《交换机与路由器.ppt》由会员分享,可在线阅读,更多相关《交换机与路由器.ppt(70页珍藏版)》请在课桌文档上搜索。
1、第4章 交换机与路由器,【学习要点】交换机的工作方式及相关知识交换机的启动和常规配置VLAN的基本概念及配置方法路由器的工作方式及相关知识静态路由协议及配置方法动态路由协议及配置方法访问控制列表及配置方法,第4章 交换机与路由器,任务一 交换机基本配置管理任务二 交换机的VLAN的划分任务三 路由器的初始配置任务四 路由器协议配置任务五 实现访问列表控制IP通信,任务一 交换机基本配置管理,【学习内容】交换机配置线的连接交换机配置的基本操作配置交换机支持Telnet一 启动过程与配置的基本操作二 远程登录Telnet配置,一 启动过程与配置的基本操作,【任务描述】启动交换机电源,观察交换机的自
2、检过程,观察交换机的LED指示灯工作状态,对交换机进行初始配置。【任务分析】对交换机进行初始配置,要准备好一台PC机、一根反转线和一台有控制台端口的交换机。,一 启动过程与配置的基本操作,【操作步骤】1连接配置线,2设置超级终端(1)单击“开始”“程序”“附件”“通讯”“超级终端”,如果是第一次运行,会出现“位置信息”对话框,在“您的区号(或城市号)是什么”栏下输入“010”。,一 启动过程与配置的基本操作,(2)单击“确定”按钮,出现“电话和调制解调器选项”对话框,单击“确定”按钮。(3)出现“连接描述”对话框,在“名称”栏下输入“qq”,图标栏选择所需图标。,一 启动过程与配置的基本操作,
3、(4)单击“确定”按钮,出现“连接到”对话框,在“连接时使用”栏选择“COM1”。(5)单击“确定”按钮,出现“COM1属性”对话框,配置相关参数,如图所示,选择还原默认值,此时终端的硬件设置为:波特率:9600、数据位:8、奇偶校验:无、停止位:1、流控:无。,一 启动过程与配置的基本操作,(6)单击“确定”按钮,出现“超级终端”界面。,一 启动过程与配置的基本操作,3交换机配置的基本操作 作为一项安全功能,交换机IOS软件将命令分为用户模式、特权模式和配置模式。分别是:(1)用户模式该模式只允许有限数量的基本监视命令。Switch(2)特权模式 该模式提供了对交换机所有命令的访问,可以通过
4、输入用户ID和口令来保护。Switch#从用户模式进入特权模式:Switchenable返回用户模式命令:Switch#exit或【Ctrl+C】键,一 启动过程与配置的基本操作,(3)配置模式 配置模式又分为全局配置模式和接口配置模式、线路配置模式等子模式。全局配置模式和所有其他的特定配置模式都只能从特权模式到达。全局配置模式用于配置交换机的整体参数。全局配置模式提示符为:Switch(config)#从特权模式进入全局配置模式:Switch#configure terminal返回特权用户模式命令:Switch(config)#exitSwitch#,一 启动过程与配置的基本操作,接口配置
5、模式 接口配置模式用于配置交换机的接口参数。若要进入各种配置模式,首先必须进入全局配置模式。从全局配置模式出发,可以进入各种配置子模式,如:接口配置子模式:Switch(config-if)#VLAN配置子模式:Switch(config-vlan)#从全局配置模式进入接口配置子模式的命令为:Switch(config)#interface FastEthernet 0/1返回特权配置模式的命令:Switch(config-if)#exitSwitch(config)#从子模式下直接返回特权模式的命令:Switch(config-if)#endSwitch#4帮助命令通过键入一个问号(?)可以
6、执行帮助命令。,二 配置交换机支持Telnet,【任务描述】假设某学校的网络管理员第一次在设备机房对交换机进行了初次配置后,他希望以后在办公室或出差时也可以对设备进行远程管理,现要在交换机上做适当配置,使他可以实现这一愿望。,【任务分析】本实验以Cisco2950交换机为例,交换机命名为SwitchA。如图所示,一台PC机通过串口(Com)连接到交换机的控制(Console)端口,通过网卡(NIC)连接到交换机的F0/1端口。假设PC机的IP地址和子网掩码分别为192.168.1.2,255.255.255.0,配置交换机的管理IP地址和子网掩码分别为192.168.1.1,255.255.2
7、55.0。,二 配置交换机支持Telnet,【操作步骤】1在PC机上进行设置设置PC机的IP地址和子网掩码分别为192.168.1.2,255.255.255.0。2在交换机上配置管理IP地址3配置交换机远程登录密码4配置交换机特权模式密码 5保存在交换机上所做的配置,【注意事项】交换机的管理接口缺省一般是关闭的(shutdown),因此在配置管理接口interface vlan 1的IP地址后须用命令“no shutdown”开启该接口。,任务一 交换机基本配置管理,【知识链接】1交换机简介 交换机是目前局域网中使用最广的网络设备,主要是作为工作站、服务器、路由器、集线器和其他交换机集中点。
8、,交换机拥有一条很高带宽的内部总线和内部交换机构。交换机的所有端口都挂接在这条内部总线上,如图所示,A向B发送数据,控制电路收到数据包以后,端口处理程序会查找内存中的地址对照表以确定目的MAC地址的NIC(网卡)挂接在哪个端口上,通过内部交换机构迅速的将数据包传送到目的端口。,2.以太网交换机的体系结构 交换机是一台专用的特殊的计算机,它包括中央处理器(CPU)、随机存储器(RAM)、接口、flash和操作系统等。,任务一 交换机基本配置管理,分层网络设计把以太网交换机在网络中的应用分为三个层次:核心层、汇聚层和接入层。,任务一 交换机基本配置管理,(1)核心层 核心层是网络的高速交换的骨干,
9、对协调通信至关重要。在该层中的设备不再承担访问列表检查、数据加密、地址翻译或者其他影响最快速率交换分组的任务。核心层有以下特征:提供高可靠性。提供冗余链路。模块化的设计,接口类型广泛。提供故障隔离。交换设备功能最强大。,任务一 交换机基本配置管理,(2)汇聚层 汇聚层位于接入层和核心层之间,它把核心层网络的其他部分区分开来。汇聚层具有以下功能:策略(处理某些类型通信的一种方法,这些类型通信包括路由选择更新、路由汇总、VLAN通信以及地址聚合等)。安全。部门或工作组级访问。广播/多播域的定义。VLAN之间的路由选择;介质翻译(例如,在Ethernet和令牌环之间)。在路由选择之间重分布(例如,在
10、两个不同路由选择协议之间);在静态和动态路由选择协议之间的划分。,任务一 交换机基本配置管理,(3)接入层 接入层是用户工作站和服务器连接到网络的入口。接入层交换机的主要目的是允许最终用户连接到网络。接入层交换机应该以低成本和高端口密度提供这种功能。接入层具有以下特点:对汇聚层的访问控制和策略进行支持。建立独立的冲突域。建立工作组与汇聚层的连接。,任务一 交换机基本配置管理,任务二 交换机的VLAN的划分,【学习内容】交换机的VLAN配置同一交换机上的VLAN内通信多个交换机上的VLAN内通信一 同一交换机上的VLAN内通信二 多个交换机上的VLAN内通信,一 同一交换机上的VLAN内通信,【
11、任务描述】假设此交换机是宽带小区城域网中的一台楼道交换机,住户PC1连接在交换机的0/5口;住户PC2连接在交换机的0/12口。现要实现各家各户的端口隔离。【任务分析】以Cisco 2950交换机构建实现环境,如图所示,先配置PC1、PC2的IP地址和子网掩码,使PC1和PC2在同一子网内,两台PC可以互相Ping通,然后创建划分VLAN,实现交换机端口的隔离,在同一交换机上的同一个VLAN内的PC机才能相互通信。,一 同一交换机上的VLAN内通信,【操作步骤】1配置计算机PC1和PC2设置计算机PC1的IP地址和子网掩码分别为192.168.1.1,255.255.255.0。设置计算机PC
12、2的IP地址和子网掩码分别为192.168.1.2,255.255.255.0。在未划VLAN前两台PC可以互相ping通。2创建VLAN3将接口分配到VLAN4两台PC互相ping不通【注意事项】清空交换机原有vlan配置的命令:delete flash:vlan.dat删除交换机配置的命令:erase startup-config重启交换机的命令:reload,二 多个交换机上的VLAN内通信,【任务描述】假设某企业有2个主要部门:销售部和技术部,其中销售部门的个人计算机系统分散连接在两台交换机上,如图所示,他们之间需要相互进行通信,但为了数据安全起见,销售部和技术部需要进行相互隔离。,【
13、任务分析】在Cisco2950交换机上做适当配置来实现这一目标。先配置PC1、PC2、PC3的IP地址和子网掩码,使他们在同一子网内,三台PC可以互相Ping通,然后创建划分VLAN,PC1和PC3在同一VLAN内,PC2在另一VLAN内,从而实现多个交换机上的VLAN内通信。,【操作步骤】1配置计算机PC1、PC2和PC3。设置计算机PC1的IP地址和子网掩码分别为192.168.1.1,255.255.255.0。设置计算机PC2的IP地址和子网掩码分别为192.168.1.2,255.255.255.0。设置计算机PC2的IP地址和子网掩码分别为192.168.1.3,255.255.2
14、55.0。在未划VLAN前三台PC互相ping可以通。2在交换机SwitchA上创建Vlan10,并将0/5端口划分到Vlan 10中3在交换机SwitchA上创建Vlan 20,并将0/9端口划分到Vlan 20中4在交换机SwitchA设置VTP模式5在交换机SwitchA上将与SwitchB相连的端口(假设为0/12端口)定义为干道链路(trunk link)模式,二 多个交换机上的VLAN内通信,6在交换机SwitchB上创建Vlan10,并将0/5端口划分到Vlan 10中7在交换机SwitchB设置VTP模式8在交换机SwitchB上将与SwitchA相连的端口(假设为0/12端口
15、)定义为干道链路(trunk link)模式9验证PC1和PC3能互相通信,但PC2和PC3不能相互通信【注意事项】两台交换机之间相连的端口应该设置为干道链路(trunk link)模式。,二 多个交换机上的VLAN内通信,任务二 交换机的VLAN的划分,【知识链接】1VLAN产生的原因 虚拟网(VLAN)技术就是将一个交换网络逻辑地划分成若干子网,每一个子网就是一个广播域。逻辑上划分的子网在功能上与传统物理上划分的子网相同,划分可以根据交换机的端口、MAC地址、IP地址来进行。,2VLAN标准802.1qVLAN的体系结构。802.1q使用4字节标签头定义TAG(标签)。802.1q标签头包
16、含了2个字节的标签协议标识(TPID)和2个字节的标签控制信息(TCI)。,TPID(Tag Protocol Indentilfier):TPID包含了一个固定的值0 x8100。TCI:包含的是帧的控制信息,它包含下面的一些元素:(1)Priority:这3位指明帧的优先级(2)Canonical Format Indicator(CFI):CFI值为0说明是规范格式,1为非规范格式。(3)VLAN Identified(VLAN ID):这是一个12位的域,指明VLAN 的ID,一共4096个,每个支持802.1q协议的交换机发送出来的数据包都会包含这个域,以指明自己属于哪一个VLAN。
17、,其中VLAN1是不可删除的默认VLAN,二 多个交换机上的VLAN内通信,3VLAN的类型(1)基于端口的VLAN(2)基于MAC地址的VLAN(3)基于协议的VLAN,二 多个交换机上的VLAN内通信,4VLAN的端口VLAN的端口可以分为access和trunk两种。(1)接入链路(access link)接入链路是用于连接主机和交换机的链路。通常情况下主机并不需要知道自己属于哪些VLAN,主机的硬件也不一定支持带有VLAN标记的帧。主机要求发送和接收的帧都是没有打上标记的帧。(2)干道链路(trunk link)干道链路是可以承载多个不同VLAN数据的链路。干道链路通常用于交换机间的互
18、连,或者用于交换机和路由器之间的连接。(3)帧在网络通信中的变化,二 多个交换机上的VLAN内通信,5VLAN的路由 VLAN之间的通信的解决方法是,一种是在VLAN之间配置路由器。,另一种方法是利用三层交换机实现VLAN间通信。三层交换机使用硬件技术,采用巧妙的处理方式把二层交换机和路由器在网络的功能集成到一个盒子里,提高了网络的集成度,增强了转发性能。,二 多个交换机上的VLAN内通信,如图所示,在交换机上分别划分VLAN10和VLAN20,VLAN10的工作站IP地址为192.168.1.1;VLAN20的工作站IP地址为192.168.2.1。利用三层交换机的路由功能实现VLAN间互访
19、。在三层交换机上创建各个VLAN的虚拟接口(SVI),并设置IP地址和子网掩码。然后将所有VLAN连接工作站的网关指向该SVI的IP地址,VLAN10里的工作站的网关比如都设为192.168.1.254,VLAN20里的工作站的网关比如都设为192.168.2.254。,二 多个交换机上的VLAN内通信,任务三 路由器的初始配置,【学习内容】路由器配置线的连接路由器配置的基本操作配置路由器支持Telnet,【任务描述】假设某企业的网络管理员第一次在设备机房对路由器进行了初次配置后,他希望以后在办公室或出差时也可以对设备进行远程管理,现要在路由器上做适当配置,使他可以实现这一愿望。【任务分析】以
20、一台Cisco2621路由器为例,一台PC机通过串口(Com)连接到交换机的控制(Console)端口,通过网卡(NIC)连接到路由器的fastethernet0/1端口,如图所示。假设PC机的IP地址和子网掩码分别为192.168.0.138,255.255.255.0,配置路由器的fastethernet0/1端口的IP和网络掩码分别为192.168.0.139,255.255.255.0。,任务三 路由器的初始配置,【操作步骤】1在PC机上进行设置设置PC机的IP地址和子网掩码分别为192.168.0.138,255.255.255.0。2在路由器上配置fastEthernet 0/1端
21、口的IP地址 3配置路由器运程登录密码 4配置路由器特权模式密码 5保存在路由器上所做的配置【注意事项】执行命令RouterA#show running-config,可显示RouterA的全部配置。,任务三 路由器的初始配置,任务三 路由器的初始配置-【知识链接】,【知识链接】1识别网络设备及其控制线 Cisco网络设备包含硬件和软件两部分,其软件部分为网络操作系统IOS。(1)识别Cisco2621路由器 Cisco2621路由器的前面板如图所示。路由器前面板的左下角是3个指示灯,其中“POWER”指示灯为电源指示灯,“RPS”指示灯为冗余电源指示灯,“ACTIVITY”指示灯为负荷情况指
22、示灯,如果该指示灯闪烁得很快,则说明路由器负荷较重。,路由器常用的端口如下:(1)高速同步串口(2)以太网端口(3)Console口(控制口)(4)AUX端口(辅助口)(5)ISDN端口(BRI端口)(6)高密度异步端口还有一些端口可以通过购买相应的网络模块而获得。,任务三 路由器的初始配置,(2)识别V.35路由器线缆 在实际工作环境中,路由器必须通过CSU/DSU设备(也称DTU)接入广域网。路由器与DTU之间的连接有几种标准,常见的就是使用V.35标准的接口和线缆。V.35路由器线缆又分DTE线缆和DCE线缆两种,V.35DTE线缆接口处为针状,V.35DCE线缆接口处为孔状。,任务三
23、路由器的初始配置,Cisco路由器和交换机提供了一条控制线(两头均为RJ-45头的反转线)及RJ-45转换头,,任务三 路由器的初始配置,Cisco路由器的软件部分即网络操作系统IOS。软件是需要内存的,Cisco路由器的内存体系结构如图所示。,(1)ROMCisco路由器运行时首先运行ROM中的程序。(2)FLASHFLASH包含IOS及微代码。(3)DRAMDRAM中主要包含路由表、ARP缓存、数据包缓存等,还包含有正在执行的路由器配置文件。(4)NVRAMNVRAM是一种非易失性的内存。NVRAM中包含有路由器配置文件,NVRAM中的内容在系统掉电时不会丢失。,2.路由器内存体系结构介绍
24、,任务三 路由器的初始配置,3配置方法(1)控制台方式(2)远程登录(Telnet)方式(3)网管工作站方式(4)TFTP服务器方式4路由器的命令状态 与交换机的配置类似,路由器的配置操作有三种模式,即用户模式、特权模式和配置模式。(1)用户模式如果设置了路由器的名字,则提示符为:路由器的名字(2)特权模式RouterenableRouter#(3)配置模式全局配置模式在Router#提示符下键入configure terminal,路由器进入全局配置模式,即:Router#configure terminalRouter(config)#,任务三 路由器的初始配置,setup模式 这是一台新
25、路由器开机时自动进入的状态,系统会自动进入SETUP模式,并询问是否用SETUP模式进行配置。在任何时候,要进入SETUP模式,在特权模式下,可键入setup。RXBOOT 模式 在路由器加电60秒内,在Windows 系统下的超级终端下,同时按ctrl+break键3-5秒左右就进入RXBOOT 模式,这时路由器不能完成正常的功能,只能进行软件升级和手工引导;或者进行路由器口令恢复时进入该状态。其他配置模式 在全局配置模式下,键入相应命令,便可进入Router(config-if)#,Router(config-line)#,Router(config-router)#等子模式,这时可以设置
26、路由器的某个局部的参数。,任务三 路由器的初始配置,任务四 路由器协议配置,【学习内容】静态路由协议及配置方法动态路由协议RIP的配置动态路由协议OSPF的配置一 静态路由的配置二 动态路由协议RIP的配置三 动态路由协议OSPF的配置,一 静态路由的配置,【任务描述】假设校园网通过一台路由器连接到另一台路由器上,现在要在路由器上做适当配置,实现校园网内部主机与校园网外部主机的相互通信,如图所示。两台路由器用1根V.35 DTE线缆和1根V.35 DCE线缆直接连起来。,【任务分析】Cisco路由器可配置的3种路由为:静态路由、动态路由和缺省路由。路由器路由协议配置的基本步骤是:第一,选择路由
27、协议;第二,指定网络或端口。通过配置静态路由,用户可以人为地指定某一网络访问时所要经过的路径,在网络结构比较简单,且一般到达某一网络所经过的路径唯一的情况下可采用静态路由。,一 静态路由的配置,静态路由器的相关命令如下:(1)ip address:为端口设置一个IP地址。在同一端口中可以设置两个以上的不同网段的IP地址,这样可以实现连接在同一局域网上不同的网段之间的通信。如果一个网段对于用户来说不够用,可以采用这种办法。在端口配置模式下输入以下命令即可在同一端口中设置另一个不同网段的IP地址。ip address secondary(2)ip route:设置静态路由。ip route 0.0
28、.0.0 0.0.0.0:设置缺省路由。(3)show ip route:显示IP路由表(4)ping:测试网络连通性。,【操作步骤】1配置计算机PC1和PC2设置计算机PC1的IP地址、子网掩码和网关分别为172.16.1.11、255.255.255.0和172.16.1.1。设置计算机PC2的IP地址、子网掩码和网关分别为172.16.3.22,255.255.255.0和172.16.3.1。2在路由器RouterA上配置接口的IP地址和串口上的时钟频率3在路由器RouterA上配置静态路由4在路由器RouterB上配置接口的IP地址和串口上的时钟频率 5在路由器RouterB上配置静
29、态路由 6测试网络的互连互通性,PC1与PC2可以互相ping通【注意事项】如果两台路由器通过串口直接互连,则必须在其中一端设置时钟频率(DCE)。,二 动态路由协议RIP的配置,【任务描述】假设在校园网中通过三台路由器分别连接不同校区的局域网,现要在路由器上做适当配置,实现校园网中不同校区内的主机相互通信,如图所示。,【任务分析】1RIP简介 RIP(Routing Information Protocol)是应用较早、使用较普遍的内部网关协议(Interior Gateway Protocol,简称IGP),适用于小型同类网络,是典型的距离矢量路由选择协议。RIP通过广播UDP报文来交换路
30、由信息,每30秒发送一次路由信息更新。RIP提供跳数作为尺度来衡量路由距离,跳数是一个包到达目标所必须经过的路由器的数目。如果到相同目标有2个不等速或不同带宽的路由器,但跳数相同,则RIP认为两个路由是等距离的。RIP最多支持的跳数为15,即在源和目的网间所要经过的最多路由器的数目为15,跳数16表示不可达。RIP版本2还支持无类域间路由和可变长子网掩码和不连续子网,并且使用组播地址发送路由信息。,二 动态路由协议RIP的配置,2.RIP配置步骤在全局配置模式下的步骤:(1)启动RIP路由,输入命令:router rip(2)设置RIP的版本(可选)。RIP路由协议有两个版本,在与其他厂商路由
31、器相连时注意版本要一致。默认状态下,Cisco路由器接收RIP版本1和版本2的路由信息,但只发送版本1的信息。可用命令“version”设置RIP的版本。(3)设置本路由器参加动态路由的网络,其格式为:network 不能包含子网号,而应是主类网络号。(4)允许在非广播型网络中进行RIP路由广播(可选),其格式为neighbor,二 动态路由协议RIP的配置,【操作步骤】1配置计算机PC1、PC2和PC3。设置计算机PC1的IP地址、子网掩码和网关分别为192.168.1.11、255.255.255.0和192.168.1.1。设置计算机PC2的IP地址、子网掩码和网关分别为192.168.
32、2.22、255.255.255.0和192.168.2.1。设置计算机PC2的IP地址、子网掩码和网关分别为192.168.3.33、255.255.255.0和192.168.3.12在路由器上配置接口的IP地址和串口上的时钟频率(以R1为例)3在路由器R1上配置RIP V2路由协议 4在路由器R3上配置RIP V2路由协议,二 动态路由协议RIP的配置,路由表中的项目R 192.168.1.0 120/1 via 192.168.78.1,00:02:30,Serial0解释如下:(1)R表示此项路由是由RIP协议获取的,C代表直接相连的网段;(2)192.168.1.0表示目标网段;(
33、3)120/1中的120表示RIP协议的管理距离默认为120,1是该路由的度量值,即跳数;(4)via表示经由的意思;(5)192.168.78.1表示从当前路由器出发到达目标网的下一跳点的IP地址;(6)00:02:30表示该条路由产生的时间;(7)Serial0表示该条路由使用的接口。【注意事项】在串口上配置时钟频率时,一定要在电缆DCE端的路由器上配置,否则链路不通,为了查明串行接口所连的电缆类型,从而正确配置串行接口,可以使用show controllers serial命令来查看相应的控制器。定义关联网络时,命令network后面必须是与该路由器直连的主类网络地址。,二 动态路由协议
34、RIP的配置,三 动态路由协议OSPF的配置,【任务描述】假设你是某集成商的高级技术支持工程师,现在为某企业设计一个网络,你选择了使用OSPF路由协议来构建骨干区域网络,如图所示。,【任务分析】1.OSPF简介 OSPF(Open Shortest Path First)是一个内部网关协议,用在单一自治系统内决策路由。与RIP相比,OSPF是链路状态路由协议,而RIP距离矢量路由协议。链路是路由器接口的另一种说法,因此OSPF也称为接口状态路由协议。OSPF通过路由器之间通告网络接口的状态来建立链路状态数据库,生成最短路径树,每个OSPF路由器使用这些最短路径构造路由表。,2.OSPF配置步骤
35、(1)启用OSPF动态路由协议,其格式为Router ospf 进程号在165535范围内可以随意设置,只用于标识OSPF为本路由器内一个进程。(2)定义参与OSPF的子网。该子网属于哪一个OSPF路由信息交换区域,其格式为network area 路由器将限制只能在相同区域(即自治系统内)内交换子网信息,不同区域间不交换路由信息。区域号取值范围为04294967295,区域0为主干OSPF区域。不同区域交换路由信息必须经过区域0。某一区域要接入OSPF路由区域0,该区域必须至少有一台路由器为区域边缘路由器,即它参与本区域路由又参与区域0路由。说明:该命令中可以包括子网号,其中的就是该子网的反
36、掩码。反掩码是用广播地址(255.255.255.255)减去掩码地址所得到的地址。比如掩码为255.255.255.0,则反掩码为0.0.0.255。,三 动态路由协议OSPF的配置,【操作步骤】1配置计算机PC1和PC2。设置计算机PC1的IP地址、子网掩码和网关分别为192.168.1.11、255.255.255.0和192.168.1.1。设置计算机PC2的IP地址、子网掩码和网关分别为192.168.2.22、255.255.255.0和192.168.2.1。2对两台路由器进行基本配置3启动OSPF路由协议【注意事项】在广域网口DCE端要配置时钟速率;OSPF进程号要相同 声明网
37、段后,掩码用反掩码。,三 动态路由协议OSPF的配置,任务四 路由器协议配置-【知识链接】,【知识链接】1路由协议 路由协议(Routing Protocol)用于路由器动态寻找网络最佳路径,保证所有路由器拥有相同的路由表,一般路由协议决定数据包在网络上的行走路径。可被路由的协议(Routed Protocol)由路由协议(Routing Protocol)传输,前者亦称为网络协议。可被路由的协议和路由协议经常被混淆。可被路由的协议(Routed Protocol)在网络中被路由,例如IP、DECnet、AppleTalk、Novell NetWare、OSI。而路由协议是实现路由算法的协议,
38、简单地说,它给网络协议做导向。路由协议如:RIP、IGRP、EIGRP、OSPF、IS-IS、EGP、BGP等,2静态路由 静态路由是在指由网络管理员手工配置的路由信息。当网络的拓扑结构或链路的状态发生变化时,网络管理员需要手工去修改路由表中相关的静态路由信息。3动态路由 动态路由是指路由器能够自动地建立自己的路由表,并且能够根据实际情况的变化适时地进行调整。动态路由机制的运作依赖路由器的两个基本功能:对路由表的维护,路由器之间适时地路由信息交换。路由器之间的路由信息交换是基于路由协议实现的。如图所示,可以直观地看到路由信息交换的过程。,任务四 路由器协议配置-【知识链接】,大多数算法使用一个
39、量化的参数来衡量路径的优劣,一般来说,参数值越小,路径越好。该参数可以通过路径的某一特性进行计算,也可以在综合多个特性的基础上进行计算。几个比较常用的特征是:路经所包含的路由器跳数(hop count)、网络传输费用(cost)、带宽(bandwidth)、延迟(delay)、负载(load)、可靠性(reliability)和最大传输单元MTU(maximum transmission unit)。,任务四 路由器协议配置-【知识链接】,4动态路由协议的分类 根据是否在一个自治系统内部使用,路由协议分为内部网关协议(IGP)和外部网关协议(EGP),如图所示所示。这里的自治系统指一个在同一公
40、共路由选择策略和公共管理下的网络集合,具有统一管理机构、统一路由策略的网络。例如大的公司或学校。小的站点常常是其因特网服务提供商自治系统的一部分。(1)外部网关协议:在自治系统之间交换路由选择信息的互联网络协议,如BGP。在一般企业或学校较少涉及外部网关协议。最常见的外部网关协议是边界网关协议BGP(Border Gateway Protocol)。(2)内部网关协议:在自治系统内交换路由选择信息的路由协议,常用的因特网内部网关协议有RIP、OSPF。,任务五 实现访问列表控制IP通信,【学习内容】标准IP访问列表规则及配置扩展IP访问列表规则及配置一 标准ACL的配置二 扩展ACL的配置,一
41、 标准ACL的配置,【任务描述】你是一个公司的网络管理员,公司的经理部、财务部门和销售部门分属不同的三个网段,三部门之间用路由器进行信息传递,为了安全起见,公司领导要求销售部门不能对财务部门进行访问,但经理部可以对财务部门进行访问,如图所示。,【任务分析】对路由器需要转发的数据包,先获取包头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表ACL(Access Control List)。访问控制列表(ACL)是一系列运用到网络地址或者上层协议上的允许或拒绝指令的集合。,1ACL的类型 ACL的类型主要分为IP标准访问控制列表(Stan
42、d IP ACL)和IP扩展访问控制列表(Extended IP ACL):主要的动作为允许(Permit)和拒绝(Deny),如图所示,主要的应用方法是入栈(In)应用和出栈(out)应用。,一 标准ACL的配置,2IP标准访问控制列表(Standard IP ACL)标准访问控制列表是基本IP数据包中的IP地址进行控制,如图所示。,所有的访问控制列表都是在全局配置模式下生成的。IP标准访问控制列表的格式如下:Access-list listnumber permit|deny address wildcard-mask其中:listnumber是规则序号,标准访问控制列表(Standard
43、 IP ACL)的规则序号范围是199;permit和deny表示允许或禁止满足该规则的数据包通过;address是源地址IP;wildcard-mask是源地址IP的通配比较位,也称反掩码。例如:(config)#access-list 1 permit 172.16.0.0 0.0.255.255(config)#access-list 1 deny 0.0.0.0 255.255.255.255,一 标准ACL的配置,使用通配符any 使用二进制通配掩码很不方便,某些通配掩码可以使用缩写形式替代。这些缩写形式,减少了在配置地址检查条件时候的键入量。假如想允许任何目标地址都被允许,为了检查
44、任何地址,需要输入0.0.0.0。要使ACL忽略任意值,反掩码为:255.255.255.255。可以使用如下缩写形式,来指定相同的测试条件。(config)#access-list 1 permit 0.0.0.0 255.255.255.255等价于(config)#access-list 1 permit any使用通配符host 当想要与整个IP主机地址的所有位相匹配时,相应的反掩码位全为零(也就是0.0.0.0)。可以使用如下缩写形式,来指定相同的测试条件。(config)#access-list 1 permit 172.16.9.36 0.0.0.0等价于(config)#acc
45、ess-list 1 permit host 172.16.9.36,一 标准ACL的配置,1配置三个不同网段的主机设置网段192.168.1.0一主机的IP地址、子网掩码和网关分别为192.168.1.11、255.255.255.0和192.168.1.1。设置网段192.168.2.0一主机的IP地址、子网掩码和网关分别为192.168.2.22、255.255.255.0和192.168.2.1。设置网段192.168.3.0一主机的IP地址、子网掩码和网关分别为192.168.3.33、255.255.255.0和192.168.3.1。2路由器的基本配置3配置标准IP访问控制列表
46、4把访问控制列表在接口下应用【注意事项】注意在访问控制列表的网络掩码是反掩码。标准控制列表要应用在尽量靠近目的地址的接口。注意标准访问控制列表的编号是从199。执行R1#show running-config命令,可查看路由器的配置。,一 标准ACL的配置,二 扩展ACL的配置,【任务描述】某学校规定教师(在教工宿舍)可以访问教工之家的WWW服务器,(在学生宿舍)的学生不能访问教工之家的WWW服务器,学校规定学生所在网段是172.16.10.0/24,学校服务器所在网段是172.16.20.0/24,教师所在的网段是172.16.30.0/24,如图所示。,【任务分析】扩展访问控制列表既可检查
47、分组的源地址和目的地址,也可检查协议类型和TCP或UDP的端口号,如图所示。,Access-list listnumber permit|deny protocol source source-wildcard-mask destination destination-wildcard-mask operator operand 其中:扩展访问控制列表(Standard IP ACL)的规则序号范围是100199;protocol是指定的协议,如IP、TCP、UDP等;destination是目的地址;destination-wildcard-mask是目的地址的反掩码;operator op
48、erand用于指定端口的范围,默认为全部端口号065535,只有TCP和UDP协议需要指定的端口范围。,IP扩展访问控制列表也都是在全局配置模式下生成的。IP扩展访问控制列表的格式如下:,二 扩展ACL的配置,表9-1 扩展访问控制列表支持的操作符及其语法,二 扩展ACL的配置,【操作步骤】1配置三个不同网段的主机设置网段172.16.10.0一主机的IP地址、子网掩码和网关分别为172.16.10.11、255.255.255.0和172.16.10.1。设置WWW服务器的IP地址、子网掩码和网关分别为172.16.20.22、255.255.255.0和192.168.2.1。设置网段17
49、2.16.30.0一主机的IP地址、子网掩码和网关分别为172.16.30.33、255.255.255.0和172.16.30.12路由器的基本设置3配置扩展IP访问控制列表 4把访问控制列表在接口下应用【注意事项】访问控制列表要在接口下应用。扩展访问控制列表尽量放在靠近源地址的端口上。在所有的访问控制列表最后,有一条隐含规则拒绝所有,所以要注意deny某个网段后用permit其他网段。在编号访问控制列表里要特别注意,删除其中的一个条目,其他的条目也一并删除。,二 扩展ACL的配置,任务五 实现访问列表控制IP通信-【知识链接】,【知识链接】1命名访问控制列表Cisco IOS软件11.2版
50、本中引入了命名ACL,命名ACL允许在标准和扩展中,使用名字代替数字来表示ACL编号。使用命名ACL有以下好处:第一,通过一个字母数字串组成的名字直观地表示特定的ACL;第二,不受99条标准ACL和100条扩展ACL的限制;第三,使得网络管理员可以方便地对ACL进行修改而无需删除ACL之后再对其进行重新配置。,使用ip access-list命令可创建命名ACL,语法格式如下:ip access-listextend|standard name这将用户置于ACL配置模式下Router(config-std-nacl)#或Router(config-ext-nacl)#在ACL配置模式下,通过指