1 / 155

能力单元 2 实现路由器的操作与配置

能力单元 2 实现路由器的操作与配置. 1. 实现路由器的基本操作. 2. 实现路由器接口的配置. 3. 实现数据流的控制. 4. 实现私有地址上的互联网. 本章主要内容. 一 . 实现路由器的基本操作. 1. 什么是路由器. 路由器是一种连接多个网络或网段的网络设备,它能将不同网络或网段之间的数据信息进行 “ 翻译 ” ,以使它们能够相互 “ 读 ” 懂对方的数据,从而构成一个更大的网络。 路由器是工作在 OSI 参考模型第三层 —— 网络层的数据包转发设备。路由器通过转发数据包来实现网络互连。. ( 1 ) 路由器做了什么?. 某个接口 接收数据 帧

von
Download Presentation

能力单元 2 实现路由器的操作与配置

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 能力单元2 实现路由器的操作与配置

  2. 1 实现路由器的基本操作 2 实现路由器接口的配置 3 实现数据流的控制 4 实现私有地址上的互联网 本章主要内容

  3. 一.实现路由器的基本操作 1.什么是路由器 • 路由器是一种连接多个网络或网段的网络设备,它能将不同网络或网段之间的数据信息进行“翻译”,以使它们能够相互“读”懂对方的数据,从而构成一个更大的网络。 • 路由器是工作在OSI参考模型第三层——网络层的数据包转发设备。路由器通过转发数据包来实现网络互连。

  4. (1) 路由器做了什么? • 某个接口 接收数据 帧 • 去掉链路层的帧头、尾(称为包) • 根据目标IP地址进行路径查找(选路) • 封装相应的链路层帧头、尾(帧) • 从另一接口 发送该数据(转发)

  5. (2) 路由器的分类 • 1)从结构上分,路由器可分为模块化结构与非模块化结构,通常中高端路由器为模块化结构,低端路由器为非模块化结构。 • 2)从网络位置划分,路由器可分为核心路由器与接入路由器。核心路由器位于网络中心,通常使用高端路由器,要求快速的包交换能力与高速的网络接口,通常是模块化结构;接入路由器位于网络边缘,通常使用中低端路由器,要求相对低速的端口以及较强的接入控制能力。

  6. (2) 路由器的分类 • 3)从功能上划分,路由器可分为通用路由器与专用路由器。一般所说的路由器为通用路由器。专用路由器通常为实现某种特定功能对路由器接口、硬件等作专门优化,例如接入路由器用作接入拨号用户,增强PSTN接口以及信令能力; • 从性能上分,路由器可分为线速路由器以及非线速路由器。通常线速路由器是高端路由器,能以媒体速率转发数据包;中低端路由器是非线速路由器,但是一些新的宽带接入路由器也有线速转发能力。

  7. (2) 路由器的分类 • 4)按标准划分,路由器从能力上区分可分为高端路由器和低端路由器。 背板交换能力大于20Gbit/s,包交换能力大于20Mbit/s的路由器称为高端路由器;包交换能力小于1Mbit/s的路由器称为低端路由器。以市场占有率最大的Cisco公司为例,12000系列为高端路由器,7500以下系列路由器为低端路由器。显然上述划分存在空档:包交换能力1Mbit/s以上20Mbit/s以下的路由器没有参照标准。按照标准系列,应当有中档路由器规范。但是由于中档路由器没有特殊性,可以参照低端路由器或高端路由器,所以不再单独另立标准。

  8. (3) 路由器的组成 NVRAM RAM ROM Interface Flash Line

  9. (4) 路由器的接口分类 • E1接口: • ISDN接口: • 以太网接口: • 串行同步口: • 异步口: • FDDI接口以及其他接口。

  10. (5) 路由器接口命名方式 常用的接口: • 1)以太口,用Fastethernet(Ethernet)表示。 • 2)同步口,用Serial表法。 • 3)异步口,用asynchronous 。 进入的方法: • 1)进入以太口:interface faste 0 • 2)进入同步口:interface serial 0 • 3)进入异步口:interface async 0

  11. (6) 路由器常见接口 • 1)控制台端口 (Console) 所有路由器都安装了控制台端口,使用户或管理员能够利用终端与路由器进行通信,完成路由器配置。该端口提供了一个EIA/TIA-232异步串行接口,用于在本地对路由器进行配置(首次配置必须通过控制台端口进行)。 路由器的型号不同,与控制台进行连接的具体接口方式也不同,有些采用DB25连接器DB25F,有些采用RJ45连接器。通常,较小的路由器采用RJ45连接器,而较大的路由器采用DB25连接器。

  12. (6) 路由器常见接口 • 2)辅助端口 (AUX) 多数路由器均配备了一个辅助端口,它与控制台端口类似,提供了一个EIA/TIA-232异步串行接口,通常用于连接Modem以使用户或管理员对路由器进行远程管理。

  13. (7) 路由器上电启动过程 • 1)系统硬件加电自检。运行ROM中的硬件检测程序,检测各组件能否正常工作。完成硬件检测后,开始软件初始化工作。 • 2)软件初始化过程。运行ROM中的BootStrap程序,进行初步引导工作。 • 3)寻找并载入IOS系统文件。IOS系统文件可以存放在多处,至于到底采用哪一个IOS,是通过命令设置指定的。

  14. (7) 路由器上电启动过程 • 4)IOS装载完毕,系统在NVRAM中搜索保存的Startup-Config文件,进行系统的配置。如果NVRAM中存在Startup-Config文件,则将该文件调入RAM中并逐条执行。否则,系统进入Setup模式,进行路由器初始配置。

  15. Telnet 2.路由器的常见配置方法 TFTP Console Aux 任何Interface 前题是要有IP与密码并目的可达

  16. (1)使用配置口 超级终端的设置: 9600,8,无,1,无

  17. (2) 使用AUX配置 • 要有一个电话号码

  18. (3) 使用局域网方式

  19. (4) 超级终端属性配置

  20. 3.路由器的命令层次 • (1)普通用户层; • (2)特权层; • (3)全局配置层; • (4)子模式。

  21. (1) 普通用户层 • 当用户通过telnet连接到路由器上时,会被要求键入授权口令,如果口令校验正确,则可进入普通用户命令层;如果用户是利用终端(包括仿真终端)通过控制台口连接到路由器上时,可直接进入到普通用户命令层,无需授权口令。在普通用户层,用户只能执行一小部分的命令,用来察看路由器的一般状态,或利用ping、tracerouter等命令对网络的运行进行测试。

  22. (2) 特权层 • 当用户处在普通用户层时,可通过enable命令(需要授权密码)切换到特权用户层。进入特权用户层后,用户可更改路由器的所有设置,此时用户具有最高的权限。为了安全起见,在enable命令之后需要键入授权密码,在键入此密码字符串时是不回显、区分大小写的,如果系统在等待用户在输入密码的过程中,在一定的时限内用户没有任何的动作,系统将会自动退出等待密码输入状态,回到普通用户层。在特权用户层下,用户可配置一些普通的参数,或进行一些测试。

  23. (3) 全局配置层及子模式 • 全局配置模式[主机名(config)#]:配置路由器的整体参数子模式: • 1)线路配置模式[主机名(config-line)#]:配置路由器的线路参数 • 2)接口配置模式[主机名(config-if)#]:配置路由器的接口参数 • 3)子接口配置模式[主机名(config-subif)#]配置路由器的子接口参数

  24. 4.常用指令 • (1)进入全局配置模式下Router#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Router(config)#exitRouter# • (2)进入线路配置模式Router(config)#line console 0Router(config-line)#exitRouter(config)#

  25. 四、常用指令 • (3)进入接口配置模式Router(config)#interface serial 0Router(config-if)#exitRouter(config)# • (4)进入子接口配置模式Router(config)#interface serial 0.1Router(config-subif)#exitRouter(config)#

  26. (5) 帮助系统 • 1)使用命令简写(按TAB键将命令补充完整) • 2)在每种操作模式下直接输入“?”显示该模式下所有的命令 • 3)命令空格 “?”显示命令参数并对其解释说明 • 4)字符“?”显示以该字符开头的命令 • 5)命令历史缓存:(Ctrl+P)显示上一条命令,(Ctrl+N)显示下一条命令

  27. (6) 显示指令 • 1)显示路由器硬件及软件的信息Router#show version • 2)显示当前运行的配置参数Router#show running-config • 3)显示NVRAM中配置参数的副本Router#show startup-config • 4)显示接口的状态labr1#show interfaces • 5)显示接口的摘要信息labr1#show ip interface brief

  28. (7)配置文件操作指令 • 1)将当前运行的配置参数复制到NVRAMRouter#copy running-config startup-configBuilding configuration...[OK]Router#2)清空NVRAM中的配置参数Router#erase startup-config[OK]Router#3)路由器重新启动Router#reloadProceed with reload? [confirm]

  29. (8) 配置主机名 • Router(config)#hostname labr1 • labr1(config)#

  30. (9) 配置telnet密码 • 1)配置console登陆密码labr1(config)#line console 0labr1(config-line)#loginlabr1(config-line)#password star • 2)配置VTY登陆密码labr1(config)#line vty 0 4labr1(config-line)#loginlabr1(config-line)#password star

  31. (10) 配置enable密码 • 配置特权密码labr1(config)#enable password starlabr1(config)#enable secret star • 当二条指令都配置的时候,优先认定secret设置的密码。

  32. (11) 配置接口 • 配置接口IP地址labr1(config-if)#ip address {IP address} {IPsubnet mask} [secondary]将接口启用labr1(config-if)#no shutdown将接口关闭labr1(config-if)#shutdown

  33. (12)显示接口状态 • labr1#show interfaces fastEthernet 0FastEthernet0 is up, line protocol is up(表示物理层协议工作正常) (表示数据链路层协议工作正常)FastEthernet0 is up, line protocol is down(表示物理层协议工作正常) (表示数据链路层协议工作不正常)FastEthernet0 is down, line protocol is down(表示物理层协议工作不正常)FastEthernet1 is administratively down, line protocol is down(表示从管理上将该接口处于关闭状态)

  34. (13) 测试指令 • 远程登陆到其它设备labr1>telnet {IP address}测试目的端的可达性labr1>ping {IP address}测试到达目的端的路径labr1>traceroute {IP address}labr1#ping • 排错指令: Labr1#debug

  35. (14) 错误提示 • 路由器的命令解释器提供了错误信息提示功能,如二义性命令,命令没有找到等。 • 在使用命令解释器的过程中您可能看到以下几种的错误提示信息: Invalid input detected at '^' marker. • 这是错误命令提示信息,用’^’指示的那个字符,就是所输入的命令行产生错误的字符。请看下面的例子: • Router#piny 192.168.9.234 • ^ • % Invalid input detected at '^' marker.

  36. (14) 错误提示 • % Command not complete! 这是命令没有正常结束的错误信息。 输入的命令行完全正确,只是还没有正常结束,还需要一些参数。如: • Router#show • % Command not complete! • Star#show ? • access-list Display access-list table information • ……

  37. (14) 错误提示 • % Ambiguous command... 这个错误信息是说所键入的命令会产生多义,即命令解释器无法正确识别你的命令,参考下面的例子: • Router#show host • % Ambiguous command... • Router#show host? • Hosts IP domain-name, lookup style… • Hostname Display hostname

  38. 二.实现路由器接口配置 • 1.以太网口配置 • 2.广域网口配置 • 3.Dialer口配置

  39. 1. 以太网口配置 • 步骤1:进入全局配置层; • 步骤2:在全局配置层进入相应的以太网口; • 步骤3:给以太网口配置IP地址及子网掩码; • 步骤4:配置路由协议;

  40. 2. 广域网口配置 • 步骤1:进入全局配置层; • 步骤2:进入路由器的同步口; • 步骤3:配置同步口的IP地址及子网掩码; • 步骤4:使能同步口; • 步骤5:封装PPP/HDLC协议; • 步骤6:进入以太网口并配置以太网口的IP地址及子网掩码; • 步骤7:配置路由协议。

  41. 3. Dialer口配置 • 步骤1:进入与ADSL Modem互联的以太网口,使能PPPOE功能; • 步骤2:进入与交换机互联的以太网口,配置IP地址及子网掩码; • 步骤3:创建一个dialer接口并配置相应的参数; • 步骤4:在全局配置层配置拨号规则; • 步骤5:配置路由协议。

  42. 三.实现数据流的控制 • 访问控制列表的本质是: • 定义一些准则,对经过路由器、交换机接口的数据包进行控制:转发或丢弃。 • 准则的定义依据:源目标地址、端口、上层控制比特位 • 访问控制列表的分类: • 基本访问控制列表 • 标准 • 扩展 • 命名访问控制列表 • 这种访问列表基本上是在交换机上面定义

  43. 海关1 海关3 E国 A国 D国 C国 B国 A国对过境者要做如下的检测: 携带危险物品者->拒绝过境 B 国持旅游护照到D 国人员->允许过境 C 国持留学护照到E 国留学人员->允许过境 其它所有人员->拒绝过境 1.访问列表的工作原理 假设:A国的邻国的人要出国,都要经过A国 海关2 海关4

  44. 2.IP ACL的作用 • 内部网与外部网络互联 • 只允许外部网络访问特定的主机; • 只能在限定的时间端内,允许远程用户访问内部网的特定资源,或者限时段访问互联网资源 • 内部网不同部门之间的互访 • 保证内部关键服务器的安全; • 限制某些病毒的传播

  45. 3.IP ACL的方向 • 访问控制列表,是对数据流进行控制的 • 方向是从设备的角度来看,设备从该接口接收到数据称为“in”,设备从该接口发送数据称为“out”; • 每个设备接口的一个方向只能应用一个访问控制列表; • 方向十分重要,错误的方向定义导致不可思议的结果

  46. 4.访问控制列表配置原则 (1)对单个访问列表可以使用多条独立的访问列表语句来定义多种准则。其中所有的语句应该使用同一个编号将这些语句绑定到同一个访问列表。 配置访问列表需要注意的规则是: 1)隐含的“拒绝所有的数据流”准则语句。 2)输入准则的顺序。加入的每条准则都被追加到访问列表的最后,语句被创建以后,就无法单独删除它,而只能删除整个访问列表。设备在决定转发还是阻断分组时,按语句创建的次序将分组与语句进行比较,找到匹配的语句后,便不再检查其他准则语句。

  47. 4.访问控制列表配置原则 (2)将访问列表应用于接口 对于一些协议(如IP,扩展IP),可以最多将两个访问列表应用于同一个接口:一个进站访问列表,一个时出站访问列表;而对于另一些协议,则只能应用一个访问列表,它同时检查进站和出站分组。 如果访问列表是针对进站分组的,则当路由器收到分组时,路由器在该访问列表中寻找匹配的准则的语句,如果分组被允许通过,路由器继续处理它,否则丢弃它。 如果访问列表示针对出站分组的,则接到并路由分组到出站的接口后,路由器将在该访问列表中寻找匹配的准则语句,如果分组被允许通过,路由器继续处理它,否则丢弃它。

  48. 5.编号访问控制列表 • 标准IP访问列表(1-99)主要是根据源地址来进行转发或阻断分组的。 • 扩展IP访问列表(100-199)使用以上三种组合来进行转发或阻断分组的。

  49. 6.标准访问列表 • access-list <访问列表号> {permit | deny} <源IP地址段 [反码]> • 访问列表号为:1~99 • 只对源IP地址进行控制 • 匹配符(wildcard)缺省为0.0.0.0,0表示精确匹配,1表示忽略 • 例:access-list 1 permit 192.168.1.0 0.0.0.255

  50. 7.扩展访问列表 • access-list <访问列表号> {permit | deny} <协议> <源IP地址段> <源反码> <目的IP地址段> <目的反码> • 列表号:100~199 • 协议:tcp/udp • 功能: • 根据源、目标IP地址,TCP/UDP端口及其它条件对数据进行控制。 • 例:access 100 deny udp 192.168.1.0 0.0.0.255 8000 any any eq 8000

More Related