路由器的配置及应用技术要点

17/36毕业论文(设计)题目路由器的配置及应用技术学生姓名 学号 院系 专业 指导教师 二Ｏ一二年五月日路由器的配置及应用技术摘要随着计算机网络技术的快速发展，IP网络的建设与应用也逐渐的多样化，路由器作为IP网络中基本而核心的网络设备，其技术，特别是高性能路由器技术已经成为当前网络领域研究的热点和重点，提高它的配置要求，广泛其应用范围以及传输过程中的安全问题已经成为研究下一代路由器的根本途径。关键词：路由器配置应用目录第一章路由器的基础1.1路由器的基本概念1.2路由器的工作原理1.3路由器主要技术1.4路由器的特点和功能第二章路由器的配置2．1路由器的基本配置2.1.1基本命令模式2.1.2口令配置2.1.3接口配置2.2路由器（家庭）安装配置（步骤）2．3企业级路由器的配置方法第三章路由器的应用3.1路由器应用于局域网3.2路由器用于VLAN间的通信3.3路由器作为局域网出口3.4路由器的安全防御功能3.5路由器的网络管理功能实验：两台路由器互联配置路由器NAT技术在企业网络中的应用前言通信网络是由一些系统和节点组成的集合，这些系统和节点负责传输连接在通信网络上的用户之间信息。在一个网络中主要定义两种系统：端系统和中间系统。端系统是支持端用户应用或者服务的设备，中间系统是连接多个网络并允许这些网络的端系统相互之间进行的通信设备。那么路由器就扮演着把网络相互连接起来的重要角色。第一章路由器的基础1.1路由器的基本概念：路由器（Router）是连接因特网中各种局域网、广域网的设备，它会根据信道的情况自动选择和设定路由，以最佳路径，按前后顺序发送信号的设备。路由器所谓路由器，就是一个中间系统，它主要是用来连接两个或多个网络，这些网路可能是同构的也可能是异构的。路由器工作在OSI参考模型的网络层，在两个不同网络的网络层之间传输报文数据时，需要改变两个不同类型网络报文中的第二层地址，即决定在网络之间数据传输时的路由方向，完成不同网络之间的数据存储、分组和转发。1.2路由器的发展阶段异构网络路由器是TCP/IP网络中最主要的互连设备，主要是用来连接不同的局域网和广域网，是交换机所不能替代的网络互连设备。至今天，路由器技术体系的发展，大致可以分成五个阶段：1、第1代路由器集中转发，固定接口第一代路由器是由一个CPU和固定的多个网络接口组合而成，网络接口与CPU之间通过内部总线相连。CPU负责所有事务的处理，包括路由器收集、转发处理、设备管理等。网络接口收到报文后通过内部总线传送给CPU，由它来完成所有处理从另一个网络接口传送出去。但网络接口是固定的，不能满足IP网络链路经常变化的要求，所以需要经常更换新的路由器，直接的增加了使用的成本，不利于网络设备的维护管理。2、第2代路由器集中转发，接口模块化第二代路由器从体系结构上彻底的解决了上一代路由器存在的可扩展性问题，把网络接口做成可以拔插的活动模块，用户可以根据需要增加所需要的网络接口模块，不需要替换路由器。3、第3代路由器基于CPU的分布式软件转发第三代路由器采用的是全分布式结构，最显著的变化是在各网络接口业务模块上增加了CPU，就是每个接口业务模块都是由自己的CPU来进行转发和处理。同时也采用了路由转发分离的技术路由引擎管理模块负责整个设备的管理和路由的收集、计算功能、并且把计算形式的转发表下发到各个接口业务模块；各个业务模块根据保存在的路由转发表独立进行路由转发。4、第4代路由器基于ASIC的分布式硬件转发第四代路由器抛弃了CPU的软件转发模式，转而寻求基于ASIC技术的硬件转发模式，通过对IP转发过程进行优化和硬件化，而路由器引擎模块还是采用CPU，用来处理复杂的路由计算和管理调度。5、第5代路由器技术基于网络处理器的分布式硬件转发第五代路由器仍采用硬件转发模式和交换网式结构，只是在关键的IP转发和业务流程处理上采用了可编程的、专为IP网络设计的网络处理技术，有效的将MPLS技术、QOS技术、流量工程技术、可控制组播技术、可管理技术等技术融合进来，并保持高性能、高品质的特性，替代了原来的ASIC技术。CPUCPU交换网接口NP接口NP交换网接口NP接口NP接口NP接口NP接口NP接口NP第5代路由器的体系结构1.4路由器主要功能路由器的主要功能就是为经过路由器的每一个分组寻找一条最佳的传输路径，引导通信，并将该数据有效的传送到目的站点。路由器的“路由”功能主要在以下几个方面：○路由选择，路由选择就是路由器依据目的IP地址的网络地址部分，通过路由选择算法确定一条从源结点到达目的结点的最佳路由。○分组转发，分组转发也可以称为分组交换，它主要完成按照路由选择所指出的路由器将数据分组从源结点转发到目的结点。○防火墙功能，它能够起到基本的防火墙功能，也就是说它能够屏蔽内部网络的IP地址，自由设定IP地址、通信端口过滤，是网络更加安全。路由器的主要任务是把通信引导到目的地网络，在转发报文的过程中，按照预定的规则将大的数据包分解成多个小的数据包，到达目的地后再把分解的数据包重新包装成原有形式，这样更好的在网络间传送报文。路由器的特点●适用于大规模的网络●复杂的网络拓扑结构、负载共享和最优路径●能更好地处理多媒体●安全性高●隔离不需要的通信量●节省局域网的频宽减少主机的负担1.2路由器的基本工作原理：1.2.1路由表的概念：在路由器中保存着各种传输路径的相关数据——路由表（RoutingTable）,在路由选择的时候使用。它的形成主要是有两种方式，即手工静态配置和动态协议生存。路由表分为两大类：静态路由表和动态路由表。其中，静态路由表是由系统管理员事先设置好固定，一般是在安装时就根据网路的配置情况预先设定的，不会随未来网络结构发生变化。而动态路由表是路由器根据网络系统的运行状况而自动调整的路由表，自动的学习和记忆网络运行情况，还可以自动的计算数据传输的最佳路径。1.2.2路由器的运行流程：路由器工作在OSI七层协议中的网络层，其主要任务是接收来自一个网络接口的数据包，根据其中所包含的目的地址，决定转发到下一个目的地址。首先，路由器在转发路由表中查找它的目的地址，如果寻找到地址，就在数据包的帧格钱添加下一个MAC地址，同时IP数据包头的TTL域也开始减数并重新计算校验。当数据包被送到输出端口时，它需要按顺序等待，以便被送到输出链路上。简单的说，路由器的主要工作就是为经过路由器的每个数据包寻找一条最佳传输路径，并将该数据包有效地传送到目的地址。（1）工作站A将工作站B的地址连同数据信息以数据帧的形式发送给路由器1。（2）路由器1收到工作站A的数据帧后，先从包头中取出地址，并根据路径表计算出发往工作站B的最佳路径：R1->R2->R5->B；并将数据帧发往路由器2。（3）路由器2重复路由器1的工作，并将数据帧转发给路由器5。（4）路由器5同样取出目的地址，发现就在该路由器所连接的网段上，于是将该数据帧直接交给工作站B。（5）工作站B收到工作站A的数据帧，一次通信过程宣告结束。路由器工作流程程路由器工作流程程1.3路由器的主要技术1.3.1路由算法路由算法通常具有下列设计目标的一个或多个：优化、简单、低耗、健壮、稳定、快速聚合、灵活性。（1）最优化：指路由算法选择最佳路径的能力。根据metric的值和权值来计算。（2）简洁性：算法设计必须简洁。路由协议在网络中必须高效地提供其功能，尽量减少软件和应用的开销。这在当实现路由算法的软件必须运行在物理资源有限的计算机上时尤其重要。（3）坚固性：路由算法处于非正常或不可预料的环境时，如硬件故障、负载过高或操作失误时，都能正确运行。由于路由器分布在网络联接点上，所以在它们出故障时会产生严重后果。最好的路由器算法通常能经受时间的考验，并在各种网络环境下被证实是可靠的。（4）快速收敛：收敛是在最佳路径的判断上所有路由器达到一致的过程。当某个网络事件引起路由可用或不可用时，路由器就发出更新信息。路由更新信息遍及整个网络，引发重新计算最佳路径，最终达到所有路由器一致公认的最佳路径。收敛慢的路由算法会造成路径循环或网络中断。（5）灵活性：路由算法要求可以快速、准确地适应各种网络环境。例如，某个网段发生故障，路由算法要能很快发现故障，并为使用该网段的所有路由选择另一条最佳路径。各路由算法的区别点包括：静态与动态、单路径与多路径、平坦与分层、主机智能与路由器智能、域内与域间、链接状态与距离向量。链接状态算法（link-staterouting）把路由信息散布到网络的每个节点，不过每个路由器只发送路由表中描述其自己链接状态的部分。距离向量算法（distancevectorrouting）中每个路由器发送路由表的全部或部分，但只发给其邻居。也就是说，链接状态算法到处发送较少的更新信息，而距离向量算法只向相邻的路由器发送较多的更新信息。由于链接状态算法聚合得较快，它们相对于距离算法产生路由环的倾向较小。在另一方面，链接状态算法需要更多的CPU和内存资源，因此链接状态算法的实现和支持较昂贵。虽然有差异，这两种算法类型在多数环境中都可以工作得很好。1.3.2路由器的硬件技术硬件体系结构从体系结构上看，路由器可以分为第一代单总线单CPU结构路由器、第二代单总线主从CPU结构路由器、第三代单总线对称式多CPU结构路由器；第四代多总线多CPU结构路由器、第五代共享内存式结构路由器、第六代交叉开关体系结构路由器和基于机群系统的路由器等多类。路由器具有四个要素：输入端口、输出端口、交换开关、路由处理器和其他端口。输入端口是物理链路和输入包的进口处。端口通常由线卡提供，一块线卡一般支持4、8或16个端口，一个输入端口具有许多功能。1、进行数据链路层的封装和解封装。2、在转发表中查找输入包目的地址从而决定目的端口（称为路由查找），路由查找可以使用一般的硬件来实现，或者通过在每块线卡上嵌入一个微处理器来完成。3、为了提供QoS（服务质量），端口要对收到的包分成几个预定义的服务级别。4、端口可能需要运行诸如SLIP（串行线网际协议）和PPP（点对点协议）这样的数据链路级协议或者诸如PPTP（点对点隧道协议）这样的网络级协议。一旦路由查找完成，必须用交换开关将包送到其输出端口。如果路由器是输入端加队列的，则有几个输入端共享同一个交换开关。这样输入端口的最后一项功能是参加对公共资源（如交换开关）的仲裁协议。交换开关可以使用多种不同的技术来实现。迄今为止使用最多的交换开关技术是总线、交叉开关和共享存贮器。最简单的开关使用一条总线来连接所有输入和输出端口，总线开关的缺点是其交换容量受限于总线的容量以及为共享总线仲裁所带来的额外开销。交叉开关通过开关提供多条数据通路，具有N×N个交叉点的交叉开关可以被认为具有2N条总线。如果一个交叉是闭合，输入总线上的数据在输出总线上可用，否则不可用。交叉点的闭合与打开由调度器来控制，因此，调度器限制了交换开关的速度。在共享存贮器路由器中，进来的包被存贮在共享存贮器中，所交换的仅是包的指针，这提高了交换容量，但是，开关的速度受限于存贮器的存取速度。尽管存贮器容量每18个月能够翻一番，但存贮器的存取时间每年仅降低5%，这是共享存贮器交换开关的一个固有限制。输出端口在包被发送到输出链路之前对包存贮，可以实现复杂的调度算法以支持优先级等要求。与输入端口一样，输出端口同样要能支持数据链路层的封装和解封装，以及许多较高级协议。其他端口一般指控制端口，由于路由器本身不带有输入和终端显示设备，但它需要进行必要的配置后才能正常使用，所以一般的路由器都带有一个控制端口"Console"，用来与计算机或终端设备进行连接，通过特定的软件来进行路由器的配置。所有路由器都安装了控制台端口，使用户或管理员能够利用终端与路由器进行通信，完成路由器配置。该端口提供了一个EIA/TIA-232异步串行接口，用于在本地对路由器进行配置（首次配置必须通过控制台端口进行）。Console端口使用配置专用连线直接连接至计算机串口，利用终端仿真程序（如Windows下的"超级终端"）进行路由器本地配置。路由器的Console端口多为RJ-45端口。路由器的组成包括硬件和软件。1、CPUCPU是路由器的中央处理器，负责执行处理数据包所需要的工作。2、存储器路由器只有内存。采用不同类型的存储器存储数据。（1）RAM（随机存取存储器）RAM是路由器的工作存储器，他存放的是路由器当前使用的内容，包括操作系统、运行配置文件、路由表等。但其在启动或是断电时，内容会丢失（2）NVRAM(非易失性随机存储器)主要是用来存放配置文件。在配置路由器时，应该把配置结果保存NVRAM中，这样配置的结果不会因重启或断电而丢失。（3）FLASH(闪存)Flash是可擦除，可编程的ROM，主要用来存放路由器操作系统ISO。（4）ROM（只读存储器）ROM存放引导程序，路由器通过它启动ISO。3、接口包括局域网接口和广域网接口4、控制台接口（Console接口）和辅助接口用来连接配置路由器的设备。控制台接口可直接连接计算机终端。辅助接口可通过Modem使远程终端与路由器通信，实现路由器的远程管理和配置。5、ISO（路由器操作系统）ISO是路由器专用的操作系统，它提供了全面的网络服务，实现了的丰富网络功能。路由器的配置命令就是由它来解释执行的。6、配置文件（1）运行配置文件（Running-Configuration）该文件驻留在RAM中，用户可以配置命令设置和更改运行配置文件的内容，重启或断电时会丢失。（2）启动配置文件（Startup-Configuration）该文件位于NVRAM中，在启动时它被装入RAM变成运行配置文件，可以长期保存。ASIC技术ASIC应用得越来越广泛。在路由器中要极大地提高速度，首先想到的也是ASIC。有的用ASIC做包转发，有的用ASIC查路由，并且查找IPv4路由的ASIC芯片已经开始上市销售。在ASIC蓬勃发展、大量应用的潮流中，有一动向值得注意，这就是所谓可编程ASIC的出现，这恐怕也是网络本身日新月异所导致的一种结果。由于ASIC的设计生产投入相当大，一般来说，ASIC只用于已完全标准化的过程，而网络的结构和协议又变化相当快，因此相应地在网络设备这一领域，出现了奇特的“可编程ASIC”。目前，有两种类型的所谓“可编程ASIC”。一种以3COM公司的FIRE（FlexibleIntelligentRoutingEngine）芯片为代表，这颗ASIC芯片中内嵌了一颗CPU，因此具有一定的灵活性；另一种以VertexNetworks的HISC专用芯片为代表，该芯片是一颗专门为通信协议处理的CPU，其体系结构的设计专门适应协议处理，通过改写微代码，可使这颗专用芯片具有处理不同协议的能力，以适应类似从IPv4到IPv6的变化。三层交换这是协议处理过程的一次革命性突破，也是现在GSR和TSR名称的来源。自从名不见经传的Ipsilon公司在1994年推出“一次路由，然后交换”的IPSwitch技术之后，各大公司纷纷推出自己专有的3层交换技术。如Cisco的TagSwitch、3Com的LabelSwitch等。综合这些专有技术的优点，IETF终于在1998年推出了性能优越的多协议标记交换（MPLS）。1.3.3路由器的软件技术VPN技术VPN（virtualprivatenetwork），是通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。它是一种“基于公共数据网，给用户一种直接连接到私人局域网感觉的服务”。VPN极大地降低了用户的费用，而且提供了比传统方法更强的安全性和可靠性。VPN可分为三大类：（1）企业各部门与远程分支之间的IntranetVPN；（2）企业网与远程（移动）雇员之间的远程访问RemoteAccess）VPN；（3）企业与合作伙伴、客户、供应商之间的ExtranetVPN。由于采用了“虚拟专用网”技术，即用户实际上并不存在一个独立专用的网络，用户既不需要建设或租用专线，也不需要装备专用的设备，就能组成一个属于用户自己专用的电信网络。虚拟专用网是利用公用电信网组建起来的功能性网络。不同类型的公用网络，通过网络内部的软件控制就可以组建不同种类的虚拟专用网。QOS技术网络服务质量（qualityofservice，简称QoS）是网络于用户之间以及网络上互相通信的用户之间关于信息传输与共享的质的约定，例如，传输延迟允许时间、最小传输画面失真度以及声像同步等。在Internet等计算机网络上为用户提供高质量的QoS必须解决以下问题：

1.QoS的分类与定义。对QoS进行分类和定义的目的是使网络可以根据不同类型的QoS进行管理和分配资源。例如，给实时服务分配较大的带宽和较度的CPU处理时间等，另一方面，对QoS进行分类定义也方便用户根据不同的应用提出QoS需求。

2.准入控制和协商。即根据网络中资源的使用情况，允许用户进入网络进行多媒体信息传输并协商其QoS。

3.资源预约。为了给用户提供满意的QoS，必须对端系统、路由器以及传输带宽等相应的资源进行预约，以确保这些资源不被其他应用所强用。

4.资源调度与管理。对资源进行预约之后，是否能得到这些资源，还依赖于相应的资源调度与管理系统。3、MPLS技术MPLS(multi-protocollableswitching)是多协议标签交换技术，是对ATM标记交换和IP路由协议的有机结合。MPLS网络是由若干个LER和LSR组成，LER和LSR通常是同时具有IP功能和MPLS功能的LER根据已建立的标记路径，将进入 MPLS网络的IP数据包打上标记，转发到下一个LSR,LSR查MPLS的标记转发表，用该标记交换路径中的标记替换数据报的标记，继续转发给后续LSR直到到达MPLS网络的边缘LER，LER将数据报标记去掉，按IP数据报向下转发报文。第二章路由器的配置一、路由器的基本配置配置Cisco2800路由器1、基本命令模式可以在终端上查看路由器的运行状态，输入“Router>?”进行路由器的当前配置：Router>enablePassword:*******Router#confterminal//切换到配置状态Router(conf)#enablesecretmy-root-password//定义超级口令Router(conf)#iphostrouter-sgyy//定义路由器名Router(conf)#ip//定义所属域名城Router(conf)#httpserverRouter(conf)#showrun//显示路由器当前位置Router(conf)#showiproute//查看路由表Router(conf)#showipinterfacebir//查看连接状态2、口令配置用户可以根据口令控制对路由器的访问：Router>enableRouter#configureterminalRouter(config)#lineconsole0Router(config-line)#loginRouter(config-line)#password******Router(config-line)#endRouter#exit完成密码设置以后，重启路由器，登录路由器需要输入密码验证后才能访问：^C!Linecon0Password******LoginLineaux0Linevty04Privilegelevel15Password******LoginTransportinputtelnetLinevty515Privilegelevel15Password******LoginTransportinputtelnetSchedulerallocate200001000End3、接口配置配置以太网络接口【3】的IP地址。查看以太网接口0的状态：Router>enablePassword:******Router#showinterfaceEthernet0//显示以太网接口0的状态进入配置模式：Router>enable//进入特权模式Password://特权用户口令Router#configureterminal//进入配置模式EnterconfigurationcommandsRouter?(config)#interfaceEthernet0//进入外部以太网口配置Router?(config-if)#ipaddress//进入AUIO接口的IP地址配置和子网掩码。路由器的一般配置配置路由器的IP地址设备需求路由器1台、交换机2台、PC2台（运行windows2000以上版本系统）、网线4条。(2)配置过程及配置说明1通过Control线将计算机1的串口和路由器的Console口相连接2将计算机1设置为路由器的超级终端3进入局部设置方式，分别对router1的Fasterthernet0/0和Fastethernet0/1口进行设置。Router(config)#configureterminal//进入端口配置模式Routerconfigurationcommands,oneperline.endwithCNTL/Z.Router(config)#interfacefastethernet0/0//配置fastethernet0/0口Router(config-if)#ipaddress//设置IP地址和子网掩码Router(config-if)#noshutdownRouter(config-if)#exit//打开端口Router(config-if)#interfaceFastethernet0/1//配置Fastethernet0/1口Router(config-if)#ipaddress//设置IP地址和子网掩码Router(config-if)#noshutdownRouter(config-if)#exit4．查看端口信息Router1#showinterfastethernet0/0Fastethernet0/0isup,lineprotocolisupHardwareisamdfe,addressis000a.4131.da40(bia000a.4131.da40)Internetaddressis/24//端口的IP地址MTU1500bytes,BW100000kit,DLY100usec,reliability255/255,txload1/255,rxload1/255EncapsulationARPA,loopbacknotsetKeepaliveset(10sec)Full-duplex,100Mb/s,100BaseTX/FXARPtype:ARPA,arptimeout04:00:00Lastinput00:00:01,output00:00:08,outputhangneverLastclearingof”showinterface”countersneverInputqueue:0/75/0/0(size/max/drops/flushes);Totaloutputdrops:0Queueingstrategy:fifoOutputqueue:0/40(size/max)5minuteinputrate0bits/sec,0packets/sec5minuteoutputrate0bits/sec,0packets/sec50packetsinput,6911bytesReceived50broadcasts,0runts,0giants,0throttles0inputerrors,0CRC,0frame,0overrun,0ignored0watchdog0inputpacketswithdribbleconditiondetected47packetsoutput,6390bytes,0underruns0outputerrors,0collisions,1interfaceresets0babbles,0latecollision,0deferred21lostcarrier,0nocarrier0outputbufferfailures,0outputbuffersswappedoutRouter1#showinterfastethernet0/1//显示接口的配置信息和统计信息FastEthernet0/1isup,lineprotocolisup//设置IP地址和子网掩码HardwareisAmdFE,addressis000a.4131.da41(bia000a.4131.da41)//端口的物理地址Internetaddressis/24//端口的IP地址MTU1500bytes,BW100000Kbit,DLY100usec,Reliability255/255,txload1/255,rxload1/255EncapsulationARPA,loopbacknotsetKeepaliveset(10sec)Full-duplex,100Mb/s,100BaseTX/FXARPtype:ARPA,ARPTimeout04:00:00Lastinput00:01:38,output00:00:07,outputhangneverLastclearingof“showinterface”countersneverInputqueue:0/75/0/0(size/max/drops/flushes);Totaloutputdrops:0Queueingstrategy:fifoOutputqueue:0/40(size/max)5minuteinputrate0bits/sec,0packets/sec//5分钟的输入速率及数据包数量5minuteoutputrate0bits/sec,0packets/sec//5分钟的输出速率及数据包数量48packetsinput,6791bytesReceived48broadcasts,0runts,0giants,0throttles0inputerrors,0CRC,0frame,0overrun,0ignored0watchdog0inputpacketswithdribbleconditiondetected45packetsoutput,5632bytes,0underruns0outputerrors,0latecollision,1interfaceresets0babbles,0latecollision,0deferred12lostcarrier,0nocarrier0outputbufferfailures,0outputbuffersswappedout=5\*GB3⑤查看路由表的信息Router1#showiproute//显示路由表信息Codes:C-connected,S-static,I-IGRP,R-RIP,M-mobile,B-BGPD=EIGRP,EX-EIGRPexternal,O-OSPE,IA-OSPFinterareaN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexternaltype2,E-EGPIS-IS,L1-IS-ISlevel-1,L2-IS-ISlevel-2,ia-IS-ISinterarea*-candidatedefault,U-per-userstaticroute,o-ODRP-periodicdownloadedstaticrouteC/24isdirectlyconnected,FastEthernet0/0//FastEthernet0/0端口信息C/24isdirectlyconnected,FastEthernet0/1//FastEthernet0/1端口信息配置静态路由协议静态路由选择协议的配置方法设备需求路由器3个、PC4台（运行windows2000以上版本系统）、交换机2台、网线配置内部网关路由协议设备需求路由器3台、PC4个、交换机2台、网线若干网络拓扑结构图使计算机1和计算机3相互通信配置过程配置Routerl的Fastethernet0/0口和串口Routerconfig)#hostnameRouter1Routerconfig)#interfacefastethernet0/0进入端口配置模式Routerconfig-if)#ipaddressRouterconfig-if)#noshutdownRouterconfig-if)#exit00:05:02%LINK-3-UPDOWN:InterfaceFastEthernet0/0,changedstatetoupRouterconfig-if)#interfaces0/0//进入端口配置模式Routerconfig-if)#ipaddress//配置IP地址Routerconfig-if)#clockrate64000Routerconfig-if)#noshutRouterconfig-if)#exitRouterconfig-if)#interfaceserial0/1//进入端口配置模式Routerconfig-if)#ipaddress//配置IP地址Routerconfig-if)#clockrate1000000Routerconfig-if)#noshut配置Router1的IGRP路由协议Routerconfig)#routerigrp100Routerconfig-router)#networkarea0Routerconfig-router)#networkarea0Routerconfig-router)#networkarea0Routerconfig-router)#与配置Router1相似，分别配置Router2和Router3。Router2:Router2:#showrunning-configBuildingconfiguration...Currentconfiguration:!Version6.14(2)!Hostname"Router2"!ipsubent-zero!InterfaceFastEthrenet0/0ipaddress//配置IP地址2.1路由器（家庭版）的安装设置步骤：双击打开浏览器，输入。在用户名和密码框输入用户名：admin密码：admin点击确定。进入路由器设置页面点击设置向导后，选择PPOE(ADSL虚拟拨号)，点击下一步。在上网账号和上网口令框输入宽带账号和密码，下一步。路由器无线设置选择开启无线状态选择“WAP-PSK/WAP2-PSK”。在PSK密码框里输入大于8位数的密码。下一步重启路由器企业级路由器的配置：路由器配置是否安全，对于中小企业也是非常重要的，一般中小企业在进行安全路由器配置时，需要特别注意的有广域网端、局域网端及公共服务器三个方面。了解路由器配置的具体步骤和方法，以下分别就这三个方面介绍。一、广域网端广域网端就是路由器配置对外接到网络运营商的线路。广域网线路也是宽带接入的主要路径，因此若是发生掉线或是拥塞，则企业的宽带接入就会中断!这个情况对于有些企业会发生很大的困扰。因此广域网端在安全的首要思维，就是如何确保线路的稳定，维持企业在各种情况下的运作。大部份中小企业，由于上网人数较小、或是经费有限，因此大多采用单线ADSL即可。企业对带宽的需要较大，或是对于网络要求较高的，例如服务业或是外贸行业，则可能采用相对费用较高的光纤。根据Qno侠诺支持用户的经验，发现以下情况，较倾向采用多WAN线路的配置：偶而需要大量上/下载：由于信息化的结果，很多企业需要不时进行大量的上下载的操作。例如成都的某矿产商贸公司每天下班时，需要上传销售报告及存货数据，需要较多的时间。又例如位于宁波的某民营企业，经常需要从国外客户的服务器下载设计图作为生产之用。当要进行下载时，网管一般都不希望受到一般用户上网或下载影响，因此可申请两条线路：一般情况下两条线路都开放作为用户上网用;但是当需要进行特别工作时，则可加以管制，保留特定的线路给大量上下载的工作，以确保重要的数据能准时传送。采用多WAN配置后，网管加班在办公室等待数据传送的情况，就可大大减少了!有跨网问题时：有时候会出现这种情况，终端很总部建立vpn连接时，信号很不稳定，常常数据还没传完，又得重新联机。这种情况，很可能就是VPN建立跨过不同的运营商网络所产生的不稳定问题，例如总部采用网通的线路，而分支采用电信的线路，跨网带宽不足，而产生的现象。这种情况，也可采用多WAN路由器解决，即总部同时接入网通及电信的线路，属于网通线路的外点从网通的入口建立VPN，电信的外点则从电信线路建VPN，这样即可解决跨网带宽小或不稳定的情况。需要备援时：多WAN线路的另一个优点是提供备援功能。一个常见的情况是有些地区运营商会增送光纤用户ADSL线路，这时就可以光纤配合ADSL作备援，在前者发生故障时，以ADSL先顶着用。有的用户则希望用不同运营商的线路，这样在A运营商线路或机房发生问题时，可以B运营商线路替代。对于某些行业，例如媒体行业，需要随时可以上网，这个功能就显得尢为重要。AD带宽不足时：一般企业用ADSL来的多，根据统计显示中小企业宽带用户增加最多的就是采用ADSL上网。但有些地区提供的ADSL相对带宽显得较小，例如64K/64K的线路，对于企业应用显然不足，不过申请光纤又比几条ADSL还来得贵，在这种情况下，利用多WAN路由器配置汇聚多条ADSL线路，不失为一可行又省钱的方法。由于广域网端为企业上网唯一的路线，因此对于企业上网有决定性的重要。Qno侠诺的市场调查显示，现阶段很多企业对于无线宽带接入，例如3G或是WiMax都表示了相当的兴趣，希望能用无线接入作为有线接入的辅助，这或多或少也代表了企业对于广域网端接入的重视及期望。二、局域网端局域网端则是对内接到企业用户的线路，有些路由器配置本身有局域网端口，可下接交换机;有的网管则会将路由器配置先接到骨干交换机，再向下接到一般的交换机。以上这两种作法均可，后者适合较大的吞吐量的应用情况，一般的企业应用，路由器配置的局域端口是可以随着带宽转发的。因此在硬件配置，这是较为简单的。Qno侠诺技术服务人员的经验指出，要进行一个好的安全网络的配置，IP的管理是顶重要的。IP就是计算机在互联网的地址，因此要能有效管理地址，才能预防攻击或针对有问题的计算机加以管制。对于网管而言，在IP管理方面要注意的事项，主要为计算机采用固定IP地址、DHCP服务器发放固定IP、防止未允许的计算机上网及群组管理等四个重要项目，以下分别进行说明：计算机采用固定IP地址：计算机采用固定IP地址，是最严密的配置方式。这个作法，必须要求用户在计算机中手动键入IP地址相关数据。这样做的好处是每台机器的IP都必须是事先指定，没有事先指定的IP，则无法上网，外来的用户或是计算机不能轻易地通过企业网络上网。不过对于用户而言，必须要设定固定IP，到其它场合又要重新设定，对于部份常需要移动的用户，例如业务人员或是高阶主管，造成不小的困扰。DHCP服务器发放固定IP：DHCP服务器的好处是用户无需在计算机上作任何设置，对于用户较方便。但是DHCP的缺点是若不加以管制，随便一个用户也能进入企业的网络，也容易发动对内部的攻击，造成影响。因此对于企业而言，较好的方式是通过DHCP发放IP地址，但同时限定计算机能取得的IP地址，以便进行管理。Qno侠诺路由器配置的IP/MAC绑定功能，即可以根据网管的配置，认明计算机的MAC地址发放特定的IP，这样就可针对IP进行管理。同时IP/MAC绑定功能也可防止用户修改IP，以取得较高权限问题，错误的MAC/IP组合，将会被路由器“封锁错误MAC地址”阻挡，这个功能也可防止ARP攻击。第三章路由器的应用技术3.1路由器应用于局域网在企业局域网中，路由器是最常见的也是非常重要的设备。本章介绍路由器在局域网中的应用。

3.1.1路由器用于分隔子网

在企业局域网内部，路由器的主要作用之一是分隔子网，同时隔离子网之间的广播。早期的企业局域网中，所有主机处于同一逻辑网络中。随着企业网络规模的不断扩大，局域网演变成以高速主干和路由器联接的多个子网所组成的园区网，也就是说这样的局域网已经是立体层次结构了。这若干个子网在逻辑上独立，而路由器就是惟一能够分隔它们的设备。

路由器负责子网间的报文转发，根据路由协议算法产生多条路由，而且能为不同的网络应用选择各自不同的最佳路由。

路由器还负责子网间的广播隔离。路由器每一端口联接一个子网，不同的端口属于不同的广播域，某一个端口的广播报文不能经过路由器广播出去扩散到整个企业局域网。这样既做到了信息保密，也能隔离某些病毒发起的广播攻击。

在实际应用中，我们可以将路由器的不同端口用于联接不同的企业部门（即同一部门的设备全部连接在路由器的同一端口下）。

3.1.2路由器用于VLAN间的通信

为了更好地管理局域网，可以在局域网中划分VLAN。VLAN（VirtualLocalAreaNetwork）的中文名为“虚拟局域网”，是将局域网设备从逻辑上划分（不是从物理上划分）成一个个网段，从而实现虚拟工作组的新兴数据交换技术。如果没有路由的话，不同VLAN之间是不能相互通信的，这样增加了企业局域网的安全性。如果需要在不同VLAN间通信，可以通过配置VLAN之间的路由来全面管理企业内部不同管理单元之间的信息互访。

3.1.3路由器作为局域网出口

路由器可以作为企业局域网联入广域网的接口。目前的企业可以选择多广域网（WAN）端口路由器，这样的路由器允许局域网共享多条外线。它的好处有：

（1）增加局域网出口带宽。用户可以多申请几条宽带线路，负载在这些端口之间均衡，就相当于出口带宽扩展了几倍。由于每条宽带线路的费用不高，对于较大的局域网也是很经济的。

（2）线路备份。可以在不同的WAN口上选择不同的ISP（InternetServiceProvider）。如果某个ISP、某条线路出现故障时，可以把数据流量重新分配到没有故障的端口上，整个网络还能正常运行。

（3）享受更多的内容服务。不同的ISP提供不同的服务，例如游戏、视频点播等。多个WAN口联接多个ISP，就可以享受这些服务。

多WAN口对路由器的硬件要求比较高，软件就更是复杂。但是对于现在那些信息化程度较高的企业局域网及电子商务网站来说，网络业务必须是非常可靠，须臾都不能离开的。所以多WAN口路由器是有它的优势的。

3.1.4路由器的安全防御功能

局域网出口路由器一般处在防火墙的外部，负责联入广域网。此时路由器自身的安全防御就显得非常重要，否则就可能被攻击者利用进而威胁到局域网。所以一定要对路由器进行合理的配置，使路由器成为局域网抵御外部攻击的第一条防线。

1.防止外部IP地址欺骗。外部网络的非法用户可以将自己的IP地址改成内部网络的合法IP地址或回环地址，从而获得对局域网的非法访问权限。所以要禁止源地址为私有地址、回环地址、多目的地址，以及没有列出源地址的所有数据流。

2.防止外部非法探测。非法访问者在对内部网络发起攻击之前，常常使用ping命令或其他命令探测网络，所以要禁止从外部使用这些命令。一般情况下是阻止答复的输出，而不阻止探测的进入。

3.保护路由器不受攻击。路由器可以通过Telnet或SNMP进行访问，应该确保Internet上没有人能用这些协议攻击路由器，所以需要在路由器的内部端口和外部端口上禁止这些访问。

4.阻止对关键端口的非法访问。关键端口是指内部系统所使用的端口或者是防火墙本身暴露的端口。必须对关键端口的访问加以限制，否则这些设备就很容易受到外部攻击。

5.防止外部ICMP重定向欺骗。攻击者可以利用ICMP重定向来对路由器进行重定向，将本应送到内部正确目标的数据重定向到它们所指定的设备，从而获得有用信息。防范的命令是：noipredirects。

6.防止外部源路由欺骗。源路由选择是指使用数据链路层信息来为数据报进行路由选择，该技术可以使入侵者为内部网的数据报指定一个非法的路由，这样原本应该送到合法目的地的数据报就会被送到入侵者指定的地址。禁止使用源路由的命令是：noipsource-route。

7.防止盗用内部IP地址。攻击者可以盗用内部IP地址进行非法访问。而我们可以在局域网内将MAC地址与IP地址进行绑定来解决这个问题。具体命令是:arp固定IP地址MAC地址arpa。

路由器还有很多其他的安全防范的命令和措施，这里就不再赘述。路由器在使用了上述安全措施之后，可以有效的提高整个局域网的安全性。但需要指出的是，这些措施的使用既占用了路由器的资源，也耽误了时间，从而牺牲了局域网的效率，会造成局域网对外部网络访问速度下降。

3.1.5路由器的网络管理功能

路由器的网络管理功能比较多，这里重点讲述3个功能。

1.利用MAC地址管理局域网用户。每个局域网用户网卡的MAC地址是固定不变的，所以通过用户的MAC地址对他们进行访问控制、设置权限。这个功能可以通过路由器自带的“MAC地址控制”功能灵活实现。比如可以将网卡的MAC地址与IP地址绑定，这样就保证在其他软件或硬件的安全设置项中进行的设置不会由于用户随意更改IP而失去控制作用。再比如可以通过MAC地址设置控制用户上网的权限或控制用户对共享设备的使用权限，这样可以减少共享设备的负担，减少企业上网的费用。

2.利用封包过滤功能管理局域网用户。网络管理者可以对局域网流入和流出的数据包进行过滤以实现某些网管策略。管理者可以指定每一条管理规则的有效时间，比如所有主机在上班时间只能收发邮件但不能浏览网页等。再比如禁止所有主机使用QQ，禁止所有主机访问特定IP地址的网站，禁止部分IP地址的主机上网，禁止部分IP地址的主机的某些服务等等。这些功能都非常实用和有效，可以在路由器的设置界面中进行选择和设置。

3.网络地址转换（NAT）功能。由于IP地址短缺的情况日益严重，一个企业申请的合法的Internet的IP地址很少，而内部网络用户很多。可以通过路由器的NAT功能实现多个用户同时公用若干个合法IP与外部Internet进行通信。另一方面企业不想让外部网络用户知道自己的网络内部结构，可以通过NAT将内部网络与外部Internet隔离开，外部用户根本不知道通过NAT设置的内部IP地址。

实验一:两台路由器互联配置在现代的企业或公司中，应用路由器设置并非同品牌的设备，所以组建及配置上相对复杂，通过思科与华为路由器之间的互联，来进一步了解路由器之间的互联过程与方法。/30/30/30/30S1/0eo/0/24？/24S1/0eo/0/24？/24S1/0S1/0e0/0Cisco3640华为QuidwayR2610实验目的：使两台路由器能够互联访问、通信。实验步骤：=1\*GB3①配置Cisco路由器：Currentconfiguration:!Version12.1ServicetimestampsdebuguptimeServicetimestampsloguptimeServicepassword-encryption!Hostnamecisco（定义路由器名称）!Enablesecret5SQBSO1nBbAloluQJU1JQRUXNeSOHa0(加密口令)！Noipdomain-lookup!Interfaceethernet1/0DescriptionzhongxinIpaddress!Interfaceseria12/0DescriptionconnecttoHuaweiEncapsulationppp（封装是HDLC）Ipaddress255.255.255.252!Routerospf10Network55area0Networkarea0!IpclasslessNoiphttpserver!Linecon0TransportinputnoneLineaux0Linevty04Password700450CB01A564A1A0B(Telnet密码)Login!End=2\*GB3②配置华为路由器Currentconfiguration!Version1.74Local-userhuaweiservice-typeadministratorpasswordcipher@’E8P0>+S>’-LGXJQ<%DJQ!!(定义huawei用户，并赋予Administrator管理员的身份用户，并且以cipher方式下密码密文存放)SysnamehuaweiA(定义路由器主机名)Firewallenable!InterfaceAux0!Interfaceethernet0IpaddressOspfenableares2!Interfaceserial0ClockDTECLK1Link-protocolpppIpaddress52ospfenbleareaospfpeerospfnetwork-typep2p!QuitOspfenble!Quit!return路由器NAT技术在企业网络中的应用NAT（NetworkAddressTranslation）全称是网络地址转换器，他允许一个机构以一个共有IP地址出现在Internet上。将局域网内每个节点的私有地址转换成一个公有IP地址，反过来也是一样。它可以应用于防火墙技术，把个别地址隐藏起来不能被外界直接的访问内部网络设备。而且它还能够帮助网络越位地址的限制，合理有效的安排网络中公有Internet地址和私有IP地址的使用。NAT技术能够解决IP地址紧缺的问题，实现公网地址和私网地址之间的映射，而且能使内部和外部的网络隔离，提供一定程度的网络安全保障。它解决问题的办法是在内部网络使用北部地址，通过NAT把内部地址翻译成合法的IP地址在Internet上使用，其具体的做法是把IP包内的地址域用合法的外部IP地址来替换。NAT技术的类型：它有三种类:静态NAT（staticnat），NAT池(poolednat)和端口NAT(PAT)。其中静态NAT设置起来最为简单，内部网络中的每个主机都被永久的映射成外部网络中的某个合法地址。NAT池则是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络。端口PAT则是将内网地址映射到同一个外网地址的不同端口上。NAT的工作流程：当私网内的IP数据包经NAT流入公网是，NAT将此IP包的源IP地址改为NAT接口上的一个公网地址。当公网中的IP数据包经NAT访问私网资源时，NAT将此IP包的目的地址改为某一私网IP。下图是企业网络拓扑结构简图，是基于层次性网络结构的设计，接入层采用S2126G交换机，汇聚层设备采用S3550三层交换机。企业中有工程部、财务部、商务部和服务器群四大子网。在交换机上划分vlan,vlan10是工程部子网，vlan20是财务部子网、vlan30是商务部子网、vlan40是服务器群网络。为了保证网络的高可用性和稳定性接入层交换机与汇聚层交换机通过两条链路相连接，汇聚层交换机通过F0/1与RB路由器接口F1/1相连，汇聚层交换机通过家口F0/8与Web服务器群网络相连接。目的是将工程部20台电脑财务部20台电脑商务部30台电脑和1台web服务器都能够连接上互联网，web服务器要求对外开放。现在仅有的IP地址（01至08掩码是）为8个地址显然是不够用的，下面将采用NAT技术解决网络地址不够用的问题。路由器的配置如下（以下命令以锐捷设备为例）1、配置内部全局地址池。给工程部、财务部、商务部配置地址池分别是engineering_department、accounting_department和commerce_departmentRouter(config)#ipnatpool