路由设备配置课件

第四章路由设备配置第四章路由设备配置目录项目1

路由器基本配置31项目2静态路由项目3动态路由项目4访问控制列表项目5DHCP与NAT项目6广域网链路项目7三层交换机配置234567目录项目1路由器基本配置31项目2静态路由项目32学习内容项目1路由器基本配置1.1项目背景1.2项目设计1.2.1拓扑设计1.2.2IP地址设计1.3项目实施1.3.1网络布线及清除设备配置1.3.2路由器基本信息配置1.3.3整理配置文档1.3.4路由器密码恢复1.3.5路由器IOS备份与升级1.4项目总结与文档1.4.1项目总结1.4.2项目文档1.5实训学习内容项目1路由器基本配置1.1项目背景31.1项目背景路由器是网络的核心，负责在网络间将数据包从初始源位置转发到最终目的地。路由器可以实现路由、网络访问控制、防止广播风暴，提高网络安全等功能。

路由器的安装和调试比较复杂，相对其他网络互连设备的价格较高。1.1项目背景路由器是网络的核心，负责在网络41.1.1需求分析需要尽快完成对公司路由器设备的检查和基本配置，使之能够在今后的网络建设中应用。1.1.1需求分析需要尽快完成对公司路由器设备的51.1.2环境准备设备：Cisco841路由器两台，以太网交换机1台，PC2台；线缆：标准直通线2根，交叉线1根，Null0串行电缆一组；每组2名学生，各操作一台PC，协同进行实训1.1.2环境准备设备：Cisco841路由器两台，以太网61.1.3技能准备1.认识路由器的组成路由器硬件及接口编号路由器软件（1）IOS（InternetworkOperatingSystem，互联网络操作系统）（2）运行配置文件（RunnningConfiguration）（3）启动配置文件（StartupConfiguration）1.1.3技能准备1.认识路由器的组成71.1.3技能准备2.路由器的启动过程（1）运行ROM中的POST（加电自检）程序，检测路由器的硬件（2）装载ROM中的Bootstrap代码（3）查找并加载IOS，如Flash和TFTP中都找不到IOS，则加载ROM中的MiniIOS，进入Rommon>模式（4）寻找并加载NVRAM中的启动配置startup-config到RAM，成为运行配置running-config；如果不能找到启动配置文件，路由器会提示用户进入设置模式，如下图：1.1.3技能准备2.路由器的启动过程81.1.3技能准备3.识别路由器的线缆控制台线缆以太网线缆串行广域网接口线缆1.1.3技能准备3.识别路由器的线缆91.1.3技能准备4.路由器配置途径带外配置（1）控制台端口方式（2）辅助端口AUX方式带内配置（1）远程登录（Telnet）方式（2）网络管理软件方式：基于图形化界面，操作简单，但需要安装额外的软件，而且不是所有的设备都支持。

1.1.3技能准备4.路由器配置途径101.2项目设计任务1：对使用路由器的网络进行布线连接并清除可能的配置；任务2：为路由器配置基本信息，如为路由器命名、配置标语、设置口令、配置接口地址等；任务3：整理配置文档以保存路由器配置信息；任务4：为路由器执行密码恢复过程；任务5：对路由器执行IOS备份与升级，并模拟执行IOS灾难恢复。1.2项目设计任务1：对使用路由器的网络进行布线连接并清除111.2.1拓扑设计1.2.1拓扑设计121.2.2IP地址设计本项目中局域网默认网关地址设计为所属网段第一个地址，而计算机地址采用第2个地址；串行链路接口地址采用所属网段的前两个地址具体设备接口地址设计方案如下表：1.2.2IP地址设计本项目中局域网默认网关地址设计为所131.3项目实施1.3.1网络布线及清除设备配置1.3.2路由器基本信息配置1.3.3整理配置文档1.3.4路由器密码恢复1.3.5路由器IOS备份与升级

1.3项目实施1.3.1网络布线及清除设备配置141.3.1网络布线及清除设备配置按照拓扑设计实施网络布线测试路由器连接清除配置并重新加载路由器Router>enableRouter#erasestartup-configErasingthenvramfilesystemwillremoveallfiles!Continue?[confirm][OK]Eraseofnvram:completeRouter#reload1.3.1网络布线及清除设备配置按照拓扑设计实施网络布线151.3.2路由器基本信息配置

为路由器配置主机名、禁用DNS查找及标语等全局信息为路由器配置各种口令及加密Router(config)#hostnameR1R1(config)#noipdomain-lookupR1(config)#bannermotd@Autorizedaccessonly!@配置执行模式口令为"class"R1(config)#enablepasswordclassR1(config)#enablesecretclass配置控制台口令为“cisco”R1(config)#lineconsole0R1(config-line)#passwordciscoR1(config-line)#login配置虚拟终端线路口令为“cisco”R1(config)#linevty04R1(config-line)#passwordciscoR1(config-line)#login口令加密R1(config)#servicepassword-encryption1.3.2路由器基本信息配置为路由器配置主机名、禁用DN161.3.2路由器基本信息配置为路由器配置接口信息保存配置配置局域网接口f0/0R1(config)#intf0/0R1(config-if)#descriptionto_PC1R1(config-if)#ipaddressR1(config-if)#noshutdown配置广域网接口s0/0/0为DCE接口，时钟频率设置为64000R1(config-if)#ints0/0/0R1(config-if)#descriptionto_R2R1(config-if)#ipaddressR1(config-if)#clockrate64000R1(config-if)#noshutdownR1(config-if)#exitR1#copyrunning-configstartup-config1.3.2路由器基本信息配置为路由器配置接口信息配置局171.3.2路由器基本信息配置配置R2及PC对R2及PC重复上述配置，注意主机名、接口地址的不同检验并测试配置R1#showiproute……(略)C/24isdirectlyconnected,FastEthernet0/0C/24isdirectlyconnected,Serial0/0/0R1#1.3.2路由器基本信息配置配置R2及PCR1#sho181.3.3

整理配置文档路由器配置可以截取到文本(.txt)文件并保存下来供今后使用，保存的配置还可以复制回路由器，这样在快速恢复路由器配置时就不需要逐一输入命令了：（1）使用showrunning-config命令查看路由器的当前运行配置。（2）复制输出内容并将其粘贴到文本文件R1_config.txt中（3）编辑配置文件中的命令从文本文件R1_config.txt中快速恢复配置1.3.3整理配置文档路由器配置可以截取到文本(.t191.3.4路由器密码恢复密码恢复原理：路由器启动时绕过Startup-config正常情况下路由器的配置寄存器的值是0x2102，会在完成IOS加载后读取启动配置；而当配置寄存器值为0x2142时，路由器启动时会忽略Startup-config，直接进入setup模式。利用该特性，只要将配置寄存器值修改为0x2142，就可以跳过启动配置，进而完成密码重置和恢复。1.3.4路由器密码恢复密码恢复原理：路由器启动时绕过S201.3.4路由器密码恢复路由器密码恢复步骤路由器重启的60秒内按住键盘上的Ctrl+Break进入监控模式rommon1>confreg0x2142Rommon2>resetRouter>Router>enableRouter#copystartup-configrunning-configR1#configureterminalR1(config)#enablesecretnewpassR1(config)#config-register0x2102R1(config)#exitR1#copyrunning-configstartup-configR1#reload1.3.4路由器密码恢复路由器密码恢复步骤211.3.5路由器IOS备份与升级将R1路由器的IOS备份到TFTP服务器步骤1：确保路由器与TFTP的连通步骤2：查看路由器IOS文件，记下IOS的文件名。步骤3：备份flash中的IOS到TFTP服务器R1#copyflashtftpSourcefilename[]?c1841-ipbase-mz.123-14.T7.binAddressornameofremotehost[]?Destinationfilename[c1841-ipbase-mz.123-14.T7.bin]?Writingc1841-ipbase-mz.123-14.T7.bin....!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![OK-13832032bytes]1.3.5路由器IOS备份与升级将R1路由器的IOS备221.3.5路由器IOS备份与升级从TFTP服务器恢复或升级R1路由器的IOS文件步骤1：确保路由器与TFTP的连通步骤2：查看TFTP上保存的IOS文件，记下IOS的文件名。步骤3：恢复或升级IOS到路由器的flash，确保flash闪存空间足够R1#copytftpflash

Addressornameofremotehost[]?Sourcefilename[]?c1841-ipbase-mz.123-14.T7.binDestinationfilename[c1841-ipbase-mz.123-14.T7.bin]?1.3.5路由器IOS备份与升级从TFTP服务器恢复或231.3.5路由器IOS备份与升级路由器IOS丢失的灾难恢复步骤如下：确认TFTP服务器已连接到R1的f0/0，假设TFTP服务器地址为；启动路由器，读取ROM中的MiniIOS进入路由器的rommonitor模式，提示符：rommon1>在R1上配置如下命令（注意区分大小写）rommon1>IP_ADDRESS=rommon2>IP_SUBNET_MASK=rommon3>DEFAULT_GATEWAY=rommon4>TFTP_SERVER=rommon5>TFTP_FILE=c1841-ipbase-mz.123-14.T7.binrommon6>setrommon7>tftpdnldrommon8>resetR1>1.3.5路由器IOS备份与升级路由器IOS丢失的灾难241.4项目总结与文档本项目介绍了如何对路由器进行布线连接和基本参数的配置：路由器的控制台连接、以太网连接和串行连接分别使用Console电缆、标准直通线和交叉线、Null0串行电缆；路由器在进行初始配置之前应使用erasestartup-config清除可能的配置并重启；路由器的初始配置包括为路由器命名、配置标语、设置口令、配置接口地址等；将路由器的配置寄存器值改为0x2142，可使路由器启动时跳过启动配置Startup-config，进而实现密码恢复；借助TFTP服务器可以备份、升级或者恢复路由器IOS请在项目结束后完成项目规划及实施报告（参见教材1.4.2）1.4项目总结与文档本项目介绍了如何对路由器进行布线连接和251.5实训1、通过控制台方式完成路由器的主机名、标语、口令、接口地址等初始配置；2、两人一组完成路由器密码破解；3、利用文本文件完成路由器配置的备份和快速恢复；4、利用TFTP完成路由器IOS文件的升级与灾难恢复。1.5实训1、通过控制台方式完成路由器的主机名、标语、口令26学习内容项目2静态路由2.1项目背景2.2项目设计2.2.1拓扑设计2.2.2IP地址设计2.3项目实施2.3.1配置静态路由2.3.2配置默认路由2.3.3配置总结路由2.4项目总结与文档2.4.1项目总结2.4.2项目文档2.5实训学习内容项目2静态路由2.1项目背景272.1项目背景某公司网络是由三个路由器互相连接而成的，拓扑比较稳定且结构相对简单。2.1项目背景某公司网络是由三个路由器互相连接而成282.1.1需求分析静态路由和动态路由是两种不同的路由策略，针对不同的网络应该采用不同的路由策略：对于规模不大而且结构不经常变化的网络，静态路由策略非常简单高效；而对于大规模复杂网络和经常变化的网络，则动态路由比较高效。

本项目网络拓扑比较稳定且结构相对简单，可以配置静态路由以实现网络的连通。2.1.1需求分析静态路由和动态路由是两种不同的292.1.2环境准备设备：Cisco841路由器3台，以太网交换机3台（可省略），PC3台；线缆：标准直通线6根（或交叉线3根），Null0串行电缆2组，控制台电缆2条；每组2名学生，各操作一台PC，协同进行实训2.1.2环境准备设备：Cisco841路由器3台，以太网302.1.3技能准备1.路由表分析路由表是保存在RAM中的数据文件，其中存储了与直连网络以及远程网络相关的信息，路由器就是依靠路由表来转发数据包到目的网络的。2.1.3技能准备1.路由表分析312.1.3技能准备2.路由类型（1）直连路由：即路由器的直连网络的路由，是在接口配置了地址并启用后由路由器直接添加的。由于直连路由反映的是接口所直接连接的网络，非“二手”信息，因此其可信程度是最高的。（2）静态路由：由管理员手工输入的指向远程网络的路由，它不会自动跟随网络拓扑的变化而变化。静态路由不会占用路由器的CPU和RAM，也不占用线路的带宽，一般适用于结构比较简单的网络。静态路由的可信度比直连路由略低。（3）动态路由：由路由协议生成的指向远程网络的路由，由运行同一种路由协议的多个路由器动态交换路由表信息而来。当目标网络有多条路径时，其中一条路径失效时，动态路由会自动切换到另一条路径，能及时反应网络的变化。动态路由可信度较低。（4）默认路由：默认路由是一种特殊的静态路由，指的是当路由表中与数据包的目的地址之间没有匹配的表项时路由器能够做出的选择。如果没有默认路由，那么目的地址在路由表中没有匹配表项的包将被丢弃。2.1.3技能准备2.路由类型322.1.3技能准备3.iproute命令路由器用来配置静态路由的全局命令，命令格式如下：iprouteprefixmask{address|interface}[distance][permanent]相关参数说明如下：Prefix：所要到达的目的网络Mask：子网掩码Address：下一个跳的IP地址，即相邻路由器的端口地址Interface：本地网络接口Distance：管理距离（可选）Permanent：指定路由的永久性，即使该端口关掉也不被移掉。2.1.3技能准备3.iproute命令332.1.3技能准备4.末节网络路由问题末节网络是只能通过单条路由访问的网络。从一个网络路由到末节网络时，一般使用静态路由；而末节路由器访问其他网络时，适合使用默认路由。配置默认路由的全局命令：iproute{ip-address|interface}

2.1.3技能准备4.末节网络路由问题342.2项目设计任务1：根据拓扑图进行网络布线连接并清除设备可能的配置，然后使用地址表中提供的IP地址为网络设备分配地址，并执行初始路由器配置；任务2：为路由器配置静态路由使网络畅通；任务3：为路由器配置默认路由使网络畅通；任务4：为路由器配置静态总结路由使网络畅通；任务5：记录网络配置并清理实验设备。2.2项目设计任务1：根据拓扑图进行网络布线连接并清除设备352.2.1拓扑设计2.2.1拓扑设计362.2.2IP地址设计2.2.2IP地址设计372.3项目实施2.3.1配置静态路由2.3.2配置默认路由2.3.3配置总结路由

2.3项目实施2.3.1配置静态路由382.3.1配置静态路由使用下一跳地址配置静态路由使用送出接口配置静态路由R1(config)#iprouteR1(config)#iprouteR2(config)#iprouteR2(config)#iprouteR3(config)#iprouteR3(config)#iprouteR1(config)#iproutes0/0/0R1(config)#iproutes0/0/0R2(config)#iproutes0/0/0R2(config)#iproutes0/0/1R3(config)#iproutes0/0/1R3(config)#iproutes0/0/12.3.1配置静态路由使用下一跳地址配置静态路由R1(c392.3.1配置静态路由

查看路由表并测试网络R2上路由表输出如下，R1、R3类似测试网络连通性：各主机之间应该已经全部能ping通了R2#showiprouteGatewayoflastresortisnotset/24issubnetted,3subnetsCisdirectlyconnected,FastEthernet0/0Cisdirectlyconnected,Serial0/0/0Sisdirectlyconnected,Serial0/0/0C/24isdirectlyconnected,Serial0/0/1S/24[1/0]via2.3.1配置静态路由查看路由表并测试网络R2#show402.3.2配置默认路由首先要删除已配置的静态路由配置静态默认路由查看R1路由表测试网络连通性，网络应该还是通的R1(config)#noiprouteR1(config)#noiprouteR1(config)#noiproutes0/0/0R1(config)#noiproutes0/0/0R1#showiprouteR1(config)#iproute或者R1(config)#iproutes0/0/02.3.2配置默认路由首先要删除已配置的静态路由R1(412.3.3配置总结路由在R3上重新配置总结静态路由showiproute命令检查

R3(config)#iprouteR3(config)#noiprouteR3(config)#noiprouteR3(config)#noiproutes0/0/1R3(config)#noiproutes0/0/12.3.3配置总结路由在R3上重新配置总结静态路由R422.4项目总结与文档本项目学习了路由表及静态路由、默认路由、总结路由的配置：路由表是存储了网络相关信息的数据表，包含有路由类型、网络地址和子网掩码、出站接口、下一跳地址等信息，路由器就是依靠路由表来转发数据包的；静态路由是由管理员手工输入的路由，它不会自动跟随网络拓扑的变化而变化，一般适用于结构比较简单的网络，通过iproute命令来配置；默认路由是指当路由表中与数据包的目的地址之间没有匹配的表项时路由器能够做出的选择。静态默认路由通常用来表示，在末节网络中，配置静态默认路由可以大大减少管理工作量；总结路由是指对彼此非常接近的多个网络进行超网化得出的一条路由，可缩小路由表的大小，从而使得路由查找过程更有效率。请在项目结束后完成项目规划及实施报告（参见教材2.4.2）2.4项目总结与文档本项目学习了路由表及静态路由、默认路由432.5实训1、按本项目网络拓扑完成布线连接2、清除路由器设备上的配置并按本项目要求设置主机名、口令、接口地址3、分别用静态路由、默认静态路由和总结静态路由完成路由配置4、将路由器配置整理保存到相应的文本文件中2.5实训1、按本项目网络拓扑完成布线连接44学习内容项目3动态路由3.1项目背景3.2项目设计3.2.1拓扑设计3.2.2IP地址设计3.3项目实施3.3.1动态路由协议RIP3.3.2动态路由协议EIGRP3.3.3动态路由协议OSPF3.4项目总结与文档3.4.1项目总结3.4.2项目文档3.5实训学习内容项目3动态路由3.1项目背景453.1项目背景某家成长中的公司，由于公司的发展和业务调整，公司网络面临着经常变化的状况，请为公司网络配置路由以满足网络的有效运行。3.1项目背景某家成长中的公司，由于公司的发展和业463.1.1需求分析静态路由由于需要管理员根据网络状况手动添加,当网络规模较大或经常容易发生结构变化时，将给管理员带来极大的工作量，而且容易出错。此时，采用路由器自动计算路由的动态路由将给网络管理带来极大的方便。而且，在大型公司网和ISP网络中，采用静态路由几乎是不可能的。

本案例项目中的网络面临着经常变化的状况，可以配置动态路由以满足网络的有效运行3.1.1需求分析静态路由由于需要管理员根据网络473.1.2环境准备设备：Cisco2811路由器3台，以太网交换机3台（可省略），PC3台；线缆：标准直通线6根（或交叉线3根），Null0串行电缆3组，控制台电缆3条；每组3名学生，各操作一台PC，协同进行实训3.1.2环境准备设备：Cisco2811路由器3台，以483.1.3技能准备1.了解动态路由协议RIP（路由信息协议）是最早出现的路由协议，目前已经演变到RIPv2版，但新版的RIP协议仍旧不具有扩展性，无法用于较大型的网络为了满足大型网络的需要，两种高级路由协议——OSPF协议和IS-IS协议应运而生。Cisco也推出了面向大型网络的IGRP和EIGRP协议不同网际网络之间的互联也提出对网间路由的需求。现在，各ISP之间以及ISP与其大型专有客户之间采用BGP协议来交换路由信息3.1.3技能准备1.了解动态路由协议493.1.3技能准备2.

路由协议分类（1）内部网关协议和外部网关协议（2）距离矢量路由协议和链路状态路由协议（3）有类路由协和议无类路由协议3.管理距离

管理距离(AD)是从0到255的整数值，用来定义路由来源的优先级别，值越低表示路由来源的优先级别越高。0表示优先级别最高；255表示路由器不信任该路由来源，并且不会将其添加到路由表中。

直连路由的管理距离为0，且这个值不能更改；而静态路由的管理距离为1；动态路由的管理距离各不相同，如：RIP—120、EIGRP—90、OSPF—80。可以修改静态路由和动态路由协议的管理距离，如果从多个不同的路由来源获取到同一目的网络的路由信息，Cisco路由器会使用AD值小的来选择最佳路径。3.1.3技能准备2.路由协议分类503.2项目设计任务1：按照拓扑设计连接网络，清除可能的设备配置并完成网络初始配置；任务2：为网络配置Rip路由实现网络连通；任务3：为网络配置EIGRP路由实现网络连通；任务4：为网络配置OSPF路由实现网络连通；任务5：记录网络并清理实验设备3.2项目设计任务1：按照拓扑设计连接网络，清除可能的设备513.2.1拓扑设计3.2.1拓扑设计523.2.2IP地址设计3.2.2IP地址设计533.3项目实施3.3.1动态路由协议RIP使用提供的脚本加载路由器配置到R1、R2和R3检查网络的当前状态3.3项目实施3.3.1动态路由协议RIP543.3项目实施3.3.1动态路由协议RIP配置RIPv2检验路由器上是否正在运行RIPv2检查RIP的自动总结禁用自动总结检查路由表R1(config)#routerripR1(config-router)#version2R2(config)#routerripR2(config-router)#version2R3(config)#routerripR3(config-router)#version2R1(config-router)#noauto-summaryR2(config-router)#noauto-summaryR3(config-router)#noauto-summary3.3项目实施3.3.1动态路由协议RIPR1(confi553.3.2动态路由协议EIGRP网络布线及路由器初始配置 步骤1：布线、清除配置并重新启动路由器 步骤2：执行路由器基本配置 步骤3：配置接口地址启动EIGRP并通告本地直连网络R1(config)#routereigrp1R1(config-router)#networkR1(config-router)#networkR2(config)#routereigrp1R2(config-router)#networkR2(config-router)#networkR3(config)#routereigrp1R3(config-router)#networkR3(config-router)#networkR3(config-router)#network3.3.2动态路由协议EIGRP网络布线及路由器初始配置563.3.2动态路由协议EIGRP检验EIGRP运行情况（1）showipeigrpneighbors查看邻居（2）showipprotocols检验EIGRP是否已启用（3）showiproute查看路由表中的EIGRP路由配置EIGRP度量使用showipinterface命令检验每条链路的带宽值R1(config)#interfaceserial0/0/0R1(config-if)#bandwidth64R2(config)#interfaceserial0/0/0R2(config-if)#bandwidth64R2(config)#interfaceserial0/0/1R2(config-if)#bandwidth1024R3(config)#interfaceserial0/0/1R3(config-if)#bandwidth10243.3.2动态路由协议EIGRP检验EIGRP运行情573.3.2动态路由协议EIGRP禁用EIGRP自动总结配置手动总结禁用自动总结可以让路由传递更准确，但有时也需要总结路由。可以配置手动总结路由来简化路由表。配置过程请参见教材3.3.2相关部分。R1(config)#routereigrp1R1(config-router)#noauto-summaryR2(config)#routereigrp1R2(config-router)#noauto-summaryR3(config)#routereigrp1R3(config-router)#noauto-summary3.3.2动态路由协议EIGRP禁用EIGRP自动总583.3.3动态路由协议OSPFEIGRP是Cisco专用路由协议，只能使用在Cisco的路由器上。当网络中有其他厂商的路由器时，就只能使用OSPF协议。OSPF是一种链路状态路由协议，支持无类网络和不连续网络，收敛速度快，适用于大型网络启动OSPF并通告本地直连网络R1(config)#noroutereigrp1R1(config)#routerospf1R1(config-router)#network55area0R1(config-router)#network55area0R1(config-router)#networkarea0R2(config)#noroutereigrp1R2(config)#routerospf1R2(config-router)#network55area0R2(config-router)#network55area0R2(config-router)#networkarea0R3(config)#noroutereigrp1R3(config)#routerospf1R3(config-router)#network55area0R3(config-router)#networkarea0R3(config-router)#networkarea03.3.3动态路由协议OSPFEIGRP是Cisco专用路593.3.3动态路由协议OSPF配置OSPF路由器IDCisco路由器按下列顺序根据下列三个条件得出路由器ID：（1）通过OSPFrouter-id命令配置的IP地址（2）路由器的环回地址中的最高IP地址（3）路由器的所有物理接口的最高活动IP地址配置环回接口改变路由器ID：R1(config)#interfaceloopback0R1(config-if)#ipaddress55R2(config)#interfaceloopback0R2(config-if)#ipaddress55R3(config)#interfaceloopback0R3(config-if)#ipaddress55使用router-id命令更改路由器ID：R1(config)#routerospf1R1(config-router)#router-id3.3.3动态路由协议OSPF配置OSPF路由器ID603.3.3动态路由协议OSPF验证OSPF的运行情况showiprouteospf查看路由表中OSPF路由配置OSPF开销R1(config)#interfaceserial0/0/0R1(config-if)#bandwidth64R1(config-if)#interfaceserial0/0/1R1(config-if)#bandwidth256R2(config)#interfaceserial0/0/0R2(config-if)#bandwidth64R2(config)#interfaceserial0/0/1R2(config-if)#bandwidth128R2(config)#interfaceserial0/0/0R2(config-if)#bandwidth256R2(config)#interfaceserial0/0/1R2(config-if)#bandwidth1283.3.3动态路由协议OSPF验证OSPF的运行情况R613.3.3动态路由协议OSPF重新分配OSPF默认路由记录网络配置并清理实验设施R2(config)#interfaceloopback1R2(config-if)#ipaddress52R2(config)#iprouteloopback1R2(config)#routerospf1R2(config-router)#default-informationoriginateR2(config-router)#3.3.3动态路由协议OSPF重新分配OSPF默认路由623.4项目总结与文档本项目介绍了网络中的动态路由协议和配置方法：RIPv2支持无类网络和不连续网络；OSPF协议是适用于大型网络的收敛较快的链路状态路由协议，而EIGRP是Cisco专用的高效路由协议，目前多数网络都采用后两种协议；

EIGRP路由域内的所有路由器必须使用相同的进程ID号，OSPF配置命令中的进程号只具有本地意义，各路由器的进程ID号可以不同；默认情况下，EIGRP是启用自动总结的，而OSPF是禁用自动总结的；Cisco路由器根据三个条件得出路由器ID：OSPFrouter-id命令配置的IP地址；环回接口地址最高IP地址；物理接口最高活动IP地址。路由器ID最大的路由器将成为DR。请在项目结束后完成项目规划及实施报告（参见教材3.4.2）3.4项目总结与文档本项目介绍了网络中的动态路由协议和配置633.5实训1、按本项目网络拓扑完成布线连接2、清除路由器设备上的配置并按本项目要求设置主机名、口令、接口地址3、分别用RIP路由、EIGRP路由和OSPF路由完成路由配置，使网络畅通4、将路由器配置整理保存到相应的文本文件中3.5实训1、按本项目网络拓扑完成布线连接64学习内容项目4访问控制列表4.1项目背景4.2项目设计4.2.1拓扑设计4.2.2IP地址设计4.3项目实施4.3.1标准ACL4.3.2扩展ACL4.3.3命名ACL4.3.4基于时间的ACL4.3.5动态ACL4.3.6自反ACL4.4项目总结与文档4.4.1项目总结4.4.2项目文档4.5实训学习内容项目4访问控制列表4.1项目背景654.1项目背景你受聘于一家公司做网络管理员，公司网络已全部连通，现希望能阻止不合理的和非法的流量，在允许特定流量的同时阻止网络中的所有其它流量，从而保护企业网络安全。4.1项目背景你受聘于一家公司做网络管理员，公司网664.1.1需求分析数据在网络上的任意流动会给网络带来很多安全问题：一方面，为了业务的发展，必须允许对网络资源开放访问权限；另一方面，又必须确保数据和资源的尽可能安全。

网络安全采用的技术很多，访问控制列表是最重要的技术之一。本项目中的安全需求就可以通过访问控制列表实现。4.1.1需求分析数据在网络上的任意流动会给网络带674.1.2环境准备设备：Cisco2811路由器3台，PC3台；线缆：标准交叉线3根，Null0串行电缆2组，控制台电缆1根；每组2名学生，各操作一台PC，协同进行实训4.1.2环境准备设备：Cisco2811路由器3台，PC684.1.3技能准备1.访问控制列表简介

访问控制列表（ACL）是一种路由器配置脚本，它根据从数据包报头中发现的条件（源地址、目的地址、源端口、目的端口和协议等）来控制路由器应该允许还是拒绝数据包通过，从而达到访问控制的目的。ACL可以实现的主要功能如下：（1）检查和过滤数据包（2）限制网络流量，提高网络性能（3）限制或减少路由更新的内容（4）提供网络访问的基本安全级别4.1.3技能准备1.访问控制列表简介694.1.3技能准备2.配置ACL的原则（1）3P原则（2）顺序处理原则（3）最小特权原则（4）最靠近受控对象原则4.1.3技能准备2.配置ACL的原则704.1.3技能准备3.CiscoACL类型（1）标准ACL：标准ACL比较简单，根据数据包的源IP地址进行过滤。其表号范围是1~99或1300~1999（2）扩展ACL：扩展ACL根据多种属性（协议类型、源IP地址、目的IP地址、源TCP或UDP端口、目的TCP或UDP端口）过滤IP数据包，并可依据协议类型信息进行更为精确的控制。其表号范围是100~199或2000~2699（3）动态ACL：除非使用Telnet连接路由器并通过身份验证，否则要求通过路由器的用户都会遭到拒绝。（4）基于时间的ACL：允许根据一周以及一天内的时间来控制访问（5）自反ACL：允许出站流量，而入站流量只能是对路由器内部发起的会话的响应。4.1.3技能准备3.CiscoACL类型714.2项目设计任务1：使用标准访问控制列表实现公司网络安全策略任务2：使用扩展ACL实现内部LAN安全策略任务3：使用命名扩展ACL实现外网对内部访问的安全策略任务4：使用基于时间的ACL实现对路由器的Telnet访问控制任务5：使用动态ACL实现网络访问安全策略任务6：使用自反ACL实现内网主机可以主动访问外网，但是外网主机不能主动访问内网，从而有效保护内网。4.2项目设计任务1：使用标准访问控制列表实现公司网络安全724.2.1拓扑设计4.2.1拓扑设计734.2.2IP地址设计4.2.2IP地址设计744.3项目实施4.3.1标准ACL4.3.2扩展ACL4.3.3命名ACL4.3.4基于时间的ACL4.3.5动态ACL4.3.6自反ACL

4.3项目实施4.3.1标准ACL754.3.1标准ACL具体安全需求：定义一个标准ACL拒绝PC2所在的业务部网段访问R3的所有直连网络；同时允许管理员主机PC1访问路由器R1、R2、R3的Telnet服务，对路由器进行远程网络管理在R1上创建并应用标准号码式ACL在R2上创建并应用标准号码式ACLR1(config)#access-list2remarkONLYHOSTPC1CANTELNETR1(config)#access-list2permithost00R1(config)#linevty04R1(config-line)#access-class2inR1(config-line)#passwordciscoR1(config-line)#loginR1(config-line)#endR2(config)#access-list2remarkONLYHOSTPC1CANTELNETR2(config)#access-list2permithost00R2(config)#linevty04R2(config-line)#access-class2inR2(config-line)#passwordciscoR2(config-line)#login4.3.1标准ACL具体安全需求：R1(config)#764.3.1标准ACL在R3上创建并应用ACL2和ACL1R3(config)#access-list2remarkONLYHOSTPC1CANTELNETR3(config)#access-list2permithost00R3(config)#linevty04R3(config-line)#access-class2in//入方向R3(config-line)#passwordciscoR3(config-line)#loginR3(config-line)#exitR3(config)#access-list1remarkDENYNETWORKFROMR1R3(config)#access-list1deny55R3(config)#access-list1permitanyR3(config)#ints0/0/1R3(config-if)#ipaccess-group1outR3(config-if)#end4.3.1标准ACLR3(config)#access-774.3.2扩展ACL注意：定义扩展ACL规则比较复杂，应该严格规划，认真实施步骤1：规划ACL实施内部LAN安全策略对于/24网络，阻止telnet访问所有位置，并且阻止通过TFTP访问地址为54的企业Web/TFTPServer，允许所有其它访问；对于/24网络，允许通过TFTP和Web访问地址为54的Web/TFTPServer。阻止从/24网络发往/24网络的所有其它流量，允许所有其它访问用两个扩展ACL实施内部LAN安全策略：ACL110支持策略的第一部分，配置在R1上并应用于F0/0接口的入站流量；ACL120支持策略的第二部分，配置在R1上并应用于F0/1接口的入站流量。4.3.2扩展ACL注意：定义扩展ACL规则比较复杂，784.3.2扩展ACLR1配置（ACL110）：R1(config)#access-list110remarkTHISISANEXAMPLEFOREXTENDEDACLR1(config)#access-list110denytcp55anyeqtelnet//阻止/24网络中的所有IP地址telnet至任何位置R1(config)#access-list110denyudp55host54eqtftp//阻止/24网络通过TFTP访问地址为54的主机R1(config)#access-list110permitipanyany//允许所有其它流量4.3.2扩展ACLR1配置（ACL110）：794.3.2扩展ACLR1配置（ACL120）：R1(config)#access-list120permittcp55host54eqwww//允许/24网络通过WWW访问地址为54的主机R1(config)#access-list120permitudp55host54eqtftp//允许/24网络通过TFTP访问地址为54的主机R1(config)#access-list120denyip5555//阻止从/24网络发往/24网络的所有其它流量R1(config)#access-list120permitipanyany//允许所有其它流量将ACL应用到尽量靠近源的位置R1(config)#interfacefa0/0R1(config-if)#ipaccess-group110inR1(config-if)#interfacefa0/1R1(config-if)#ipaccess-group120in4.3.2扩展ACLR1配置（ACL120）：804.3.2扩展ACL步骤2：规划ACL实施外网对内部访问的安全策略对于通过ISP进入的Internet流量，仅允许外部主机通过端口80与内部WebServer建立Web会话；仅允许已建立TCP会话进入；仅允许ping应答通过R2。用一个扩展命名ACL实施外网对内部访问的安全策略：在R2上配置扩展命名ACL并应用于S0/1/0接口的入站方向，见下页4.3.2扩展ACL步骤2：规划ACL实施外网对内部访问814.3.3命名ACLR2配置：R2(config)#ipaccess-listextendedFIREWALLR2(config-ext-nacl)#permittcpanyhost54eqwwwR2(config-ext-nacl)#permittcpanyanyestablishedR2(config-ext-nacl)#permiticmpanyanyecho-replyR2(config-ext-nacl)#denyipanyany将扩展命名ACL应用到接口R2(config)#interfaces0/0/0R2(config-if)#ipaccess-groupFIREWALLin4.3.3命名ACLR2配置：824.3.4基于时间的ACL具体安全需求：

定义基于时间的ACL，只允许主机PC1在工作时间（周一到周五的每天8：00—下午5：00）访问路由器R3的Telnet服务配置时间段，定义正常上班的时间段配置ACL，并应用时间段，以实现基于时间段的访问控制将ACL应用到F0/0接口的入方向R1(config)#time-rangeWORKTIMER1(config-time-range)#periodicweekdays8:00to17:00//定义时间范围R1(config-time-range)#exitR1(config)#intf0/0R1(config-if)#ipaccess-group200inR1(config-if)#endR1(config)#access-list200permittcphost00hosteqtelnettime-rangeWORKTIMER1(config)#access-list200permittcphost00hosteqtelnettime-rangeWORKTIME4.3.4基于时间的ACL具体安全需求：R1(confi834.3.5动态ACL具体安全需求：

定义动态ACL，如果PC1所在网段（/24）想要访问Web/FTPServer（IP地址为54），必须先Telnet路由器R2成功后才能访问建立本地验证的用户名和密码定义扩展命名ACL，实现对R2的Telnet访问和动态ACL属性设置VTY本地验证并设置自动执行的命令R2(config)#usernameciscopasswordciscoR2(config)#linevty04R2(config-line)#loginlocal//本地验证R2(config-line)#autocommandaccess-enablehosttimenout5R2(config)#ipaccess-listextendedmyaclR2(config-ext-nacl)#permittcp55hosteqtelnet//允许/24网段到路由器R2的Telnet流量R2(config-ext-nacl)#permittcp55hosteqtelnetR2(config-ext-nacl)#permiteigrpanyany//允许eigrp流量R2(config-ext-nacl)#permitdynamicDYACLtimeout60permittcp55host54eqwww

//定义动态ACLDYACL，绝对超时时间为60分钟R2(config-ext-nacl)#exit4.3.5动态ACL具体安全需求：R2(config)#u844.3.6自反ACL具体安全需求：

为下面图示的网络定义自反ACL，实现内网主机可以主动访问外网，但是外网主机不能主动访问内网，从而有效保护内网4.3.6自反ACL具体安全需求：854.3.6自反ACL在路由器R2上配置自反ACL将创建的自反列表应用于相应的接口R2(config)#intS0/1/0//连接外网的内网路由器接口R2(config-if)#ipaccess-groupREFINin

//应用外网访问内网的ACLR2(config-if)#ipaccess-groupREFOUTout

//应用内网用户访问外网的ACLR2(config)#ipaccess-listextendedREFOUT

//定义内网访问外网的ACLR2(config-ext-nacl)#permittcpanyanyreflectREF

//自反列表的名字为REFR2(config-ext-nacl)#permitudpanyanyreflectREFR2(config-ext-nacl)#permiticmpanyanyreflectREFR2(config)#ipaccess-listextendedREFIN

//定义外网访问内网的ACLR2(config-ext-nacl)#evaluateREF4.3.6自反ACL在路由器R2上配置自反ACLR2(c864.4项目总结与文档本项目介绍了如何通过访问控制列表ACL来实现安全策略：标准ACL只根据数据包的源IP地址进行过滤，其表号范围是1~99或1300~1999；扩展ACL根据源IP地址、目的IP地址、源端口、目的端口等过滤数据包，并可依据协议类型信息进行更为精确的控制，其表号范围是100~199或2000~2699；命名ACL包括标准命名ACL和扩展命名ACL两种，定义和修改起来比数字式的ACL更方便灵活；基于时间的ACL在标准ACL或扩展ACL后应用时间段选项以实现基于时间段的访问控制；动态ACL使用户能在防火墙中临时打开一个缺口，而不会破坏其他已配置的安全限制；自反ACL可以只允许出去的流量，但是阻止从外部网络主动产生的向内部网络的流量；配置ACL的过程都是要先定义ACL，再将其应用到某个位置。请在项目结束后完成项目规划及实施报告（参见教材4.4.2）4.4项目总结与文档本项目介绍了如何通过访问控制列表ACL874.5实训1、按项目网络拓扑和地址规划表完成布线连接及网络配置，实现网络连通；2、配置标准ACL、扩展ACL以及命名扩展ACL实现网络基本流量控制策略；3、配置基于时间的ACL实现按时间访问网络（选做）；4、配置动态ACL实现特殊访问需求（选做）；5、配置自反ACL实现对内网的保护（选做）。4.5实训1、按项目网络拓扑和地址规划表完成布线连接及网络88学习内容项目5DHCP与NAT5.1项目背景5.2项目设计5.2.1拓扑设计5.2.2IP地址设计5.3项目实施5.3.1DHCP5.3.2静态NAT5.3.3动态NAT5.3.4NAT过载5.4项目总结与文档5.4.1项目总结5.4.2项目文档5.5实训学习内容项目5DHCP与NAT5.1项目背景895.1项目背景某公司网络由多个私有地址空间的网络互连而成，内网已正确部署了RIPv2路由。

现需要将公司内部网络连接到外网让所有员工能访问互连网，同时内网的Web服务器需要能在外网访问；客户端的IP地址要统一分配和管理。

已知公司申请的公有地址块是2028/305.1项目背景某公司网络由多个私有地址空间的网络905.1.1需求分析在本案例项目中，要想将私有地址空间的公司内网连接到公有网络，必须要进行网络地址转换。可以在连接外网的边界路由器配置静态NAT和动态NAT以满足需求；

同时，可以在内网路由器上配置DHCP服务以实现客户端地址的统一分配和管理。5.1.1需求分析在本案例项目中，要想将私有地址915.1.2环境准备设备：Cisco2811路由器4台，PC5台；线缆：标准交叉线3根，直通线3根，Null0串行电缆3组，控制台电缆1根；每组4名学生，各操作一台PC，协同进行实训5.1.2环境准备设备：Cisco2811路由器4台，PC925.1.3技能准备1.了解DHCPDHCP（DynamicHostConfigurationProtocol，动态主机配置协议）是为客户端动态分配IP地址的方法，服务器从预先设置的IP地址池里自动给主机分配IP地址，不仅能够保证IP地址不重复分配，也能及时回收IP地址以提高地址利用率。DHCP服务可以由网络服务器提供，也可以配置一台Cisco路由器来提供。本项目中就采用后一种方式为企业网络提供DHCP服务5.1.3技能准备1.了解DHCP935.1.3技能准备2.

理解NATNAT（NetworkAddressTranslation，网络地址翻译）是一种将一个IP地址域（如Intranet）转换到另一个IP地址域（如Internet）的技术。NAT有很多用途，最主要的用途是让网络能使用私有IP地址以节省IP地址，NAT将不可路由的私有内部地址转换成可路由的公有地址；NAT还能在一定程度上增加网络的私密性和安全性，因为它对外部网络隐藏了内部IP地址。启用NAT的设备通常工作在末节网络边界5.1.3技能准备2.理解NAT945.1.3技能准备3.

NAT类型

NAT有三种类型：静态NAT、动态NAT及NAT过载。静态NAT使用本地地址与全局地址的一对一映射，这些映射保持不变。静态NAT对于必须具有一致的地址、可从Internet访问的Web服务器或主机特别有用。这些内部主机可能是企业服务器或网络设备动态NAT使用公有地址池，并以先到先得的原则分配这些地址。当具有私有IP地址的主机请求访问Internet时，动态NAT从地址池中选择一个未被其它主机占用的IP地址。NAT过载（有时称为端口地址转换或PAT）是一种特殊的动态NAT，它将多个私有IP地址映射到一个或少数几个公有IP地址。大多数家用路由器就是这样工作的，ISP分配一个地址给家用路由器，但是多名家庭成员可以同时上网5.1.3技能准备3.NAT类型955.1.3技能准备4.

内部网络与外部网络内部网络(Inside)：指那些由机构或企业所拥有的网络，与NAT路由器上被定义为inside的接口相连接。内部网络中的主机地址通常是私有的，称为内部本地地址，被NAT转换为公有的内部全局地址。外部网络(Outside)：指除了内部网络之外的所有网络，常为Internet网络，与NAT路由器上被定义为outside的接口相连接。外部网络主机使用的IP地址可能是私有的是外部本地地址或公有的外部全局地址。5.1.3技能准备4.内部网络与外部网络965.2项目设计任务1：在内部网络路由器上配置DHCP服务，为内网普通客户主机提供地址管理服务；已经连通的情况下，在边界路由器上添加默认路由以访问外网；并在外网路由器上为申请到的公有地址块做路由；任务2：实现内网的地址动态获取，在连接内网的路由设备上配置DHCP服务；任务3：在边界路由器上对内网服务器地址配置静态NAT，以使外网能访问内网服务器；任务4：在边界路由器上配置动态NAT或PAT以使内网用户都能访问外网5.2项目设计任务1：在内部网络路由器上配置DHCP服务，975.2.1拓扑设计5.2.1拓扑设计985.2.2IP地址设计5.2.2IP地址设计995.3项目实施5.3.1DHCP

5.3.2静态NAT5.3.3动态NAT5.3.4NAT过载5.3项目实施5.3.1DHCP1005.3.1DHCP本项目网络中，路由器R1和R3是DHCP服务器，负责向PC1和PC3所在网络的主机动态分配IP地址。定义排除地址配置地址池R1(config)#ipdhcpexcluded-addressR3(config)#ipdhcpexcluded-addressR1(config)#ipdhcppoolR1_LANR1(dhcp-config)#networkR1(dhcp-config)#default-routerR1(dhcp-config)#dns-server54R3(config)#ipdhcppoolR3_LANR3(dhcp-config)#networkR3(dhcp-config)#default-routerR3(dhcp-config)#dns-server545.3.1DHCP本项目网络中，路由器R1和R3是DHC1015.3.2静态NAT静态NAT使外网能访问内部服务器。在企业边界路由器R2上配置静态NAT以实现外网访问内网服务器需求。在R2上配置静态NAT验证测试（1）在OutsideHost上访问内部服务器InsideWebServer，应该是可以访问的；（2）showipnattranslationsR2(config)#ipnatinsidesourcestatic5431//建立内部本地地址与内部全局地址之间的静态转换R2(config)#intf0/0R2(config-if)#ipnatinside//指定内部接口R2(config-if)#ints0/1/0R2(config-if)#ipnatoutside//指定外部接口5.3.2静态NATR2(config)#ipnat1025.3.3动态NAT配置动态NAT转换过程如下：定义标准ACL，以明确哪些地址将被进行NAT转换access-listaccess-list-number{permit|deny}定义地址池，确定转换后的内部全局地址ipnatpoolpool-namestart-ipend-ipnetmasknetmaskNAT主命令将ACL指定的内部本地地址转换为地址池中的内部全局地址ipnatinsidesourcelistacl-numberpoolpool-name指定内部接口和外部接口（同静态NAT）5.3.3动态NAT配置动态NAT转换过程如下：1035.3.3动态NATR2(config)#ipaccess-liststandardR2NATR2(config-std-nacl)#permit55R2(config-std-nacl)#permit55R2(config-std-nacl)#permit55R2(config-std-nacl)#exitR2(config)#ipnatpoolR2POOL2830netmask52R2(config)#ipnatinsidesourcelistR2NATpoolR2POOLR2(config)#intf0/0//内部接口R2(config-if)ipnatinsideR2(config-if)#intSerial0/0/0//内部接口R2(config-if)ipnatinsideR2(config-if)#intSerial0/0/1//内部接口R2(config-if)ipnatinsideR2(config-if)#intSerial0/1/0//外部接口R2(config-if)ipnatoutsideR2(config-if)#end5.3.3动态NATR2(config)#ipacce1045.3.4NAT过载NAT过载是动态NAT的一种实现形式，它利用不同端口号将多个内部IP地址转换为一个外部IP地址。配置NAT过载的过程与动态NAT基本一样，只是在NAT主命令中需要加一个参数overload。项目需求：配置NAT过载，以允许三台以上内部主机同时访问InternetR2(config)#ipnatinsidesourcelistR2NATpoolR2POOL

overload其他配置命令同动态NAT部分5.3.4NAT过载NAT过载是动态NAT1055.4项目总结与文档本项目介绍了网络中的DHCP与NAT服务：DHCP动态主机配置协议是为客户端