Cisco路由器的基本知识及配置介绍
第一章 Cisco路由器基本知识
Cisco公司的路由器产品大致可分为如下几类:
n 低档路由器:适用小型办公室的cisco 1600系列
n 中档路由器:Cisco 2500、Cisco 2600、Cisco 3600系列
n 高档路由器:Cisco 4000以上系列路由器,电信级产品
我们(非电信)一般接触到的产品以中档路由器为主。
16和25系列路由器是固定端口的(16系列有一个广域卡扩展槽),即有多少个广域口、有多少个局域口是固定死的,而象26系列、36系列、4000以上系列路由器,都是模块化的,用户可以任意选购模块或扩展卡,自由组合出所需要的局域及广域口数。
由于路由器通常要接广域线路,所以就涉及到一个选用怎样的广域接口的问题。常见的接口有V.35、RS-232等接口,在选用路由器时要注意选择相应的产品和线缆。CISCO的产品是通过线缆来进行端口区分的。即:通常路由器上的广域接口是一种CISCO的接口(不同型号接口类型有所不同),通过一根电缆,一头接在CISCO路由器上,而另一头的接口形式有的是V.35,有的是RS232。
1.2 路由器常用物理端口介绍
局域口:1)AUI口:即粗缆口,一般需要外接转换器(AUI-RJ45),连接10M以太网。
2)RJ45口:有10M和10/100M两种。
广域口:1)高速同步口:最大支持2M速率。
2)同步/异步串口:该端口可以用软件设置为同步或异步工作方式。在同步工作方式下,最大支持128K,在异步方式下,最大支持115.2K。
3)ISDN口:可以连接ISDN网络(2B+D)。
4)其它……
AUX口:该端口为异步口,最大支持38.4K速率,主要用于远程配置或拨号备份。
Console口:主要连接终端或运行终端仿真程序的计算机,在本地配置路由器。
1.3 路由器内存体系结构介绍
CISCO路由器的软件部分就是IOS,即网络操作系统,通过IOS,实现丰富的网络功能。软件运行是需要内存的,CISCO路由器一般由四种存贮器组成:
第一种是ROM:一般开机时按CTRL_BREAK便可进入,相当于PC的BIOS,路由器运行时首先要运行ROM中的程序,该程序主要进行加电自检,对路由器的硬件进行检测,其次含引导程序及IOS的一个最小子集。ROM为一种只读存储器,系统掉电,程序也不会丢失。
第二种是Flash:是一种可擦写、可编程的ROM,它是存贮CISCO IOS软件的地方,可以通过写入新版本的IOS对路由器进行软件升级,相当于计算机中的硬盘,FLASH中的程序在系统掉电后不会丢失。
第三种是NVRAM:主要目的是保存路由器的配置文件,在系统掉电时数据不丢失。
第四种是DRAM:也就是动态内存,是程序运行的场所,相当于计算机的RAM。DRAM中主要包含路由表、ARP缓存、数据包缓存等,以及正在执行的路由器配置文件。当路由器关机时,里面的内容会全部丢失。
通常,路由器启动时,首先运行ROM中的程序,进行系统自检和引导,然后运行FLASH中(称为flash)的IOS,并在NVRAM(称为startup)中寻找路由器的配置,将其装入DRAM(称为running)中。
一台新路由器买来,不象HUB或一般的交换机插上线路就能用,,需要根据所连接的网络及用户的需求进行一定的设置才能使用,一般来说,可以用5种方式来设置路由器:
一、通过Console口进行设置:接终端或运行终端仿真软件的微机,这种方式是用户对路由器进行设置的主要方式。
二、通过AUX口接MODEM:通过电话线与远方的终端或运行终端仿真软件的微机相连,进行远程配置。
三、通过TELNET方式进行设置:可以在网络的任意位置对路由器进行配置,只要你有足够的权利。
四、通过SNMP网管工作站:这需要在网络中至少一台运行cisco works及cisco view等的网管工作站,需要另外购买网管软件。
五:通过TFTP服务器下载路由器配置文件:可以用任何没有特殊格式的纯文本编辑器编辑路由器配置文件,并将其放在TFTP服务器的根目录下,采用手动方式或AUTOINATALL方式下载路由器配置文件。
这些方式中最常用的就是Console口和TELNET方式,而且路由器的第一次设置必须通过第一种方式进行,路由器第一次设置完成后,可以随时通过TELNET方式进行登录、监视、修改等。这里我们重点介绍通过Console口的设置方式.
CISCO路由器都提供了一条Console线(两头均为RJ45的完全反转线)和两个RJ45转换头。一般地,选择PC的COM1或COM2口,选用RJ45-DB9或RJ45-DB25的转换头与COM口相连,再将Console线接入Console口中,采用VT100终端方式。
在Windows 95/NT下,超级终端的设置:
在 开始--->程序--->附件--->超级终端--->Hypetrm
设定名称为cisco,再选择一个图标
请选择"直接连接到串口1(或2)"
选择波特率为9600bps.
待终端通讯参数设置完毕后,打开路由器电源,按回车键,就进入初始配置了。这时,你就会进入路由器的命令行状态,可以操纵路由器了,有时你可能发现那将是一场可怕的噩梦,那么多的命令,那么多的参数,简直无从下手,但是你一旦了解它,你就会喜欢上它,而且不时会给你以外的惊喜。
在IOS系统的命令行状态下,提供了以下几种工作模式:
(一) 一般用户模式:router>
刚登录路由器时,首先进入一般用户模式,在该模式下,用户只能运行少数的命令,但不能看到和更改路由器的配置。
(二) 超级权限模式:router#
在一般用户模式下,键入enable,回车,即可进入超级权限模式(如果设置了口令,还需要在回车后按提示输入口令)。
在缺省状态下,超级权限模式可以使用比一般用户模式多得多的命令,绝大多数用于测试网络、检查系统、察看和保存配置等,但不能对端口及网络协议进行配置。
该模式下,最常用的命令为:
1、保存配置文件
Router#write memory
在前面介绍路由器的内存体系结构时,我们提到,对配置文件来说,参数run表示存放在DRAM中的配置,start表示存放在NVRAM中的配置。Cisco IOS的指令系统是配置完后即时生效的,但它们是在DRAM中运行,掉电后会马上丢失,因此,要想保留所作的配置,必须在关机前把当前配置(run)写入NVRAM(strat)中,下次开机时,NVRAM(start)中的配置才会被调入DRAM(run)中运行。
2、监控程序
在Global模式下,Cisco IOS作了许多监控程序:
Router# show version 查看版本及引导信息
Router# show run 查看当前运行的配置文件
Router# show start 查看开机配置文件
Router# show interface type slot/number 查看端口的工作状态及已配置的参数
Router# show ip router 查看路由信息
等
3、网络命令
Router# ping hostname/IP address 网络侦测,检查下三层工作是否正常
Router# telnet hostname/IP address 登录远程主机,检查应用层工作是否正常
Router# trace hostname/IP address 跟踪数据包通过哪条路径到达目的地
等
(三) 全局设置模式:router(config)#
在超级权限模式下,键入config terminal,回车,即进入全局设置模式。
在该模式下,可以设置路由器的全局参数,如:
router(config)# hostname 路由器的名字 配置路由器的名字
router(config)# enable password 口令字符串 设置超级权限口令
router(config)# enable secret 口令字符串 设置超级权限口令
enable password这个口令是对于IOS 10.2以下版本适用,在IOS 10.3以上版本均使用secret,不再用password。在配置文件中,secret是加密显示的,另外,password和secret不能相同。设置完口令后,一定不要忘记,否则要进入超级权限很麻烦。
(四) 局部设置状态:router(config-if)#; router (config-line)#; router(config-router)# ……
局部设置状态要从全局设置状态下进入,这时可以设置路由器某个局部的参数。如在全局状态下,键入inetrface 端口号,即可进入端口设置方式:router(config-if)#
router(config)# interface ethernet0 进入以太口,号码从0开始
router(config)# interface serial0 进入广域口,号码从0开始
(五)RXBOOT模式:>
在路由器开机60 秒内,在超级终端下,同时按ctrl-break键3-5秒左右可进入此状态,这时路由器不能完成正常的功能,只能进行软件升级和手工引导。当超级口令丢失时,可以从该模式下恢复。
(六)SETUP模式
该模式采用对话方式,即一问一答的方式实现对路由器的配置,利用设置对话过程可以避免手工输入命令的烦琐,但它只能对路由器进行一些简单的配置,一些特殊的设置还必须通过手工输入的方式完成。
新路由器第一次进行配置时,系统会自动进入SETUP模式,并询问是否采用该方式进行配置。在任何时候,要进入SETUP模式,在超级权限模式下,键入SETUP,即可通过对话方式对路由器进行设置。
进入设置对话过程后,路由器首先会显示一些提示信息:
---System Configuration Dialog---
At any point you may enter a question mark '?' for help.
Use ctrl-c to abort configuration dialog at any prompt.
Default settings are in square brackets '[]'.
这是告诉你在设置对话过程中的任何地方都可以键入“?”得到系统的帮助,按ctrl-c可以退出设置过程,缺省设置将显示在'[]'中。然后路由器会问是否进入设置对话:
Would you like to enter the initial configuration dialog?[yes]: Return
按y或回车,路由器就会进入设置对话过程:
First, would you like to see the current interface summary?[yes]: Return
按y或回车,你可以看到各端口当前的状况:
Any interface listed with OK? Value "NO" does not have a valid configuration
Interface IP-Address OK? Nethod Status Protocol
Ethernet0 unassigned NO unset up up
Serial0 unassigned NO unset up up
…… …… …… …… …… ……
然后,路由器就开始全局参数的设置:
Configuring global parameters:
1、设置路由器名:
Enter host name [Router]: cisco2501
2、设置进入特权状态的密文(secret),此密文在设置以后不会以明文方式显示:
The enable secret is a one-way cryptographic secret used instead of the enable password when it exists.
-- Enter enable secret:cisco
3、设置进入特权状态的密码(password),此密码只在没有密文时起作用,并且在设置以后会以明文方式显示:
The enable password is used when there is no enable secret and when using older software and some boot images.
-- Enter enable password: pass
4、设置虚拟终端访问密码:
-- Enter virtual terminal password: cisco
5、询问是否要设置路由器支持的各种网络协议:
-- Configure SNMP Network Management?[yes]: Return
-- Configure DECnet?[no]: Return
-- Configure AppleTalk?[no]: Return
-- Configure IPX?[no]: Return
-- Configure IP?[yes]: Return
-- Configure IGRP routing?[no]: Return
-- Configure RIP routing?[no]: Return
……
接下来,系统会对每一个端口进行参数的设置:
Configuring interface parameters:
1、设置以太口(假设地址为192.168.1.1,掩码为255.255.255.0)
Configuring interface Ethernet0: Return
Is this interface in use?[yes]: Return
Configure IP on this interface?[yes]: Return
IP address for this interface:192.168.1.1
Number of bits in subnet field[0]: Return
Class C network is 192.168.1.0, 0 subnet bits; maks is /24
2、设置同步串口(假设地址为10.1.1.1,掩码为255.0.0.0)
Configuring interface Serial0:Return
Is this interface in use? [yes]:Return
Configure IP on this interface? [yes]:Return
Configure IP unnumbered on this interface? [no]:Return
IP address for this interface: 10.1.1.1
Number of bits in subnet field [0]:Return
Class A network is 2.0.0.0, 0 subnet bits; mask is /8
当不需要用串口1时,请敲入no
Configuring interface Serial1: Return
Is this interface in use? [yes]: no
(注:Number of bits in subnet field [0]-----掩码子网的位数.举例说明:
掩码为255.0.0.0的掩码子网位数是0,掩码共8位
掩码为255.255.0.0的掩码子网位数8,掩码共16位
掩码为255.255.255.0的掩码子网位数16,掩码共24位
掩码为255.255.255.252的掩码子网位数22,掩码共30位)
在设置完所有接口的参数后,系统会把整个设置对话过程的结果显示出来:
The following configuration command script was created:
hostname cisco2501
enable secret 5 $1$Bv.r$j/Zm2B6jw9UTQPxLGZjAz.
enable password pass
line vty 0 4
password cisco
snmp-server community public
!
ip routing
!
interface Ethernet0
ip address 192.168.1.1 255.255.255.0
!
interface Serial0
ip address 10.1.1.1 255.0.0.0
!
interface Serial1
shutdown
no ip address
!
end
Use this configuration? [yes/no]: yes
确认当前配置后,把当前配置写入NVRAM中,这样以后开机自动把配置调入内存,不需要重新配置了。
Building configuration...
Use the enabled mode 'configure' command to modify this configuration.
Press RETURN to get started!
%LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0, changed state to down
%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0, changed state to down
%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1, changed state to down
%LINK-3-UPDOWN: Interface Ethernet0, changed state to up
%LINK-3-UPDOWN: Interface Serial0, changed state to down
%LINK-3-UPDOWN: Interface Serial1, changed state to down
%LINK-5-CHANGED: Interface Serial1, changed state to administratively down
%SYS-5-RESTART: System restarted --
Cisco Internetwork Operating System Software
IOS (tm) 2500 Software (C2500-I-L), Version 11.2(1), MAJOR RELEASE SOFTWARE(fc1)
Copyright (c) 1986-1996 by cisco Systems, Inc.
Compiled Mon 30-Sep-96 12:07 by ajchopra
Cisco2501>en
Password:(敲入密码,不反显的)
JSRouter#
此时,已经可以采用telnet方式登录查看、修改配置了。
注:命令行规则
1、在任何模式下,用户在输入命令时,不用全部将其输入,只要前几个字母能够唯一标识该命令便可。
如: interface serial 0
可以写成: int s0
2、在任何模式下,打一个“?”即可显示所有在该模式下的命令。
3、如果不会拼写某个命令,可以键入开始的几个字母,在其后紧跟一个“?”,路由器即显示有什么样的命令与其匹配。
4、如不知道命令后面的参数应为什么,可以在该命令的关键字后空一个格,键入“?”,路由器即会提示与“?”对应位置的参数是什么,如:
router#show ?
5、要去掉某条配置命令,在原配置命令前加一个no和空格。
第三章 IP协议配置的基本原则
要使CISCO路由器在IP网络中正常工作,一般要遵循以下原则,如图:
对于A、B来说,它们互为相邻的路由器,其中A路由器的S0与B路由器的S1为相邻路由器的相邻端口,但A路由器的S1口与B路由器的S1口并不是相邻端口,A与D不是相邻路由器。规则如下:
1、一般地,路由器的物理网络端口通常要有一个IP地址
2、相邻路由器的相邻端口IP地址必须在同一IP网络上
3、同一路由器的不同端口的IP地址必须在不同IP网段上
4、除了相邻路由器的相邻端口外,所有网络中路由器所连接的网段,即所有路由器的任何两个非相邻端口都必须不在同一网段上
第四章 IP协议配置的主要任务
ü 配置端口IP地址
ü 配置广域网线路协议
ü 配置IP路由协议
ü 其它设置
下面逐项进行分析说明
4.1 配置端口IP地址
为给端口设置一个IP地址,在端口设置状态下:
ip address 本端口IP地址 子网掩码
另外,在同一端口中可以设置两个以上的不同网段的IP地址,这样可以实现连接在同一局域网上不同网段之间的通讯。一般当一个网段对用户来说不够用时,可以采用该方法:
在端口设置状态下:
ip address 本端口IP地址 子网掩码 secondary
注:TCP/IP是一种最常用的协议,该协议是目前采用4个字节来代表网络层的地址,也就是俗称的IP地址。这种采用4字节方式的IP编址方案我们称为Ipv4。它一般分为三类地址:A类、B类、C类。A类地址前面第一比特为0,B类地址为10,C类第址为110开头。因此我们得出如下的地址空间:
A类:1.0.0.0 至 126.0.0.0
B类:128.0.0.0至191.0.0.0
C类:192.0.0.0至223.0.0.0
目前,由于IPV4地址的数量有限,造成了目前Internet上IP地址缺乏的现象。通常Intranet联入Internet后,都要通过代理方式接入Internet,为了避免Intranet地址与Internet地址重复,而出现代理不出去的情况,规定了以下三类地址:
10.0.0.0--10.255.255.255
172.16.0.0到172.32.255.255
192.168.0.0到192.168.255.255
为Intranet预留地址,这三类地址在Internet上面是不会出现的,我们称这三类地址为私有IP地址或非法IP地址。
我们在组建Intranet时,应该了解这个知识,一定要合理采用、分配非法和合法地址,才不至于事后引发地址矛盾。
4.2 配置广域网线路协议
目前,最常用的广域专线是DDN和帧中继,下面我们针对这两种专线形式,来说明广域网线路协议的配置方法。
4.2.1 DDN专线配置
在DDN专线上,CISCO路由器之间采用CISCO HDLC协议,HDLC比PPP协议效率高得多,但是,当CISCO路由器与非CISCO路由器进行DDN连接时,要采用PPP协议,因为其它厂家的路由器只支持PPP协议。
申请DDN连接CHINANET的配置
CHINANET骨干路由器均为CISCO路由器,当申请DDN上CHINANET时,管理部门会分配给用户一组真正的IP地址(用于局域网),及一个广域口IP地址,一般地,CHINANET上的路由器采用HDLC封装。
配置步骤:
1、进入以太网口配置状态,配置以太网口地址
ip address IP地址 子网掩码(该地址从申请到的一组IP地址中挑选一个)
2、进入广域网口,配置广域网口IP地址
ip address 广域口IP地址 子网掩码
3、配置广域口封装格式
encapsulation hdlc(或ppp)
CISCO系列路由器的同步串口在缺省状态下为HDLC封装,一般不用配也不显示,但是当对方路由器非CISCO时,必须封装PPP协议。
4、配置缺省路由,在全局参数配置状态下
ip route 0.0.0.0 0.0.0.0 serial端口号或对方路由器相邻端口地址
用户可以向管路部门询问与自己路由器相邻的CHINANET路由器端口的IP地址,配置完成后,如果可以ping通,则说明路由器工作正常。
4.2.2 帧中继配置
DDN是实线路,帧中继是虚电路(客户在申请帧中继电路时,是以PVC为单位的)。相对于相对于DDN电路,帧中继更适合于点到多点的业务。DDN的点到多点业务只能提供轮询方式,在一段时间内,主点只能与一个从点进行通信,并且轮询的实现要靠终端软件辅助实现。帧中继业务采用PVC方式,可提供主站与所有从站并发双工通信能力。另外,由于帧中继支持突发数据,也比较适合于局域网互连或业务突发量较大的应用。
目前在河南省,对于低速帧中继业务可通过帧中继OVER DDN的方式经由新桥DDN网接入宽带ATM网开通,对于高速客户可使用光纤或HDSL直接接入ATM网。
配置步骤:
1、进入广域网口,配置广域网口IP地址
ip address 广域口IP地址 子网掩码
2、在该广域端口,封装帧中继
encapsulation frame-relay IETF
3、设置LMI信令格式
frame-relay lmi-type cisco
国内帧中继线路的LMI信令格式有cisco、ansi、q933a这3种,请与当地电信联系,采用相应的LMI信令格式。
4、指定本端口的帧中继DLCI号码
frame-relay interface-dlci DLCI号码(电信提供该号码,一般从16开始)
4.3 配置IP路由协议
CISCO路由器上可以配置三种路由:
1、静态路由
2、缺省路由
3、动态路由
一般地,路由器查找路由的顺序为静态路由、动态路由,如果以上路由表中都没有合适的路由,则通过缺省路由将数据包传输出去,可以综合使用三种路由。
4.3.1 静态路由设置
在全局设置模式下:
ip route 目的子网地址 子网掩码 相邻路由器相邻端口地址或本地物理端口号
4.3.2 缺省路由设置
在全局设置模式下:
ip route 0.0.0.0 0.0.0.0 相邻路由器相邻端口地址或本地物理端口号
4.3.3 动态路由设置
Cisco IOS支持的动态路由协议有:
n 内部网关协议IGP(在一个自治系统内部交换路由信息的路由协议)----- IGRP, EIGRP, OSPF, RIP等。
n 外部网关协议EGP(为连接两个或多个自治系统的路由协议)----- BGP 和 EGP等等。
自治域的概念
动态路由给我们带了许多好处:设置简单、维护方便。但同时也带来了许多不利因素。如果在具有一定的规模的网络里,某一个路由器Down掉了,这时,会导致每一个路由器都开始刷新自己的路由表,以便来正确反映网络的状态,这时从路由器Down掉,到其它路由器能正确发现并更新自己的路由表是有一定时间的,这个时间我们称为“收敛时间”。网络越大,一般情况下时间越长,收敛也就越慢。象Internet这样大的网络,如果一个路由器Down掉,其它路由器要想更新完自己的路由表是需要非常长的时间的,路由表的更新就象海浪一样,一浪一浪向前推。再加上网络变化非常快,可能在有些路由器已经更新完成,而另外一些还没有更新时,那个Down掉的路由器又恢复正常了,又会引起网上其它路由器的路由更新,这样,将会造成网络的带宽紧张、路由表不准确、网络可靠性差的现象。
另外,象Internet这样的大网,路由表有成千上万个条目,而路由器受内存、CPU等的限制,不可能将所有路由表项都存在自己的路由器里。
为了解决上面两个问题(减少收敛时间,减小路由表的大小),于是就产生了“自治域”的概念。
所谓“自治域”,就是指在一定的范围内,由一定数量的路由器组成,它们形成一个网络,动态路由协议仅在该网里的路由器有效,而且每台路由器仅存贮该域内的路由表,这样由于网络规模相对变小,可以防止“浪涌”现象的发生,收敛时间相对就会减少,而且路由表较小;每个自治域通过一台路由器与另外一个自治域的路由器交换域与域之间的路由信息,这台路由器,我们通常称为“域边界路由器”。Internet就是由许多“自治域”组成的,这样才保证了它的全安性和可靠性。
动态路由协议的两类算法:距离-矢量算法和链路-状态算法
路由器在动态形成自已的路由表时,如果接收到的路由项已经存在,它就会按照一定的算法来判断哪一条路由信息最优。通常有两种判别方式:距离-矢量算法和链路-状态算法。
距离-矢量算法:根据步跳来判别,凡是步跳数少的即为最优路径。
如上图所示,A网到B网的路由器,由于R1到R2的距离最短,所以R1的路由表中到B网的路由项会指向R2,而不会走R11àR12àR2,虽然R11也会向R1发送带有到达B网的路由信息,但由于步跳数都比R2的大,所以R1路由器最终仅保留R2的该条路由。
由于“距离-矢量”算法会出现路径的循环问题,所以一般规定,如果一条路由表项的步跳超过16,则认为该路由项无效。这种算法一般情况下能准确的反映网络的状态,但有时仅根据步跳来判断最优路径则会存在片面性。比如:假如R1到R2的链路带宽为64K,而R1àR11àR12的链路带宽均为E1(2M),那么“距离-矢量”算法就不能准确反映出最优路径。
链路-状态算法:依据带宽、线路可靠性多种因素,来标明某一线路的状态。
如上例中,由于R1àR2为64K的带宽,则其状态值可能是66,而R1àR11àR12由于均为E1的带宽,其状态值可能都是10,那么加起来才30,也远远小于66,因此会认定R1àR11àR12为最优路径。
距离-矢量算法的代表协议是RIP(路由信息协议),“链路-状态”算法的代表协议是OSPF(开放式最短路径优先)。目前,RIP协议一般应用于小型网络的场合,大型网络中都采用OSPF,这是因为OSPF相对目前其它协议来说能够精确的反映网络的状态,而且它具有层次性,收敛时间小等优点,但OSPF协议要比RIP协议消耗更多的路由器资源,而选用OSPF协议,在系统稳定后,所占带宽比RIP协议少得多。
RIP路由协议
RIP路由协议是一个相对古老,但仍被广泛使用的路由协议。RIP广播一个UDP数据包更换路由信息,每个路由器间隔30秒更换一次路由信息,在180秒内未收到某路由器的回应,它则认为目前该路由器不可到达;若在270秒后仍未有应答,则把有关它的路由信息从路由表中删掉。该协议规定最大步跳数为16,因此采用该协议时,要保证从一个网到另一个网不能超过16个路由器(步跳)。由此看出,此协议只适用于中小规模的网络使用。
RIP协议有2个版本:RIP-1和RIP-2,RIP-1不支持变长子网掩码(VLSM),RIP-2支持。使用该协议与其它厂家路由器互连时,一定要注意统一RIP版本。
配置步骤:
在全局设置模式下:
1、启动RIP路由
router rip
2、设置RIP版本
version 1(2)
3、设置参与RIP路由的子网
network 子网地址
OSPF路由协议
该协议是目前广泛采用的一种路由协议,它不象RIP协议一样定期广播自己的路由表,而是当链路有变化时才广播自己的路由表,这样就能减少由于动态路由对有限的广域链路带宽的消耗。其缺点是,相对于静态路由、RIP协议来说,将会占用更多的ROUTER的CPU时间和内存。但由于其良好的性能,目前大型网络多采用此种协议。Internet上的自治域内就常采用OSPF这种协议。
配置步骤:
在全局设置模式下:
1、启动OSPF路由协议
route ospf 进程号(可以随意设置,只是标识ospf为本路由器的一个进程)
2、定义参与ospf的子网及该子网属于哪个ospf路由信息交换区域
network ip 子网号 通配符 area 区域号(限制只能在相同区域内交换子网路由信息)
4.4 其它设置
4.4.1 NAT功能配置
随着Internet以爆炸性的速度增长,IP地址短缺已成为一个相当严重的问题,当一个Intranet接入Internet时,往往只能获得一组很少量的合法IP地址,局域网内大部分绝大部分用户只有私网地址,那么怎么才能让私有IP地址的用户也能上Internet ?
为解决这个问题,出现了多种解决方案。代理服务器是一个经常被采用的方案,即在局域网内设一个PROXY服务器,它同时拥有两块网卡,一块网卡采用合法IP地址,与Internet相连,另一个网卡采用私有IP地址,与Intranet相连,这样私有用户通过这台代理服务器,就可以上Internet了。这种方案的缺点是:配置繁杂,且受可代理的协议所限,私有用户的功能也大打折扣。
还一种很有效的方式就是使用NAT功能,所谓NAT,即网络地址转换,当内部的计算机要与外部Internet网络进行通信时,具有NAT功能的设备负责将内假IP地址转换为内部真IP地址(该组织申请的合法IP地址)。与代理服务器方式相比,NAT功能完善,使私有IP和合法IP的用户几乎具有相同的能力。NAT主要有以下2种作用:
1、通过NAT功能,实现众多私有IP地址的用户,同时公用资源缺乏的合法IP地址
2、通过NAT功能,将内部网络与外部Internet隔开,隐藏内部拓扑结构,起到很好的防火墙作用。
CISCO路由器11.2以上版本支持NAT功能
典型的应用,NAT设置在内部网与外部公网连接处的路由器上。当数据包离开内部网时,NAT负责将内部假IP源地址转换成合法地址,当数据包进入内部网时,NAT将合法目的IP地址转换成内部假地址。
NAT设置可以分为静态地址转换、动态地址转换、复用动态地址转换。
静态地址转换
静态地址转换将内部本地地址与内部合法地址进行一对一的转换,且需要指定和哪个合法地址进行转换。如果内部网络有对外提供服务的服务器,这些服务器的IP地址必须采用静态地址转换,以便外部用户可以使用这些服务。
配置步骤:
1、在内部本地地址与内部合法地址之间建立静态地址转换
ip nat inside source static 内部本地地址 内部合法地址
2、指定连接网络的内部端口
在端口设置状态下:
ip nat inside
3、指定连接外部网络的外部端口
在端口设置状态下:
ip nat outside
动态地址转换
动态地址转换也是将内部本地地址与内部合法地址一对一转换,但是是从内部合法地址池中动态地选择一个未使用的地址对内部本地地址进行转换。
配置步骤:
1、在全局设置模式下,定义内部合法地址池
ip nat pool 地址池名字 起始IP地址 终止IP地址 子网掩码
其中地址池名可以任意设定
2、在全局设置模式下,定义一个标准的access-list规则以允许哪些内部本地地址可以进行动态地址转换
access-list 标号 permit 源地址 通配符
其中标号为1-99之间的整数
3、在全局设置模式下,将由access-list指定的内部本地地址与指定的内部合法地址进行地址转换
ip nat inside source list access-list 标号 pool 内部合法地址池名字
4、指定与内部网络相连的内部端口在端口状态下
ip nat inside
5、指定与外部网络相连的外部端口
ip nat outside
复用动态地址转换
复用动态地址转换首先是一种动态地址转换,但是它可以允许多个内部本地址公用一个内部合法地址,最适合只申请到少量IP地址,却同时有多于合法地址数目的用户上外部网的情况。
配置步骤:
只在第3步略有不同(多一个overload):
ip nat inside source list access-list 标号 pool 内部合法地址池名字 overload
其余同上
4.4.2 包过滤配置
包过滤功能可以帮助路由器控制数据包在网络中的传输,通过包过滤可以限制网络流量以及增加网络安全性,包过滤功能对路由器本身产生的数据包不起作用,当数据包进入某个端口时,路由器首先检查是否该数据包可以通过路由或桥接方式送出去。如果不能,则路由器将丢掉该数据包。如果该数据包可以传送出去,则路由器将检查该数据包是否满足该端口中定义的包过滤规则,如果包过滤规则不允许该数据包通过,则路由器将丢掉该数据包。
有两种方式的包过滤规则:
ü 标准包过滤:只对数据包中的源地址进行检查
ü 扩展包过滤:对数据包中的源地址、目的地址、协议及端口号进行检查
配置步骤:
1、定义包过滤规则
在全局配置状态下,定义标准包过滤规则:
access-list 标识号码(1-99) deny或permit 源地址 通配符
在全局配置状态下,定义扩展包过滤规则:
access-list 标识号码(100-199) deny或permit 协议标识 源地址 通配符 目的地址 通配符
通配符为32位二进制数字,并与相应的地址一一对应,路由器将检查与通配符中的“0”位置一样的地址位,对于与通配符中“1”位置一样的地址位,将忽略不检查。
一个包过滤规则可以包含一系列检查条件,即可以用同一标识号码定义一系列access-list语句,路由器将从最先定义的条件开始依次检查,如数据包满足某个条件,路由器将不再执行下面的包过滤条件,如果数据包不满足规则种的所有条件,cisco路由器确省为禁止该数据包,即丢掉该数据包。
2、在需要包过滤的端口,引用包过滤原则(如果不进行该步骤,上面定义的包规则根本不会执行):
ip access-group 包过滤规则标识号 in或out
其中in表示对进入该端口的数据包进行检查,out表示检查从该端口送出的数据包
附:cisco口令恢复方法
当Cisco路由器的口令被错误修改或忘记时,在win98或NT的超级终端下:
1、进入用户权限模式,用show ver命令读取配置寄存器的原始值
Router>sh ver
……
Configuration register is 0x2102(一般值为0x2102)
2、重新加电路由器,并在路由器启动60秒内,同时按<ctrl+break>键3-5秒,进入ROM监控状态
3、改变寄存器值,使忽略NVRAM引导
>o/r 0x2142 Cisco2500系列命令
rommon 1>confreg 0x2142 Cisco2600、1600系列命令
4、重新启动路由器
>I Cisco2500系列命令
rommon 2 >reset Cisco2600、1600系列命令
4、在“Setup”模式,对所有问题回答No
5、用enable无需密码直接可以进入特权模式
Router>enable
Router#
6、将NVRAM调入到当前运行中
Router#copy start run
7、重新设置超级权限密码
Router#conf t
Router(config)#enable secret 新密码
8、恢复原始配置寄存器值
Router(config)#config-register 0x2102
9、保存新配置
Router#wr
10、重新启动路由器后看新密码是否生效,并用show ver命令检查配置寄存器值恢复为0x2102即完成任务。