计算机三级网络技术

七、路由器配置及使用

考点（一）：路由器的结构

1.路由器的基本概念

路由器是工作在网络层的设备，负责将数据分组，从源端主机经最佳路径传送到目的端主机实现在网络层的互联。

2.路由器的结构

路由器有硬件和软件组成，路由器的软件主要由路由器的操作系统（互联网操作系统组成），用于控制和实现路由器的全部功能。

路由器硬件组成部分有：中央处理器（CPU）、内存（Memory）、存储器（Storage）、接口（Interface）

• 中央处理器

  CPU是路由器的心脏，是路由器的处理中心，负责实现路由协议、路径选择计算、交换路由信息、查找路由表、分发路由表和维护各种表格，以及转发数据包等功能。CPU的能力直接影响路由器的路由表查找时间，吞吐量和路由器的性能。

• 内存

  路由器内存用于保存路由器配置、路由器操作系统、路由协议软件等。主要的类型有：只读内存（ROM）、闪存（Flash）、随机存储器（RAM）和非易失性随机存储器（NVRAM）

  • 只读内存（ROM）：用来永久保存路由器的开机诊断程序、引导程序和操作系统软件。

    ROM的主要任务是完成路由器的初始化进程，具体包括路由器启动时硬件诊断、装入路由器操作系统iOS等

    ROM是只读存储器，不能修改其中保存的那种。

  • 随机存储器（RAM）是可读，可写存储器。

    在路由器操作系统运行期间，RAM主要存储路由表、快速交换呃缓存、ARP缓存、数据分组缓冲区和缓冲队列、运行配置文件，以及正在执行的代码和一些临时数据信息等。

    在关机和重启路由器之后，RAM里的数据会自动丢失

  • 非易失性随机存储器（NVRAM）也是一个可读可写存储器，主要用于存储启动配置文件（ startup-config）或备份配置文件

    NVRAM容量较小,通常存储量只有32KB-128KB,但是存取速度非常快，而且保存的数据不会丢失。

  • 闪存（Flash）是可擦写的ROM，主要用于存储路由器当前使用的操作系统映像文件和一些微代码

    闪存的容量比较大，可以用来保存备份的配置文件，也不会丢失保存数据

考点（二）：路由器的工作原理

1.路由选择

路由选择就是路由器根据目的IP地址的网络地址部分，通过路由选择算法，确定一条从源节点到目的节点的最佳路径。

2.分组转发

分组转发即沿找好的最佳路径传送信息分组。路由器在接收到一个数据分组时，首先查看数据分组头中目的IP地址字段，根据目的IP地址的网络地址部分，去查询路由表。

注意：在数据分组通过每一个路由器转发时，分组中的 目的mac地址是变化的，但是他的 目的网络地址始终不变。

3.路由表

路由表中记录着所有路由信息，路由表的内容主要包括目的网络地址以及其所对应的目的端口或下一跳路由器地址或缺省路由的信息。

• 第一列表示路由表项的来源，标识这个路由表项是通过什么方式，或者通过何种路由选择协议建立的

  • “C”表示直连路由（Conected），表示目的网络直接与路器端口相连。（0）
  • “S”表示为静态（static）路由（1）
  • “I表示使用IGRP内部网关路由协议学习到的路由信息。（100）
  • “O”表示使用OSPF开放最短路径优先协议学习到的路由信息（110）

• 第二列表示的是目的网络的地址和掩码长度

• 第三列表示目的端口，或者下一跳路由器的地址。

• 第四列“[]”中的前半部分为管理距离，后半部分为权值。
  

考点（三）：路由器的工作模式

1.用户模式：Router>(User EXEC)

在该模式下，用户只能运行少数的命令(如ping、show version、telnet等)，有限度的查看路由器的相关信息，但不能对路由器的配置做任何修改也不能查看路由器的配置信息，只能对路由器做一些简单的操作，因而它是一个只读模式。

2.特权模式：Router#（Privileged EXEC）

在用户模式下，输入“ enable”命令后按回车键，即可进入超级权限模式（如果设置了口令，还需要再回车后按提示输入口令）。该模式下最常用的操作包括管理系统时钟、进行错误检测、查看和保存配置文件、清除闪存、处理并完成路由器的冷启动等操作。

3.全局配置模式：Router（config）#（Global Configuration）

在特权模式下， 输入“config terminal”命令后回车，即可进入全局配置模式。在全局配置模式下，可以配置子模式、接口配置子模式等其他配置模式。

4.RXBOOT模式：>

当密码丢失时，可以从该模式下恢复，因此该模式是路由器的维护模式。

5.设置（SETUP）模式

在任何时候，要进入设置模式，在特权模式下，输入setup即可。新路由器第一次进行配置时，系统会自动进入设置模式，并询问是否采用该方式进行配置。

考点（四）：路由器的基本配置及常用命令

1.路由器的配置方式

• 通过控制端口（ Console）进行配置管理。
• 使用telnet远程登录配置及使用telnet远程登录到路由器上进行配置管理。
• 使用TFTP服务，以复制配置文件、修改配置文件的形式，配置路由器。
• 在AUX端口连接一台Modem，在远端拨号，配置路由器。
• 使用网络管理协议SNMP修改路由器配置文件的方式，对路由器进行配置。

2.路由器的基本配置

路由器的基本配置，一般都是通过使用Console端口配置方式完成，配置的内容主要包括配置路由器的主机名、超级用户口令和远程登录口令等，包括网络的基本检测命令和配置文件的保存命令。

• 配置路由器的主机名

  在全局配置模式下：

  Router（config）#hostname Router-test

  Router（config）#

• 配置超级用户口令

  Router-test#configure terminal

  Router-test（config）# enable secret 111111(设置超级用户明码密码)

  Router-test（config）# enable password 7 111111(设置超级用户加密密码)

  Router-test（config）#

• 设置系统时钟

  命令格式：calendar set hh:mm:ss <1-31> MONTH <1993-2035>

  Router-test#calendar set 20:26:00 3 may 2013

3.路由器常用命令

• 退出命令

  无论是从端口模式退出返回全局配置模式，还是从全局配置模式退出返回特权用户模式都可以使用exit命令一级一级的退出,也可以使用end命令,直接退回到特权用户模式

  Router-test（config-if）# exit

  Router-test（config）# exit

  Router-test#

  Router-test（config-if）# end

  Router-test#

• 保存配置

  帮完成路由器配置，需要保存配置时，可以在特权用户模式下使用write命令

  Router-test# en(进入特权用户模式)

  Router-test#write memory(保存路由器配置到NVRAM中)

  Router-test#write network tftp（保存到TFTP服务器中）

  若要删除路由器的全部配置，也可以在特权用户模式下，使用 write命令

  Router-test#write erase（清除配置文件）

• 网络的基本检测命令

  • ping命令使用echo协议，通过向目的主机发送数据包根，根据目标主机的应答情况来了解路径的可靠性、链路的延迟时间和目的主机是否可以到达，从而判别到目标网络的连通情况。

  • trace命令是一个实他不仅能诊断到目的网络的连通性，还能跟踪目标网络转发路径上每一级路由器的工作状况，延迟时间（最多30跳，超过则视为不可达）等

  • telnet命令在进行网络诊断时，需要经常受到不同路由器上进行查看。一般路由器可支持5个telnet同时连接。该命令可在用户模式或特权用户模式下使用。

  • show命令可以查看到路由器的配置情况，接口的工作状态、路由表信息、路由器软硬件版本、路由器资源的利用情况和各种协议工作信息等。

    • 该命令可以在用户模式下或特权用户模式下运行，但不同模式下可以查看的信息不同。
    • 在用户模式下，可以查看路由器系统的软硬件版本，系统时钟，flash的使用情况等。
    • 在特权用户模式下，则能够查看路由器配置，路由表信息、IP的相关信息以及IP协议的统计信息的。
      

考点（五）：路由器的接口配置（pos接口配置）

1.路由器接口的基本配置

• 配置接口描述信息

  进入端口配置模式，使用description命令：

  Router-test（config）#interface f0/1

  Router-test（config-if）#description To-websever

  Router-test（config-if）#

• 配置接口带宽

  进入接口配置模式，使用bandwidth命令设置带宽，带宽单位是kbit/s

  Router-test（config-）#interface f0/1

  Router-test（config-if）#bandwidth 100000

  Router-test（config-if）#

• 配置接口地址

  进入接口配置模式，使用ip address命令配置接口的IP地址

  命令格式：ip address <子网掩码>

  Router-test（config）#interface f0/1

  Router-test（config-if）#ip address 192.168.1.254 255.255.255.0

  Router-test（config-if）#

• 接口的开启与关闭

  进入接口配置模式，使用shutdown、no shutdown命令关闭和开启窗口

  Router-test（config-if）#shutdown （关闭接口）

  Router-test（config-if）#no shutdown （打开接口）

  Router-test（config-if）#

2.预置POS接口

POS（Packet over SONET/SDH）是一种利用SONET/SDH提供的高速传输通道直接传送IP数据包的技术，同时它是一种高速、先进的广域网连接技术。

POS使用的链路层协议主要有PPP和HDLC。目前POS可以提供155Mbit/s、622Mbit/s、205Gbit/s和10Gbit/s等多种传输速率的接口。

POS接口的配置任务包括：接口带宽、接口地址、接口的链路层协议、接口的帧格式、接口的CRC校验和flag（帧头中净负荷类型的标志位）等

POS可选的帧格式是sdh和sonet，s1s0=00表示是sonet帧的数据，s1s0=10（十进制2）表示是sdh帧的数据；

POS可选的crc校验位是16和32

• 在全局配置模式下，配置操作如下：

  Router-test（config）#interface POS0/1

  Router-test（config-if）#description To-lab5

  Router-test（config-if）#bandwidth 10000000

  Router-test（config-if）#ip address 192.168.5.1 255.255.255.252

  Router-test（config-if）#crc 16

  Router-test（config-if）#pos framing sonet

  Router-test（config-if）#no ip dtrected-broadcast

  Router-test（config-if）#pos flag s1s0 0

  Router-test（config-if）#no shutdown

  Router-test（config-if）#exit

  Router-test（config）#exit

  Router-test#

3.Loopback接口的配置

环回（loopback）接口是一种应用最为广泛的 虚接口，loopback接口号有效值为0-2147483647，主要用于网络管理。网络管理员为loopback接口分配一个IP地址作为管理地址，其 掩码应为255.255.255.255。Loopback接口不会关闭，总是处于激活的状态。

loopback接口的参数配置比较简单，主要配置ip地址。

在全局配置模式下：

Router-test（config）#interface loopback 0

Router-test（config-if）#ip address 192.168.100.1 255.255.255.255

Router-test（config-if）#no ip route-cache(禁止route-cache功能)

Router-test（config-if）#no ip mroute-cache

Router-test（config-if）#exit

Router-test（config）#exit

Router-test#

考点（六）：路由器的静态路由配置

1.静态路由的概念

静态路由是指网络管理员手工配置的路由信息，使用静态路由协议时,路由器不能根据网络的实际情况，动态地进行路由选择。当网络的拓扑结构或链路的状态发生变化时，也无法动态的更新路由表,必须由网络管理员手动去修改路由表中相关的静态路由信息。因此它适合规模较小，网络拓扑结构没有变化的局域网和采用点到点方式连接的较为简单的网络互联环境。

2.静态路由配置命令

静态路由由“ip route”命令在全局配置模式下配置，使用“no ip route”命令可删除静态路由配置。静态路由配置的命令格式如下：

命令格式：ip route <目的网络地址> <子网掩码> <下一跳路由器的IP地址>

Router-test（config）#ip route 10.0.0.0 255.0.0.0 192.168.1.1

其中，默认路由的静态配置方式为：

ip route 0.0.0.0 0.0.0.0 下一跳路由器的IP地址

考点（七）：动态路由协议配置

1.OSPF的基本配置

• Router ospf:该命令用来启动OSPF进程，命令格式为：“Router ospf ”,其中Process ID(PID)是OSPF的进程号，它的范围是1-65535，process ID可以在指定范围内随意设置，它只对本地路由其内部有意义，不同的路由器PID可以相同，也可以不同。

• network ip:该命令用来定义参与OSPF的子网地址，他的命令格式为“network ip <子网号> <子网掩码的反码> area <区域号>”，在单个IP地址参与OSPF时也使用此命令。

  其中，**子网掩码的反码的计算方式，将子网掩码表示成二进制，然后各位取反，**再转换成10进制即可。

• range:该命令用于定义某一特定范围子网的聚合，他的命令格式为“area <区域号> range <子网地址> <子网掩码>”。
  

考点（八）：路由器DHCP配置

1.DHCP服务器的配置

设置为DHCP服务器，在路由器上需要完成的配置任务主要是建立IP地址池（pool）和配置IP地址池的相关参数。首先需要配置的是IP地址池的名称，在进入DHCP地址池配置模式，在该配置模式下对DHCP进行配置，主要任务包括：IP地址池的子网地址和子网掩码、默认网关、域名和域名服务器IP地址、IP地址租用时间等配置。

• IP地址池的建立

  配置方法为在全局配置模式下使用“ip dhcp pool ”命令为地址池赋予一个名称，其中 是为所建的地址池提供的名称，可以是一组字符串或数字。

  Router-test（config）#ip dhcp pool 123

  Router-test（config）#

• IP地址池的子网地址与子网掩码的配置

  IP地址池建立后，便进入地址池配置模式,在该模式下可进行IP子网地址和子网掩码的配置,用于设定DHCP服务器可以分配的IP地址的范围.配置的方法是在IP地址池配置模式下,执行"network <网络地址> <子网掩码>"命令，其中，<子网掩码>可采用标准的子网掩码表示或使用严吗前缀长度表示

• 排除不用于动态分配的IP置方法

  配置方法为带全屏配置模式下，使用“ip dhcp excluded-address low-address [high-address]”命令，其中"low-address [high-address]"表示要排除的IP地址的范围。
  

• 配置默认网关

  动态分配IP地址时，还需要同时为客户端指定默认网关，以便客户端TCP/IP协议正常工作。配置方法为在地址池配置模式下，执行“default-router address [address2 … address8]”命令，其中默认网关的地址，最多可以设置8个。
  

• 配置IP地址池的域名系统

  域名服务器的配置方法为在地址池配置模式下使用“dns-server address”命令，该命令允许最多配置八个域名服务器地址，但是在实际使用中，域名服务器一般只有两个或三个。
  

  IP地址池中客户端域名的配置方法为在DHCP地址池配置模式下，使用“domain-name ”命令，其中**为指定的域名名称**
  

• IP地址租用时间

  在DHCP地址池配置模式下，使用“lease {day [hours] [minutes] | infinite}”命令,其中参数可以包括天数、小时数以及分秒数还可以设置为永不过期（infinite）
  

考点（九）：路由器IP访问控制列表的功能及其配置

1.IP访问控制列表功能

访问控制列表（ Access Control List，ACL）**通过在路由器接口处控制路由器数据包是被转发还是被阻塞来过滤网络通讯流量。**路由器根据ACL中指定的条件来检测通过路由器的每个数据包，从而决定是转发还是丢弃该数据包。

2.IP访问控制列表的分类

标准访问控制列表 只能检查数据包的源地址，根据源网络、此网或者主机的IP地址来决定对数据包的过滤。

标准访问控制列表的表号范围是 1-99。后来又进行扩展，扩展的表号是 1300-1999。

扩展访问控制列表可以 检查数据包的源地址和目的地址，根据源网络或者目的网络、子网、主机的IP地址决定数据包的过滤操作。

扩展访问控制列表除了检查源地址和目的地址外，还可以检查指定的协议，根据数据包头中的协议类型进行过滤，比如IP协议、ICMP协议、TCP协议和UDP协议等。

扩展访问控制列表的 表号范围是100-199，后来又进行了扩展，扩展的表号是2000-2699

3.配置IP访问控制列表

• IP访问控制列表是一个连续的列表，至少由 **一个“permit（允许）”语句和一个或多个deny（拒绝）**语句组成。
• IP访问控制列表用 名字（name）或表号（number）标识和引用。
• 在配置IP访问控制列表的首要任务就是使用“access-list”或“ip access-list”命令，定义一个访问控制列表
• access-list命令要求只能使用表号表示列表，而“ip access list”命令可以使用表号或者名字标识列表。
• 在配置过滤规则时，ACL语句顺序很重要
• 路由器执行ACL是按照配置的访问控制列表中条件语句来决定的
• 数据包 只有在跟第一个判断条件不匹配时，才能被交给ACL中下一条件语句进行比较
• 若要允许“202.204.4.2”以外的所有原地址，通过路由器，这时，就需要先配置“deny 202.204.4.2”再配置（permit any any）
  

1.使用access-list命令

• 定义访问控制列表

  命令格式：access-list <表号> {permit|deny} <协议类型> <子网掩码的反码> [operator] [operand]

  其中，operator（操作）有1t（小于）、gt（大于）、eq（等于）、neq（不等于）几种；

  operand指的是端口号
  

2.使用ip access-list命令