)設(shè)置命令行的注釋和默認(rèn)設(shè)置 1）注釋語(yǔ)句用）注釋語(yǔ)句用“！”字符引導(dǎo)，到行末結(jié)束字符引導(dǎo)，到行末結(jié)束 2）編輯組合健）編輯組合健 3）更改路由器的名字）更改路由器的名字 4）關(guān)閉）關(guān)閉DNS查找查找 5）啟用同步記錄功能）啟用同步記錄功能 6）為路由器配置用戶名和用戶口令）為路由器配置用戶名和用戶口令 7）禁用）禁用Web服務(wù)服務(wù)

12、8）配置命令別名）配置命令別名計(jì)算機(jī)網(wǎng)絡(luò)11.3.3 顯示路由器狀態(tài)和查看相鄰的網(wǎng)絡(luò)設(shè)備顯示路由器狀態(tài)和查看相鄰的網(wǎng)絡(luò)設(shè)備 有很多命令可以用于檢測(cè)顯示路由器的狀態(tài)有很多命令可以用于檢測(cè)顯示路由器的狀態(tài)計(jì)算機(jī)網(wǎng)絡(luò)11.3.4 IOS及配置文件的備份及配置文件的備份 把把IOS裝載到路由器中有三種方式裝載到路由器中有三種方式 啟動(dòng)配置文件存儲(chǔ)在啟動(dòng)配置文件存儲(chǔ)在NVRAM中，當(dāng)路由器重新啟動(dòng)時(shí)會(huì)讀中，當(dāng)路由器重新啟動(dòng)時(shí)會(huì)讀取這個(gè)文件。運(yùn)行配置文件存儲(chǔ)在取這個(gè)文件。運(yùn)行配置文件存儲(chǔ)在RAM中中 可以根據(jù)需要相互備份其內(nèi)容。所執(zhí)行的這些備份命令需可以根據(jù)需要相互備份其內(nèi)容。所執(zhí)行的這些備份命令需要在特

13、權(quán)模式下執(zhí)行要在特權(quán)模式下執(zhí)行計(jì)算機(jī)網(wǎng)絡(luò)11.3.5 路由器的一般配置過(guò)程路由器的一般配置過(guò)程 在適當(dāng)?shù)呐渲媚Ｊ较率褂妹罡淖兟酚善髋渲?。使在適當(dāng)?shù)呐渲媚Ｊ较率褂妹罡淖兟酚善髋渲?。使用用“show running-config”命令來(lái)查看結(jié)果命令來(lái)查看結(jié)果計(jì)算機(jī)網(wǎng)絡(luò)11.3.6 改變工作模式命令改變工作模式命令 1）Enable命令。在用戶模式下運(yùn)行，進(jìn)入特權(quán)用戶模式。命令。在用戶模式下運(yùn)行，進(jìn)入特權(quán)用戶模式。 2）Disable命令。退出特權(quán)模式。命令。退出特權(quán)模式。 3）Setup命令。進(jìn)入系統(tǒng)配置對(duì)話模式。命令。進(jìn)入系統(tǒng)配置對(duì)話模式。 4）Config terminal命令。在特權(quán)模式

14、下運(yùn)行，進(jìn)入全局設(shè)命令。在特權(quán)模式下運(yùn)行，進(jìn)入全局設(shè)置模式。置模式。 5）End命令。退出目前的設(shè)置狀態(tài)。命令。退出目前的設(shè)置狀態(tài)。 6）Interface type slot/number命令。進(jìn)入接口局部設(shè)置命令。進(jìn)入接口局部設(shè)置狀態(tài)。狀態(tài)。 7）Interface type number.subinterfacepoint-to-point|multipoint命令。進(jìn)入子接口設(shè)置狀態(tài)。命令。進(jìn)入子接口設(shè)置狀態(tài)。 8）Line type slot/number命令。進(jìn)入線路設(shè)置狀態(tài)。命令。進(jìn)入線路設(shè)置狀態(tài)。 9）Router protocol命令。進(jìn)入路由器設(shè)置狀態(tài)。命令。進(jìn)入路由器設(shè)置

15、狀態(tài)。 10）Exit命令。退出局部設(shè)置狀態(tài)命令。退出局部設(shè)置狀態(tài)計(jì)算機(jī)網(wǎng)絡(luò)11.3.7 口令設(shè)置與管理口令設(shè)置與管理 1. 為控制臺(tái)設(shè)置口令為控制臺(tái)設(shè)置口令 2. 為遠(yuǎn)程終端設(shè)置口令為遠(yuǎn)程終端設(shè)置口令 3. 設(shè)置超級(jí)用戶口令設(shè)置超級(jí)用戶口令 4. 加密口令加密口令計(jì)算機(jī)網(wǎng)絡(luò)11.3.8 路由器測(cè)試命令路由器測(cè)試命令 1. 測(cè)試網(wǎng)絡(luò)路徑狀態(tài)測(cè)試網(wǎng)絡(luò)路徑狀態(tài) Router#trace protocol destination 2. ping命令檢測(cè)線路和設(shè)置的狀態(tài)命令檢測(cè)線路和設(shè)置的狀態(tài) Router#ping protocol destination 3. 從應(yīng)用層進(jìn)行測(cè)試從應(yīng)用層進(jìn)行測(cè)試 “

16、telnet”命令格式為：命令格式為：Router#telnet hostname|IP-address 可以使用可以使用“debug”命令來(lái)查看路由器發(fā)送和接命令來(lái)查看路由器發(fā)送和接收協(xié)議的消息收協(xié)議的消息計(jì)算機(jī)網(wǎng)絡(luò)11.4 路由器常用配置路由器常用配置 11.4.1 IP協(xié)議的配置協(xié)議的配置 11.4.2 IP路由配置路由配置 11.4.3 路由協(xié)議配置路由協(xié)議配置計(jì)算機(jī)網(wǎng)絡(luò)11.4.1 IP協(xié)議的配置協(xié)議的配置 1. IP協(xié)議配置原則協(xié)議配置原則 2. IP地址配置地址配置 Router1與與Router2、Router3互互為相鄰路由器為相鄰路由器計(jì)算機(jī)網(wǎng)絡(luò)11.4.2 IP路由配置路

17、由配置 1. 靜態(tài)路由靜態(tài)路由 2. 動(dòng)態(tài)路由動(dòng)態(tài)路由 3. 靜態(tài)路由配置和默認(rèn)路由配置靜態(tài)路由配置和默認(rèn)路由配置計(jì)算機(jī)網(wǎng)絡(luò)11.4.3 路由協(xié)議配置路由協(xié)議配置 1. 自治系統(tǒng)自治系統(tǒng)AS與路由協(xié)議分類與路由協(xié)議分類 2. 距離向量路由協(xié)議距離向量路由協(xié)議 3. 鏈路狀態(tài)路由協(xié)議鏈路狀態(tài)路由協(xié)議 4. 路由信息協(xié)議路由信息協(xié)議RIP及其配置及其配置 5. OSPF協(xié)議及其配置協(xié)議及其配置計(jì)算機(jī)網(wǎng)絡(luò) OSPF協(xié)議的區(qū)域協(xié)議的區(qū)域劃分劃分、OSPF路由路由配置示例配置示例計(jì)算機(jī)網(wǎng)絡(luò)11.4.4 廣域網(wǎng)協(xié)議配置廣域網(wǎng)協(xié)議配置 1. X.25協(xié)議配置協(xié)議配置，CCITT定義的定義的X.25協(xié)議協(xié)議

18、1）X.25數(shù)據(jù)封裝類型數(shù)據(jù)封裝類型 2）定義本路由器接口的）定義本路由器接口的X.121地址地址 3）X.121地址到高層地址的映射地址到高層地址的映射 4）X.25配置實(shí)例配置實(shí)例 2. DDN配置配置 DDN是一種點(diǎn)對(duì)點(diǎn)的同步通信鏈路是一種點(diǎn)對(duì)點(diǎn)的同步通信鏈路 1）HDLC高級(jí)數(shù)據(jù)鏈路控制協(xié)議及配置高級(jí)數(shù)據(jù)鏈路控制協(xié)議及配置 2）PPP點(diǎn)對(duì)點(diǎn)協(xié)議及其配置點(diǎn)對(duì)點(diǎn)協(xié)議及其配置計(jì)算機(jī)網(wǎng)絡(luò)X.25配置示例配置示例 RouterA配置過(guò)程如下：配置過(guò)程如下： RouterA(config)#Interface S 0 ！為！為S0指定指定IP地址地址 RouterA(config-if)#ip a

19、ddress 202.196.73.1 255.255.255.192 ！將！將S0封裝為封裝為X.25接口，接口，默認(rèn)默認(rèn)為為DTE方式方式計(jì)算機(jī)網(wǎng)絡(luò)DDN配置配置 如果對(duì)同步串行口如果對(duì)同步串行口serial0上配置上配置HDLC，則，則可以使用下列命令：可以使用下列命令： Router(config)#interface S 0 Router(config-if)#ip address 202.196.73.1 255.255.255.192 Router(config-if)#encapsulation HDLC計(jì)算機(jī)網(wǎng)絡(luò)11.4.5 網(wǎng)絡(luò)地址轉(zhuǎn)換網(wǎng)絡(luò)地址轉(zhuǎn)換NAT及配置及配置 1.

20、NAT簡(jiǎn)介簡(jiǎn)介 NAT(Network Address Translation，網(wǎng)絡(luò)地址，網(wǎng)絡(luò)地址轉(zhuǎn)換轉(zhuǎn)換)是用于將一個(gè)專用地址域是用于將一個(gè)專用地址域(局域網(wǎng)內(nèi)部或局域網(wǎng)內(nèi)部或Intranet)與另一個(gè)地址域與另一個(gè)地址域(如如Internet)建立起對(duì)建立起對(duì)應(yīng)關(guān)系的技術(shù)應(yīng)關(guān)系的技術(shù) 2. NAT的種類與配置的種類與配置 NAT包括靜態(tài)包括靜態(tài)NAT和動(dòng)態(tài)和動(dòng)態(tài)NAT兩種方式兩種方式 3. NAT配置示例配置示例 Intranet和和Internet之間連接的路由器的動(dòng)態(tài)之間連接的路由器的動(dòng)態(tài)port NAT配置配置過(guò)程過(guò)程計(jì)算機(jī)網(wǎng)絡(luò)11.5 路由器配置實(shí)驗(yàn)路由器配置實(shí)驗(yàn) 11.5.1 路

21、由器配置實(shí)驗(yàn)環(huán)境路由器配置實(shí)驗(yàn)環(huán)境 11.5.2 靜態(tài)路由協(xié)議配置靜態(tài)路由協(xié)議配置 11.5.3 RIP路由協(xié)議配置路由協(xié)議配置 11.5.4 OSPF路由協(xié)議配置路由協(xié)議配置 11.5.5 訪問(wèn)控制列表配置訪問(wèn)控制列表配置 11.5.6 訪問(wèn)控制列表配置示例訪問(wèn)控制列表配置示例 11.5.7 基于基于MAC擴(kuò)展的訪問(wèn)控制列表擴(kuò)展的訪問(wèn)控制列表 11.5.8 基于時(shí)間的訪問(wèn)控制列表基于時(shí)間的訪問(wèn)控制列表計(jì)算機(jī)網(wǎng)絡(luò)11.5.1 路由器配置實(shí)驗(yàn)環(huán)境路由器配置實(shí)驗(yàn)環(huán)境 以以3臺(tái)臺(tái)Cisco 2811路由器通過(guò)路由器通過(guò)V.35電纜連接電纜連接為例說(shuō)明路由器的配置為例說(shuō)明路由器的配置 配置環(huán)境采用邏輯

22、網(wǎng)段和邏輯接口（模擬一配置環(huán)境采用邏輯網(wǎng)段和邏輯接口（模擬一個(gè)終端節(jié)點(diǎn)）的方式，可以節(jié)省交換機(jī)的連個(gè)終端節(jié)點(diǎn)）的方式，可以節(jié)省交換機(jī)的連接，給配置實(shí)驗(yàn)帶來(lái)方便接，給配置實(shí)驗(yàn)帶來(lái)方便 子網(wǎng)掩碼均為子網(wǎng)掩碼均為255.255.255.0。邏輯接口的。邏輯接口的IP地址分別為地址分別為192.168.1.1、192.168.2.1、192.168.3.1計(jì)算機(jī)網(wǎng)絡(luò)采用采用loopback的路由器配置環(huán)境的路由器配置環(huán)境實(shí)驗(yàn)環(huán)境中有實(shí)驗(yàn)環(huán)境中有5個(gè)網(wǎng)段個(gè)網(wǎng)段，分別用，分別用PC機(jī)與機(jī)與3臺(tái)路由器的臺(tái)路由器的控制口連接，對(duì)路由器進(jìn)行配置，通過(guò)控制口連接，對(duì)路由器進(jìn)行配置，通過(guò)show命令查命令查看路由器

23、的設(shè)置情況，通過(guò)看路由器的設(shè)置情況，通過(guò)ping命令測(cè)試通過(guò)路由器命令測(cè)試通過(guò)路由器的連通性的連通性計(jì)算機(jī)網(wǎng)絡(luò)Cisco 2811路由器的前、后面板路由器的前、后面板Cisco 2811路由器的前面板設(shè)計(jì)有控制端口、輔助控制端口、路由器的前面板設(shè)計(jì)有控制端口、輔助控制端口、支持熱插拔的支持熱插拔的Flash模塊、電源連接器、電源開(kāi)關(guān)、面板指示燈模塊、電源連接器、電源開(kāi)關(guān)、面板指示燈Cisco 2811路由器的后面板設(shè)計(jì)有多個(gè)模塊化的插槽，可以支路由器的后面板設(shè)計(jì)有多個(gè)模塊化的插槽，可以支持多種網(wǎng)絡(luò)接口的配置持多種網(wǎng)絡(luò)接口的配置計(jì)算機(jī)網(wǎng)絡(luò)11.5.2 靜態(tài)路由協(xié)議配置靜態(tài)路由協(xié)議配置 1對(duì)對(duì)R1

24、的配置的配置 2對(duì)對(duì)R2的配置的配置 3對(duì)對(duì)R3的配置的配置 4對(duì)靜態(tài)路由配置的測(cè)試對(duì)靜態(tài)路由配置的測(cè)試計(jì)算機(jī)網(wǎng)絡(luò)1對(duì)對(duì)R1的配置的配置！對(duì)邏輯網(wǎng)段！對(duì)邏輯網(wǎng)段192.168.1.0的配置。的配置。R1(config)#interface loopback 1R1(config-if)#ip add 192.168.1.1 255.255.255.0R1(config-if)#no shutdownR1(config-if)#exit！對(duì)路由器接口！對(duì)路由器接口s0/0/0的配置。的配置。R1(config)#interface s0/0/0R1(config-if)#ip add 192.1

25、68.12.1 255.255.255.0R1(config-if)#encapsulation pppR1(config-if)#clock rate 64000R1(config-if)#no shutdownR1(config-if)#exit！R1路由器的靜態(tài)路由配置路由器的靜態(tài)路由配置R1(config)#ip route 192.168.2.0 255.255.255.0 192.168.12.2R1(config)#ip route 192.168.23.0 255.255.255.0 192.168.12.2R1(config)#ip route 192.168.3.0 255

26、.255.255.0 192.168.12.2計(jì)算機(jī)網(wǎng)絡(luò) 對(duì)對(duì)R2的配置如下：的配置如下： 對(duì)邏輯網(wǎng)段對(duì)邏輯網(wǎng)段192.168.2.0的配置。的配置。 R2(config)#interface loopback 2 R2(config-if)#ip add 192.168.2.1 255.255.255.0 R2(config-if)#no shutdown R2(config-if)#exit ！R2路由器的靜態(tài)路由配置路由器的靜態(tài)路由配置 R2(config)#ip route 192.168.1.0 255.255.255.0 192.168.12.1 R2(config)#ip rou

27、te 192.168.3.0 255.255.255.0 192.168.23.3 R2(config)#ip route 0.0.0.0 0.0.0.0 192.168.12.1計(jì)算機(jī)網(wǎng)絡(luò) 對(duì)對(duì)R3的配置如下：的配置如下： 對(duì)邏輯網(wǎng)段對(duì)邏輯網(wǎng)段192.168.3.0的配置。的配置。 R3(config)#interface loopback 3 R3(config-if)#ip add 192.168.3.1 255.255.255.0 R3(config-if)#no shutdown R3(config-if)#exit ！對(duì)路由器接口！對(duì)路由器接口s0/0/1的配置。的配置。 R3(c

28、onfig)#interface s0/0/1 R3(config-if)#ip add 192.168.23.3 255.255.255.0 R3(config-if)#encapsulation ppp R3(config-if)#no shutdown R3(config-if)#exit計(jì)算機(jī)網(wǎng)絡(luò) 配置完成后，在特權(quán)模式下輸入配置完成后，在特權(quán)模式下輸入“show ip route”查看靜查看靜態(tài)路由表，以態(tài)路由表，以R3路由器為例：路由器為例： R3# show ip route 用用ping命令測(cè)試網(wǎng)絡(luò)的連通性：命令測(cè)試網(wǎng)絡(luò)的連通性： R3#ping 192.168.23.2 R3

29、#ping 192.168.12.1 在路由器上進(jìn)行的路由配置會(huì)對(duì)后面的路由配置實(shí)驗(yàn)產(chǎn)生在路由器上進(jìn)行的路由配置會(huì)對(duì)后面的路由配置實(shí)驗(yàn)產(chǎn)生影響，可以執(zhí)行取消靜態(tài)路由設(shè)置命令影響，可以執(zhí)行取消靜態(tài)路由設(shè)置命令“no ip route”，取消路由設(shè)置。以取消路由設(shè)置。以R3路由器為例：路由器為例： R3(config)#no ip route 192.168.2.0 255.255.255.0 192.168.23.2計(jì)算機(jī)網(wǎng)絡(luò)11.5.3 RIP路由協(xié)議配置路由協(xié)議配置 1對(duì)對(duì)R1的配置的配置 2對(duì)對(duì)R2的配置的配置 3對(duì)對(duì)R3的配置的配置 4RIP配置后的測(cè)試配置后的測(cè)試 5對(duì)對(duì)RIP配置結(jié)果

30、查看的命令配置結(jié)果查看的命令 6將將RIPv1路由協(xié)議升級(jí)成路由協(xié)議升級(jí)成RIPv2的方法的方法 7將網(wǎng)絡(luò)（物理）接口配置成將網(wǎng)絡(luò)（物理）接口配置成passive-interface的方法的方法 8使用使用neighbor 命令配置命令配置RIP 的單播更新的方法的單播更新的方法計(jì)算機(jī)網(wǎng)絡(luò)對(duì)對(duì)R1的配置的配置 ！啟動(dòng)！啟動(dòng)RIP路由協(xié)議。路由協(xié)議。 R1(config)#router rip ！指明路由器直接相連的網(wǎng)段，使用！指明路由器直接相連的網(wǎng)段，使用RIP動(dòng)態(tài)路由動(dòng)態(tài)路由 R1(config-router)#network 192.168.1.0 R1(config-router)#ne

31、twork 192.168.12.0 R1(config-router)#exit R1(config)#計(jì)算機(jī)網(wǎng)絡(luò)對(duì)對(duì)R2的配置的配置 ！啟動(dòng)！啟動(dòng)RIP路由協(xié)議。路由協(xié)議。 R2(config)#router rip ！指明路由器直接相連的網(wǎng)段，使用！指明路由器直接相連的網(wǎng)段，使用RIP動(dòng)動(dòng)態(tài)路由。態(tài)路由。 R2(config-router)#network 192.168.2.0 R2(config-router)#network 192.168.12.0 R2(config-router)#network 192.168.23.0計(jì)算機(jī)網(wǎng)絡(luò)對(duì)對(duì)R3的配置的配置 ！啟動(dòng)！啟動(dòng)RIP路由協(xié)

32、議。路由協(xié)議。 R3(config)#router rip ！指明路由器直接相連的網(wǎng)段，使用！指明路由器直接相連的網(wǎng)段，使用RIP動(dòng)動(dòng)態(tài)路由。態(tài)路由。 R3(config-router)#network 192.168.3.0 R3(config-router)#network 192.168.23.0計(jì)算機(jī)網(wǎng)絡(luò)RIP配置后的測(cè)試配置后的測(cè)試 RIP路由協(xié)議配置完成后，在特權(quán)模式下可以顯示路由協(xié)議配置完成后，在特權(quán)模式下可以顯示路由器所配置的路由信息，也可以顯示路由器所配置的路由信息，也可以顯示IP路由表，路由表，以以R3路由器為例：路由器為例： R3#show ip protocols R3

33、#show ip route 然后用然后用ping命令測(cè)試配置后的連通性命令測(cè)試配置后的連通性 需要注意的是，若在路由器上做了多種路由協(xié)議配置，需要注意的是，若在路由器上做了多種路由協(xié)議配置，在運(yùn)行路由時(shí)，默認(rèn)設(shè)置是靜態(tài)路由優(yōu)先，若要使動(dòng)態(tài)在運(yùn)行路由時(shí)，默認(rèn)設(shè)置是靜態(tài)路由優(yōu)先，若要使動(dòng)態(tài)路由起作用，需要先刪除原來(lái)配置的靜態(tài)路由路由起作用，需要先刪除原來(lái)配置的靜態(tài)路由計(jì)算機(jī)網(wǎng)絡(luò)對(duì)對(duì)RIP配置結(jié)果查看的命令配置結(jié)果查看的命令 在路由器上使用在路由器上使用“show ip route”、“show ip rip database”、“show ip rip data”和和“show ip proto

34、col”命令，可以命令，可以查看配置路由后的結(jié)果查看配置路由后的結(jié)果 其中，顯示信息用較小的字號(hào)標(biāo)識(shí)，其中，顯示信息用較小的字號(hào)標(biāo)識(shí)，“”表表示省略的部分信息或示省略的部分信息或IP地址值地址值 為避免為避免RIP路由協(xié)議配置對(duì)以后路由協(xié)議實(shí)路由協(xié)議配置對(duì)以后路由協(xié)議實(shí)驗(yàn)的影響，需要取消已經(jīng)做的路由配置，所驗(yàn)的影響，需要取消已經(jīng)做的路由配置，所采用的命令為采用的命令為“no router rip”計(jì)算機(jī)網(wǎng)絡(luò)將將RIPv1路由協(xié)議升級(jí)成路由協(xié)議升級(jí)成RIPv2的方法的方法 將將RIPv1路由協(xié)議升級(jí)成路由協(xié)議升級(jí)成version 2的的RIPv2路由協(xié)議的配置方法是：路由協(xié)議的配置方法是： R1

35、(config)#router rip R1(config-router)#version 2 在路由器上使用在路由器上使用“debug ip rip”和和“clear ip route *”命令查看命令查看RIPv2的動(dòng)態(tài)更新情況的動(dòng)態(tài)更新情況，查看完畢之后，使用，查看完畢之后，使用“undebug all”關(guān)關(guān)閉調(diào)試閉調(diào)試計(jì)算機(jī)網(wǎng)絡(luò)將網(wǎng)絡(luò)（物理）接口配置成將網(wǎng)絡(luò)（物理）接口配置成passive-interface的方法的方法 將路由器所有網(wǎng)絡(luò)（物理）接口配置成將路由器所有網(wǎng)絡(luò)（物理）接口配置成passive-interface的方法：的方法： R1(config)# router rip

36、R1(config-router)# passive-interface fa0/1 然后用然后用sh ip route rip命令查看結(jié)果命令查看結(jié)果 在路由器上使用在路由器上使用“clear ip route”和和“debug ip rip”查看查看RIP 的動(dòng)態(tài)更新情況的動(dòng)態(tài)更新情況 只要物理接口上執(zhí)行了只要物理接口上執(zhí)行了passive-interface命令命令，該網(wǎng)絡(luò)接口就只接收路由更新包，而不發(fā)送更，該網(wǎng)絡(luò)接口就只接收路由更新包，而不發(fā)送更新包新包計(jì)算機(jī)網(wǎng)絡(luò)使用使用neighbor 命令配置命令配置RIP 的單播更新的單播更新的方法的方法 使用使用neighbor 命令配置命令配

37、置RIP 的單播更新，的單播更新，讓網(wǎng)絡(luò)重新互通的方法是：讓網(wǎng)絡(luò)重新互通的方法是： R1(config)# router rip R1(config-router)# neighbor 10.1.1.2 /neighbor 相鄰路由器的相鄰路由器的IP 檢驗(yàn)完畢后使用檢驗(yàn)完畢后使用“clear ip route”和和“debug ip rip”查看查看RIP 的動(dòng)態(tài)更新情況的動(dòng)態(tài)更新情況計(jì)算機(jī)網(wǎng)絡(luò)11.5.4 OSPF路由協(xié)議配置路由協(xié)議配置 1配置配置OSPF的準(zhǔn)備的準(zhǔn)備 2對(duì)對(duì)R1的配置的配置 3對(duì)對(duì)R2的配置的配置 4對(duì)對(duì)R3的配置的配置 5配置配置OSPF的測(cè)試的測(cè)試 6配置配置OSP

38、F的步驟總結(jié)的步驟總結(jié) 7配置配置OSPF的示例的示例 8Show ip protocol命令示例命令示例 9sh ip ospf neighbor命令示例命令示例 10sh ip ospf interface命令示例命令示例 11相應(yīng)接口的相應(yīng)接口的ospf 信息信息 12sh ip ospf database命令示例命令示例計(jì)算機(jī)網(wǎng)絡(luò)配置配置OSPF的準(zhǔn)備的準(zhǔn)備 對(duì)路由器網(wǎng)絡(luò)接口的配置及方法與前面的講對(duì)路由器網(wǎng)絡(luò)接口的配置及方法與前面的講述是一樣的，在對(duì)路由器網(wǎng)絡(luò)接口配置完成述是一樣的，在對(duì)路由器網(wǎng)絡(luò)接口配置完成之后，分別對(duì)圖之后，分別對(duì)圖8.19實(shí)驗(yàn)圖中的實(shí)驗(yàn)圖中的3臺(tái)路由器臺(tái)路由器進(jìn)行

39、進(jìn)行OSPF路由協(xié)議配置路由協(xié)議配置 在配置時(shí)特別注意在配置時(shí)特別注意DCE和和DTE的區(qū)分及兩條的區(qū)分及兩條串行（串行（Serial0/0/0、Serial0/0/1）線路速率）線路速率的設(shè)定的設(shè)定計(jì)算機(jī)網(wǎng)絡(luò)對(duì)對(duì)R1的配置的配置 ！啟動(dòng)！啟動(dòng)OSPF路由協(xié)議，路由協(xié)議，100為進(jìn)程號(hào)，取值范圍為進(jìn)程號(hào)，取值范圍165 535，用于標(biāo)識(shí)，用于標(biāo)識(shí)OSPF為該路由器內(nèi)的一個(gè)進(jìn)程。為該路由器內(nèi)的一個(gè)進(jìn)程。 R1(config)#router ospf 100 ！指明路由器直接相連的網(wǎng)段，使用！指明路由器直接相連的網(wǎng)段，使用OSPF動(dòng)態(tài)路由動(dòng)態(tài)路由。192.168.1.0為直接相連的網(wǎng)段，統(tǒng)配符為直

40、接相連的網(wǎng)段，統(tǒng)配符0.0.0.255為子網(wǎng)掩碼為子網(wǎng)掩碼255.255.255.0的反碼。區(qū)域號(hào)的取值范的反碼。區(qū)域號(hào)的取值范圍為圍為04 294 967 295。 R1(config-router)#network 192.168.1.0 0.0.0.255 area 200 R1(config-router)#network 192.168.12.0 0.0.0.255 area 200 R1(config-router)#exit計(jì)算機(jī)網(wǎng)絡(luò)對(duì)對(duì)R2的配置的配置 ！啟動(dòng)！啟動(dòng)OSPF路由協(xié)議。路由協(xié)議。 R2(config)#router ospf 100 ！指明路由器直接相連的網(wǎng)段，使

41、用！指明路由器直接相連的網(wǎng)段，使用OSPF動(dòng)態(tài)路動(dòng)態(tài)路由。由。 R2(config-router)#network 192.168.2.0 0.0.0.255 area 200 R2(config-router)#network 192.168.12.0 0.0.0.255 area 200 R2(config-router)#network 192.168.23.0 0.0.0.255 area 200 R2(config-router)#exit計(jì)算機(jī)網(wǎng)絡(luò)對(duì)對(duì)R3的配置的配置 ！啟動(dòng)！啟動(dòng)OSPF路由協(xié)議。路由協(xié)議。 R3(config)#router ospf 100 ！指明路由器直接相

42、連的網(wǎng)段，使用！指明路由器直接相連的網(wǎng)段，使用OSPF動(dòng)態(tài)路由。動(dòng)態(tài)路由。 R3(config-router)#network 192.168.3.0 0.0.0.255 area 200 R3(config-router)#network 192.168.23.0 0.0.0.255 area 200計(jì)算機(jī)網(wǎng)絡(luò)配置配置OSPF的測(cè)試的測(cè)試 OSPF路由協(xié)議配置完成后，在特權(quán)模式下可以顯路由協(xié)議配置完成后，在特權(quán)模式下可以顯示路由器所配置的路由信息，也可以顯示示路由器所配置的路由信息，也可以顯示IP路由表路由表，以，以R3路由器為例：路由器為例： R3#show ip protocols R3

43、#show ip route 然后用然后用ping命令測(cè)試配置后的連通性命令測(cè)試配置后的連通性 需要注意的是，若在路由器上做了多種路由協(xié)議配置，需要注意的是，若在路由器上做了多種路由協(xié)議配置，在運(yùn)行路由時(shí)，默認(rèn)設(shè)置是靜態(tài)路由優(yōu)先，若要使動(dòng)態(tài)在運(yùn)行路由時(shí)，默認(rèn)設(shè)置是靜態(tài)路由優(yōu)先，若要使動(dòng)態(tài)路由起作用，需要先刪除原來(lái)配置的靜態(tài)路由路由起作用，需要先刪除原來(lái)配置的靜態(tài)路由計(jì)算機(jī)網(wǎng)絡(luò)配置配置OSPF的步驟總結(jié)的步驟總結(jié) Router ospf 100命令啟動(dòng)一個(gè)命令啟動(dòng)一個(gè)OSPF路由選路由選擇協(xié)議進(jìn)程，其中的擇協(xié)議進(jìn)程，其中的“100”為進(jìn)程號(hào)為進(jìn)程號(hào) 與配置與配置EIGRP協(xié)議中的協(xié)議中的AS號(hào)不

44、同的是，在配置號(hào)不同的是，在配置OSPF時(shí)并不需要每臺(tái)路由器中的進(jìn)程號(hào)一致。時(shí)并不需要每臺(tái)路由器中的進(jìn)程號(hào)一致。 Network命令使相應(yīng)的網(wǎng)段加入命令使相應(yīng)的網(wǎng)段加入OSPF路由路由進(jìn)程中，其格式為：進(jìn)程中，其格式為： network 網(wǎng)絡(luò)地址（或網(wǎng)絡(luò)地址（或IP地址）通配碼地址）通配碼 area 區(qū)域號(hào)區(qū)域號(hào)計(jì)算機(jī)網(wǎng)絡(luò)路由器的鄰居信息路由器的鄰居信息 Show ip ospf neighbor命令列出了當(dāng)前路由器的命令列出了當(dāng)前路由器的鄰居信息鄰居信息計(jì)算機(jī)網(wǎng)絡(luò)相應(yīng)接口的相應(yīng)接口的OSPF信息信息 命令命令“Show ip ospf interface”可以列出相應(yīng)接口可以列出相應(yīng)接口的的

45、OSPF信息。無(wú)參數(shù)則列出所有接口的信息。無(wú)參數(shù)則列出所有接口的OSPF信息信息計(jì)算機(jī)網(wǎng)絡(luò)查看查看OSPF鄰居信息鄰居信息 Show ip ospf database查看查看OSPF鄰居信息鄰居信息計(jì)算機(jī)網(wǎng)絡(luò)11.5.5 訪問(wèn)控制列表配置訪問(wèn)控制列表配置 1訪問(wèn)控制列表配置內(nèi)容訪問(wèn)控制列表配置內(nèi)容 2訪問(wèn)控制列表分類訪問(wèn)控制列表分類 3訪問(wèn)控制列表配置命令的格式訪問(wèn)控制列表配置命令的格式 4ACL格式及格式及IP協(xié)議包主要過(guò)濾規(guī)則協(xié)議包主要過(guò)濾規(guī)則 5路由訪問(wèn)控制列表配置的實(shí)驗(yàn)環(huán)境路由訪問(wèn)控制列表配置的實(shí)驗(yàn)環(huán)境 6. 用訪問(wèn)列表控制用訪問(wèn)列表控制IP通信通信 7. 擴(kuò)展擴(kuò)展IP訪問(wèn)列表（協(xié)議、

46、端口號(hào)）配置訪問(wèn)列表（協(xié)議、端口號(hào)）配置 8訪問(wèn)控制列表的引用訪問(wèn)控制列表的引用 9配置配置ACL時(shí)需要注意的問(wèn)題時(shí)需要注意的問(wèn)題計(jì)算機(jī)網(wǎng)絡(luò)訪問(wèn)控制列表配置內(nèi)容訪問(wèn)控制列表配置內(nèi)容 1）配置標(biāo)準(zhǔn)）配置標(biāo)準(zhǔn)IP訪問(wèn)控制列表訪問(wèn)控制列表 2）配置擴(kuò)展）配置擴(kuò)展IP訪問(wèn)控制列表訪問(wèn)控制列表 3）配置命名的標(biāo)準(zhǔn)）配置命名的標(biāo)準(zhǔn)IP訪問(wèn)控制列表訪問(wèn)控制列表 4）配置命名的擴(kuò)展）配置命名的擴(kuò)展IP訪問(wèn)控制列表訪問(wèn)控制列表 5）在網(wǎng)絡(luò)接口上引用）在網(wǎng)絡(luò)接口上引用IP訪問(wèn)控制列表訪問(wèn)控制列表 6）在）在VTY上引用上引用IP訪問(wèn)控制列表訪問(wèn)控制列表 7）查看和監(jiān)測(cè)）查看和監(jiān)測(cè)IP訪問(wèn)控制列表訪問(wèn)控制列表計(jì)算機(jī)

47、網(wǎng)絡(luò)訪問(wèn)控制列表配置命令的格式訪問(wèn)控制列表配置命令的格式 access-list access-list-number|access-list-number-name deny|permit access rule|any 其中：其中： 1）access-list-number，訪問(wèn)控制列表的編號(hào)，訪問(wèn)控制列表的編號(hào)，1-99是標(biāo)準(zhǔn)是標(biāo)準(zhǔn)IP訪問(wèn)控制列表，訪問(wèn)控制列表，100-199是擴(kuò)展訪問(wèn)控制列表是擴(kuò)展訪問(wèn)控制列表 2）access-list-number-name，訪問(wèn)控制列表名，使用，訪問(wèn)控制列表名，使用該參數(shù)來(lái)定義命名的訪問(wèn)控制列表該參數(shù)來(lái)定義命名的訪問(wèn)控制列表 3）Deny|per

48、mit，拒絕或允許某項(xiàng)規(guī)則，拒絕或允許某項(xiàng)規(guī)則 4）Access rule，訪問(wèn)規(guī)則，訪問(wèn)規(guī)則 5）Any，所有主機(jī)，所有主機(jī)計(jì)算機(jī)網(wǎng)絡(luò)ACL格式及格式及IP協(xié)議包主要過(guò)濾規(guī)則協(xié)議包主要過(guò)濾規(guī)則 IP協(xié)議包主要過(guò)濾規(guī)則有兩種。一種是只對(duì)協(xié)議包主要過(guò)濾規(guī)則有兩種。一種是只對(duì)IP協(xié)議包中的源協(xié)議包中的源地址進(jìn)行檢查，稱為標(biāo)準(zhǔn)數(shù)據(jù)包過(guò)濾，過(guò)濾標(biāo)識(shí)號(hào)范圍為地址進(jìn)行檢查，稱為標(biāo)準(zhǔn)數(shù)據(jù)包過(guò)濾，過(guò)濾標(biāo)識(shí)號(hào)范圍為199，配置命令格式為：，配置命令格式為： access-list 另一種需要檢查的內(nèi)容包括：源另一種需要檢查的內(nèi)容包括：源IP地址、目的地址、目的IP地址、協(xié)議地址、協(xié)議、端口號(hào)，稱為擴(kuò)展數(shù)據(jù)包過(guò)濾

49、，過(guò)濾標(biāo)識(shí)號(hào)范圍為、端口號(hào)，稱為擴(kuò)展數(shù)據(jù)包過(guò)濾，過(guò)濾標(biāo)識(shí)號(hào)范圍為100199，配置命令格式為：，配置命令格式為： access-list 在需要數(shù)據(jù)包過(guò)濾功能的接口引用過(guò)濾已經(jīng)定義的規(guī)則，引在需要數(shù)據(jù)包過(guò)濾功能的接口引用過(guò)濾已經(jīng)定義的規(guī)則，引用格式為：用格式為： ip access-group 計(jì)算機(jī)網(wǎng)絡(luò)路由訪問(wèn)控制列表配置的實(shí)驗(yàn)環(huán)境路由訪問(wèn)控制列表配置的實(shí)驗(yàn)環(huán)境 采用交換機(jī)連接計(jì)算機(jī)節(jié)點(diǎn)。實(shí)驗(yàn)環(huán)境有采用交換機(jī)連接計(jì)算機(jī)節(jié)點(diǎn)。實(shí)驗(yàn)環(huán)境有3個(gè)不同個(gè)不同的網(wǎng)段，的網(wǎng)段，192.168.1.0、192.168.2.0、192.168.12.0，子網(wǎng)掩碼均，子網(wǎng)掩碼均255.255.255.0假設(shè)實(shí)驗(yàn)

50、中的各路由器、交換機(jī)、假設(shè)實(shí)驗(yàn)中的各路由器、交換機(jī)、PC機(jī)的連接和基本配置已經(jīng)機(jī)的連接和基本配置已經(jīng)設(shè)置正確，例如在兩個(gè)路由器之間連接的網(wǎng)絡(luò)接口上封裝了設(shè)置正確，例如在兩個(gè)路由器之間連接的網(wǎng)絡(luò)接口上封裝了PPP協(xié)議，網(wǎng)絡(luò)中設(shè)置了動(dòng)態(tài)路由協(xié)議協(xié)議，網(wǎng)絡(luò)中設(shè)置了動(dòng)態(tài)路由協(xié)議RIP計(jì)算機(jī)網(wǎng)絡(luò)在路由器在路由器2811-A進(jìn)行過(guò)濾規(guī)則的配置進(jìn)行過(guò)濾規(guī)則的配置 ！進(jìn)行過(guò)濾規(guī)則的配置，標(biāo)識(shí)號(hào)為！進(jìn)行過(guò)濾規(guī)則的配置，標(biāo)識(shí)號(hào)為99 2811-A(config)#access-list 99 deny 192.168.2.2 0.0.0.0 2811-A(config)#access-list 99 permit

51、 0.0.0.0 255.255.255.255 2811-A(config)# ！引用過(guò)濾規(guī)則！引用過(guò)濾規(guī)則 2811-A(config)#interface s0/0/1 2811-A(config-if)#ip access-group 99 in 2811-A(config-if)# ！在特權(quán)模式下查看！在特權(quán)模式下查看IP訪問(wèn)列表訪問(wèn)列表 2811-A#show ip access-list ！在特權(quán)模式下查看端口訪問(wèn)列表！在特權(quán)模式下查看端口訪問(wèn)列表 2811-A#show ip interface serial 0/0/1計(jì)算機(jī)網(wǎng)絡(luò)測(cè)試測(cè)試ACL的配置情況的配置情況 ！在特權(quán)模式

52、下查看！在特權(quán)模式下查看IP訪問(wèn)列表訪問(wèn)列表 2811-A#show ip access-list ！在特權(quán)模式下查看端口訪問(wèn)列表！在特權(quán)模式下查看端口訪問(wèn)列表 2811-A#show ip interface serial 0/0/1 用用ping命令驗(yàn)證訪問(wèn)列表設(shè)置后的作用，在命令驗(yàn)證訪問(wèn)列表設(shè)置后的作用，在PC-B計(jì)算機(jī)上計(jì)算機(jī)上執(zhí)行執(zhí)行“ping 192.168.1.2”測(cè)試與測(cè)試與PC-A計(jì)算機(jī)通信，因有配計(jì)算機(jī)通信，因有配置規(guī)則過(guò)濾，無(wú)法進(jìn)行進(jìn)行通信。需要注意驗(yàn)證的方向性置規(guī)則過(guò)濾，無(wú)法進(jìn)行進(jìn)行通信。需要注意驗(yàn)證的方向性。 配置實(shí)驗(yàn)完成后，在全局配置模式下執(zhí)行下面命令取消訪配置實(shí)驗(yàn)

53、完成后，在全局配置模式下執(zhí)行下面命令取消訪問(wèn)控制列表：?jiǎn)柨刂屏斜恚?2811-A(config)#no access-list 99 在接口配置模式下，執(zhí)行下面命令取消對(duì)訪問(wèn)列表的引用在接口配置模式下，執(zhí)行下面命令取消對(duì)訪問(wèn)列表的引用 2811-A(config-if)#no ip access-group 99 in計(jì)算機(jī)網(wǎng)絡(luò)擴(kuò)展擴(kuò)展IP訪問(wèn)列表（協(xié)議、端口號(hào)）配置訪問(wèn)列表（協(xié)議、端口號(hào)）配置 ！進(jìn)行過(guò)濾規(guī)則的配置，標(biāo)識(shí)號(hào)為！進(jìn)行過(guò)濾規(guī)則的配置，標(biāo)識(shí)號(hào)為99 2811-A(config)#access-list 110 deny tcp 192.168.2.2 0.0.0.0 192.168

54、.12.1 0.0.0.0 eq 23 2811-A(config)#access-list 110 permit ip any any 2811-A(config)# ！引用過(guò)濾規(guī)則！引用過(guò)濾規(guī)則 2811-A(config)#interface s0/0/1 2811-A(config-if)#ip access-group 110 in 2811-A(config-if)# ！在特權(quán)模式下查看！在特權(quán)模式下查看IP訪問(wèn)列表訪問(wèn)列表 2811-A#show ip access-list ！在特權(quán)模式下查看端口訪問(wèn)列表！在特權(quán)模式下查看端口訪問(wèn)列表 2811-A#show ip interf

55、ace serial 0/0/1計(jì)算機(jī)網(wǎng)絡(luò)測(cè)試和驗(yàn)證擴(kuò)展訪問(wèn)列表配置結(jié)果測(cè)試和驗(yàn)證擴(kuò)展訪問(wèn)列表配置結(jié)果 在在PC-B計(jì)算機(jī)上輸入計(jì)算機(jī)上輸入“telnet 192.168.12.1”，不，不能與路由器能與路由器2811-A通信，執(zhí)行通信，執(zhí)行“ping 192.168.12.1”命令，卻可以與路由器命令，卻可以與路由器2811-A通信通信 配置實(shí)驗(yàn)完成后，在全局配置模式下執(zhí)行下面命令配置實(shí)驗(yàn)完成后，在全局配置模式下執(zhí)行下面命令取消擴(kuò)展訪問(wèn)控制列表：取消擴(kuò)展訪問(wèn)控制列表： 2811-A(config)#no access-list 110 在接口配置模式下，執(zhí)行下面命令取消對(duì)擴(kuò)展訪問(wèn)在接口配置模

56、式下，執(zhí)行下面命令取消對(duì)擴(kuò)展訪問(wèn)列表的引用：列表的引用： 2811-A(config-if)#no ip access-group 110 in計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行進(jìn)行telnet操作操作的設(shè)置方法的設(shè)置方法 若要進(jìn)行若要進(jìn)行telnet操作，需要預(yù)先進(jìn)行虛擬終操作，需要預(yù)先進(jìn)行虛擬終端端VTY配置，方法是：配置，方法是： Router(config)#line vty 0 4 Router(config)#login password cisco enable password cisco 其中，其中，cisco為用為用telnet登錄時(shí)使用的密碼設(shè)登錄時(shí)使用的密碼設(shè)置，需要用戶輸入置，需要用戶輸

57、入計(jì)算機(jī)網(wǎng)絡(luò)訪問(wèn)控制列表的引用訪問(wèn)控制列表的引用 首先進(jìn)入要引用訪問(wèn)控制列表的端口，然后首先進(jìn)入要引用訪問(wèn)控制列表的端口，然后再指明引用的列表編號(hào)或名稱再指明引用的列表編號(hào)或名稱,是進(jìn)入（是進(jìn)入（in）方向還是離開(kāi)方向（方向還是離開(kāi)方向（out） 這里的這里的in和和out是指以路由器本身為參考點(diǎn)，數(shù)是指以路由器本身為參考點(diǎn)，數(shù)據(jù)包是進(jìn)入（據(jù)包是進(jìn)入（in）還是離開(kāi)（）還是離開(kāi)（out）路由器。例）路由器。例如，要在如，要在S0/0/0接口接口out方向上引用編號(hào)為方向上引用編號(hào)為1的標(biāo)的標(biāo)準(zhǔn)訪問(wèn)控制列表，輸入的命令為：準(zhǔn)訪問(wèn)控制列表，輸入的命令為： interface s0/0/0 ip a

58、ccess-groutp 1 out計(jì)算機(jī)網(wǎng)絡(luò)配置配置ACL時(shí)需要注意的問(wèn)題時(shí)需要注意的問(wèn)題 1）在定義訪問(wèn)控制列表時(shí)，需要注意語(yǔ)句輸入的先后順序）在定義訪問(wèn)控制列表時(shí)，需要注意語(yǔ)句輸入的先后順序 2）路由器不對(duì)由自身產(chǎn)生的）路由器不對(duì)由自身產(chǎn)生的IP包進(jìn)行過(guò)濾，在實(shí)驗(yàn)時(shí)應(yīng)由包進(jìn)行過(guò)濾，在實(shí)驗(yàn)時(shí)應(yīng)由其他的設(shè)備發(fā)包進(jìn)行測(cè)試其他的設(shè)備發(fā)包進(jìn)行測(cè)試 3）show ip access-list命令列出了所定義的訪問(wèn)控制列表命令列出了所定義的訪問(wèn)控制列表的情況。的情況。show ip int s0 命令列出的信息會(huì)給出關(guān)于訪問(wèn)控命令列出的信息會(huì)給出關(guān)于訪問(wèn)控制列表引用情況的信息，表明在進(jìn)入（制列表引用情

59、況的信息，表明在進(jìn)入（in）或出（）或出（out）路）路由器的方向上引用訪問(wèn)控制列表的情況由器的方向上引用訪問(wèn)控制列表的情況 4）clear access-list counters 指令清空了訪問(wèn)控制列表指令清空了訪問(wèn)控制列表的計(jì)數(shù)器，以便觀察配置結(jié)果的計(jì)數(shù)器，以便觀察配置結(jié)果 5）為了驗(yàn)證訪問(wèn)控制列表配置的正確性，可以形成回路的）為了驗(yàn)證訪問(wèn)控制列表配置的正確性，可以形成回路的路由器的網(wǎng)絡(luò)接口關(guān)閉，使網(wǎng)絡(luò)路由拓?fù)洳恍纬苫芈仿酚善鞯木W(wǎng)絡(luò)接口關(guān)閉，使網(wǎng)絡(luò)路由拓?fù)洳恍纬苫芈?6）可以使用擴(kuò)展的）可以使用擴(kuò)展的 ping 命令測(cè)試訪問(wèn)控制列表的定義和命令測(cè)試訪問(wèn)控制列表的定義和引用情況引用情況計(jì)算

60、機(jī)網(wǎng)絡(luò)11.5.6 訪問(wèn)控制列表配置示例訪問(wèn)控制列表配置示例 1路由訪問(wèn)控制列表配置示例環(huán)境路由訪問(wèn)控制列表配置示例環(huán)境 2路由訪問(wèn)控制列表配置示例路由訪問(wèn)控制列表配置示例路由訪問(wèn)控制列表配置示例環(huán)境圖路由訪問(wèn)控制列表配置示例環(huán)境圖計(jì)算機(jī)網(wǎng)絡(luò)11.5.7 基于基于MAC擴(kuò)展的訪問(wèn)控制列表擴(kuò)展的訪問(wèn)控制列表 MAC擴(kuò)展擴(kuò)展ACL的工作過(guò)程與擴(kuò)展的工作過(guò)程與擴(kuò)展ACL類似，類似，區(qū)別是基于區(qū)別是基于MAC地址進(jìn)行訪問(wèn)控制地址進(jìn)行訪問(wèn)控制 可以根據(jù)協(xié)議包的源可以根據(jù)協(xié)議包的源MAC地址、目的地址、目的MAC地址、以太網(wǎng)協(xié)議類型進(jìn)行過(guò)濾設(shè)置地址、以太網(wǎng)協(xié)議類型進(jìn)行過(guò)濾設(shè)置 MAC擴(kuò)展擴(kuò)展ACL的設(shè)置規(guī)