第7章路由器原理及配置

1、第7章 路由器的原理及配置本章要点: 7.1 路由器的概念 7.2 路由器的工作 7.3 路由器的配置 7.4 路由器静态路由配置 7.5 路由器动态协议配置 7.6 DHCP的功能及配置 7.7 IP访问控制列表的功能及配置7.1 路由器的概念7.1.1 基本概念 作为网络层的网络互连设备，路由器在网络互连中起到了不可或缺的作用。与物理层或数据链路层的网络互连设备相比，其具有一些物理层或数据链路层的网络互连设备所没有的重要功能。它能实现异构网络的互连，在物理上拓展了网络的规模；实现网络的逻辑划分；实现VLAN之间的通信；同时，还可以实现其他一些重要的网络功能，如提供访问控制功能、优先级服务和

2、负载平衡等。 图7-1 路由器路由器常用的权值包括：（1）带宽（2）延迟（3）负载（4）可靠性（5）跳数（6）花费2分组转发 对于一台路由器，其分组转发的任务即是在收到数据包后，根据路由表所提供的最佳路径的信息，将其转发给下一跳的路由器、目的端口或是缺省路由器。 缺省路由也称为缺省网关，它是与主机在同一个子网中的路由器端口的IP地址。图7-3 主机的缺省路由 重点提示：路由器必须具备路由选择和分组转发两个基本功能。路由选择让路由器知道如何将数据分组转发到目的主机，沿着哪一条路径进行转发。分组转是沿着路由选择所确定最佳路由，将分组从源主机通过若干个路由器发送到目的主机。这两个功能共同完成端到端的

3、数据传送。7.1.3 路由器的结构1中央处理器（CPU）2只读内存（ROM）3随机存储器RAM4非易失性随机存储器NVRAM5闪存flash6接口 （1）局域网接口 （2）广域网接口 （3）配置接口 图7-5 路由器硬件结构7.2 路由器的工作7.2.1 路由器的工作原理 路由器工作在OSI参考模型的第3层，即网络层。路由器利用网络层定义的“逻辑”上的网络地址来区别不同的网络，实现网络的连接和隔离，保持各个网络的独立性。已知路由器的两个基本功能即是路由选择和分组转发，路由器接收到数据包后，通过路由选择获得将该数据包转发到目的端口的路径，并沿着这个路径将数据包从源主机一跳一跳地经过若干个路由器，

4、发送到目的主机。 图7-6 路由器工作原理图 7.2.2 路由表 路由器通过对路由表的查询来选择最佳路径的策略，路由表中保存着各种传输路径的相关数据，供路由选择时使用。路由表中保存着目的网络所对应的目的端口、网上路由器的个数和下一个路由器的名字以及缺省路由等内容。路由表可以是由系统管理员固定设置好的，也可以由系统动态修改，可以由路由器自动调整，也可以由主机控制。图7-7 路由表结构 7.2.3 路由器的工作模式1用户模式 以终端或Telnet方式进入路由器时系统会提示用户输入口令，这时只要输入正确有口令后便进入第1级用户模式级别。 2特权模式 在用户模式下先输入“enable”，再输入相应的超

5、级用户密码，即进入第2级特权模式。 3设置模式 这种模式下，允许用户真正修改路由器的配置。如果一台路由器还没进行任何配置时，Console将会进入这个工作模式，它可以协助用户对路由器进行初始化的配置。 4全局配置模式 在特权模式中输入命令“config terminal”，也可以进入设置模式。5其它配置模式 其它配置模式包括端口配置模式、虚拟终端配置模式、路由配置模式等。在全局配置的模式下输入相应的命令即可进入相应的配置模式。6RXBOOT模式 在路由器出现问题时,有时可以RXBOOT 模式解决，它是路由器的维护模式。 7.3 路由器的配置7.3.1 路由器配置方式 （1）使用Console端

6、口配置。 （2）使用telnet远程登录配置 （3）从TFTP 服务器上下载配置文件和修改配置文件的方式配置。 （4）在AUX端口接一台Modem同电话网相连，在远端拨号配置。 （5）使用网管协议SNMP进行配置。图7-8 远程登录路由器 4删除配置 5telenet命令6ping命令7trace 命令8show命令 9系统时钟设置 10退出 重点提示：路由器的常用配置方式包括：使用Console配置、使用telnet配置、使用TFTP配置、使用AUX端口配置以及使用网管协议SNMP配置，前三种配置是现在最常用的配置方式。图7-9 路由器的网络检测命令 7.3.3 接口配置1基本接口配置（1）

7、启动与关闭（2）配置模式 （3）带宽配置（4）IP地址配置（5）Ethernet的工作方式2分类接口配置（1）LAN接口（2）WAN接口（3）POS接口（4）loopback接口7.4 路由器静态路由配置 静态路由是指由网络管理员手工配置的路由信息，使用静态路由协议时，路由器不能根据网络的实际情况动态地进行路由选择。当网络的拓扑结构或链路的状态发生变化时，也无法动态地改新路由表，必须网络管理员手工去修改路由表中相关的静态路由信息。因此它适合规模较小，网络拓扑结构一般不会变化的较为简单的局域网。 图 7-10 静态路由配置示例7.5.1 RIP配置1RIP的原理 在默认情况下，RIP不考虑带宽、

8、时延等因素，而使用一种非常简单的制度：距离就是通往目的站点所需经过的链路数，也称为跳数，跳数越小，路径越佳，RIP将跳数最小的路径作为最佳路径。RIP的跳数取值为115，数值16表示无穷大，即路径不可达。RIP不支持可变长掩码，因此它只根据各类网络的网络号来确定这个IP地址的掩码。 2配置命令 （1）router rip命令 该命令用于启动RIP协议，开始RIP进程。 （2）network命令 该命令用于设置参与RIP协议的网络地址，它的命令格式为 。 （3）passive-interface命令 该命令用于指定被动接口，该接口将被抑制路由更新，即路由更新报文不再通过该路由器的接口。它的命令格

9、式为 。 （4）distribute-list命令 该命令用于指定有路由过滤功能的接口，在被指点的路由器的接口上，既可以过滤其接收的路由更新信息，还可以过滤输出的路由更新信息，它常与passive-interface一起使用，这样被指定的接口既可以过滤接收的路由信息，也可阻止该路由器更新信息的输出，即禁止了该接口参加RIP。它的命令格式为 。 （5）distance命令 该命令用来配置或改变OSPF的管理距离，它用来测量路由的可信度，该值越小则可信度越高，OSPF的管理距离默认值为110，有效值范围为1 255。它的命令格式为 。 （6）neighbor命令 该命令用于指定邻居路由器，这样，R

10、IP路由器在不容许发送广播包或是在网络技术不支持网络广播的特殊情况下，路由器仍可以单播的方式向该邻居路由器发送路由更新信息。它的命令格式为 。 7.5.2 OSPF配置1OSPF的原理 OSPF全称为开放式最短路径优先协议。相比于RIP，OSPF克服了它的许多缺陷：OSPF不再采用跳数的概念，而是根据接口的吞吐率、拥塞状况、往返时间、可靠性等实际链路的负载能力来进行路由选择，在选择出最短、最优路由的同时并允许保持到达同一目标地址的多条路由。OSPF是一种分层次的路由协议，其层次中最大的实体是自治系统，在每个自治系统中，再将网络划分为不同的区域，每个区域都有自己特定的标识号，即区域ID，它是一个

11、32位的无符号数值，范围是04 294 967 295，其中区域ID为0时表示的是主干区域。 路由表的计算包括下面五个步骤： （1）存储当前的路由表，如果当前的路由表是无效的，则从头开始重新建立路由表。（2）通过Dijkstra算法建立最短路径树，计算域内路由。（3）通过检查链路状态总结报告来计算域间路由，若该路由器连到多个域，则只检查主干域的链路状态总结报告。（4）在连到一个或多个传输域的域边界路由器中查看链路状态总结报告，比较是否有比（2）（3）步更好的路径；（5）自治系统外部路由的计算，通过查看自治系统外部的链路状态报告来计算目的地在自治系统外的路由。2配置命令 （1）router os

12、pf命令 该命令用来启动OSPF进程，命令格式 ，其中Process ID是OSPF的进程号，它的范围是165535。 （2）network ip命令 该命令用来定义参与OSPF的子网地址，它的命令的格式为 ，在单个IP地址参与OSPF时使用。 （3）range命令 该命令用于某一特定范围的子网聚合参与OSPF时定义参与的这一范围子网的子网，它的命令格式为 。 （4）passive-interface命令该命令用来配置OSPF的被动接口。 （5）distribute命令该命令用来配置路由过滤功能。 （6）distance命令该命令用来配置或改变OSPF的管理距离。 （7）redistribut

13、e metric命令该命令用来配置引入外部路由到OSPF的参数 。 （8）redistribute tag命令该命令用来配置引入外部路由时缺省的标记值。 （9）redistribute connected metric-type命令该命令用来设置个入外部路由时的外部路由类型 7.6 DHCP的功能及配置7.6.1 DHCP的原理 （1）当 DHCP 客户机第一次登录网络的时候该客户机没有任何 IP 数据设定，它将向网络发出一个 DHCPDISCOVER封包。由于客户端还不知道自己属于哪一个网络，所以封包的来源地址会，其目的地址则为55，向网络进行广播。

14、（2）一般默认DHCP discover 的等待时间为 1 秒，当客户机将第一个DHCPDISCOVER封包送出去之后，在 1 秒之内没有得到响应的话，就会进行第二次DHCPDISCOVER广播。客户端最多有四次广播，除了第一次会等待 1 秒之外，其余三次的等待时间分别是 9秒、13秒、16 秒。如果都没有得到 DHCP 服务器的响应，客户端则会显示错误信息，宣告 DHCPDISCOVER的失败。之后，系统会继续在 5 分钟之后再重复一次DHCPDISCOVER的过程。 （3） 当 DHCP 服务器监听到客户端发出的DHCPDISCOVER广播后，将会对客户机作出应答。它会从那些还没有租出的地

15、址中，选择最前面的闲置 IP，DHCP客户所需的 TCP/IP 设定，响应给客户端一个DHCPOFFER封包。 （4）DHCP协议允许网络上配置多台DHCP，客户机将会收到网络上多台 DHCP 服务器的响应，但它只会挑选其中一个DHCPOFFER，通常都是最先抵达的那个，然后客户机向网络发送一个DHCPREQUEST广播封包，告诉所有 DHCP 服务器它将接受哪一台服务器提供的IP地址。同时客户端还会向网络发送一个ARP封包，确认网络上是否有其它机器在使用该IP地址；如果发现该IP已经被占用，客户机则会发出一个DHCPDECLINE封包给 DHCP 服务器拒绝接受其DHCPOFFER并重新发送

16、 DHCPDISCOVER信息。 （5）当DHCP服务器接收到客户端的DHCPREQUEST封包之后，向客户端发出一个 DHCPACK响应，确认该IP租约的正式生效。图7-11 DHCP Server/Client工作模式图7-12 DHCP的工作流程7.6.2 DHCP的配置 DHCP的配置主要IP池的建立与配置以及数据库代理的配置。建立IP池后，进行DHCP配置模式，该配置模式下对DHCP进行配置，主要任务包括：IP池地址的子网地址、子网掩码以及缺省网关、域名、域名服务器IP地址、IP地址租用时间等的配置。1IP池的建立与配置 （1）IP池的建立 （2）IP池子网地址与子网掩码的配置 （3

17、）排除不用于动态分配的IP地址 （4）配置缺省网关 （5）配置IP地址池的域名系统 （6）IP地址租用时间2数据库代理的配置 DHCP数据库代理是用于存储DHCP绑定信息的一台主机。在一般情况下可以不对其进行配置。若不想配置DHCP数据库代理，则使用命令no ip dhcp conflict logging，该命令取消了地址冲突日志的记录的功能，以实现不配置数据库。7.7 IP访问控制列表的功能及配置 7.7.1 访问控制列表的作用 （1）限制网络流量 （2）限制通信流量 （3）网络安全访问 （4）限制通信类型图7-13 访问控制列表对数据包进行过滤7.7.2 访问控制列表的执行过程 访问控制

18、列表是一个连续的列表，该控制列表在建立并配置好后，接着其应用于一个接，一个VTY line或被其他命令引用后，列表开始生效。一个端口执行哪条访问控制列表，这需要按照列表中的条件语句执行顺序来判断。一般是从第一条开始顺序执行的，如果一个数据包的报头与表中的某个条件判断语句相匹配，那么后面的语句就将被忽略，不再进行检查，反之，才交给下一条语句进行比较。 7.7.3 访问控制列表的过滤准则 （1）过滤源地址或目的地址 该准则不仅可以允许或拒绝来自某源IP地址的数据包进入路由器，还可以允许和拒绝目的地址为某IP地址的数据包通过路由器。 （2）过滤端口号 该准则可以允许或拒绝某些协议的某些端口号的数据包

19、通过路由器。 （3）过滤协议 该准则可以允许或拒绝如TCP、UDP、ICMP等协议的数据包通过路由器。图7-14 访问控制列表的过滤准则7.7.4 访问控制列表的分类 （1）标准访问控制列表 标准访问控制列表基于网络地址的信息流，且只允许过滤源地址。标准IP访问表的表号标识是从199后来又扩展了范围13001999。 （2）扩展访问控制列表 扩展访问控制列表通过网络地址和传输中的数据类型进行信息流控制，允许过滤源地址、目的地址和上层应用数据，它既检查数据包的源地址，也检查数据包的目的地址，还检查数据包的特定协议类型、端口号等。 7.7.5 访问控制列表的重要参数 1表号和名字 表号是用来标识或

20、是引用某个访问控制列表。访问控制列名的名字用字符串来表示。2通配符掩码 访问控制列表的通配符掩码是一个32bit的数字字符串，它点分成4个8位，每组包含8bit。在通配符掩码位中，表示形式与IP地址的子网掩码相同。它实际上即是子网掩码的反码。 表7-2 访问控制列表表号范围 7.7.6 访问控制列表的配置1标准访问控制列表的配置 配置命令为 2扩展访问控制列表的配置 配置命令为：（1） ，“操作”的命令包括：“lt”（小于）、“gt”（大于）、“eq”（等于）、“neq”（不等于）。（2）3命名访问控制列表的配置 配置命令为（1）（2）permit/deny+协议+源IP地址+通配符掩码+目的

21、IP地址+通配符掩码+（操作）+（端口号） 第11章 网络管理本章要点： 11.1 基本概念 11.2 网络管理模型 11.3 ICMP协议 11.4 故障处理与漏洞扫描11.1.2 网络管理的功能1配置管理 配置管理监控网络及其所有设备的配置信息，其中包括MIB中定义的配置信息、网络管理标准中未定义但对设备重要的用于管理的辅助信息等的自动获取、自动配置与备份，路由器端口和信息设置的一致性检查以及用户操作日志等。2故障管理 故障管理将那些可能导致网络出现中断或瘫痪的因素指出来，并找出必须给予修复的错误。主要任务包括故障监控、报警、故障信息管理、排错支持工具以及检索及分析故障信息。3性能管理 性

22、能管理负责测量和监控网络运行的状态，如果某些参数的当前值超过了管理员预先设定好的阈值应及时通知。 4安全管理 安全管理负责保障网络正常工作，它设定若干的规则用于防止网络遭受有意或无意的破坏，同时防止对于敏感资源的未经授权访问。 5计费管理 计费管理负责测量与收集所有网络资源的使用情况。它的主要功能包括计费数据采集、数据管理与数据维护、计费政策制定、政策比较与决定比较、数据分析与费用计算以及数据查询。11.2 网络管理模型11.2.1 OSI管理模型图11-2 OSI管理模型11.2.2 CMIP管理模型由ISO公布 CMIP（通用管理信息协议，Common Management Informa

23、tion Protocol）是与通用管理信息服务CMIS同时使用的一种 ISO 协议，支持网络管理应用程序和管理代理之间的信息交换服务。CMIS 定义了一个网络管理信息服务系统。CMIP 提供的一个接口支持 ISO 和用户定义管理协议。 CMIP使用面向对象的模型来组织所有的管理信息，它将每个被管理的设备看成一个个对象，每个被管理的对象又包含若干硬、软件元素。 图11-3 MIB树的上层结构示意图11.2.3 SNMP管理模型1SNMP管理模型的基本概念 SNMP由一系列协议组和规范组成，它们提供了一种从网络上的设备中收集网络管理信息的方法。SNMP的体系结构分为SNMP管理者、SNMP代理和

24、MIB，其管理模型是一个管理/代理模型 。每一个支持SNMP的网络设备中都包含一个网管代理，网管代理随时记录网络设备的各种信息，网络管理程序再通过SNMP通信协议收集网管代理所记录的信息。从被管理设备中收集数据有两种方法：轮询方法与基于中断的方法。图11-4 SNMP管理模型2SNMP的管理进程和管理代理 SNMP定义了管理进程和管理代理之间的关系，这个关系称为共同体。位于网络管理工作站上和各网络元素上并利用SNMP相互通信，并实现对网络进行管理的软件统统称为SNMP应用实体。若干个应用实体和SNMP组合起来即形成了一个共同体，不同的共同体之间可以用名字来区分，但这些名字必须符合Interne

25、t的层次结构命名规则，应该无保留意义的字符串组成。 管理信息报文中包括以下两部分内容： （1）共同体名与发送方的一些附加信息 （2）数据4SNMP管理信息管MIB 管理信息库MIB也称为MIB-2，它指明了网络元素所维持的变量。MIB给出了一个网络中所有可能的被管理对象的集合的数据结构。表11-2 mib最初管理信息的类别4SNMP支持的操作 （1）get：用于获取特定对象的值，提取指定的网络管理信息。 （2）get-next：通过遍历MIB树获取对象的值，提供扫描MIB树和依次检索数据的方法。 （3）set：用于修改对象的值，对管理信息进行控制。 （4）trap：用于通报重要事件的发生，代理

26、使用它发送非请求性通知给一个或多个预配置的管理工作站，用于向管理者报告管理对象的状态变化。图11-5 管理信息库的树型结构5SNMP的工作 （1）Get Request （2）Get Next Request （3）Set Response （4）Get Response （5）Trap 重点提示：SNMP的体系结构分为SNMP管理者、SNMP代理和MIB，它是一个管理/代理模型。 SNMP现在已有三个版本。MIB-2采用和域名系统DNS相似的树型结构，SNMP所支持的操作包括Get Request、Get Next Request、Set Responset、Get Response和Trap。11.2.4 CMIP与SNMP管理模型的比较1网络管理的体系结构2管理信息结构SMI3网管协议4管理功能域与管理功能11.3 ICMP协议11.3.1 ICMP的基本概念 ICMP （Internet Control Message Protocol,， Internet控制消息协议）是TCP/IP协议集中的一个子协议，它是一个工作于网络层的协议，主要用于在主机与路由器之间传递报告错误、交换受限控制和状态信息等控制信息。 11.3.2 ICMP的报文格式 ICMP报文包含在IP数据报中，属于IP的一个用户，IP头部就在ICMP报文的前面，所以一个ICMP报文包括IP头部、