路由器与交换机的简单配置
本章是以思科2500系例路由器为例进行介绍,CISCO 2500系列路由器是多协路由器,但从另一角度来说,它是一台计算机,就象大家熟悉的运行WINDOWS95的PC 机一样。CISCO 路由器也包含硬件和软件两部分。
1.路由器的硬件部份
1.1 内存体系结构介绍
Cisco 路由器的软件部分即网络操作系统。通过IOS ,Cisco 路由器可以连接IP ,IPX ,IBM ,DEC ,AppleTalk 的网络,并实现许多丰富的网络功能。软件是需要内存的,Cisco 2500,1600系列路由器的内存体系结构,如图:
其中,ROM 相当于PC 机的BIOS ,Cisco 路由器运行时首先运行ROM 中的程序。该程序主要进行加电自检,对路由器的硬件进行检测。其次含引导程序及IOS 的一个最小子集。ROM 为一种只读存储器,系统掉电程序也不会丢失.
FLASH 是一种可擦写、可编程的ROM ,FLASH 包含IOS 及微代码。可以把它想象和PC 机的硬盘功能一样,但其速度快得多。可以通过写入新版本和OS 对路由器进行软件升级。FLASH 中的程序,在系统掉电时不会丢失。
DRAM :动态内存。该内存中的内容在系统掉电时会完全丢失。DRAM 中主要包含路由表,ARP 缓存,fast-switch 缓存,数据包缓存等。DRAM 中也包含有正在执行的路由器配置文件。 NVRAM :NVRAM 中包含有路由器配置文件,NVRAM 中的内容在系统掉电时不会丢失。
一般地,路由器启动时,首先运行ROM 中的程序,进行系统自检及引导,然后运行FLASH 中的IOS ,并在NVRAM 中寻找路由器的配置,并将装入DRA M中。
1.2内份外路由器的接口与硬件连接
路由器所在的网络位置比较复杂,既可是内部子网边缘,也可位于内、外部网络边缘。同时为了实现强大的适用性,它需要连接各种网络,这样,它的接口也就必须多种多样。对于这些,不要说一般的网络爱好者,就连许多网管人员都无法说清楚。为此笔者向大家全面介绍路由器的各种接口及连接方法。
路由器具有非常强大的网络连接和路由功能,它可以与各种各样的不同网络进行物理连接,这就决定了路由器的接口技术非常复杂,越是高档的路由器其接口种类也就越多,因为它所能连接的网络类型越多。路由器的端口主要分局域网端口、广域网端口和配置端口三类,下面分别介绍。
1. 局域网接口
常见的以太网接口主要有AUI 、BNC 和RJ-45接口,还有FDDI 、ATM 、千兆以太网等都有相应的网络接口,下面分别介绍主要的几种局域网接口。
(1) AUI 端口
AUI 端口它就是用来与粗同轴电缆连接的接口,它是一种“D ”型15针接口,这在令牌环网或总线型网络中是一种比较常见的端口之一。路由器可通过粗同轴电缆收发器实现与10Base-5网络的连接。但更多的则是借助于外接的收发转发器(AUI-to-RJ-45),实现与10Base-T 以太网络的连接。当然,也可借助于其他类型的收发转发器实现与细同轴电缆(10Base-2)或光缆(10Base-F )的连接。AUI 接口示意图如图1所示。
(2).RJ-45端口
RJ-45端口是我们最常见的端口了,它是我们常见的双绞线以太网端口。因为在快速以太网中也主要采用双绞线作为传输介质,所以根据端口的通信速率不同RJ-45端口又可分为10Base-T 网RJ-45端口和100Base-TX 网RJ-45端口两类。其中,10Base-T 网的RJ-45 端口在路由器中通常是标识为“ETH ”,而100Base-TX 网的RJ-45端口则通常标识为“10/100bTX”。
如图2所示为10Base-T 网RJ-45端口,而图3所示的为10/100Base-TX网RJ-45端口。其实这两种RJ-45端口仅就端口本身而言是完全一样的,但端口中对应的网络电路结构是不同的,所以也不能随便接。
(3).SC 端口
SC端口也就是我们常说的光纤端口,它是用于与光纤的连接。光纤端口通常是不直接用光纤连接至工作站,而是通过光纤连接到快速以太网或千兆以太网等具有光纤端口的交换
机。这种端口一般在高档路由器才具有,都以“100b FX”标注,如图4所示。
2. 广域网接口
在上面就讲过,路由器不仅能实现局域网之间连接,更重要的应用还是在于局域网与广域网、广域网与广域网之间的连接。但是因为广域网规模大,网络环境复杂,所以也就决定了路由器用于连接广域网的端口的速率要求非常高,在以太网中一般都要求在100Mbps 快速以太网以上。下面介绍几种常见的广域网接口。
(1)RJ-45端口
利用RJ-45端口也可以建立广域网与局域网VLAN (虚拟局域网)之间,以及与远程网络或Internet 的连接。如果使用路由器为不同VLAN 提供路由时,可以直接利用双绞线连接至不同的VLAN 端口。但要注意这里的RJ-45端口所连接的网络一般就不太可有是10Base-T 这种了,一般都是100Mbps 快速以太网以上。如果必须通过光纤连接至远程网络,或连接的是其他类型的端口时,则需要借助于收发转发器才能实现彼此之间的连接。如图5所示为快速以太网(Fast Ethernet)端口。
(2)AUI 端口
AUI 端口我们在局域网中也讲过,它是用于与粗同轴电缆连接的网络接口,其实AUI 端口也被常用于与广域网的连接,但是这种接口类型在广域网应用得比较少。在Cisco 2600系列路由器上,提供了AUI 与RJ-45两个广域网连接端口(如图6所示),用户可以根据自己的需要选择适当的类型。
(3)高速同步串口
在路由器的广域网连接中,应用最多的端口还要算“高速同步串口”(SERIAL )了,如
图7所示。
这种端口主要是用于连接目前应用非常广泛的DDN 、帧中继(Frame Relay)、X.25、PSTN (模拟电话线路)等网络连接模式。在企业网之间有时也通过DDN 或X.25等广域网连接技术进行专线连接。这种同步端口一般要求速率非常高,因为一般来说通过这种端口所连接的网络的两端都要求实时同步。
(4)异步串口
异步串口(ASYNC )主要是应用于Modem 或Modem 池的连接,如图8所示。它主要用于实现远程计算机通过公用电话网拨入网络。这种异步端口相对于上面介绍的同步端口来说在速率上要求就松许多,因为它并不要求网络的两端保持实时同步,只要求能连续即可,主要是因为这种接口所连接的通信方式速率较低。
(5)ISDN BRI端口
因ISDN 这种互联网接入方式连接速度上有它独特的一面,所以在当时ISDN 刚兴起时在互联网的连接方式上还得到了充分的应用。ISDN BRI端口用于ISDN 线路通过路由器实现与Internet 或其他远程网络的连接,可实现128Kbps 的通信速率。ISDN 有两种速率连接端口,一种是ISDN BRI(基本速率接口);另一种是ISDN PRI(基群速率接口)。ISDN BRI端口是采用RJ-45标准,与ISDN NT1的连接使用RJ-45-to-RJ-45直通线。如图9所示的BRI 为ISDN BRI端口。
3. 路由器配置接口
路由器的配置端口有两个,分别是“Console ”和“AUX ”,“Console ”通常是用来进行路由器的基本配置时通过专用连线与计算机连用的,而“AUX ”是用于路由器的远程配置连接用的。
1. Console 端口
Console端口使用配置专用连线直接连接至计算机的串口,利用终端仿真程序(如
Windows 下的“超级终端”)进行路由器本地配置。路由器的Console 端口多为RJ-45端口。如下图10所示就包含了一个Console 配置端口。
2. AUX 端口
AUX端口为异步端口,主要用于远程配置,也可用于拔号连接,还可通过收发器与MODEM 进行连接。AUX 端口与Console 端口通常同时提供,因为它们各自的用途不一样。接口图示仍参见上述图10。
二、路由器的硬件连接
从上面的介绍或知,路由器的接口类型非常多,它们各自用于不同的网络连接,如果不能明白各自端口的作用,就很可能进行错误的连接,导致网络连接不正确,网络不通。下面我们通过对路由器的几种网络连接形式来进一步理解各种端口的连接应用环境。路由器的硬件连接因端口类型,也主要分与局域网设备之间的连接、与广域网设备之间的连接以及与配置设备之间的连接三类。
1. 路由器与局域网接入设备之间的连接
局域网设备主要是指集线器与交换机,交换机通常使用的端口只有RJ-45和SC ,而集线器使用的端口则通常为AUI 、BNC 和RJ-45。下面,我们简单介绍一下路由器和集线设备各种端口之间如何进行连接。
(1). RJ-45-to-RJ-45
这种连接方式就是路由器所连接的两端都是RJ-45接口的,如果路由器和集线设备均提供RJ-45端口,那么,可以使用双绞线将集线设备和路由器的两个端口连接在一起。需要注意的是,与集线设备之间的连接不同,路由器和集线设备之间的连接不使用交叉线,而是使
用直通线,也就是说,跳线两端的线序完全相同,但也不是说只要线序相同就行,但最好不要采用一一对应法。再一个要注意的是集线器设备之间的级联通常是通过级联端口进行的,而路由器与集线器或交换机之间的互联是通过普通端口进行的。
另外,路由器和集线设备端口通信速率应当尽量匹配,否则,宁可使集线设备的端口速率高于路由器的速率,并且最好将路由器直接连接至交换机。
(2)AUI-to-RJ-45
这种情况主要出现在路由器与集线器相连。如果路由器仅拥有AUI 端口,而集线设备提供的是RJ-45端口,那么,必须借助于AUI-to-RJ-45收发器才可实现两者之间的连接。当然,收发器与集线设备之间的双绞线跳线也必须使用直通线,连接示意图如图11所示。
(3)SC-to-RJ-45或SC-to-AUI
这种情况一般是路由器与交换机之间的连接,如交换机只拥有光纤端口,而路由设备提供的是RJ-45端口或AUI 端口,那么必须借助于SC-to-RJ-45或SC-to-AUI 收发器才可实现两者之间的连接。收发器与交换机设备之间的双绞线跳线同样必须使用直通线。但是实际上出现交换机为纯光纤接口的情况非常少见。
2. 路由器与Internet 接入设备的连接
路由器的主要应用互联网的连接,路由器与互联网接入设备的连接情况主要有以下几种:
(1)通过异步串行口连接
异步串口主要是用来与Modem 设连接,用于实现远程计算机通过公用电话网拨入局域网络。除此之外,也可用于连接其他终端。当路由器通过电缆与Modem 连接时,必须使用
AYSNC-to-DB25或AYSNC-to-DB9适配器来连接。路由器与Modem 或终端的连接如图12所示。
(2).同步串行口
在路由器中所能支持的同步串行端口类型比较多,如Cisco 系统就可以支持5种不同类型的同步串行端口,分别是:EIA/TIA-232接口、EIA/TIA-449接口、V.35接口、X.21串行电缆总成和EIA-530接口,所对应的适配器图示分别如图13、图14、图15、图16、图17所示。但是在这里要注意的一点就是,因为一般来说适配器连线的两端是采用不同的外形(一般称带插针之类推适配器头一端称之为“公头”,而带有孔的适配器一端通常称之为“母头”,注意“EIA-530”接口两端都是一样的接口类型),这主要是考虑到连接的紧密。图中的“公头”为DTE (数据终端设备,Data Terminal Equipment)连接适配器,下方“母头”为DCE (数据通信设备,Data Communications Equipment)连接适配器。如图18所示为同步串行口与Internet 接入设备连接的示意图,在连接时只需要对应看一下连接用线与设备端接口类型就可以知道正确选择了。
(3)ISDN BRI端口
Cisco路由器的ISDN BRI模块一般可分为两类,一是ISDN BRI S/T模块,二是
ISDN BRI U模块,前者必须ISDN 的NT1终端设备一起才能实现与Internet 的连接,因为S/T端口只能接数字电话设备,不适用当前现状,但通过NT1后就可连接现有的模拟电话设备了,连接图如图19所示。而后者由于内置有NT1模块,我们称之为“NT1+”终端设备,它的“U ”端口可以直接连接模拟电话外线,因此,无需再外接ISDN NT1,可以直接连接至电话线墙板插座,如图20所示。
3. 配置端口连接方式
与前面讲的一样,路由器的配置端口依据配置的方式的不同,所采用的端口也不一样,主要的仍是两种,一种是本地配置所采用的“Console ”端口,另一种是远程配置时采用的“AUX ”端口,下面分别讲一下各自的连接方式。
(1). Console端口的连接方式
当使用计算机配置路由器时,必须使用翻转线将路由器的Console 口与计算机的串口/并口连接在一起,这种连接线一般来说需要特制,根据计算机端所使用的是串口还是并口,选择制作RJ-45-to-DB-9或RJ-45-to-DB-25转换用适配器,如图21所示。
(2) AUX端口的连接方式
当需要通过远程访问的方式实现对路由器的配置时,就需要采用AUX 端口进行了。AUX 其实与上面所讲的接口结构与RJ-45一样,只是里面所对应的电路不同,实现的功能也不同而已,根据Modem 所使用的端口情况不同,来确定通过AUX 端口与Modem 进行连接所也必须借助于RJ-45 to DB9或RJ-45 to DB25的收发器的选择。路由器的AUX 端口与Modem 的连接方式如图22所示
1.4配置途径
一台新路由器买来,不象HUB或一般的交换机插上线路就能用,需要根据所连接的网络用户的需求进行一定的设置才能使用。
可以通过多种途径配置Cisco 路由器,如图:
1. 通过console 进行设置,这种方式是用户对路由器的主要设置方式。
2. 通过AUX 端口连接Modem 进行远程配置。
3. 通过Telnet 方式进行配置。可以在网络中任一位置对路由器进行配置,只要你
足够的权力。当然,也需要您的计算机支持Telnet 。
4. 通过网管工作站进行配置,这就需要在您的网络中有至少一台运行Ciscoworks
及CiscoView 等的网管工作站。需要另外购买网管软件。
5. 通过tftp 服务器下载路由器配置文件。可以用任何没有特殊格式的纯文本编辑
器编辑路由器配置文件。并将其存放在TFTP 服务器的根目录下,采用手支方式或Autoinstall 方式下载路由器配置文件。
首先主要介绍一下利用Console 口的设置, 这里我们主要用Windows95下超级终端。
Cisco 2500提供了一条Cisco 线(两头均为RJ-4及三个RJ-45转换头) 。
一般地,选择PC 机的COM1或COM2中,选用RJ45-DB9或RJ45-DB25的转换头与COM 口连接,再将Console 线接入Console 口中,采用Console100终端方式,超级终端的配置如图:
这时,你就会进入路由器的命令行状态,你就可以操纵路由器了,有时你可能发现那是一场可怕的恶梦,那么的命令,那么多的参数,简直无法下手,但是一旦了解了它,你就会喜欢上它,而且时不时会给你意外的惊喜.
1.4. 命令行配置模式
在命令行状态下, 主要有几种工作模式:
一般用户模式
从Console 口或T elnet及AUX 进入路由器时,首先要进行一般用户模式,在一般用户模式下,用户只能运行少数的命令,而且不能对路由器进行配置。在没有进行任何配置的情况下,缺省的路由器提示符为:
Route>
如果设置了 路由器的名字,则提示符为
路由器的名字>
超级权限模式
在缺省状态上,超级权限模式下可以使用比一般用户模式下多得多的命令。绝大多数命令用于测试网络,检查系统等,不能对端口及网络协议进行配置。
在没有进行任何配置的情况下,缺省的超级权限提示符为
ROUTER#
如果设置了路由器的名字,则提示符为
路由器的名字#
这里介绍第一条命令,由一般用户模式切换到超级权限模式键入
enable
在没有任何设置下,键入该命令即可进入超级权限模式下,如果设置了口令,则需要输入口令。
另外,介绍一组配置常用到的命令
copy 命令
copy 源位置 目的位置
表示将由某个源位置所指定的文件复制到目的地位置所指定处,与DOS 或WIN95下的COPY 命令功能是一致的。其中Cisco 2500,1600系列中源和目的地位置可以为FLASH ,DRAM ,tftp ,NVRAM 。
对于配置文件来说,参数值run 表示存放在DRAM 中的配置。start 表示存放在NVRAM 中的配置。所有的配置命令只要键入后马上存在DRAM 并运行, 但掉电后会马上丢失。而NVRAM 中配置只有在重新启动之后才会被复制到DRAM 中运行,掉电后不会丢失,因此,必须养成好的配置习惯。在确认配置正确无误后将配置文件复制到NVRAM 中去。其命令为
copy run start
如果想用NVRAM 中的配置覆盖DRAM 中的配置用命令
copy start run
可以将NVRAM 中的配置复制到tftp 服务器中进行备份,用命令
copy start tftp
可以将DRAM 中的配置复制到tftp 服务器中进行备份, 用命令
copy run tftp
路由器会询问你的tftp 服务器的IP 地址及以何文件名存盘,输入正确的服务器IP 地址和文件名后,即可。
可以将tftp 中的配置文件复制到路由器的DRAM 中,用命令
copy tftp run
可以将tftp 中的配置文件复制到路由器NVRAM 中,用命令
copy tftp start
路由器会询问tftp 服务器根目录下的配置文件名及在路由器上以什么名字复制该配置文件。
如果想删除NVRAM 中的所有配置,用命令
write erase
全局设置模式
全局设置上可以设置一些全局性的参数,要进入全局设置模式,必须首先进入超级模式,然后,在超级权限模式下键 入config termainal 回车即进入全局设置模式。
其缺省提示符为
Router (config)#
如果设置了路由器的名字, 则其提示符为
路由器的名字(config)#
这里先介绍几个配置命令
配置路由器的名字
hostname 路由器的名字
设置进入超级权限时的口令
enable password 口令字符串
或
enable secret 口令字符串
其中用enable password设置的口令没有进行加密的,可以查看到口令字符串:用enable secret设置的口令是加密的,设置后无法查看到口令字符串。
注意:设置守口令后,一定不要忘记,否则,要进入超级权限模式很麻烦,在某些情况下,除非重新回忆起口令,否则,你就无法进入超级权限模式。
其他设置模式
这里主要介绍几种其它设置模式。
要进入其它设置模式,首先必须进入全局设置模式
端口设置模式
在全局设置模式下:
interface 端口号
2500系列的端口主要有
● interface serial号码
高速同步串口的号码由0开始
● interface ethernet号码
以太口的号码由0开始
● interface async号码
象2509,2511有专门的异步端口的路由器,AUX 口为async 0,其它的专门的
异步口由1开始编号。
AUX 口在所有2500系列路由器上编号为 async 1
● line con 0
配置console 口
为安全起见,可以配置口令,配置如下
line con 0
login
passwprd 口令字符串
建议:不要轻易配置login 及口令,否则,一旦忘记,再进入路由器很麻烦。
SETUP 模式
SETUP 模式是用对话的方式,即一问一答的方式实现对路由器的配置,但这种方式只能对路由器进入简单的配置,无法实现进一步的配置。新路由器第一次进入配置时,系统会自动进入SETUP 模式,并询问是否用SETUP 模式进行配置。在任何时候,要进入SETUP 模式,在超级权限模式下,键入setup 。
RXBOOT 模式
在路由器出现问题时, 有时可以RXBOOT 模式解决。有两种方式可以进入RXBOOT 模式。 方法1:在路由器加电60秒内,在WINDOWS95或NT 的超级终端下, 同时按ctrl+break键3-5秒左右就进入RXBOOT 模式。
方法2:在全局设置模式下,
config-register 0x0
然后关电源重启动,或在超级权限下,键入
reload
则进入RXBOOT 模式
RXBOOT 模式的提示符为
>
在这里介绍一下, RXBOOT 模式的一种用途:如果丢失了进入超级权限的口令怎么办?如果BREAK 键没有被封锁,还有救,否则,你只能吃后悔药,虽然没有。
2500系列路由器步骤
在windows95或的超级终端下,
1. 重新加电,并在路由器启动60秒内, 同时按Ctrl+break键3-5秒,进入RXBOOT
模式
2. 改变寄存器值
>o/r 0x2142
3. 重新初始化
>i
4. 这时,路由器将跳过原有配置,也就是没有超级权限的口令。
进入超级权限模式,重新设置超级权限的口令,在全局设置模式下,
enable secret 口令字符串
5. 在全局设置模式下,恢复寄存器值到原来的位置
config-register 0x2102
6. 在超级权限模式下,保存配置
copy run start
7. 重新加电,或在超级权限模式下,重新热启动路由器,输入
reload
1.5. 多重引导IOS
缺省情况下,Cisco 路由器在FLASH 中寻找IOS 并启动IOS ,如果FLASH 中没有,会启动ROM 中IOS 。
可以设置Cisco 路由器可以有多个引导源, 以实现多重引导,在一些对安全较高的环境中,多重引导是需要的。多重引导表示路由器按照先后顺序,依次寻找IOS ,如果前面所指定的位置没有,则到下面的位置找IOS 。
Cisco2500,1600系列可以从FLASH ,tftp 服务器,ROM 中启动IOS 。
注意:如果从tftp 服务器启动IOS ,一般地,Cisco2500,1600路由器至少应有16M DRAM, 因为所有IOS 首先以tftp 服务器中下载到路由器的DRAM 中,另外,要求tftp 服务器必须正在运行,IOS 软件在tftp 服务器的根目录下。tftp 服务器必须与Cisco 路由器的某个活动端口在同一网段。一般tftp 服务器在本地局域网中。
多重启动配置如下:
一般地启动顺序为FLASH ,tftp ,ROM ,在ROM 中启动,则路由器基本无法完成正常的网络功能。
1. 首先,从FLASH 中启动, 在全局设置状态下
boot system flash
2. 然后,从tftp 服务器中启动,在全局设置模式下
boot system tftp IOS文件名 tftp服务器IP 地址
3. 最后,从ROM 中启动,在全局设置模式下
boot system rom
4. 在全局设置模式下设置寄存器值
config-register 寄存器值
Cisco 路由器中的PC 寄存器为16位。最低4位,该值如果为3-F(16进制) ,表示可以由BOOT 命令设置的地点启动IOS 。
一般为0x2103-0x210F
1.6. 从服务器中自动下载路由器配置文件
路由器的配置文件可以存放在tftp ,rcp 或MOP 服务器中,通过一定的设置,路由器在启动后可以自动下载路由器配置文件。路由器需要下载两个文件,也可以下载其中的一个文件,这个文件合在一起成为运行的配置。
1. 网络共用文件
该文件包含有几个路由器共同的配置文件。
2. 私有配置文件
该文件包含有某台路由器特有的配置信息。
这两个文件可用任何纯文本编辑器进入编辑
一般地,要从tftp 服务器中下载配置文件的网络拓朴,如图:
下载网络共用文件的配置步骤
1. 在全局设置模式下, 启动路由器配置文件下载功能
service config
2. 在全局设置tftp 服务器中下载网络共用配置文件
boot network tftp 网络共用配置文件名 tftp服务器IP 地址
3. 在端口设置状态下, 设置端口IP 地址
ip address 本地端口IP 地址 子网掩码
下载私有配置文件配置步骤
1. 在全局设置模式下,启动路由器下载配置文件功能
service config
2. 在全局设置模式下,设置路由器从tftp 服务器中下载私有配置文件
boot host tftp私有配置文件名 tftp服务器IP 地址
3. 在端口设置状态,设置端口IP 地址
ip address 本端口IP 地址 子网掩码
1.7 常用的命令行快捷编辑键
1.8 路由器口令的安全管理
通过console 端口,AUX 端口,或Telnet 进入路由器时,通常遇到两个口令
1. 进入路由器的口令
2. 从一般用户模式进入超级权限模式的口令
进入路由器的口令设置步骤
在console ,AUX ,vty 端口设置
login
password 字符串
多级权限配置
缺省条件下,Cisco IOS只有一个超级权限的口令,可以配置Cisco IOS有多达16个级别的权限及其口令。可以设置通过某个级别的口令登录的用户只允许使用某些命令。
设置步骤:
1. 设置某条命令属于某个级别,在全局设置模式下
privilege 模式 level级别 命令关键字
注意:Cisco IOS 可以定制0-15个级别权限。0-15级别中,数字越大,权限越高,权限高的级别继承低权限的所有命令。
2. 设置某个级别的口令
enable secret level 级别 口令
通过多级权限,可以根据管理要求,授予相应的工作以相应的权限。
1.10. 检查路由器配置及工作状态的常用命令
在超级权限模式下
1、 ping 目地地址
或
ping 回车,
通过提示进行扩展的ping ,通过ping 可以检测下三层,即物理层,数据链路层,IP
层是否工作正常。
2、 trace 目地地址
可以跟踪数据通过哪一条路径到达目地
3、 telnet 目地地址
可以检测应和层是否工作正常
另外,要经常用到以下二个命令,在超级权限模式下,show 命令。show 命令可以显示配
2. IP协议配置的基本原则
要使Cisco 路由器在IP 网络中正常工作,一般要遵循一些规则:如图:
对于A ,B 来说,它们互为相邻的路由器,其中A 路由器的S0与B 路由器的S1为相邻路由器的相邻端口,但A 路由器的S1口与B 路的器的S1口并不是相邻端口,A 与D 不是相邻路由器。 规则:
1、一般地,路由器的物理网络端口通常要有一个IP 地址
2、相邻路由器的相邻端口IP 地址必须在同一IP 网络上
3、同一路由器的不同端口的IP 地址必须在不同IP 网段上
4、除了相邻路由器的相邻端口外,所有网络中路由器所连接的网段即所有路由器的
任何两个非相邻端口都必须不在同一网段上。
3.IP 协议配置
IP 协议配置的主要任务
1、配置端口IP 地址
2、配置广域网线路协议
3、配置IP 地址与物理网络地址如何映射
4、配置路由
5、其它设置
IP 协议的主要配置
1、 为端口设置一个IP 地址,在端口设置状态下
ip address 本端口IP 地址 子网掩码
另外,在同一端口中可以设置两个以上的不同网段的IP 地址,这样可以实现连接在同一局域网上不同网段之间的通讯。一般由于一个网段对于用户来说不够用,可以采用这种办法。
在端口设置状态下
ip address 本端口IP 地址 子网掩码 secondary
注意:如果要实现连在同一路由器端口的不同网段的通讯,必须在端口设置状态下ip redirect,一般地,Cisco 路由器不允许从同一端口进来的IP 包又发回到原端口中,ip redirect 表示允许在同一端进入路由器的IP 包由原端口发送回去。
2、网络中含有0的IP 地址如138.0.0.1或192.1.0.2,强烈建议尽量不要使用这样的IP 地址,如要使用这的地址,在全局设置模式下必须设置ip subnet-zero
包过滤配置
包过滤功能可以帮助路由器控制数据包在网络中的传输,通过包过滤可以限制网络流量以及增加网络安全性,包过滤功能对路由器本身产生的数据包不起作用,当数据包进入某个端口时,路由器首先检查是否该数据包可以通过路由或桥接方式送出去。如果不能,则路由器将丢掉该数据包,如果该数据包可以传送出去,则路由器将检查该数据包是否满足该端口中定义的包过滤规则,如果包过滤规则不允许该数据包通过,则路由器将丢掉该数据包。
有两种方式的包过滤规则:
1、标准包过滤 该种包过滤只对数据包中的源地址进行检查
2、扩展包过滤 该种包过滤对数据包中的源地址,目的地址,协议及端口号进行检查。
3.1. 包过滤功能配置
1、定义标准包过滤规则,在全局配置状态下
access-list 标识号码 deny 或permit 源地址 通配符
或
在全局配置状态下,定义扩展包过滤规则
access-list 标识号码 deny或permit 协议标识 源地址 通配符 目地地址 通配符 Cisco 路由器中access-list 规定的标识号码,如表:
可以在指定范围内任意选择一个标识号码定义相应的包过滤规则,deny 参数表示禁止,并与相应的地址一一对
应。路由器将检查与通配符中的“0”(2进制)位置一样的地址位,对于通配符中“1”(2进制)位置一致的地址位,将忽略不检查。
一个包过滤规则可以包含一系列检查条件,即可以用同一标识号码定义一系列
access-list 语句,路由器将从最先定义的条件开始依次检查,如数据包满足某个条件,路由器将不再执行下面的包过滤条件,如果数据包不满足规则中的所有条件,Cisco 路由器缺省为禁止该数据包,即丢掉该数据包。
2、在需要包过滤功能的端口,引出包过滤规则
ip access-group包过滤规则标识号in 或out
其中in 表示对进入该端口的数据包进行检查
out 表示对要从该端口送出的数据包进行检查
如果不进行步骤2的配置,则所定义的包过滤规则根本不会执行。
实例:
Currrent configuration:
!
version 11.3
no service password-encryption
!
hostname 2511-1
!
enable password cisco
!
username 2505 password 0 cisco
no ip domain-lookup
!
interface Ethernet0
ip address 192.4.1.1 255.255.255.0
ip access-group 101 in
ip security dedicated confidential genser
no ip security add
ip security implicit-labelling
!
interface Serial0
ip address 192.3.1.1 255.255.255.0
ip access-group 1 in
! 引用标准包过滤规则1,禁止外部的用户采用IP 欺骗的方式进入本地局域网
ip security dedicated confidential genser
encapsulation frame-relay IETF
ip ospf message-digest-key 1 md5 kim
no ip mroute-cache
bandwidth 2000
frame-relay map ip 192.3.1.2 100 broadcast
frame-relay lmi-type cisco
!
interface Seriall
ip address 192.7.1.1 255.255.255.0
ip access-group 1 in
ip security dedicated confidential genser
encapsulation ppp
ip ospf message-digest-key 1 md5 kim
ip ospf network non-broadcast
bandwidth 64
ppp authentication chap
!
router ospf 1
passive - interface Ethernet0
network 192.3.1.0 0.0.0.255 area 0
network 192.4.1.0 0.0.0.255 area 0
network 192.7.1.0 0.0.0.255 area 0
neighbor 192.7.1.2 priority 1
neighbor 192.3.1.2 priority 1
area 0 authentication message-digest
!
no ip classless
access-list 1 deny 192.4.1.0 0.0.0.255
access-list 1 permit any
! 定义标准包过滤,禁止192.1.4.0网段使用IP 网络
access-list 101 permit ip host 192.4.1.20 any
access-list 101 deny icmp any any
! 定义扩展包过滤规则只允许192.4.1.20的单机使用ping ,其他所有计算机都不允许使用 !ping 。这台计算机为网管计算机。
access-list 101 deny tcp any host 192.4.1.1
access-list 101 deny tcp any host 192.7.1.1
access-list 101 deny tcp any host 192.3.1.1
access-list 101 permit ip 192.4.1.0 0.0.0.255 any
!
line con 0
line 1 8
line aux 0
line vty 0 4
password cisco
login
!
end
5. IP路由协议配置
Cisco 路由器上可以配置三种路由
1. 静态路由
2. 动态路由
3. 缺省路由
一般地,路由器查找路由的顺序为静态路由,动态路由,如果以上路由表中都没有合适的路由,则通过缺省路由将数据包传输出去,可以综合使用三种路由。
5.1. 静态路由配置
在全局设置模式下
ip route 目地子网地址 子网掩码 相邻路由器相邻端口地址或者本地物理端口号
5.2. 缺省路由配置
在全局设置模式下
ip route 0.0.0 0.0.0.0 相邻路由器的相邻端口地址或本地物理端口号
5.3. IGRP路由协议基本配置
1. 启动IGRP 路由协议,在全局设置模式下,
router igrp 自治域号
同一自治域内的路由器才能交换路由信息
2. 本路由器参加动态路由的子网
net work 子网号
IGRP 只是将由net work指定的子网在各端口中进行传送以交换路由信息,如果不指定子网,则路由器不会将该子网广播给其它路由器
3. 指定某路由器所知的IGRP 路由信息广播给那些与其相邻接的路由器
neighbor 邻接路由器的相邻端口IP 地址
IGRP 是一个广播型协议,为了使IGRP 路由信息能在非广播型网络中传输,必须使用该设置,以允许路由器间在非广播型网络中交换路由信息,广播型网络如以太网无须设置此项。以上为IGRP 的基本设置,通过该设置,路由器已能完全通过IGRP 进行路由信息交换其他设置。
4. 不允许某个端口发送IGRP 路由信息
passive-interface 端口号
一般地,在以太网上只有一台路由器时,IGRP 广播没有任何意义,且浪费带宽,完全可以将其过滤掉。
5. 负载平衡设置
IGRP 可以在两个进行IP 通信的设备间同时启用四条线路,且任何一条路径断掉都不会影响其它路径的传输。
当两条路径或多条路径的metric 相同或在一定的范围内,就可以启动平衡功能。
1. 设置是否使用负载平衡功能
traffic-share balanced 或min
balanced 表示启用负载平衡min 表示不启用负载平衡, 只走最优路径。 2 . 设置路径间的metric 相差多大时,可以在路径间启用负载平衡
variance metric 差值
缺省值为1,表示只有两条路径metric 相同时才能在两条路径上启用负载平衡。
5.4. eigrp基本设置
eigrp 基本设置与igrp 完成一致。启动eigrp 路由协议,在全局设置模式下,
router eigrp 自治域号
同一自治域内的路由器才能交换路由信息本路由器参加动态路由的子网
network 子网号
eigrp 只是将由network 指定的子网在各端口中进行传递以交换路由信息,如果不指定子网,则路由器不会将该子网广播给其它路由器。
指定某路由器所知的eigrp 路由信息广播给那些与其邻接的路由器neighbor 邻接路由器的相邻端口地址。
5.5. OSPF设置
1. 启用OSPF 动态路由协议
router ospf 进程号
进程号可以随意设置,只标识ospf 为本路由器内的一个进程
2. 定义参与ospf 的子网. 该子网属于哪一个OSPF 路由信息交换区域。
network ip 子网号 通配符 area 区域号
路由器将限制只能在相同区域内交换子网信息,不同区域间不交换路由信息。另外,区域0为主干OSPF 区域。不同区域交换路由信息必须经过区域0。一般地,某一区域要接入OSPF0路由区域,该区域必须至少有一台路由器为区域边缘路由器,即它既参与本区域路由又参与区域0路由。
3. OSPF 区域间的路由信息总结
如果区域中的子网是连续的,则区域边缘路由器向外传播给路由信息时,采用路由总结功能后,路由器就会将所有这些连续的子网总结为一条路由传播给其它区域,则在其它区域内的路由器看到这个区域的路由就只有一条。这样可以节省路由时所需网络带宽。 设置对某一特定范围的子网进行总结:area 区域号 range 子网范围掩码
4. 指明网络类型 在需要进行OSPF 路由信息的端口中,设置:
ip ospf network broadcast或non-broadcast 或point-to -mutlipoint
一般地,对于 DDN,帧中继和X.25属于非广播型的网络,即non-broadcast
5. 对于非广播型的网络连接,需指明路由器的相邻路由器
neighbor 相邻路由器的相邻端口的IP 地址
通过以上配置,路由器之间就可以完成交换路由信息了,其它设置,为了防止路由信息被窃取,可以对OSPF 进行安全设置,只有合法的同一区域的路由器之间才能交换路由信息。
设置步骤
1. 设置某区域使用安全设置MD5方式
area 区域标号 autherfication message-digest
可以采用明文方式 ,但建议采用MD5方式,较安全。
2. 设置某端口验证其相邻路由器相邻端口时的MD5口令,在端口设置模式下
ip ospf message-digest-key 口令标号 MD5 口令字符串
其中,在同一区域的相邻路由器的相邻端口的口令标号及口令字符串必须相同,同一路由器的不同端口的MD5口令可以不同,也可以某些端口使用安全设置,某些端口不使用安全设置。
5.6. RIP路由协议配置:
在全局设置模式下:
1.启动RIP 路由
router rip
2.设置参与RIP 路由的子网
network 子网地址
3.允许在非广播型网络中进行RIP 路由广播
neighbor 相邻路由器相邻端口的IP 地址
4.设置RIP 的版本
RIP路由协议有2个版本,在与其它厂商路由器相连时,注意版本要一致,缺省状态下,Cisco 路由器接收RIP 版本1和2的路由信息,但只发送版本1的路由信息,设置RIP 的版本vesion 1或2。另外,还可以控制特定端口发送或接收特定版本的路由信息。
1.只在特定端口发版本1或2的信息,在端口设置模式下
rip send version 1或2
2.同时发送版本1和2的信息
ip rip send receive 1 or 2
3.在特定端口接受版本1或2的路由信息
ip rip receive 1 or 2
4.同时接受版本1和2的路由信息
ip rip receive 1 or 2
选择路由协议几点建议:
1.在大型网络中,建议使用ospf,eigrp.
2.如果网络中含有变长了网掩码(VISM )不能使用igrp,rip 版本1,可以使用rip 版本2,ospf , eigrp 或静态路由。
3.如果使用路由安全设置可以使用RIP 版本1或OSPF 。
4.选用ospf,eigrp 在系统稳定后所占带宽比RIP ,IGRP 少得多,IGRP 比RIP 所占带宽也少。
5.综合使用动态路由,静态路由,缺省路由,以保证路由的冗余。
6.在拨号线路上尽量使用静态路由,以节省费用。
7.在小型网络上数据量不大的情况下,且不需要高可性,广域网线路为X.25 SVC时,建议用静态路由。
4. 常见广域网协议配置
4.1. Cisco HDLC协议配置
ISO HDLC协议由IBM SDLC协议演化过来,ISO HDLC 采用SDLC 的帧格式,支持同步,全双工操作,ISO GDLC分为物理层及LLC (逻辑链路子层)二层。
但Cisco HDLC无LLC 层,这意味着Cisco HDLC对上层数据只进行物理帧封装,没有任何应答机制,重传机制,所有的纠错处理由上层协议处理。
在Cisco 路由器之间用同步专线连接时,采用Cisco HDLC 比采用PPP 协议效率高得多,但是,如果将Cisco 路由器与非Cisco 路由器进行同步专线连接时,不能用Cisco HDLC ,因为它们不支持Cisco HDLC,可以采用PPP 协议。
建议:●在DDN 专线上,Cisco 路由器之间采用Cisco HDLC协议。
●Cisco 路由器与非Cisco 路由器之间采用PPP 协议。
注意:Cisco2500系列,Cisco 1600系列的同步串口,缺省状态下为HDLC 封装,同步/异步串口缺省状态为同步工作方式HDLC 封装,因此,一般地无需显示封装HDLC 。
配置步骤:
在端口配置状态下:
● 封装HDLC
encapsulation hdlc
● 配置端口IP 地址及掩码
ip address IP 地址 子网掩码
● 如果本端口连接的是DCE 线缆,则要设同步时钟
clock rate 时钟频率
注意:在实际应用中,Cisco 路由器接DDN 专线时,同步串口需通过V.35或RS232 DTE 线缆连接CSU/DSU,则Cisco 路由器为DTE ,CSU/DSU为DCE ,由CSU/DSU提供时钟,因此无须设置同步时钟。如果将二台路由器通过V.35或RS232线缆进行直连时,则必须由连接DCE 线缆的一方提供同步时钟,如果路由器为DCE ,则必须配置:
bandwidth 带宽
clock rate 同步时钟
2500系列产品高速同步串口最高可支持到2M ,同步/异步串口同步方式下支持128K ,异步方式下支持115.2K 。
申请DDN 连接CHINANET 的配置
CHINANET骨干路由器均为Cisco 路由器,当申请DDN 上CHINANET 时,(即通过CHINANET 上Internet) ,管理部门会分配给用户一组真正的IP 地址,及一个广域口IP 地址,一般的,CHINANET 上的路由器采用HDLC 封装
配置步骤:
● 进入以太口配置状态,配置以太口地址
ip address IP地址 子网掩码
该IP 地址是从申请到的一组IP 地址中挑选一个
● 进入广域口配置状态,配置广域口封装格式
encapsulation hdlc
● 配置广域口IP 地址
ip address 广域口IP 地址 子网掩码
● 配置缺省路由,在全局参数配置状态下
ip route 0.0.0.0 0.0.0.0 scrial 端口号或对方路由器相邻端口地址
用户可以向管理部门询问与自己的路由器相连的CHINANET 路由器端口的IP 地址,如果可以PING 通,则路由器工作正常。
4.3. 帧中继(Frame Relay)配置
帧中继设置中可分为DCE 端和DTE 设置,在实际应用中,Cisco 路由器为DTE 端,通过V.35线缆连接CSU/DSU,如果将两个路由器通过V.35线缆直连,连接V.35 DCE线缆的路由器充当DCE 的角色,并且需要提供同步时钟。
DTE 端配置
● 在端口配置中,封装帧中继
encapsulation frame-relay IETF
Cisco 路由器缺省为帧中继数据包封装格式为IETF ,可以不用显示设置,另外,国内帧中继线路一般为IETF 格式的封装,如果不同,请与当地电信管理部门联系,采用其它装格式。
● 设置LMI 信令格式
frame-relay lmi-type Cisco
Cisco 路由器缺勤省的LMI 信令格式为Cisco ,可以不用设置,国内帧中继线路一般采用Cisco 的LMI 信令格式。如果不同,请与当地电信管理部门联系,采用相应的LMI 信令格式。
● 映射IP 地址与帧中继地址
frame-relay map ip 对方路由器的IP 地址 本端口的帧中继号码{broadcast} broadcast 参数表示允许在帧中继线路上传送路由广播信息
● 本端口IP 地址
ip address 本端口IP 地址 子网掩码
充当DCE 端的路由器设置
● 在全局配置状态下,打开帧中继交换
frame-relay switching
● 在端口设置状态下,封装帧中继
encapsulation frame-relay IETF
● 设置本端口在帧中继线路中充当DCE
frame-relay intf-type DCE
● 映射IP 地址及帧中继地址
frame-relay map ip 对方路由器的IP 地址 本端口帧中继号码{broadcast}
● 设置带宽
bandwith 带宽 单位为K
● 设置同步时钟
clock rate 同步时钟
● 本端口IP 地址
ip address 本端口IP 地址 子网掩码
注意:如果通过直连方式将两路由器连接起来,则两路由器的帧中继地址必须一致,地址可以随意设置。在实际应用中,申请的帧中继地址只有本地意义,两边进行通讯的路由器的帧中继地址可以不同。
4.4 PPP协议设置
DTE 端设置步骤
1. 在没有用户验证的情况下,
● 在端口设置状态下,封装PPP 协议
encapsulation ppp
● 设置本端口IP 地址
ip address 本端口IP 地址 子网掩码
● 去掉用户验证
no ppp auth
Cisco2500及1600系列的同步端口或同步/异步端口在封装PPP 协议时,缺少为没有用户验证,无需此项设置。
2. 有用户验证的情况下
● 在全局设置模式下设置本路由器的名字
hostname 本路由器的名字
● 在全局设置模式下,登记对方的路由器
username 对方路由器的名字 password 口令
注意:两边路由器的口令必须一致。
● 在端口设置状态下,封装PPP
encapsulation ppp
● 设置PPP 用户验证协议
PPP auther chap或 pap
建议:建议使用chap , 比较安全,如果一端用了用户验证协议,另一方必须也使用相同的用户验证协议。
● 本端口IP 地址
ip address 本端口IP 地址 子网掩码
可以将两个路由器能过V.35或RS232线缆直接连接。连接DCE 线缆的路由器必须提供同步时钟及带宽。其它方面与DTE 的配置完全一样。
路由器与交换机的简单配置
本章是以思科2500系例路由器为例进行介绍,CISCO 2500系列路由器是多协路由器,但从另一角度来说,它是一台计算机,就象大家熟悉的运行WINDOWS95的PC 机一样。CISCO 路由器也包含硬件和软件两部分。
1.路由器的硬件部份
1.1 内存体系结构介绍
Cisco 路由器的软件部分即网络操作系统。通过IOS ,Cisco 路由器可以连接IP ,IPX ,IBM ,DEC ,AppleTalk 的网络,并实现许多丰富的网络功能。软件是需要内存的,Cisco 2500,1600系列路由器的内存体系结构,如图:
其中,ROM 相当于PC 机的BIOS ,Cisco 路由器运行时首先运行ROM 中的程序。该程序主要进行加电自检,对路由器的硬件进行检测。其次含引导程序及IOS 的一个最小子集。ROM 为一种只读存储器,系统掉电程序也不会丢失.
FLASH 是一种可擦写、可编程的ROM ,FLASH 包含IOS 及微代码。可以把它想象和PC 机的硬盘功能一样,但其速度快得多。可以通过写入新版本和OS 对路由器进行软件升级。FLASH 中的程序,在系统掉电时不会丢失。
DRAM :动态内存。该内存中的内容在系统掉电时会完全丢失。DRAM 中主要包含路由表,ARP 缓存,fast-switch 缓存,数据包缓存等。DRAM 中也包含有正在执行的路由器配置文件。 NVRAM :NVRAM 中包含有路由器配置文件,NVRAM 中的内容在系统掉电时不会丢失。
一般地,路由器启动时,首先运行ROM 中的程序,进行系统自检及引导,然后运行FLASH 中的IOS ,并在NVRAM 中寻找路由器的配置,并将装入DRA M中。
1.2内份外路由器的接口与硬件连接
路由器所在的网络位置比较复杂,既可是内部子网边缘,也可位于内、外部网络边缘。同时为了实现强大的适用性,它需要连接各种网络,这样,它的接口也就必须多种多样。对于这些,不要说一般的网络爱好者,就连许多网管人员都无法说清楚。为此笔者向大家全面介绍路由器的各种接口及连接方法。
路由器具有非常强大的网络连接和路由功能,它可以与各种各样的不同网络进行物理连接,这就决定了路由器的接口技术非常复杂,越是高档的路由器其接口种类也就越多,因为它所能连接的网络类型越多。路由器的端口主要分局域网端口、广域网端口和配置端口三类,下面分别介绍。
1. 局域网接口
常见的以太网接口主要有AUI 、BNC 和RJ-45接口,还有FDDI 、ATM 、千兆以太网等都有相应的网络接口,下面分别介绍主要的几种局域网接口。
(1) AUI 端口
AUI 端口它就是用来与粗同轴电缆连接的接口,它是一种“D ”型15针接口,这在令牌环网或总线型网络中是一种比较常见的端口之一。路由器可通过粗同轴电缆收发器实现与10Base-5网络的连接。但更多的则是借助于外接的收发转发器(AUI-to-RJ-45),实现与10Base-T 以太网络的连接。当然,也可借助于其他类型的收发转发器实现与细同轴电缆(10Base-2)或光缆(10Base-F )的连接。AUI 接口示意图如图1所示。
(2).RJ-45端口
RJ-45端口是我们最常见的端口了,它是我们常见的双绞线以太网端口。因为在快速以太网中也主要采用双绞线作为传输介质,所以根据端口的通信速率不同RJ-45端口又可分为10Base-T 网RJ-45端口和100Base-TX 网RJ-45端口两类。其中,10Base-T 网的RJ-45 端口在路由器中通常是标识为“ETH ”,而100Base-TX 网的RJ-45端口则通常标识为“10/100bTX”。
如图2所示为10Base-T 网RJ-45端口,而图3所示的为10/100Base-TX网RJ-45端口。其实这两种RJ-45端口仅就端口本身而言是完全一样的,但端口中对应的网络电路结构是不同的,所以也不能随便接。
(3).SC 端口
SC端口也就是我们常说的光纤端口,它是用于与光纤的连接。光纤端口通常是不直接用光纤连接至工作站,而是通过光纤连接到快速以太网或千兆以太网等具有光纤端口的交换
机。这种端口一般在高档路由器才具有,都以“100b FX”标注,如图4所示。
2. 广域网接口
在上面就讲过,路由器不仅能实现局域网之间连接,更重要的应用还是在于局域网与广域网、广域网与广域网之间的连接。但是因为广域网规模大,网络环境复杂,所以也就决定了路由器用于连接广域网的端口的速率要求非常高,在以太网中一般都要求在100Mbps 快速以太网以上。下面介绍几种常见的广域网接口。
(1)RJ-45端口
利用RJ-45端口也可以建立广域网与局域网VLAN (虚拟局域网)之间,以及与远程网络或Internet 的连接。如果使用路由器为不同VLAN 提供路由时,可以直接利用双绞线连接至不同的VLAN 端口。但要注意这里的RJ-45端口所连接的网络一般就不太可有是10Base-T 这种了,一般都是100Mbps 快速以太网以上。如果必须通过光纤连接至远程网络,或连接的是其他类型的端口时,则需要借助于收发转发器才能实现彼此之间的连接。如图5所示为快速以太网(Fast Ethernet)端口。
(2)AUI 端口
AUI 端口我们在局域网中也讲过,它是用于与粗同轴电缆连接的网络接口,其实AUI 端口也被常用于与广域网的连接,但是这种接口类型在广域网应用得比较少。在Cisco 2600系列路由器上,提供了AUI 与RJ-45两个广域网连接端口(如图6所示),用户可以根据自己的需要选择适当的类型。
(3)高速同步串口
在路由器的广域网连接中,应用最多的端口还要算“高速同步串口”(SERIAL )了,如
图7所示。
这种端口主要是用于连接目前应用非常广泛的DDN 、帧中继(Frame Relay)、X.25、PSTN (模拟电话线路)等网络连接模式。在企业网之间有时也通过DDN 或X.25等广域网连接技术进行专线连接。这种同步端口一般要求速率非常高,因为一般来说通过这种端口所连接的网络的两端都要求实时同步。
(4)异步串口
异步串口(ASYNC )主要是应用于Modem 或Modem 池的连接,如图8所示。它主要用于实现远程计算机通过公用电话网拨入网络。这种异步端口相对于上面介绍的同步端口来说在速率上要求就松许多,因为它并不要求网络的两端保持实时同步,只要求能连续即可,主要是因为这种接口所连接的通信方式速率较低。
(5)ISDN BRI端口
因ISDN 这种互联网接入方式连接速度上有它独特的一面,所以在当时ISDN 刚兴起时在互联网的连接方式上还得到了充分的应用。ISDN BRI端口用于ISDN 线路通过路由器实现与Internet 或其他远程网络的连接,可实现128Kbps 的通信速率。ISDN 有两种速率连接端口,一种是ISDN BRI(基本速率接口);另一种是ISDN PRI(基群速率接口)。ISDN BRI端口是采用RJ-45标准,与ISDN NT1的连接使用RJ-45-to-RJ-45直通线。如图9所示的BRI 为ISDN BRI端口。
3. 路由器配置接口
路由器的配置端口有两个,分别是“Console ”和“AUX ”,“Console ”通常是用来进行路由器的基本配置时通过专用连线与计算机连用的,而“AUX ”是用于路由器的远程配置连接用的。
1. Console 端口
Console端口使用配置专用连线直接连接至计算机的串口,利用终端仿真程序(如
Windows 下的“超级终端”)进行路由器本地配置。路由器的Console 端口多为RJ-45端口。如下图10所示就包含了一个Console 配置端口。
2. AUX 端口
AUX端口为异步端口,主要用于远程配置,也可用于拔号连接,还可通过收发器与MODEM 进行连接。AUX 端口与Console 端口通常同时提供,因为它们各自的用途不一样。接口图示仍参见上述图10。
二、路由器的硬件连接
从上面的介绍或知,路由器的接口类型非常多,它们各自用于不同的网络连接,如果不能明白各自端口的作用,就很可能进行错误的连接,导致网络连接不正确,网络不通。下面我们通过对路由器的几种网络连接形式来进一步理解各种端口的连接应用环境。路由器的硬件连接因端口类型,也主要分与局域网设备之间的连接、与广域网设备之间的连接以及与配置设备之间的连接三类。
1. 路由器与局域网接入设备之间的连接
局域网设备主要是指集线器与交换机,交换机通常使用的端口只有RJ-45和SC ,而集线器使用的端口则通常为AUI 、BNC 和RJ-45。下面,我们简单介绍一下路由器和集线设备各种端口之间如何进行连接。
(1). RJ-45-to-RJ-45
这种连接方式就是路由器所连接的两端都是RJ-45接口的,如果路由器和集线设备均提供RJ-45端口,那么,可以使用双绞线将集线设备和路由器的两个端口连接在一起。需要注意的是,与集线设备之间的连接不同,路由器和集线设备之间的连接不使用交叉线,而是使
用直通线,也就是说,跳线两端的线序完全相同,但也不是说只要线序相同就行,但最好不要采用一一对应法。再一个要注意的是集线器设备之间的级联通常是通过级联端口进行的,而路由器与集线器或交换机之间的互联是通过普通端口进行的。
另外,路由器和集线设备端口通信速率应当尽量匹配,否则,宁可使集线设备的端口速率高于路由器的速率,并且最好将路由器直接连接至交换机。
(2)AUI-to-RJ-45
这种情况主要出现在路由器与集线器相连。如果路由器仅拥有AUI 端口,而集线设备提供的是RJ-45端口,那么,必须借助于AUI-to-RJ-45收发器才可实现两者之间的连接。当然,收发器与集线设备之间的双绞线跳线也必须使用直通线,连接示意图如图11所示。
(3)SC-to-RJ-45或SC-to-AUI
这种情况一般是路由器与交换机之间的连接,如交换机只拥有光纤端口,而路由设备提供的是RJ-45端口或AUI 端口,那么必须借助于SC-to-RJ-45或SC-to-AUI 收发器才可实现两者之间的连接。收发器与交换机设备之间的双绞线跳线同样必须使用直通线。但是实际上出现交换机为纯光纤接口的情况非常少见。
2. 路由器与Internet 接入设备的连接
路由器的主要应用互联网的连接,路由器与互联网接入设备的连接情况主要有以下几种:
(1)通过异步串行口连接
异步串口主要是用来与Modem 设连接,用于实现远程计算机通过公用电话网拨入局域网络。除此之外,也可用于连接其他终端。当路由器通过电缆与Modem 连接时,必须使用
AYSNC-to-DB25或AYSNC-to-DB9适配器来连接。路由器与Modem 或终端的连接如图12所示。
(2).同步串行口
在路由器中所能支持的同步串行端口类型比较多,如Cisco 系统就可以支持5种不同类型的同步串行端口,分别是:EIA/TIA-232接口、EIA/TIA-449接口、V.35接口、X.21串行电缆总成和EIA-530接口,所对应的适配器图示分别如图13、图14、图15、图16、图17所示。但是在这里要注意的一点就是,因为一般来说适配器连线的两端是采用不同的外形(一般称带插针之类推适配器头一端称之为“公头”,而带有孔的适配器一端通常称之为“母头”,注意“EIA-530”接口两端都是一样的接口类型),这主要是考虑到连接的紧密。图中的“公头”为DTE (数据终端设备,Data Terminal Equipment)连接适配器,下方“母头”为DCE (数据通信设备,Data Communications Equipment)连接适配器。如图18所示为同步串行口与Internet 接入设备连接的示意图,在连接时只需要对应看一下连接用线与设备端接口类型就可以知道正确选择了。
(3)ISDN BRI端口
Cisco路由器的ISDN BRI模块一般可分为两类,一是ISDN BRI S/T模块,二是
ISDN BRI U模块,前者必须ISDN 的NT1终端设备一起才能实现与Internet 的连接,因为S/T端口只能接数字电话设备,不适用当前现状,但通过NT1后就可连接现有的模拟电话设备了,连接图如图19所示。而后者由于内置有NT1模块,我们称之为“NT1+”终端设备,它的“U ”端口可以直接连接模拟电话外线,因此,无需再外接ISDN NT1,可以直接连接至电话线墙板插座,如图20所示。
3. 配置端口连接方式
与前面讲的一样,路由器的配置端口依据配置的方式的不同,所采用的端口也不一样,主要的仍是两种,一种是本地配置所采用的“Console ”端口,另一种是远程配置时采用的“AUX ”端口,下面分别讲一下各自的连接方式。
(1). Console端口的连接方式
当使用计算机配置路由器时,必须使用翻转线将路由器的Console 口与计算机的串口/并口连接在一起,这种连接线一般来说需要特制,根据计算机端所使用的是串口还是并口,选择制作RJ-45-to-DB-9或RJ-45-to-DB-25转换用适配器,如图21所示。
(2) AUX端口的连接方式
当需要通过远程访问的方式实现对路由器的配置时,就需要采用AUX 端口进行了。AUX 其实与上面所讲的接口结构与RJ-45一样,只是里面所对应的电路不同,实现的功能也不同而已,根据Modem 所使用的端口情况不同,来确定通过AUX 端口与Modem 进行连接所也必须借助于RJ-45 to DB9或RJ-45 to DB25的收发器的选择。路由器的AUX 端口与Modem 的连接方式如图22所示
1.4配置途径
一台新路由器买来,不象HUB或一般的交换机插上线路就能用,需要根据所连接的网络用户的需求进行一定的设置才能使用。
可以通过多种途径配置Cisco 路由器,如图:
1. 通过console 进行设置,这种方式是用户对路由器的主要设置方式。
2. 通过AUX 端口连接Modem 进行远程配置。
3. 通过Telnet 方式进行配置。可以在网络中任一位置对路由器进行配置,只要你
足够的权力。当然,也需要您的计算机支持Telnet 。
4. 通过网管工作站进行配置,这就需要在您的网络中有至少一台运行Ciscoworks
及CiscoView 等的网管工作站。需要另外购买网管软件。
5. 通过tftp 服务器下载路由器配置文件。可以用任何没有特殊格式的纯文本编辑
器编辑路由器配置文件。并将其存放在TFTP 服务器的根目录下,采用手支方式或Autoinstall 方式下载路由器配置文件。
首先主要介绍一下利用Console 口的设置, 这里我们主要用Windows95下超级终端。
Cisco 2500提供了一条Cisco 线(两头均为RJ-4及三个RJ-45转换头) 。
一般地,选择PC 机的COM1或COM2中,选用RJ45-DB9或RJ45-DB25的转换头与COM 口连接,再将Console 线接入Console 口中,采用Console100终端方式,超级终端的配置如图:
这时,你就会进入路由器的命令行状态,你就可以操纵路由器了,有时你可能发现那是一场可怕的恶梦,那么的命令,那么多的参数,简直无法下手,但是一旦了解了它,你就会喜欢上它,而且时不时会给你意外的惊喜.
1.4. 命令行配置模式
在命令行状态下, 主要有几种工作模式:
一般用户模式
从Console 口或T elnet及AUX 进入路由器时,首先要进行一般用户模式,在一般用户模式下,用户只能运行少数的命令,而且不能对路由器进行配置。在没有进行任何配置的情况下,缺省的路由器提示符为:
Route>
如果设置了 路由器的名字,则提示符为
路由器的名字>
超级权限模式
在缺省状态上,超级权限模式下可以使用比一般用户模式下多得多的命令。绝大多数命令用于测试网络,检查系统等,不能对端口及网络协议进行配置。
在没有进行任何配置的情况下,缺省的超级权限提示符为
ROUTER#
如果设置了路由器的名字,则提示符为
路由器的名字#
这里介绍第一条命令,由一般用户模式切换到超级权限模式键入
enable
在没有任何设置下,键入该命令即可进入超级权限模式下,如果设置了口令,则需要输入口令。
另外,介绍一组配置常用到的命令
copy 命令
copy 源位置 目的位置
表示将由某个源位置所指定的文件复制到目的地位置所指定处,与DOS 或WIN95下的COPY 命令功能是一致的。其中Cisco 2500,1600系列中源和目的地位置可以为FLASH ,DRAM ,tftp ,NVRAM 。
对于配置文件来说,参数值run 表示存放在DRAM 中的配置。start 表示存放在NVRAM 中的配置。所有的配置命令只要键入后马上存在DRAM 并运行, 但掉电后会马上丢失。而NVRAM 中配置只有在重新启动之后才会被复制到DRAM 中运行,掉电后不会丢失,因此,必须养成好的配置习惯。在确认配置正确无误后将配置文件复制到NVRAM 中去。其命令为
copy run start
如果想用NVRAM 中的配置覆盖DRAM 中的配置用命令
copy start run
可以将NVRAM 中的配置复制到tftp 服务器中进行备份,用命令
copy start tftp
可以将DRAM 中的配置复制到tftp 服务器中进行备份, 用命令
copy run tftp
路由器会询问你的tftp 服务器的IP 地址及以何文件名存盘,输入正确的服务器IP 地址和文件名后,即可。
可以将tftp 中的配置文件复制到路由器的DRAM 中,用命令
copy tftp run
可以将tftp 中的配置文件复制到路由器NVRAM 中,用命令
copy tftp start
路由器会询问tftp 服务器根目录下的配置文件名及在路由器上以什么名字复制该配置文件。
如果想删除NVRAM 中的所有配置,用命令
write erase
全局设置模式
全局设置上可以设置一些全局性的参数,要进入全局设置模式,必须首先进入超级模式,然后,在超级权限模式下键 入config termainal 回车即进入全局设置模式。
其缺省提示符为
Router (config)#
如果设置了路由器的名字, 则其提示符为
路由器的名字(config)#
这里先介绍几个配置命令
配置路由器的名字
hostname 路由器的名字
设置进入超级权限时的口令
enable password 口令字符串
或
enable secret 口令字符串
其中用enable password设置的口令没有进行加密的,可以查看到口令字符串:用enable secret设置的口令是加密的,设置后无法查看到口令字符串。
注意:设置守口令后,一定不要忘记,否则,要进入超级权限模式很麻烦,在某些情况下,除非重新回忆起口令,否则,你就无法进入超级权限模式。
其他设置模式
这里主要介绍几种其它设置模式。
要进入其它设置模式,首先必须进入全局设置模式
端口设置模式
在全局设置模式下:
interface 端口号
2500系列的端口主要有
● interface serial号码
高速同步串口的号码由0开始
● interface ethernet号码
以太口的号码由0开始
● interface async号码
象2509,2511有专门的异步端口的路由器,AUX 口为async 0,其它的专门的
异步口由1开始编号。
AUX 口在所有2500系列路由器上编号为 async 1
● line con 0
配置console 口
为安全起见,可以配置口令,配置如下
line con 0
login
passwprd 口令字符串
建议:不要轻易配置login 及口令,否则,一旦忘记,再进入路由器很麻烦。
SETUP 模式
SETUP 模式是用对话的方式,即一问一答的方式实现对路由器的配置,但这种方式只能对路由器进入简单的配置,无法实现进一步的配置。新路由器第一次进入配置时,系统会自动进入SETUP 模式,并询问是否用SETUP 模式进行配置。在任何时候,要进入SETUP 模式,在超级权限模式下,键入setup 。
RXBOOT 模式
在路由器出现问题时, 有时可以RXBOOT 模式解决。有两种方式可以进入RXBOOT 模式。 方法1:在路由器加电60秒内,在WINDOWS95或NT 的超级终端下, 同时按ctrl+break键3-5秒左右就进入RXBOOT 模式。
方法2:在全局设置模式下,
config-register 0x0
然后关电源重启动,或在超级权限下,键入
reload
则进入RXBOOT 模式
RXBOOT 模式的提示符为
>
在这里介绍一下, RXBOOT 模式的一种用途:如果丢失了进入超级权限的口令怎么办?如果BREAK 键没有被封锁,还有救,否则,你只能吃后悔药,虽然没有。
2500系列路由器步骤
在windows95或的超级终端下,
1. 重新加电,并在路由器启动60秒内, 同时按Ctrl+break键3-5秒,进入RXBOOT
模式
2. 改变寄存器值
>o/r 0x2142
3. 重新初始化
>i
4. 这时,路由器将跳过原有配置,也就是没有超级权限的口令。
进入超级权限模式,重新设置超级权限的口令,在全局设置模式下,
enable secret 口令字符串
5. 在全局设置模式下,恢复寄存器值到原来的位置
config-register 0x2102
6. 在超级权限模式下,保存配置
copy run start
7. 重新加电,或在超级权限模式下,重新热启动路由器,输入
reload
1.5. 多重引导IOS
缺省情况下,Cisco 路由器在FLASH 中寻找IOS 并启动IOS ,如果FLASH 中没有,会启动ROM 中IOS 。
可以设置Cisco 路由器可以有多个引导源, 以实现多重引导,在一些对安全较高的环境中,多重引导是需要的。多重引导表示路由器按照先后顺序,依次寻找IOS ,如果前面所指定的位置没有,则到下面的位置找IOS 。
Cisco2500,1600系列可以从FLASH ,tftp 服务器,ROM 中启动IOS 。
注意:如果从tftp 服务器启动IOS ,一般地,Cisco2500,1600路由器至少应有16M DRAM, 因为所有IOS 首先以tftp 服务器中下载到路由器的DRAM 中,另外,要求tftp 服务器必须正在运行,IOS 软件在tftp 服务器的根目录下。tftp 服务器必须与Cisco 路由器的某个活动端口在同一网段。一般tftp 服务器在本地局域网中。
多重启动配置如下:
一般地启动顺序为FLASH ,tftp ,ROM ,在ROM 中启动,则路由器基本无法完成正常的网络功能。
1. 首先,从FLASH 中启动, 在全局设置状态下
boot system flash
2. 然后,从tftp 服务器中启动,在全局设置模式下
boot system tftp IOS文件名 tftp服务器IP 地址
3. 最后,从ROM 中启动,在全局设置模式下
boot system rom
4. 在全局设置模式下设置寄存器值
config-register 寄存器值
Cisco 路由器中的PC 寄存器为16位。最低4位,该值如果为3-F(16进制) ,表示可以由BOOT 命令设置的地点启动IOS 。
一般为0x2103-0x210F
1.6. 从服务器中自动下载路由器配置文件
路由器的配置文件可以存放在tftp ,rcp 或MOP 服务器中,通过一定的设置,路由器在启动后可以自动下载路由器配置文件。路由器需要下载两个文件,也可以下载其中的一个文件,这个文件合在一起成为运行的配置。
1. 网络共用文件
该文件包含有几个路由器共同的配置文件。
2. 私有配置文件
该文件包含有某台路由器特有的配置信息。
这两个文件可用任何纯文本编辑器进入编辑
一般地,要从tftp 服务器中下载配置文件的网络拓朴,如图:
下载网络共用文件的配置步骤
1. 在全局设置模式下, 启动路由器配置文件下载功能
service config
2. 在全局设置tftp 服务器中下载网络共用配置文件
boot network tftp 网络共用配置文件名 tftp服务器IP 地址
3. 在端口设置状态下, 设置端口IP 地址
ip address 本地端口IP 地址 子网掩码
下载私有配置文件配置步骤
1. 在全局设置模式下,启动路由器下载配置文件功能
service config
2. 在全局设置模式下,设置路由器从tftp 服务器中下载私有配置文件
boot host tftp私有配置文件名 tftp服务器IP 地址
3. 在端口设置状态,设置端口IP 地址
ip address 本端口IP 地址 子网掩码
1.7 常用的命令行快捷编辑键
1.8 路由器口令的安全管理
通过console 端口,AUX 端口,或Telnet 进入路由器时,通常遇到两个口令
1. 进入路由器的口令
2. 从一般用户模式进入超级权限模式的口令
进入路由器的口令设置步骤
在console ,AUX ,vty 端口设置
login
password 字符串
多级权限配置
缺省条件下,Cisco IOS只有一个超级权限的口令,可以配置Cisco IOS有多达16个级别的权限及其口令。可以设置通过某个级别的口令登录的用户只允许使用某些命令。
设置步骤:
1. 设置某条命令属于某个级别,在全局设置模式下
privilege 模式 level级别 命令关键字
注意:Cisco IOS 可以定制0-15个级别权限。0-15级别中,数字越大,权限越高,权限高的级别继承低权限的所有命令。
2. 设置某个级别的口令
enable secret level 级别 口令
通过多级权限,可以根据管理要求,授予相应的工作以相应的权限。
1.10. 检查路由器配置及工作状态的常用命令
在超级权限模式下
1、 ping 目地地址
或
ping 回车,
通过提示进行扩展的ping ,通过ping 可以检测下三层,即物理层,数据链路层,IP
层是否工作正常。
2、 trace 目地地址
可以跟踪数据通过哪一条路径到达目地
3、 telnet 目地地址
可以检测应和层是否工作正常
另外,要经常用到以下二个命令,在超级权限模式下,show 命令。show 命令可以显示配
2. IP协议配置的基本原则
要使Cisco 路由器在IP 网络中正常工作,一般要遵循一些规则:如图:
对于A ,B 来说,它们互为相邻的路由器,其中A 路由器的S0与B 路由器的S1为相邻路由器的相邻端口,但A 路由器的S1口与B 路的器的S1口并不是相邻端口,A 与D 不是相邻路由器。 规则:
1、一般地,路由器的物理网络端口通常要有一个IP 地址
2、相邻路由器的相邻端口IP 地址必须在同一IP 网络上
3、同一路由器的不同端口的IP 地址必须在不同IP 网段上
4、除了相邻路由器的相邻端口外,所有网络中路由器所连接的网段即所有路由器的
任何两个非相邻端口都必须不在同一网段上。
3.IP 协议配置
IP 协议配置的主要任务
1、配置端口IP 地址
2、配置广域网线路协议
3、配置IP 地址与物理网络地址如何映射
4、配置路由
5、其它设置
IP 协议的主要配置
1、 为端口设置一个IP 地址,在端口设置状态下
ip address 本端口IP 地址 子网掩码
另外,在同一端口中可以设置两个以上的不同网段的IP 地址,这样可以实现连接在同一局域网上不同网段之间的通讯。一般由于一个网段对于用户来说不够用,可以采用这种办法。
在端口设置状态下
ip address 本端口IP 地址 子网掩码 secondary
注意:如果要实现连在同一路由器端口的不同网段的通讯,必须在端口设置状态下ip redirect,一般地,Cisco 路由器不允许从同一端口进来的IP 包又发回到原端口中,ip redirect 表示允许在同一端进入路由器的IP 包由原端口发送回去。
2、网络中含有0的IP 地址如138.0.0.1或192.1.0.2,强烈建议尽量不要使用这样的IP 地址,如要使用这的地址,在全局设置模式下必须设置ip subnet-zero
包过滤配置
包过滤功能可以帮助路由器控制数据包在网络中的传输,通过包过滤可以限制网络流量以及增加网络安全性,包过滤功能对路由器本身产生的数据包不起作用,当数据包进入某个端口时,路由器首先检查是否该数据包可以通过路由或桥接方式送出去。如果不能,则路由器将丢掉该数据包,如果该数据包可以传送出去,则路由器将检查该数据包是否满足该端口中定义的包过滤规则,如果包过滤规则不允许该数据包通过,则路由器将丢掉该数据包。
有两种方式的包过滤规则:
1、标准包过滤 该种包过滤只对数据包中的源地址进行检查
2、扩展包过滤 该种包过滤对数据包中的源地址,目的地址,协议及端口号进行检查。
3.1. 包过滤功能配置
1、定义标准包过滤规则,在全局配置状态下
access-list 标识号码 deny 或permit 源地址 通配符
或
在全局配置状态下,定义扩展包过滤规则
access-list 标识号码 deny或permit 协议标识 源地址 通配符 目地地址 通配符 Cisco 路由器中access-list 规定的标识号码,如表:
可以在指定范围内任意选择一个标识号码定义相应的包过滤规则,deny 参数表示禁止,并与相应的地址一一对
应。路由器将检查与通配符中的“0”(2进制)位置一样的地址位,对于通配符中“1”(2进制)位置一致的地址位,将忽略不检查。
一个包过滤规则可以包含一系列检查条件,即可以用同一标识号码定义一系列
access-list 语句,路由器将从最先定义的条件开始依次检查,如数据包满足某个条件,路由器将不再执行下面的包过滤条件,如果数据包不满足规则中的所有条件,Cisco 路由器缺省为禁止该数据包,即丢掉该数据包。
2、在需要包过滤功能的端口,引出包过滤规则
ip access-group包过滤规则标识号in 或out
其中in 表示对进入该端口的数据包进行检查
out 表示对要从该端口送出的数据包进行检查
如果不进行步骤2的配置,则所定义的包过滤规则根本不会执行。
实例:
Currrent configuration:
!
version 11.3
no service password-encryption
!
hostname 2511-1
!
enable password cisco
!
username 2505 password 0 cisco
no ip domain-lookup
!
interface Ethernet0
ip address 192.4.1.1 255.255.255.0
ip access-group 101 in
ip security dedicated confidential genser
no ip security add
ip security implicit-labelling
!
interface Serial0
ip address 192.3.1.1 255.255.255.0
ip access-group 1 in
! 引用标准包过滤规则1,禁止外部的用户采用IP 欺骗的方式进入本地局域网
ip security dedicated confidential genser
encapsulation frame-relay IETF
ip ospf message-digest-key 1 md5 kim
no ip mroute-cache
bandwidth 2000
frame-relay map ip 192.3.1.2 100 broadcast
frame-relay lmi-type cisco
!
interface Seriall
ip address 192.7.1.1 255.255.255.0
ip access-group 1 in
ip security dedicated confidential genser
encapsulation ppp
ip ospf message-digest-key 1 md5 kim
ip ospf network non-broadcast
bandwidth 64
ppp authentication chap
!
router ospf 1
passive - interface Ethernet0
network 192.3.1.0 0.0.0.255 area 0
network 192.4.1.0 0.0.0.255 area 0
network 192.7.1.0 0.0.0.255 area 0
neighbor 192.7.1.2 priority 1
neighbor 192.3.1.2 priority 1
area 0 authentication message-digest
!
no ip classless
access-list 1 deny 192.4.1.0 0.0.0.255
access-list 1 permit any
! 定义标准包过滤,禁止192.1.4.0网段使用IP 网络
access-list 101 permit ip host 192.4.1.20 any
access-list 101 deny icmp any any
! 定义扩展包过滤规则只允许192.4.1.20的单机使用ping ,其他所有计算机都不允许使用 !ping 。这台计算机为网管计算机。
access-list 101 deny tcp any host 192.4.1.1
access-list 101 deny tcp any host 192.7.1.1
access-list 101 deny tcp any host 192.3.1.1
access-list 101 permit ip 192.4.1.0 0.0.0.255 any
!
line con 0
line 1 8
line aux 0
line vty 0 4
password cisco
login
!
end
5. IP路由协议配置
Cisco 路由器上可以配置三种路由
1. 静态路由
2. 动态路由
3. 缺省路由
一般地,路由器查找路由的顺序为静态路由,动态路由,如果以上路由表中都没有合适的路由,则通过缺省路由将数据包传输出去,可以综合使用三种路由。
5.1. 静态路由配置
在全局设置模式下
ip route 目地子网地址 子网掩码 相邻路由器相邻端口地址或者本地物理端口号
5.2. 缺省路由配置
在全局设置模式下
ip route 0.0.0 0.0.0.0 相邻路由器的相邻端口地址或本地物理端口号
5.3. IGRP路由协议基本配置
1. 启动IGRP 路由协议,在全局设置模式下,
router igrp 自治域号
同一自治域内的路由器才能交换路由信息
2. 本路由器参加动态路由的子网
net work 子网号
IGRP 只是将由net work指定的子网在各端口中进行传送以交换路由信息,如果不指定子网,则路由器不会将该子网广播给其它路由器
3. 指定某路由器所知的IGRP 路由信息广播给那些与其相邻接的路由器
neighbor 邻接路由器的相邻端口IP 地址
IGRP 是一个广播型协议,为了使IGRP 路由信息能在非广播型网络中传输,必须使用该设置,以允许路由器间在非广播型网络中交换路由信息,广播型网络如以太网无须设置此项。以上为IGRP 的基本设置,通过该设置,路由器已能完全通过IGRP 进行路由信息交换其他设置。
4. 不允许某个端口发送IGRP 路由信息
passive-interface 端口号
一般地,在以太网上只有一台路由器时,IGRP 广播没有任何意义,且浪费带宽,完全可以将其过滤掉。
5. 负载平衡设置
IGRP 可以在两个进行IP 通信的设备间同时启用四条线路,且任何一条路径断掉都不会影响其它路径的传输。
当两条路径或多条路径的metric 相同或在一定的范围内,就可以启动平衡功能。
1. 设置是否使用负载平衡功能
traffic-share balanced 或min
balanced 表示启用负载平衡min 表示不启用负载平衡, 只走最优路径。 2 . 设置路径间的metric 相差多大时,可以在路径间启用负载平衡
variance metric 差值
缺省值为1,表示只有两条路径metric 相同时才能在两条路径上启用负载平衡。
5.4. eigrp基本设置
eigrp 基本设置与igrp 完成一致。启动eigrp 路由协议,在全局设置模式下,
router eigrp 自治域号
同一自治域内的路由器才能交换路由信息本路由器参加动态路由的子网
network 子网号
eigrp 只是将由network 指定的子网在各端口中进行传递以交换路由信息,如果不指定子网,则路由器不会将该子网广播给其它路由器。
指定某路由器所知的eigrp 路由信息广播给那些与其邻接的路由器neighbor 邻接路由器的相邻端口地址。
5.5. OSPF设置
1. 启用OSPF 动态路由协议
router ospf 进程号
进程号可以随意设置,只标识ospf 为本路由器内的一个进程
2. 定义参与ospf 的子网. 该子网属于哪一个OSPF 路由信息交换区域。
network ip 子网号 通配符 area 区域号
路由器将限制只能在相同区域内交换子网信息,不同区域间不交换路由信息。另外,区域0为主干OSPF 区域。不同区域交换路由信息必须经过区域0。一般地,某一区域要接入OSPF0路由区域,该区域必须至少有一台路由器为区域边缘路由器,即它既参与本区域路由又参与区域0路由。
3. OSPF 区域间的路由信息总结
如果区域中的子网是连续的,则区域边缘路由器向外传播给路由信息时,采用路由总结功能后,路由器就会将所有这些连续的子网总结为一条路由传播给其它区域,则在其它区域内的路由器看到这个区域的路由就只有一条。这样可以节省路由时所需网络带宽。 设置对某一特定范围的子网进行总结:area 区域号 range 子网范围掩码
4. 指明网络类型 在需要进行OSPF 路由信息的端口中,设置:
ip ospf network broadcast或non-broadcast 或point-to -mutlipoint
一般地,对于 DDN,帧中继和X.25属于非广播型的网络,即non-broadcast
5. 对于非广播型的网络连接,需指明路由器的相邻路由器
neighbor 相邻路由器的相邻端口的IP 地址
通过以上配置,路由器之间就可以完成交换路由信息了,其它设置,为了防止路由信息被窃取,可以对OSPF 进行安全设置,只有合法的同一区域的路由器之间才能交换路由信息。
设置步骤
1. 设置某区域使用安全设置MD5方式
area 区域标号 autherfication message-digest
可以采用明文方式 ,但建议采用MD5方式,较安全。
2. 设置某端口验证其相邻路由器相邻端口时的MD5口令,在端口设置模式下
ip ospf message-digest-key 口令标号 MD5 口令字符串
其中,在同一区域的相邻路由器的相邻端口的口令标号及口令字符串必须相同,同一路由器的不同端口的MD5口令可以不同,也可以某些端口使用安全设置,某些端口不使用安全设置。
5.6. RIP路由协议配置:
在全局设置模式下:
1.启动RIP 路由
router rip
2.设置参与RIP 路由的子网
network 子网地址
3.允许在非广播型网络中进行RIP 路由广播
neighbor 相邻路由器相邻端口的IP 地址
4.设置RIP 的版本
RIP路由协议有2个版本,在与其它厂商路由器相连时,注意版本要一致,缺省状态下,Cisco 路由器接收RIP 版本1和2的路由信息,但只发送版本1的路由信息,设置RIP 的版本vesion 1或2。另外,还可以控制特定端口发送或接收特定版本的路由信息。
1.只在特定端口发版本1或2的信息,在端口设置模式下
rip send version 1或2
2.同时发送版本1和2的信息
ip rip send receive 1 or 2
3.在特定端口接受版本1或2的路由信息
ip rip receive 1 or 2
4.同时接受版本1和2的路由信息
ip rip receive 1 or 2
选择路由协议几点建议:
1.在大型网络中,建议使用ospf,eigrp.
2.如果网络中含有变长了网掩码(VISM )不能使用igrp,rip 版本1,可以使用rip 版本2,ospf , eigrp 或静态路由。
3.如果使用路由安全设置可以使用RIP 版本1或OSPF 。
4.选用ospf,eigrp 在系统稳定后所占带宽比RIP ,IGRP 少得多,IGRP 比RIP 所占带宽也少。
5.综合使用动态路由,静态路由,缺省路由,以保证路由的冗余。
6.在拨号线路上尽量使用静态路由,以节省费用。
7.在小型网络上数据量不大的情况下,且不需要高可性,广域网线路为X.25 SVC时,建议用静态路由。
4. 常见广域网协议配置
4.1. Cisco HDLC协议配置
ISO HDLC协议由IBM SDLC协议演化过来,ISO HDLC 采用SDLC 的帧格式,支持同步,全双工操作,ISO GDLC分为物理层及LLC (逻辑链路子层)二层。
但Cisco HDLC无LLC 层,这意味着Cisco HDLC对上层数据只进行物理帧封装,没有任何应答机制,重传机制,所有的纠错处理由上层协议处理。
在Cisco 路由器之间用同步专线连接时,采用Cisco HDLC 比采用PPP 协议效率高得多,但是,如果将Cisco 路由器与非Cisco 路由器进行同步专线连接时,不能用Cisco HDLC ,因为它们不支持Cisco HDLC,可以采用PPP 协议。
建议:●在DDN 专线上,Cisco 路由器之间采用Cisco HDLC协议。
●Cisco 路由器与非Cisco 路由器之间采用PPP 协议。
注意:Cisco2500系列,Cisco 1600系列的同步串口,缺省状态下为HDLC 封装,同步/异步串口缺省状态为同步工作方式HDLC 封装,因此,一般地无需显示封装HDLC 。
配置步骤:
在端口配置状态下:
● 封装HDLC
encapsulation hdlc
● 配置端口IP 地址及掩码
ip address IP 地址 子网掩码
● 如果本端口连接的是DCE 线缆,则要设同步时钟
clock rate 时钟频率
注意:在实际应用中,Cisco 路由器接DDN 专线时,同步串口需通过V.35或RS232 DTE 线缆连接CSU/DSU,则Cisco 路由器为DTE ,CSU/DSU为DCE ,由CSU/DSU提供时钟,因此无须设置同步时钟。如果将二台路由器通过V.35或RS232线缆进行直连时,则必须由连接DCE 线缆的一方提供同步时钟,如果路由器为DCE ,则必须配置:
bandwidth 带宽
clock rate 同步时钟
2500系列产品高速同步串口最高可支持到2M ,同步/异步串口同步方式下支持128K ,异步方式下支持115.2K 。
申请DDN 连接CHINANET 的配置
CHINANET骨干路由器均为Cisco 路由器,当申请DDN 上CHINANET 时,(即通过CHINANET 上Internet) ,管理部门会分配给用户一组真正的IP 地址,及一个广域口IP 地址,一般的,CHINANET 上的路由器采用HDLC 封装
配置步骤:
● 进入以太口配置状态,配置以太口地址
ip address IP地址 子网掩码
该IP 地址是从申请到的一组IP 地址中挑选一个
● 进入广域口配置状态,配置广域口封装格式
encapsulation hdlc
● 配置广域口IP 地址
ip address 广域口IP 地址 子网掩码
● 配置缺省路由,在全局参数配置状态下
ip route 0.0.0.0 0.0.0.0 scrial 端口号或对方路由器相邻端口地址
用户可以向管理部门询问与自己的路由器相连的CHINANET 路由器端口的IP 地址,如果可以PING 通,则路由器工作正常。
4.3. 帧中继(Frame Relay)配置
帧中继设置中可分为DCE 端和DTE 设置,在实际应用中,Cisco 路由器为DTE 端,通过V.35线缆连接CSU/DSU,如果将两个路由器通过V.35线缆直连,连接V.35 DCE线缆的路由器充当DCE 的角色,并且需要提供同步时钟。
DTE 端配置
● 在端口配置中,封装帧中继
encapsulation frame-relay IETF
Cisco 路由器缺省为帧中继数据包封装格式为IETF ,可以不用显示设置,另外,国内帧中继线路一般为IETF 格式的封装,如果不同,请与当地电信管理部门联系,采用其它装格式。
● 设置LMI 信令格式
frame-relay lmi-type Cisco
Cisco 路由器缺勤省的LMI 信令格式为Cisco ,可以不用设置,国内帧中继线路一般采用Cisco 的LMI 信令格式。如果不同,请与当地电信管理部门联系,采用相应的LMI 信令格式。
● 映射IP 地址与帧中继地址
frame-relay map ip 对方路由器的IP 地址 本端口的帧中继号码{broadcast} broadcast 参数表示允许在帧中继线路上传送路由广播信息
● 本端口IP 地址
ip address 本端口IP 地址 子网掩码
充当DCE 端的路由器设置
● 在全局配置状态下,打开帧中继交换
frame-relay switching
● 在端口设置状态下,封装帧中继
encapsulation frame-relay IETF
● 设置本端口在帧中继线路中充当DCE
frame-relay intf-type DCE
● 映射IP 地址及帧中继地址
frame-relay map ip 对方路由器的IP 地址 本端口帧中继号码{broadcast}
● 设置带宽
bandwith 带宽 单位为K
● 设置同步时钟
clock rate 同步时钟
● 本端口IP 地址
ip address 本端口IP 地址 子网掩码
注意:如果通过直连方式将两路由器连接起来,则两路由器的帧中继地址必须一致,地址可以随意设置。在实际应用中,申请的帧中继地址只有本地意义,两边进行通讯的路由器的帧中继地址可以不同。
4.4 PPP协议设置
DTE 端设置步骤
1. 在没有用户验证的情况下,
● 在端口设置状态下,封装PPP 协议
encapsulation ppp
● 设置本端口IP 地址
ip address 本端口IP 地址 子网掩码
● 去掉用户验证
no ppp auth
Cisco2500及1600系列的同步端口或同步/异步端口在封装PPP 协议时,缺少为没有用户验证,无需此项设置。
2. 有用户验证的情况下
● 在全局设置模式下设置本路由器的名字
hostname 本路由器的名字
● 在全局设置模式下,登记对方的路由器
username 对方路由器的名字 password 口令
注意:两边路由器的口令必须一致。
● 在端口设置状态下,封装PPP
encapsulation ppp
● 设置PPP 用户验证协议
PPP auther chap或 pap
建议:建议使用chap , 比较安全,如果一端用了用户验证协议,另一方必须也使用相同的用户验证协议。
● 本端口IP 地址
ip address 本端口IP 地址 子网掩码
可以将两个路由器能过V.35或RS232线缆直接连接。连接DCE 线缆的路由器必须提供同步时钟及带宽。其它方面与DTE 的配置完全一样。