路由器的功能、作用及基础配置都是作为IT行业成员的我们必须熟练掌握的。
在现今网络飞速发展的时代中,路由器有着举足轻重的作用。因为路由器作为网络层中的中继系统,
提供着一个在第三层网络间数据的路由选择与转发功能。因此,路由器的功能、作用及基础配置都是作为IT行业成员的我们必须熟练掌握的。
以下,我们将从两方面对路由器作一个简要的分析:即如何在实验中搭建一个最简单的网络环境,并在其配置中常会碰到的情况及相对应的解决方法;以及对在网际中的数据传输中应用不同的数据封装协议(HDLC与PPP)、链路压缩进行传输速率的比较。 路由器配置及网络搭建
要组建一个网络,就须在应用中对网络结构要有一个很清晰的了解,而在物理上的正确连接、路由器中的分配IP地址、广域网路由协议的选择及局域网的接入等都是在实际应用中必需十分注意的。以下则是我们经过实验总结出来的使整个网络运行起来的三个主要方面。 一、网间的物理连接
在我们的实验环境中,运用了最简单的点对点环境,通过一对MODEM把两台路由器的广域网口连接起来进行数据传输。MODEM间连接双绞线(直通线) ,还要给予线路传输的带宽。而在局域网口,路由器直接与一台微机相连。但在实际的应用中,往往并不单单是两台路由器相连,或要多台路由器、交换机、集线器等。这要视网络结构来对网络设备的数量、位置,根据环境和要求进一步考虑。 二、路由器的配置
因为今天的路由器所包含的已不仅仅是对数据转发与路由转换的概念,它还可以实现多种意义和功能,如:安全限制、流量控制等。所以,在此我们只是简要介绍一下实现其原始功能的几个步骤。首先,进入端口模式,给予每个广域网口及以太网口一个IP地址与相应的地址掩码。其次,在广域网口要设置带宽与数据的链路传输封装协议(在实验中我们分别使用了HDLC及PPP协议)。最后,要配置路由协议,在大型的网络中,可选用的有很多不同的协议(静态路由、动态的OSPF、EIGRP)。而我们则选用的是CISCO的专有动态路由协议EIGRP。
三、用户终端的设定
为了实验的简便,为此我们只在以太网内放置了一台微机与以太网口相连。从以太口接出的所有设备都必须要对其指定一个IP地址且是与路由器的以太网口同一网段的,同时以路由器的以太网口为网关,才能保证以太网与外网段正常交换信息。
经过上面的三点配置,这个实验网络就能运行起来。利用PING命令即可检测两台微机间是否能正常通信。但在实验的过程中,在以上的每一个方面中,还有很多需要注意的小地方。
以下即是我们在实验当中所得的几点体会。
一.广域网中连接的ASCOM是智能的,因此在连接后等待两个MODEM的时钟同步后即可进行通信。但需要注意的是在此对MODEM中会自定义一主一从或手工设定也可,当主MODEM改变传输的速率时,链路自动断开,从MODEM会与主MODEM进行时钟重同步以新设定的速率通信。
二.在路由器的端口状态检查中,当接口与下联设备连接,端口为UP;当下联设备处于开启状态,而且连接的链路协议也配置完成,端口的协议状态才会呈现UP。
三.配置路由协议时,如果协议还没有起来,检查路由器的状态则是所有端口都是UP,但链路却不通。这是由于路由器没有把下连设备的路由信息传给上连路由器的路由表,数据转发时就只能通过上连路由器的路由表找到直接相连的网段却找不到下一跳相连的网段地址。只有在协议正常运行后,路由器通过路由协议学习到网络中的路由,才能把得到的数据对其下一跳进行转发。还要注意起用路由协议时,网络号的指定是指运用此路由协议的整个网络。 四.路由器广域网的数据链路层封装协议要同步,就是收发数据必须用同一种封装协议,否则广域网口会丢掉与接口封装类型不相同的数据包,导致链路的不通。
五.由于微机与路由器的接口属于同类网络接入设备,要用反双绞线(交叉线)进行连接。同样的情况还有交换机与集线器的相连。也可以通过端口的标识判定。同种标识则用交叉线,反之,用直通线。 数据的传输
网络本身的意义就在于它能使信息更快,更便捷的传送到网络所覆盖的整个区域范围,从而实现信息化和全球化的时代要求。但信息的传送必须要得到正确、完整的保证。在计算机通信的早期人们就已发现,对于经常产生误码的实际链路,只要加上合适的控制规程,就可以使通信变为比较可靠的。这些规程演变到现在,成为网际间的数据传输封装协议有HDLC、PPP、ATM、帧中继等。于是,在两台微机可以在这个实验网络通信后,我们不但对HDLC与PPP进行了传输速率,还用CISCO路由器分别在这两种协议下的加压缩与不加压缩时的状态做了一个比较。
用于测试传输速度的软件是5.58M的一个注册表文件,使用FTP进行数据传输。传输过程应用了二进制算法和HASH排序。
从实验的结果,可以看出在同样的网络环境中,HDLC与PPP相比,在正常的情况下,PPP要稍快一点。在加压缩后,两协议都明显要比未压缩前要快。这是什么原因呢?那么就从他们的结构开始说起吧。
HDLC(High-level Data Link Control),高级数据链路控制。前身是面向比特的规程SDLC,后经ISO修改才称为HDLC的。在CISCO的路由器中,HDLC是默认的传输协议,与普通的HDLC的结构相似,为此,我们就以普通的HDLC对其结构进行分析。 HDLC的帧结构
数据链路层的数据是以帧为单位的。一个帧的结构具有固定的格式。标志字段F(Flag ),放在帧的开头和结尾,作为帧的边界,用于解决比特同步的问题。帧校验序列FCS(Frame Check Sequence)字段共占16bit,它采用的生成多项式是CRC-CCITT。所检验的范围是
从地址字段的第1个比特起,到信息字段的最末1个为止。控制字段C共8bit。HDLC的许多重要功能都要靠控制字段来实现。
PPP的帧格式和HDLC的相似。与HDLC不同的是多了2个字节的协议字段。当协议字段为0x0021时,信息字段就是IP数据报。若为0xC021,则信息字段是链路控制数据,而0x8021表示这是网络控制数据。PPP不提供使用序号和确认的可靠传输。PPP工作在网络层与数据链路层中,包括NCP与LCP协议。NCP是在第三层用于局域网中的多协议封装,LCP用于第二层的广域网链路控制协议。
从两者的结构上来看,PPP有比HDLC更复杂的控制机制,处理的时候需要的时间相对要多些。从通信的连接来看,HDLC在连接与断开时采取的是双方握手协议;PPP使用的是一个鉴别认证机制,双方通过连接,然后协商,身份的鉴别,LCP的配置,打开通信到通信结束,完成整个过程。所以在整个测试中,PPP在链路的连接到数据的处理,所耗费的时间都要比HDLC要多。特别在大行的数据传输时,更能体现出HDLC的传输速度。但PPP在安全方面却比HDLC要更胜一筹,其身份验证可以根据安全的要求对所有接收的数据进行检测,通过鉴定后才会把数据接收转发否则丢弃掉。因此,对两协议的选用可视传输的要求来考虑。
此外,我们对两种协议进行了链路的压缩传送。结果,在速度方面,两者都有了显著的提高。其实,所谓的压缩也就是对传输实体进行的,对包头和负载的压缩。链路压缩并不是指单单一个特别的协议功能,而CISCO就提供了两种专用于路由器传输数据的压缩算法----Stac与Predictor。
但在HDLC结构中,Stac是唯一的选择。STAC对数据的压缩实际上是通过对一些多余字串的数据流用特定的标记替代,而这些带有信息量的标记都是明显短于所替代的数据流的。如果算法在数据中不能找到可以替代的字串,那么将不会有压缩的情况发生,或者在传输中就像压缩功能没有被激活一般。在一些应用中,例如是在发送加密数据时,压缩就只会增加传输的开销,所以在这类情况中,是不会对原始传输进行修改。而且Stac压缩算法对占用CPU的资源有较高要求,往往不被采用于高CPU利用率的路由器中。Predictor压缩算法就如其名字一般。这一CISCO优先算法是通过尝试从一个操作检索系统中预测出即将到来的特征数据序列,而这个系统就是基于压缩字典生成的。何为压缩字典,其实它就是一本由众多可能出现的数据序列组合成的编码书。如果一个特征数据流在此字典中被发现,且与字典中的其中一条目完全吻合,那么,此字典条目将会用来替代数据流。得出的条目包含的是更小更短的特征序列。在远端,这些特征将会与数据字典再次做一个对比进行解码。 数据流就会被找出及用合适的信息替换。Predictor压缩算法就如形体语言一般,利用一个手势即可表达整个的句子与含义(压缩),远比拼出由一个个单独的词语所组成的句子与含义(无压缩)来得简单。因为所有的群体对手势语言都能理解,所以相互间能够很好的沟通。相反,当其中一人在交流时包含了一个未知的形体语言,那么相互间的沟通将不会产生。在压缩中同样会出现缺少交流的情况。如在一方选用了压缩算法,那么在另一方也必须使用。(需要注意的是,两端所使用的算法必须一致。)Stac是高CPU占用,而Predictor却是
极端的高内存占用。因此,如果路由器没有配备大容量的RAM,那就想也别想实行Predictor算法。但如果RAM充足的话,使用Predictor也是一个不错的选择。
一、基本设置方式
一般来说,可以用5种方式来设置路由器:
1.Console口接终端或运行终端仿真软件的微机;
2.AUX口接MODEM,通过电话线与远方的终端或运行终端仿真软件的微机相连; 3.通过Ethernet上的TFTP服务器; 4.通过Ethernet上的TELNET程序; 5.通过Ethernet上的SNMP网管工作站。
但路由器的第一次设置必须通过第一种方式进行,此时终端的硬件设置如下: 波特率 :9600 数据位 :8 停止位 :1 奇偶校验: 无 二、命令状态 1. router>
路由器处于用户命令状态,这时用户可以看路由器的连接状态,访问其它网络和主机,但不能看到和更改路由器的设置内容。 2. router#
在router>提示符下键入enable,路由器进入特权命令状态router#,这时不但可以执行所有的用户命令,还可以看到和更改路由器的设置内容。
3. router(config)#
在router#提示符下键入configure terminal,出现提示符router(config)#,此时路由器处于全局设置状态,这时可以设置路由器的全局参数。
4. router(config-if)#; router(config-line)#; router(config-router)#;… 路由器处于局部设置状态,这时可以设置路由器某个局部的参数。 5. >
路由器处于RXBOOT状态,在开机后60秒内按ctrl-break可进入此状态,这时路由器不能完成正常的功能,只能进行软件升级和手工引导。 6. 设置对话状态
这是一台新路由器开机时自动进入的状态,在特权命令状态使用SETUP命令也可进入此状态,这时可通过对话方式对路由器进行设置。 三、设置对话过程 显示提示信息 全局参数的设置 接口参数的设置 显示结果
利用设置对话过程可以避免手工输入命令的烦琐,但它还不能完全代替手工设置,一些特殊的设置还必须通过手工输入的方式完成。
进入设置对话过程后,路由器首先会显示一些提示信息:
--- System Configuration Dialog --- At any point you may enter a question mark '?' for help. Use ctrl-c to abort configuration dialog at any prompt. Default settings are in square brackets '[]'. 这是告诉你在设置对话过程中的任何地方都可以键入“?”得到系统的帮助,按ctrl-c可以退出设置过程,缺省设置将显示在„[]‟中。然后路由器会问是否进入设置对话: Would you like to enter the initial configuration dialog? [yes]:
如果按y或回车,路由器就会进入设置对话过程。首先你可以看到各端口当前的状况:
First, would you like to see the current interface summary? [yes]: Any interface listed with OK? value \"NO\" does not have a valid configuration Interface IP-Address OK? Method Status Protocol Ethernet0 unassigned NO unset up up Serial0 unassigned NO unset up up ……… ……… … …… … … 然后,路由器就开始全局参数的设置: Configuring global parameters: 1.设置路由器名: Enter host name [Router]:
2.设置进入特权状态的密文(secret),此密文在设置以后不会以明文方式显示
The enable secret is a one-way cryptographic secret used instead of the enable password when it exists. Enter enable secret: cisco 3.设置进入特权状态的密码(password),此密码只在没有密文时起作用,并且在设置以后会以明文方式显示:
The enable password is used when there is no enable secret and when using older software and some boot images. Enter enable password: pass 4.设置虚拟终端访问时的密码: Enter virtual terminal password: cisco
5.询问是否要设置路由器支持的各种网络协议:
Configure SNMP Network Management? [yes]: Configure DECnet? [no]: Configure AppleTalk? [no]: Configure IPX? [no]: Configure IP? [yes]: Configure IGRP routing? [yes]: Configure RIP routing? [no]: ……… 6.如果配置的是拨号访问服务器,系统还会设置异步口的参数: Configure Async lines? [yes]: 1) 设置线路的最高速度: Async line speed [9600]: 2) 是否使用硬件流控:
Configure for HW flow control? [yes]: 3) 是否设置modem:
Configure for modems? [yes/no]: yes 4) 是否使用默认的modem命令: Configure for default chat script? [yes]: 5) 是否设置异步口的PPP参数:
Configure for Dial-in IP SLIP/PPP access? [no]: yes 6) 是否使用动态IP地址:
Configure for Dynamic IP addresses? [yes]: 7) 是否使用缺省IP地址:
Configure Default IP addresses? [no]: yes 8) 是否使用TCP头压缩:
Configure for TCP Header Compression? [yes]: 9) 是否在异步口上使用路由表更新:
Configure for routing updates on async links? [no]: y 10) 是否设置异步口上的其它协议。 接下来,系统会对每个接口进行参数的设置。 1.Configuring interface Ethernet0: 1) 是否使用此接口: Is this interface in use? [yes]:
2) 是否设置此接口的IP参数: Configure IP on this interface? [yes]: 3) 设置接口的IP地址:
IP address for this interface: 192.168.162.2 4) 设置接口的IP子网掩码: Number of bits in subnet field [0]:
Class C network is 192.168.162.0, 0 subnet bits; mask is /24
在设置完所有接口的参数后,系统会把整个设置对话过程的结果显示出来: The following configuration command script was created: hostname Router
enable secret 5 $1$W5Oh$p6J7tIgRMBOIKVXVG53Uh1 enable password pass ………
请注意在enable secret后面显示的是乱码,而enable password后面显示的是设置的内容。 显示结束后,系统会问是否使用这个设置: Use this configuration? [yes/no]: yes
如果回答yes,系统就会把设置的结果存入路由器的NVRAM中,然后结束设置对话过程,使路由器开始正常的工作。
四、常用命令 1. 帮助
在IOS操作中,无论任何状态和位置,都可以键入“?”得到系统的帮助。 2. 改变命令状态
3. 显示命令
4. 拷贝命令
用于IOS及CONFIG的备份和升级
5. 网络命令
6. 基本设置命令
五、配置IP寻址 1. IP地址分类
IP地址分为网络地址和主机地址二个部分,A类地址前8位为网络地址,后24位为主机地址,B类地址16位为网络地址,后16位为主机地址,C类地址前24位为网络地址,后8位为主机地址,网络地址范围如下表所示:
2. 分配接口IP地址
掩玛(mask)用于识别IP地址中的网络地址位数,IP地址(ip-address)和掩码(mask)相与即得到网络地址。 3. 使用可变长的子网掩码
通过使用可变长的子网掩码可以让位于不同接口的同一网络编号的网络使用不同的掩码,这样可以节省IP地址,充分利用有效的IP地址空间。 如下图所示:
Router1和Router2的E0端口均使用了C类地址192.1.0.0作为网络地址,Router1的E0的网络地址为192.1.0.128,掩码为255.255.255.192, Router2的E0的网络地址为192.1.0.64,掩码为255.255.255.192,这样就将一个C类网络地址分配给了二个网,既划分了二个子网,起到了节约地址的作用。 4.使用网络地址翻译(NAT)
NAT(Network Address Translation)起到将内部私有地址翻译成外部合法的全局地址的功能,它使得不具有合法IP地址的用户可以通过NAT访问到外部Internet.
当建立内部网的时候,建议使用以下地址组用于主机,这些地址是由Network Working Group(RFC 1918)保留用于私有网络地址分配的. l Class A:10.1.1.1 to 10.254.254.254 l Class B:172.16.1.1 to 172.31.254.254 l Class C:192.168.1.1 to 192.168.254.254 命令描述如下:
如下图所示
路由器的Ethernet 0端口为inside端口,即此端口连接内部网络,并且此端口所连接的网络应该被翻译,Serial 0端口为outside端口,其拥有合法IP地址(由NIC或服务提供商所分配的合法的IP地址),来自网络10.1.1.0/24的主机将从IP地址池c2501中选择一个地址作为自己的合法地址,经由Serial 0口访问Internet。命令ip nat inside source list 2 pool c2501 overload中的参数overload,将允许多个内部地址使用相同的全局地址(一个合法IP地址,它是由NIC或服务提供商所分配的地址)。命令ip nat pool c2501 202.96.38.1 202.96.38.62 netmask 255.255.255.192定义了全局地址的范围。 设置如下:
ip nat pool c2501 202.96.38.1 202.96.38.62 netmask 255.255.255.192 interface Ethernet 0 ip address 10.1.1.1 255.255.255.0 ip nat inside ! interface Serial 0 ip address 202.200.10.5 255.255.255.252 ip nat outside ! ip route 0.0.0.0 0.0.0.0 Serial 0 access-list 2 permit 10.0.0.0 0.0.0.255 ! Dynamic NAT ! ip nat inside source list 2 pool c2501 overload line console 0 exec-timeout 0 0 ! line vty 0 4 end 六、配置静态路由
通过配置静态路由,用户可以人为地指定对某一网络访问时所要经过的路径,在网络结构比较简单,且一般到达某一网络所经过的路径唯一的情况下采用静态路由。
Prefix: 所要到达的目的网络 mask: 子网掩码 address: 下一个跳的IP地址,即相邻路由器的端口地址。 interface: 本地网络接口 distance: 管理距离(可选) tag tag: tag值(可选) permanent: 指定此路由即使该端口关掉也不被移掉。
以下在Router1上设置了访问192.1.0.64/26这个网下一跳地址为192.200.10.6,即当有目的地址属于192.1.0.64/26的网络范围的数据报,应将其路由到地址为192.200.10.6的相邻路由器。在Router3上设置了访问192.1.0.128/26及192.200.10.4/30这二个网下一跳地址为192.1.0.65。由于在Router1上端口Serial 0地址为192.200.10.5,192.200.10.4/30这个网属于直连的网,已经存在访问192.200.10.4/30的路径,所以不需要在Router1上添加静态路由。
Router1: ip route 192.1.0.64 255.255.255.192 192.200.10.6 Router3: ip route 192.1.0.128 255.255.255.192 192.1.0.65 ip route 192.200.10.4 255.255.255.252 192.1.0.65 同时由于路由器Router3除了与路由器Router2相连外,不再与其他路由器相连,所以也可以为它赋予一条默认路由以代替以上的二条静态路由, ip route 0.0.0.0 0.0.0.0 192.1.0.65
即只要没有在路由表里找到去特定目的地址的路径,则数据均被路由到地址为192.1.0.65的相邻路由器。
转自 http://www.360doc.com/content/10/0923/14/1148704_55755567.shtml
Cisco 路由器配置
一、基本设置方式
一般来说,可以用5种方式来设置Cisco思科路由器:
1.Console口接终端或运行终端仿真软件的微机;
2.AUX口接MODEM,通过电话线与远方的终端或运行终端仿真软件的微机相连; 3.通过Ethernet上的TFTP服务器; 4.通过Ethernet上的TELNET程序; 5.通过Ethernet上的SNMP网管工作站。
但Cisco思科路由器的第一次设置必须通过第一种方式进行,一般用超级终端通过com口进行控制。此时终端的硬件设置如下: 波特率 :9600 数据位 :8 停止位 :1 奇偶校验: 无
二、命令操作
Cisco思科路由器所用的操作系统是IOS.共有以下几种状态: 1、router>
在router>提示符下,Cisco思科路由器处于用户命令状态,这时用户可以看Cisco思科路由器的连接状态,访问其它网络和主机,但不能看到和更改Cisco思科路由器的设置内容。此时输入?并回车,可以查看到在此状态下可以用的命令。(IOS允许你在任何时候用这种方式查看在某种状态下可以用的命令)。在敲入enable并回车后,按照系统提示输入密码,(在新的Cisco思科路由器第一次进行调试的时候不需要输入密码,直接回车即可)进入#提示符,就可以对Cisco思科路由器进行各种操作了。 2、router#
Cisco思科路由器进入特权命令状态router#后,不但可以执行所有的用户命令,还可以看到和更改Cisco思科路由器的设置内容。此时就可以对Cisco思科路由器的名字、密码等进行设置。
3、router(config)#
在router#提示符下键入configure terminal,出现提示符router(config)#,此时Cisco思科路由器处于全局设置状态,这时可以设置Cisco思科路由器的全局参数。 4、router(config-if)#; router(config-line)#;
router(config-router)#;…
Cisco思科路由器处于局部设置状态,这时可以设置Cisco思科路由器某个局部的参数。 5、Cisco思科路由器处于RXBOOT状态,在开机后60秒内按ctrl-break可进入此状态,这时Cisco思科路由器不能完成正常的功能,只能进行软件升级和手工引导。在此状态下,可以进行口令恢复。
三、常用命令
1.帮助
在IOS操作中,无论任何状态和位置,都可以键入“?”得到系统的帮助。系统会显示此时可以使用的命令。 2.改变命令状态
任务命令
进入特权命令状态enable 退出特权命令状态disable 进入设置对话状态Setup
进入全局设置状态config terminal 退出全局设置状态End
进入端口设置状态interface type slot/number
进入子端口设置状态interface type number.subinterface [point-to-point | multipoint] 进入线路设置状态line type slot/number 进入路由设置状态router protocol 退出局部设置状态Exit 3.显示命令 任务命令
查看版本及引导信息show version 查看运行设置show running-config 查看开机设置show startup-config
显示端口信息show interface type slot/number 显示路由信息show ip router 4.拷贝命令
用于IOS及CONFIG的备份和升级 5.网络命令 任务命令
登录远程主机telnet hostname|IP address 网络侦测ping hostname|IP address 路由跟踪Trace hostname|IP address 6.基本设置命令 任务命令
全局设置config terminal
设置访问用户及密码username username password password 设置特权密码enable secret password 设置Cisco思科路由器名hostname name
设置静态路由ip route destination subnet-mask next-hop 启动IP路由ip routing 启动IPX路由Ipx routing
端口设置interface type slot/number
设置IP地址ip address address subnet-mask 设置IPX网络Ipx network network 激活端口no shutdown
物理线路设置line type number
启动登录进程login [local|tacacs server] 设置登录密码password password
四、总体设置
在router#特权命令状态下,可以用setup对Cisco思科路由器进行总体设计,利用这个设计过程可以省略手工设置的烦琐。但它还不能完全代替手工设置,一些特殊的设置还必须通过手工输入的方式完成。
进入设置对话过程后,Cisco思科路由器首先会显示一些提示信息: --- System Configuration Dialog ---
At any point you may enter a question mark '?' for help. Use ctrl-c to abort configuration dialog at any prompt. Default settings are in square brackets '[]'.
这是告诉你在设置对话过程中的任何地方都可以键入“?”得到系统的帮助,按ctrl-c可以退出设置过程,缺省设置将显示在'[]‟中。然后Cisco思科路由器会问是否进入设置对话: Would you like to enter the initial configuration dialog? [yes]:
如果按y或回车,Cisco思科路由器就会进入设置对话过程。首先你可以看到各端口当前的状况:
First, would you like to see the current interface summary? [yes]:
Any interface listed with OK? value \"NO\" does not have a valid configuration InterfaceIP-AddressOK?MethodStatusProtocol Ethernet0unassignedNOunsetupup Serial0unassignedNOunsetupup ……………………………
然后,Cisco思科路由器就开始全局参数的设置: Configuring global parameters: 1.设置Cisco思科路由器名: Enter host name [Router]:
2.设置进入特权状态的密文(secret),此密文在设置以后不会以明文方式显示: The enable secret is a one-way cryptographic secret used instead of the enable password when it exists. Enter enable secret: cisco
3.设置进入特权状态的密码(password),此密码只在没有密文时起作用,并且在设置以后会以明文方式显示:
The enable password is used when there is no enable secret and when using older software and some boot images. Enter enable password: pass 4.设置虚拟终端访问时的密码: Enter virtual terminal password: cisco
5.询问是否要设置Cisco思科路由器支持的各种网络协议: Configure SNMP Network Management? [yes]: Configure DECnet? [no]: Configure AppleTalk? [no]: Configure IPX? [no]: Configure IP? [yes]:
Configure IGRP routing? [yes]: Configure RIP routing? [no]: ………
6.如果配置的是拨号访问服务器,系统还会设置异步口的参数:
Configure Async lines? [yes]:] 1)设置线路的最高速度: Async line speed [9600]: 2)是否使用硬件流控:
Configure for HW flow control? [yes]: 3)是否设置modem:
Configure for modems? [yes/no]: yes 4)是否使用默认的modem命令:
Configure for default chat script? [yes]: 5)是否设置异步口的PPP参数:
Configure for Dial-in IP SLIP/PPP access? [no]: yes 6)是否使用动态IP地址:
Configure for Dynamic IP addresses? [yes]: 7)是否使用缺省IP地址:
Configure Default IP addresses? [no]: yes 是否使用TCP头压缩:
Configure for TCP Header Compression? [yes]: 9)是否在异步口上使用路由表更新:
Configure for routing updates on async links? [no]: y
10)是否设置异步口上的其它协议。接下来,系统会对每个接口进行参数的设置。 1.Configuring interface Ethernet0: 1)是否使用此接口:
Is this interface in use? [yes]: 2)是否设置此接口的IP参数:
Configure IP on this interface? [yes]: 3)设置接口的IP地址:
IP address for this interface: 192.168.162.2 4)设置接口的IP子网掩码:
Number of bits in subnet field [0]:
Class C network is 192.168.162.0, 0 subnet bits; mask is /24
在设置完所有接口的参数后,系统会把整个设置对话过程的结果显示出来: The following configuration command script was created: hostname Router
enable secret 5 $1$W5Oh$p6J7tIgRMBOIKVXVG53Uh1 enable password pass …………
请注意在enable secret后面显示的是乱码,而enable password后面显示的是设置的内容。就是说,secret密码的优先级比较高,在两个密码都设了的情况下,secret密码起作用。 显示结束后,系统会问是否使用这个设置: Use this configuration? [yes/no]: yes
如果回答yes,系统就会把设置的结果存入Cisco思科路由器的NVRAM中,然后结束设置对话过程,使Cisco思科路由器开始正常的工作。 广域网协议设置 PPP
PPP(Point-to-Point Protocol)是SLIP(Serial Line IP protocol)的继承者,它提供了跨过同步和异步电路实现Cisco思科路由器到Cisco思科路由器(router-to-router)和主机到网络(host-to-network)的连接。
CHAP(Challenge Handshake Authentication Protocol)和PAP(Password Authentication Protocol) (PAP)通常被用于在PPP封装的串行线路上提供安全性认证。使用CHAP和PAP认证,每个Cisco思科路由器通过名字来识别,可以防止未经授权的访问。 任务命令
设置PPP封装encapsulation ppp1
设置认证方法ppp authentication {chap | chap pap | pap chap | pap} [if-needed] [list-name | default] [callin]
指定口令username name password secret 设置DCE端线路速度clockrate speed 举例
Cisco思科路由器Router1和Router2的S0口均封装PPP协议,采用CHAP做认证,在Router1中应建立一个用户,以对端Cisco思科路由器主机名作为用户名,即用户名应为router2。同时在Router2中应建立一个用户,以对端Cisco思科路由器主机名作为用户名,即用户名应为router1。所建的这两用户的password必须相同。 设置如下: Router1:
hostname router1
username router2 password xxx interface Serial0
ip address 192.200.10.1 255.255.255.0 clockrate 1000000
ppp authentication chap !
Router2:
hostname router2
username router1 password xxx interface Serial0
ip address 192.200.10.2 255.255.255.0 ppp authentication chap !
ISDN
1.综合数字业务网(ISDN)
综合数字业务网(ISDN)由数字电话和数据传输服务两部分组成,一般由电话局提供这种服务。ISDN的基本速率接口(BRI)服务提供2个B信道和1个D信道(2B+D)。BRI的B信道速率为64Kbps,用于传输用户数据。D信道的速率为16Kbps,主要传输控制信号。在北美和日本,ISDN的主速率接口(PRI)提供23个B信道和1个D信道,总速率可达1.544Mbps,其中D信道速率为64Kbps。而在欧洲、澳大利亚等国家,ISDN的PRI提供30个B信道和1个64Kbps D信道,总速率可达2.048Mbps。我国电话局所提供ISDN PRI为30B+D。 2.基本命令 任务命令
设置ISDN交换类型isdn switch-type switch-type1 接口设置interface bri 0
设置PPP封装encapsulation ppp
设置协议地址与电话号码的映射dialer map protocol next-hop-address [name hostname] [broadcast] [dial-string]
启动PPP多连接ppp multilink
设置启动另一个B通道的阈值dialer load-threshold load
显示ISDN有关信息show isdn {active | history | memory | services | status [dsl | interface-type number] | timers}
注:1.交换机类型如下表,国内交换机一般为basic-net3。 按区域分关键字 交换机类型 Australia
basic-ts013 Australian TS013 switches Europe
basic-1tr6 German 1TR6 ISDN switches
basic-nwnet3 Norway NET3 switches (phase 1)
basic-net3 NET3 ISDN switches (UK, Denmark, and other nations); covers the Euro-ISDN E-DSS1 signalling system
primary-net5 NET5 switches (UK and Europe) vn2 French VN2 ISDN switches vn3 French VN3 ISDN switches Japan
ntt Japanese NTT ISDN switches
primary-ntt Japanese ISDN PRI switches North America
basic-5ess AT&T basic rate switches
basic-dms100 NT DMS-100 basic rate switches basic-ni1 National ISDN-1 switches
primary-4ess AT&T 4ESS switch type for the U.S. (ISDN PRI only) primary-5ess AT&T 5ESS switch type for the U.S. (ISDN PRI only) primary-dms100 NT DMS-100 switch type for the U.S. (ISDN PRI only) New Zealand
basic-nznet3 New Zealand Net3 switches
3.ISDN实现DDR(dial-on-demand routing)实例: 设置如下: Router1:
hostname router1
user router2 password cisco !
isdn switch-type basic-net3 !
interface bri 0
ip address 192.200.10.1 255.255.255.0 encapsulation ppp
dialer map ip 192.200.10.2 name router2 572 dialer load-threshold 80 ppp multilink dialer-group 1
ppp authentication chap !
dialer-list 1 protocol ip permit !
Router2:
hostname router2
user router1 password cisco !
isdn switch-type basic-net3 !
interface bri 0
ip address 192.200.10.2 255.255.255.0 encapsulation ppp
dialer map ip 192.200.10.1 name router1 571 dialer load-threshold 80 ppp multilink dialer-group 1
ppp authentication chap !
dialer-list 1 protocol ip permit !
CiscoCisco思科路由器同时支持回拨功能,我们将Cisco思科路由器Router1作为Callback Server,Router2作为Callback Client。 与回拨相关命令: 任务命令
映射协议地址和电话号码,并在接口上使用在全局模式下定义的PPP回拨的映射类别。dialer map protocol address name hostname class classname dial-string 设置接口支持PPP回拨ppp callback accept
在全局模式下为PPP回拨设置映射类别map-class dialer classname
通过查找注册在dialer map里的主机名来决定回拨. dialer callback-server [username] 设置接口要求PPP回拨ppp callback request 设置如下: Router1:
hostname router1
user router2 password cisco !
isdn switch-type basic-net3 !
interface bri 0
ip address 192.200.10.1 255.255.255.0
encapsulation ppp
dialer map ip 192.200.10.2 name router2 class s3 572 dialer load-threshold 80 ppp callback accept ppp multilink dialer-group 1
ppp authentication chap !
map-class dialer s3
dialer callback-server username dialer-list 1 protocol ip permit !
Router2:
hostname router2
user router1 password cisco !
isdn switch-type basic-net3 !
interface bri 0
ip address 192.200.10.2 255.255.255.0 encapsulation ppp
dialer map ip 192.200.10.1 name router1 571 dialer load-threshold 80 ppp callback request ppp multilink dialer-group 1
ppp authentication chap !
dialer-list 1 protocol ip permit !
相关调试命令: debug dialer
debug isdn event debug isdn q921 debug isdn q931
debug ppp authentication debug ppp error
debug ppp negotiation debug ppp packet show dialer
show isdn status 举例:
执行debug dialer命令观察router2呼叫router1,router1回拨router2的过程. router1#debug dialer
router2#ping 192.200.10.1 router1#
00:03:50: %LINK-3-UPDOWN: Interface BRI0:1, changed state to up 00:03:50: BRI0:1PP callback Callback server starting to router2 572 00:03:50: BRI0:1: disconnecting call
00:03:50: %LINK-3-UPDOWN: Interface BRI0:1, changed state to down 00:03:50: BRI0:1: disconnecting call 00:03:50: BRI0:1: disconnecting call
00:03:51: %LINK-3-UPDOWN: Interface BRI0:2, changed state to up 00:03:52: callback to router2 already started 00:03:52: BRI0:2: disconnecting call
00:03:52: %LINK-3-UPDOWN: Interface BRI0:2, changed state to down 00:03:52: BRI0:2: disconnecting call 00:03:52: BRI0:2: disconnecting call 00:04:05: : Callback timer expired
00:04:05: BRI0:beginning callback to router2 572 00:04:05: BRI0: Attempting to dial 572 00:04:05: Freeing callback to router2 572
00:04:05: %LINK-3-UPDOWN: Interface BRI0:1, changed state to up 00:04:05: BRI0:1: No callback negotiated
00:04:05: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to up 00:04:05: dialer Protocol up for Vi1
00:04:06: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI0:1, changed state to up
00:04:06: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access1, chang ed state to up
00:04:11: %ISDN-6-CONNECT: Interface BRI0:1 is now connected to 572 #router1
4.ISDN访问首都在线263网实例:
本地局部网地址为10.0.0.0/24,属于保留地址,通过NAT地址翻译功能,局域网用户可以通过ISDN上263网访问Internet。263的ISDN电话号码为2633,用户为263,口令为263,所涉及的命令如下表: 任务命令
指定接口通过PPP/IPCP地址协商获得IP地址ip address negotiated 指定内部和外部端口ip nat {inside | outside}
使用ppp/pap作认证ppp authentication pap callin 指定接口属于拨号组1dialer-group 1
定义拨号组1允许所有IP协议dialer-list 1 protocol ip permit 设定拨号,号码为2633dialer string 2633
设定登录263的用户名和口令ppp pap sent-username 263 password 263 设定默认路由ip route 0.0.0.0 0.0.0.0 bri 0
设定符合访问列表2的所有源地址被翻译为bri 0所拥有的地址ip nat inside source list 2 interface bri 0 overload
设定访问列表2,允许所有协议access-list 2 permit any
具体配置如下:
hostname Cisco2503 !
isdn switch-type basic-net3 !
ip subnet-zero
no ip domain-lookup ip routing !
interface Ethernet 0
ip address 10.0.0.1 255.255.255.0 ip nat inside no shutdown !
interface Serial 0 shutdown no description no ip address !
interface Serial 1 shutdown no description no ip address !
interface bri 0
ip address negotiated ip nat outside
encapsulation ppp
ppp authentication pap callin ppp multilink dialer-group 1
dialer hold-queue 10 dialer string 2633 dialer idle-timeout 120
ppp pap sent-username 263 password 263 no cdp enable no ip split-horizon no shutdown !
ip classless !
! Static Routes !
ip route 0.0.0.0 0.0.0.0 bri 0
!
! Access Control List 2 !
access-list 2 permit any !
dialer-list 1 protocol ip permit !
! Dynamic NAT !
ip nat inside source list 2 interface bri 0 overload snmp-server community public ro !
line console 0 exec-timeout 0 0 !
line vty 0 4 ! end
路由协议配置 RIP协议
RIP(Routing information Protocol)是应用较早、使用较普遍的内部网关协议(Interior Gateway Protocol,简称IGP),适用于小型同类网络,是典型的距离向量(distance-vector)协议。文档见RFC1058、RFC1723。
RIP通过广播UDP报文来交换路由信息,每30秒发送一次路由信息更新。RIP提供跳跃计数(hop count)作为尺度来衡量路由距离,跳跃计数是一个包到达目标所必须经过的Cisco思科路由器的数目。如果到相同目标有二个不等速或不同带宽的Cisco思科路由器,但跳跃计数相同,则RIP认为两个路由是等距离的。RIP最多支持的跳数为15,即在源和目的网间所要经过的最多Cisco思科路由器的数目为15,跳数16表示不可达。 1.有关命令 任务命令
指定使用RIP协议router rip 指定RIP版本version {1|2}1
指定与该Cisco思科路由器相连的网络network network
注:1.Cisco的RIP版本2支持验证、密钥管理、路由汇总、无类域间路由(CIDR)和变长子网掩码(VLSMs) 2.举例 Router1: router rip version 2
network 192.200.10.0 network 192.20.10.0 !
相关调试命令:
show ip protocol show ip route IGRP协议
IGRP (Interior Gateway Routing Protocol)是一种动态距离向量路由协议,它由Cisco公司八十年代中期设计。使用组合用户配置尺度,包括延迟、带宽、可靠性和负载。
缺省情况下,IGRP每90秒发送一次路由更新广播,在3个更新周期内(即270秒),没有从路由中的第一个Cisco思科路由器接收到更新,则宣布路由不可访问。在7个更新周期即630秒后,Cisco IOS 软件从路由表中清除路由。 1.有关命令 任务命令
指定使用igrp协议router igrp autonomous-system1 指定与该Cisco思科路由器相连的网络network network
指定与该Cisco思科路由器相邻的节点地址neighbor ip-address
注:1、autonomous-system可以随意建立,并非实际意义上的autonomous-system,但运行IGRP的Cisco思科路由器要想交换路由更新信息其autonomous-system需相同。 2.举例 Router1:
router igrp 200
network 192.200.10.0 network 192.20.10.0 !
虚拟局域网(VLAN)
当前在我们构造企业网络时所采用的主干网络技术一般都是基于交换和虚拟网络的。交换技术将共享介质改为独占介质,大大提高网络速度。虚拟网络技术打破了地理环境的制约,在不改动网络物理连接的情况下可以任意将工作站在工作组或子网之间移动,工作站组成逻辑工作组或虚拟子网,提高信息系统的运作性能,均衡网络数据流量,合理利用硬件及信息资源。同时,利用虚拟网络技术,大大减轻了网络管理和维护工作的负担,降低网络维护费用。随着虚拟网络技术的应用,随之必然产生了在虚拟网间如何通讯的问题. 交换机间链路(ISL)协议
ISL(Interior Switching Link)协议用于实现交换机间的VLAN中继。它是一个信息包标记协议,在支持ISL接口上发送的帧由一个标准以太网帧及相关的VLAN信息组成。如下图所示,在支持ISL的接口上可以传送来自不同VLAN的数据。 虚拟局域网(VLAN)路由实例 3.1. 例一:
设备选用Catalyst5500交换机1台,安装WS-X5530-E3管理引擎,多块WS-X5225R及WS-X5302路由交换模块,WS-X5302被直接插入交换机,通过二个通道与系统背板上的VLAN 相连,从用户角度看认为它是1个1接口的模块,此接口支持ISL。在交换机内划有3个虚拟网,分别名为default、qbw、rgw,通过WS-X5302实现虚拟网间路由。 以下加重下横线部分,如set system name 5500C为需设置的命令。 设置如下:
Catalyst 5500配置: begin
set password $1$FMFQ$HfZR5DUszVHIRhrz4h6V70 set enablepass $1$FMFQ$HfZR5DUszVHIRhrz4h6V70
set prompt Console> set length 24 default set logout 20
set banner motd ^C^C !
#system
set system baud 9600
set system modem disable set system name 5500C set system location set system contact ! #ip
set interface sc0 1 10.230.4.240 255.255.255.0 10.230.4.255 set interface sc0 up
set interface sl0 0.0.0.0 0.0.0.0 set interface sl0 up set arp agingtime 1200 set ip redirect enable
set ip unreachable enable set ip fragmentation enable
set ip route 0.0.0.0 10.230.4.15 1 set ip alias default 0.0.0.0 !
#Command alias ! #vtp
set vtp domain hne set vtp mode server set vtp v2 disable
set vtp pruning disable
set vtp pruneeligible 2-1000
clear vtp pruneeligible 1001-1005
set vlan 1 name default type ethernet mtu 1500 said 100001 state active set vlan 777 name rgw type ethernet mtu 1500 said 100777 state active set vlan 888 name qbw type ethernet mtu 1500 said 100888 state active set vlan 1002 name fddi-default type fddi mtu 1500 said 101002 state active
set vlan 1004 name fddinet-default type fddinet mtu 1500 said 101004 state active bridge 0x0 stp ieee
set vlan 1005 name trnet-default type trbrf mtu 1500 said 101005 state active bridge 0x0 stp ibm
set vlan 1003 name token-ring-default type trcrf mtu 1500 said 101003 state active parent 0 ring 0x0 mode srb aremaxhop 7 stemaxhop 7 !
#set boot command
set boot config-register 0x102
set boot system flash bootflash:cat5000-sup3.4-3-1a.bin !
#module 1 : 2-port 1000BaseLX Supervisor set module name 1 set vlan 1 1/1-2
set port enable 1/1-2 !
#module 2 : empty !
#module 3 : 24-port 10/100BaseTX Ethernet set module name 3 set module enable 3 set vlan 1 3/1-22 set vlan 777 3/23 set vlan 888 3/24
set trunk 3/1 on isl 1-1005 #module 4 empty !
#module 5 empty !
#module 6 : 1-port Route Switch set module name 6 set port level 6/1 normal set port trap 6/1 disable set port name 6/1 set cdp enable 6/1 set cdp interval 6/1 60 set trunk 6/1 on isl 1-1005 !
#module 7 : 24-port 10/100BaseTX Ethernet set module name 7 set module enable 7 set vlan 1 7/1-22 set vlan 888 7/23-24
set trunk 7/1 on isl 1-1005 set trunk 7/2 on isl 1-1005 !
#module 8 empty !
#module 9 empty !
#module 10 : 12-port 100BaseFX MM Ethernet
set module name 10 set module enable 10 set vlan 1 10/1-12
set port channel 10/1-4 off set port channel 10/5-8 off set port channel 10/9-12 off set port channel 10/1-2 on set port channel 10/3-4 on set port channel 10/5-6 on set port channel 10/7-8 on set port channel 10/9-10 on set port channel 10/11-12 on #module 11 empty !
#module 12 empty !
#module 13 empty !
#switch port analyzer
!set span 1 1/1 both inpkts disable set span disable !
#cam
set cam agingtime 1-2,777,888,1003,1005 300 end
5500C> (enable)
WS-X5302路由模块设置: Router#wri t
Building configuration... Current configuration: !
version 11.2
no service password-encryption no service udp-small-servers no service tcp-small-servers !
hostname Router !
enable secret 5 $1$w1kK$AJK69fGOD7BqKhKcSNBf6. !
ip subnet-zero !
interface Vlan1
ip address 10.230.2.56 255.255.255.0
!
interface Vlan777
ip address 10.230.3.56 255.255.255.0 !
interface Vlan888
ip address 10.230.4.56 255.255.255.0 !
no ip classless !
line con 0 line aux 0 line vty 0 4
password router login ! end Router# 3.1. 例二:
交换设备仍选用Catalyst5500交换机1台,安装WS-X5530-E3管理引擎,多块WS-X5225R在交换机内划有3个虚拟网,分别名为default、qbw、rgw,通过Cisco3640Cisco思科路由器实现虚拟网间路由。交换机设置与例一类似。
Cisco思科路由器Cisco3640,配有一块NM-1FE-TX模块,此模块带有一个快速以太网接口可以支持ISL。Cisco3640快速以太网接口与交换机上的某一支持ISL的端口实现连接,如交换机第3槽第1个接口(3/1口)。 Router#wri t
Building configuration... Current configuration: !
version 11.2
no service password-encryption no service udp-small-servers no service tcp-small-servers !
hostname Router !
enable secret 5 $1$w1kK$AJK69fGOD7BqKhKcSNBf6. !
ip subnet-zero !
interface FastEthernet1/0 !
interface FastEthernet1/0.1 encapsulation isl 1
ip address 10.230.2.56 255.255.255.0
!
interface FastEthernet1/0.2 encapsulation isl 777
ip address 10.230.3.56 255.255.255.0 !
interface FastEthernet1/0.3 encapsulation isl 888
ip address 10.230.4.56 255.255.255.0 !
no ip classless !
line con 0 line aux 0 line vty 0 4
password router login ! end Router#
安全性管理
对Cisco思科路由器的安全性管理主要包括:建立口令以保护访问Cisco思科路由器的安全,使用正确的访问表以管理通过Cisco思科路由器的可接受数据流等。 1、口令管理
下面显示了设置控制从终端进行访问的口令的命令。 命令 操作效果
Line console 0 为控制台终端建立一个口令 Line vty 0 4 telnet连接建立一个口令
Enable-password 为特权exec模式建立一个口令 Enable-secret 使用MD5加密方法建立密码口令
Service password-encryption 保护口令,避免其通过idsplay命令 将口令显示出来 2、报文过滤
cisco的防火墙功能主要是通过报文的过滤实现的。
它可以实现对多种数据流的控制,如限制流入、以及流出等。通过对访问列表的编写,我们可以实现对特定网络或主机的数据流限制。 Accsess-list 的编号有特定的范围: IP standard access list IP extended access list
Extended 48-bit MAC address access list Protocol type-code access list 48-bit MAC address access list
例如我们可以定义如下的访问表来实现允许任何主机到主机160..10.2.101的报文: Accsess-list 101 permit ip any host 160.10.2.101
而下面的语句允许使用客户源端口(小于1024的端口留给服务器用)方式的主机发往160.10.2.100的udp报文通过,且报文的目的端口必须为dns端口(53)。其中gt为great than。
Accsess-list 101 permit udp any gt 1023 host 160.10.2.100 eq 53
建立好访问列表以后,要想让它进行报文过滤,必须将它应用到端口上。在进入要控制的端口后,用如下的命令应用此访问表: router(config-if)#ip access-group 101 in
其中的in表示对向里(针对此端口来说)的数据进行过滤。要注意的是,一个端口只能有一个向里和向外的列表,如果有几个,则只有第一个起作用。 参考:
CiscoCisco思科路由器口令恢复
当CiscoCisco思科路由器的口令被错误修改或忘记时,可以按如下步骤进行操作: 1.开机时按使进入ROM监控状态 2.按o 命令读取配置寄存器的原始值 > o
3.作如下设置,使忽略NVRAM引导 >o/r0x**4*Cisco2500系列命令
rommon 1 >confreg 0x**4*Cisco2600、1600系列命令 一般正常值为0x2102
4.重新启动Cisco思科路由器 >I
rommon 2 >reset
5.在“Setup”模式,对所有问题回答No 6.进入特权模式 Router>enable 7.下载NVRAM
Router>configure memory
8.恢复原始配置寄存器值并激活所有端口 “hostname”#configure terminal
“hostname”(config)#config-register 0x“value” “hostname”(config)#interface xx “hostname”(config)#no shutdown 9.查询并记录丢失的口令
“hostname”#show configuration (show startup-config) 10.修改口令
“hostname”#configure terminal “hostname”(config)line console 0 “hostname”(config-line)#login
“hostname”(config-line)#password xxxxxxxxx “hostname”(config-line)#
“hostname”(config-line)#write memory(copy running-config startup-config)
2、IP地址分配
地址类网络主机网络地址范围标准二进制掩码
AN.H.H.H1-1261111 1111 0000 0000 0000 0000 0000 0000 BN.N.H.H128-1911111 1111 1111 1111 0000 0000 0000 0000 CN.N.N.H192-2231111 1111 1111 1111 1111 1111 0000 0000 子网位个数子网掩码子网数主机数 B类地址
2255.255.192.0216382 3255.255.224.068198 4255.255.240.0144894 5255.255.248.0302846 6255.255.252.0621822 7255.255.254.0126518 8255.255.255.0254254 9255.255.255.128518126 10255.255.255.192182262 11255.255.255.224284630 12255.255.255.240489414 13255.255.255.24881986 14255.255.255.252163822 C类地址
2255.255.255.192262 3255.255.255.224630 4255.255.255.2401414 5255.255.255.248306 6255.255.255.252622
Cisco思科路由器
最简单的网络可以想象成单线的总线,各个计算机可以通过向总线发送分组以互相通信。但随着网络中的计算机数目增长,这就很不可行了,会产生许多问题: 1、带宽资源耗尽。
2、每台计算机都浪费许多时间处理无关的广播数据。
3、网络变得无法管理,任何错误都可能导致整个网络瘫痪。 4、每台计算机都可以监听到其他计算机的通信。 把网络分段可以解决这些问题,但同时你必须提供一种机制使不同网段的计算机可以互相通信,这通常涉及到在一些ISO网络协议层选择性地在网段间传送数据,我们来看一下网络协议层和Cisco思科路由器的位置。
我们可以看到,Cisco思科路由器位于网络层。本文假定网络层协议为IPv4,因为这是最流行的协议,其中涉及的概念与其他网络层协议是类似的。 一、路由与桥接
路由相对于2层的桥接/交换是高层的概念,不涉及网络的物理细节。在可路由的网络中,每台主机都有同样的网络层地址格式(如IP地址),而无论它是运行在以太网、令牌环、FDDI还是广域网。网络层地址通常由两部分构成:网络地址和主机地址。
网桥只能连接数据链路层相同(或类似)的网络,Cisco思科路由器则不同,它可以连接任
意两种网络,只要主机使用的是相同的网络层协议。 二、连接网络层与数据链路层
网络层下面是数据链路层,为了它们可以互通,需要“粘合”协议。ARP(地址解析协议)用于把网络层(3层)地址映射到数据链路层(2层)地址,RARP(反向地址解析协议)则反之。 虽然ARP的定义与网络层协议无关,但它通常用于解析IP地址;最常见的数据链路层是以太网。因此下面的ARP和RARP的例子基于IP和以太网,但要注意这些概念对其他协议也是一样的。 1、地址解析协议
网络层地址是由网络管理员定义的抽象映射,它不去关心下层是哪种数据链路层协议。然而,网络接口只能根据2层地址来互相通信,2层地址通过ARP从3层地址得到。
并不是发送每个数据包都需要进行ARP请求,回应被缓存在本地的ARP表中,这样就减少了网络中的ARP包。ARP的维护比较容易,是一个比较简单的协议。 2、简介
如果接口A想给接口B发送数据,并且A只知道B的IP地址,它必须首先查找B的物理地址,它发送一个含有B的IP地址的ARP广播请求B的物理地址,接口B收到该广播后,向A回应其物理地址。
注意,虽然所有接口都收到了信息,但只有B回应该请求,这保证了回应的正确且避免了过期的信息。要注意的是,当A和B不在同一网段时,A只向下一跳的Cisco思科路由器发送ARP请求,而不是直接向B发送。
下图为接收到ARP分组后的处理,注意发送者的 对被存到接收ARP请求的主机的本地ARP表中,一般A想与B通信时,B可能也需要与A通信。
3、IP地址冲突
ARP产生的问题中最常见的是IP地址的冲突,这是由于两个不同的主机IP地址相同产生的,在任何互联的网络中,IP地址必须是唯一的。这时会收到两个ARP回应,分别指出了不同的硬件地址,这是严重的错误,没有简单的解决办法。
为了避免出现这类错误,当接口A初试化时,它发送一个含有其IP地址的ARP请求,如果没有收到回应,A就假定该IP地址没有被使用。我们假定接口B已经使用了该IP地址,那么B就发送一个ARP回应,A就可以知道该IP地址已被使用,它就不能再使用该IP地址,而是返回错误信息。这样又产生一个问题,假设主机C含有该IP地址的映射,是映射到B的硬件地址的,它收到接口A的ARP广播后,更新其ARP表使之指向A的硬件地址。为了解决这个错误,B再次发送一个ARP请求广播,这样主机C又更新其ARP表再次指向B的硬件地址。这时网络的状态又回到先前的状态,有可能C已经向A发送了应该发送给B的IP分组,这很不幸,但是因为IP提供的是无保证的传输,所以不会产生大的问题。 4、管理ARP缓存表
ARP缓存表是 对的列表,根据IP地址索引。该表可以用命令arp来管理,其语法包括: 向表中添加静态表项 -- arp -s 从表中删除表项 -- arp -d 显示表项 -- arp -a
ARP表中的动态表项(没有手动加入的表项)通常过一段时间自动删除,这段时间的长度由特定的TCP/IP实现决定。 5、静态ARP地址的使用
静态ARP地址的典型使用是设置独立的打印服务器,这些设备通常通过telnet来配置,但首先它们需要一个IP地址。没有明显的方法来把此信息告诉该设备,好象只能使用其串口来设置。但是,这需要找一个合适的终端和串行电缆,设置波特率、奇偶校验等,很不方便。 假设我们想给一个打印服务器设置IP地址P-IP,并且我们知道其硬件地址P-hard,在工作站A上创建一个静态ARP表项把P-IP映射到P-hard,这样,虽然打印服务器不知道自己的IP地址,但是所有指向P-IP的数据就将被送到P-hard。我们现在就可以telnet到P-IP并配置其IP地址了,然后再删除该静态ARP表项。
有时会在一个子网里配置打印服务器,而在另一个子网里使用它,方法与上面类似。假设其IP地址为P-IP,我们分配一个本网的临时IP地址T-IP给它,在工作站A上创建临时ARP表项把T-IP映射到P-hard,然后telnet到T-IP,给打印服务器配以IP地址P-IP。接下来就可以把它放到另一个子网里使用了,别忘了删除静态ARP表项。
6、代理ARP
可以通过使用代理ARP来避免在每台主机上配置路由表,在使用子网时这特别有用,但注意,不是所有的主机都能理解子网的。基本的思想是即使对于不在本子网的主机也发送ARP请求,ARP代理服务器(通常是网关)回应以网关的硬件地址,见下图,注意与上面的图比较一下。
代理ARP简化了主机的管理,但是增加了网络的通信量(不是很明显),并且可能需要较大的ARP缓存,每个不在本网的IP地址都被创建一个表项,都映射到网关的硬件地址。在使用代理ARP的主机看来,世界就象一个大的没有Cisco思科路由器物理网络。
三、IP地址
在可路由的网络层协议中,协议地址必须含有两部分信息:网络地址和主机地址。存贮这种信息最明显的方法是用两个分离的域,这样我们必须考虑到两个域的最大长度,有些协议(如IPX)就是这样的,它在小型和中型的网络里可以工作的很好。
另一种方案是减少主机地址域的长度,如24位网络地址、8位主机地址,这样就有了较多的网段,但每个网段内的主机数目很少。这样一来,对于多于256个主机的网络,就必须分配多个网段,其问题是很多的网络给Cisco思科路由器造成了难以忍受的负担。 IP把网络地址和主机地址一起包装在一个32位的域里,有时主机地址部分很短,有时很长,这样可以有效利用地址空间,减少IP地址的长度,并且网络数目不算多。有两种将主机地址分离出来的方法:基于类的地址和无类别的地址。 1、主机和网关
主机和网关的区别常产生混淆,这是由于主机意义的转变。在RFC中(1122/3和1009)中定义为:
主机是连接到一个或多个网络的设备,它可以向任何一个网络发送和从其接收数据,但它从不把数据从一个网络传向另一个。
网关是连接到多于一个网络的设备,它选择性的把数据从一个网络转发到其它网络。 换句话说,过去主机和网关的概念被人工地区分开来,那时计算机没有足够的能力同时用作
主机和网关。主机是用户工作的计算机,或是文件服务器等。现代的计算机的能力足以同时担当这两种角色,因此,现代的主机定义应该如此: 主机是连接到一个或多个网络的设备,它可以向任何一个网络发送和从其接收数据。它也可以作为网关,但这不是其唯一的目的。 Cisco思科路由器是专用的网关,其硬件经过特殊的设计使其能以极小的延迟转发大量的数据。然而,网关也可以是有多个网卡的标准的计算机,其操作系统的网络层有能力转发数据。由于专用的路由硬件较便宜,计算机用作网关已经很少见了,在只有一个拨号连接的小站点里,还可能使用计算机作为非专用的网关。 2、基于类的地址
最初设计IP时,地址根据第一个字节被分成几类: 0: 保留
1-126: A类(网络地址:1字节,主机地址:3字节) 127: 保留
128-191: B类(网络地址:2字节,主机地址:2字节) 192-223: C类(网络地址:3字节,主机地址:1字节) 224-255: 保留 3、子网划分
虽然基于类的地址系统对因特网服务提供商来说工作得很好,但它不能在一个网络内部做任何路由,其目的是使用第二层(桥接/交换)来导引网络中的数据。在大型的A类网络中,这就成了个特殊的问题,因为在大型网络中仅使用桥接/交换使其非常难以管理。在逻辑上其解决办法是把大网络分割成若干小的网络,但在基于类的地址系统中这是不可能的。为了解决这个问题,出现了一个新的域:子网掩码。子网掩码指出地址中哪些部分是网络地址,哪些是主机地址。在子网掩码中,二进制1表示网络地址位,二进制0表示主机地址位。传统的各类地址的子网掩码为: A类:255.0.0.0 B类:255.255.0.0 C类:255.255.255.0
如果想把一个B类网络的地址用作C类大小的地址,可以使用掩码255.255.255.0。 用较长的子网掩码把一个网络分成多个网络就叫做划分子网。要注意的是,一些旧软件不支持子网,因为它们不理解子网掩码。例如UNIX的routed路由守护进程通常使用的路由协议是版本1的RIP,它是在子网掩码出现前设计的。
上面只介绍了三种子网掩码:255.0.0.0、255.255.0.0和255.255.255.0,它们是字节对齐的子网掩码。但是也可以在字节中间对其进行划分,这里不进行详细讲解,请参照相关的TCP/IP书籍。
子网使我们可以拥有新的规模的网络,包括很小的用于点到点连接的网络(如掩码255.255.255.252,30位的网络地址,2位的主机地址:两个主机的子网),或中型网络(如掩码255.255.240.0,20位网络地址,12位主机地址:4094个主机的子网)。 注意DNS被设计为只允许字节对齐的IP网络(在in-addr.arpa.域中)。 4、超网(supernetting)
超网是与子网类似的概念--IP地址根据子网掩码被分为独立的网络地址和主机地址。但是,与子网把大网络分成若干小网络相反,它是把一些小网络组合成一个大网络--超网。
假设现在有16个C类网络,从201.66.32.0到201.66.47.0,它们可以用子网掩码255.255.240.0统一表示为网络201.66.32.0。但是,并不是任意的地址组都可以这样做,例如16个C类网络201.66.71.0到201.66.86.0就不能形成一个统一的网络。不过这其实
没关系,只要策略得当,总能找到合适的一组地址的。 5、可变长子网掩码(VLSM)
如果你想把你的网络分成多个不同大小的子网,可以使用可变长子网掩码,每个子网可以使用不同长度的子网掩码。例如:如果你按部门划分网络,一些网络的掩码可以为255.255.255.0(多数部门),其它的可为255.255.252.0(较大的部门)。 6、无类别地址(CIDR)
因特网上的主机数量增长超出了原先的设想,虽然还远没达到232,但地址已经出现匮乏。1993年发表的RFC1519--无类别域间路由CIDR(Classless Inter-Domain Routing)--是一个尝试解决此问题的方法。CIDR试图延长IPv4的寿命,与128位地址的IPv6不同,它并不能最终解决地址空间的耗尽,但IPv6的实现是个庞大的任务,因特网目前还没有做好准备。CIDR给了我们缓冲的准备时间。
基于类的地址系统工作的不错,它在有效的地址使用和少量的网络数目间做出了较好的折衷。但是随着因特网意想不到的成长出现了两个主要的问题: 已分配的网络数目的增长使路由表大得难以管理,相当程度上降低了Cisco思科路由器的处理速度。
僵化的地址分配方案使很多地址被浪费,尤其是B类地址十分匮乏。
为了解决第二个问题,可以分配多个较小的网络,例如,用多个C类网络而不是一个B类网络。虽然这样能够很有效地分配地址,但是更加剧了路由表的膨胀(第一个问题)。 在CIDR中,地址根据网络拓扑来分配。连续的一组网络地址可以被分配给一个服务提供商,使整组地址作为一个网络地址(很可能使用超网技术)。例如:一个服务提供商被分配以256个C类地址,从213.79.0.0到213.79.255.0,服务提供商给每个用户分配一个C类地址,但服务提供商外部的路由表只通过一个表项--掩码为255.255.0.0的网络213.79.0.0--来分辨这些路由。
这种方法明显减少了路由表的增长,CIDR RFC的作者估计,如果90%的服务提供商使用了CIDR,路由表将以每3年54%的速度增长,而如果没有使用CIDR,则增长速度为776%。如果可以重新组织现有的地址,则因特网骨干上的Cisco思科路由器广播的路由数量将大大减少。但这实际是不可行的,因为将带来巨大的管理负担。
四、路由 1、路由表
如果一个主机有多个网络接口,当向一个特定的IP地址发送分组时,它怎样决定使用哪个接口呢?答案就在路由表中。来看下面的例子:
目的 子网掩码 网关 标志 接口
201.66.37.0 255.255.255.0 201.66.37.74 U eth0 201.66.39.0 255.255.255.0 201.66.39.21 U eth1
主机将所有目的地为网络201.66.37.0内主机(201.66.37.1-201.66.37.254)的数据通过接口eth0(IP地址为201.66.37.74)发送,所有目的地为网络201.66.39.0内主机的数据通过接口eth1(IP地址为201.66.39.21)发送。标志U表示该路由状态为“up”(即激活状态)。对于直接连接的网络,一些软件并不象上例中一样给出接口的IP地址,而只列出接口。
此例只涉及了直接连接的主机,那么目的主机在远程网络中如何呢?如果你通过IP地址为201.66.37.254的网关连接到网络73.0.0.0,那么你可以在路由表中增加这样一项:
目的 掩码 网关 标志 接口
73.0.0.0 255.0.0.0 201.66.37.254 UG eth0
此项告诉主机所有目的地为网络73.0.0.0内主机的分组通过201.66.37.254路由过去。标志G(gateway)表示此项把分组导向外部网关。类似的,也可以定义通过网关到达特定主机的路由,增加标志H(host):
目的 掩码 网关 标志 接口
91.32.74.21 255.255.255.255 201.66.37.254 UGH eth0 下面是路由表的基础,除了特殊表项之外:
目的 掩码 网关 标志 接口
127.0.0.1 255.255.255.255 127.0.0.1 UH lo0 default 0.0.0.0 201.66.37.254 UG eth1 第一项是loopback接口,用于主机给自己发送数据,通常用于测试和运行于IP之上但需要本地通信的应用。这是到特定地址127.0.0.1的主机路由(接口lo0是IP协议栈内部的“假”网卡)。第二项十分有意思,为了防止在主机上定义到因特网上每一个可能到达网络的路由,可以定义一个缺省路由,如果在路由表中没有与目的地址相匹配的项,该分组就被送到缺省网关。多数主机简单地通过一个网卡连接到网络,因此只有通过一个Cisco思科路由器到其它网络,这样在路由表中只有三项:loopback项、本地子网项和缺省项(指向Cisco思科路由器)。 2、重叠路由
假设在路由表中有下列重叠项:
目的 掩码 网关 标志 接口
1.2.3.4 255.255.255.255 201.66.37.253 UGH eth0 1.2.3.0 255.255.255.0 201.66.37.254 UG eth0 1.2.0.0 255.255.0.0 201.66.37.253 UG eth1 default 0.0.0.0 201.66.39.254 UG eth1
之所以说这些路由重叠是因为这四个路由都含有地址1.2.3.4,如果向1.2.3.4发送数据,会选择哪条路由呢?在这种情况下,会选择第一条路由,通过网关201.66.37.253。原则是选择具有最长(最精确)的子网掩码。类似的,发往1.2.3.5的数据选择第二条路由。
注意:这条原则只适用于间接路由(通过网关)。把两个接口定义在同一子网在很多软件实现上是非法的。例如下面的设置通常是非法的(不过有些软件将尝试在两个接口进行负载平衡):
接口 IP地址 子网掩码
eth0 201.66.37.1 255.255.255.0 eth1 201.66.37.2 255.255.255.0 对于重叠路由的策略是十分有用的,它允许缺省路由作为目的为0.0.0.0、子网掩码为0.0.0.0的路由进行工作,而不需要作为路由软件的一个特殊情况来实现。
回头来看看CIDR,仍使用上面的例子:一个服务提供商被赋予256个C类网络,从213.79.0.0到213.79.255.0。该服务提供商外部的路由表只以一个表项就了解了所有这些路由:213.79.0.0,子网掩码为255.255.0.0。假设一个用户移到了另一个服务提供商,他拥有网络地址213.79.61.0,现在他是否必须从新的服务提供商处取得新的网络地址呢?如果是,意味着他必须重新配置每台主机的IP地址,改变DNS设置,等等。幸运的是,解
决办法很简单,原来的服务提供商保持路由213.79.0.0(子网掩码为255.255.0.0),新的服务提供商则广播路由213.79.61.0(子网掩码为255.255.255.0),因为新路由的子网掩码较长,它将覆盖原来的路由。 3、静态路由
回头看看我们已建立的路由表,已有了六个表项: 目的 掩码 网关 标志 接口
127.0.0.1 255.255.255.255 127.0.0.1 UH lo0 201.66.37.0 255.255.255.0 201.66.37.74 U eth0 201.66.39.0 255.255.255.0 201.66.39.21 U eth1 default 0.0.0.0 201.66.39.254 UG eth1 73.0.0.0 255.0.0.0 201.66.37.254 UG eth0
91.32.74.21 255.255.255.255 201.66.37.254 UGH eth0 该网络图示如下:
这些表项分别是怎么得到的呢?第一个是当路由表初始化时由路由软件加入的,第二、三个是当网卡绑定IP地址时自动创建的,其余三个必须手动加入,在UNIX系统中,这是通过命令route来做的,可以由用户手工执行,也可以通过rc脚本在启动时执行。上述方法涉及的是静态路由,通常在启动时创建,并且没有手工干预的话将不再改变。 4、路由协议
主机和网关都可以使用称作动态路由的技术,这使路由表可以动态改变。动态路由需要路由协议来增加和删除路由表项,路由表还是和静态路由一样地工作,只是其增添和删除是自动的。
有两种路由协议:内部的和外部的。内部协议在自制系统(AS)内部路由,而外部协议则在自制系统间路由。自制系统通常在统一的控制管理之下,例如大的公司或大学。小的站点常常是其因特网服务提供商自制系统的一部分。 这里只讨论内部协议,很少有人涉及到甚至听说外部协议。最常见的外部协议是外部网关协议EGP(External Gateway Protocol)和边缘网关协议BGP(Border Gateway Protocol),BGP是较新的协议,在逐渐地取代EGP。 5、ICMP重定向
ICMP通常不被看作路由协议,但是ICMP重定向却与路由协议的工作方式很类似,所以将在这里讨论一下。假设现在有上面所给的六个表项的路由表,分组被送往201.66.43.33,看看路由表,除了缺省路由外,这并不能匹配任何路由。静态路由将其通过Cisco思科路由器201.66.39.254发送(trip 1),但是,该Cisco思科路由器知道所有发向子网201.66.43.0的分组应该通过201.66.39.253,因此,它把分组转发到适当的Cisco思科路由器(trip 2)。但是如果主机直接把分组发到201.66.39.253就会提高效率(trip 3)。如下图:
因为Cisco思科路由器把分组从同一接口发回了分组,所以它知道有更好的路由,Cisco思科路由器可以通过ICMP重定向指示主机使用新的路由。虽然Cisco思科路由器知道所有发向201.66.43.0子网的分组应该通过201.66.39.253,它通常只发送特定的主机的ICMP重定向(此例中是201.66.43.33)。主机将在路由表中创建一个新的表项:
目的 掩码 网关 标志 接口
201.66.43.33 255.255.255.255 201.66.39.253 UGHD eth1 注意标志D,对所有由ICMP重定向创建的路由设置此标志。将来此类分组将通过新路由发送(trip 3)。
6、RIP
RIP是一种简单的内部路由协议,已经存在很久,被广泛地实现(UNIX的routed就使用RIP)。它使用距离向量算法,所以其路由选择只是基于两点间的“跳(hop)”数,穿过一个Cisco思科路由器认为是一跳。主机和网关都可以运行RIP,但是主机只是接收信息,而并不发送。路由信息可以从指定网关请求,但通常是每隔30秒广播一次以保持正确性。RIP使用UDP通过端口520在主机和网关间通信。网关间传送的信息用于建立路由表,由RIP选定的路由总是具有距离目的跳数最少的。RIP版本1在简单、较小的网络中工作得不错,但是在较大的网络中,就出现一些问题,有些问题在RIP版本2中已纠正,但有些是由于其设计产生的限制。在下面的讨论中,适用于两种版本时简单称为RIP,RIP v1和RIP v2则指特定的版本。
RIP并没有任何链接质量的概念,所有的链路都被认为是相同的,低速的串行链路被认为与高速的光纤链路是同样的。RIP以最小的跳数来选择路由,因此当在下面两个路由中选择时: 100Mbps的光纤链路,Cisco思科路由器,然后是10Mbps的以太网 9600bps的串行链路
RIP将选择后者。RIP也没有链路流量等级的概念。例如对于两条以太网链路,其中一个很繁忙,另一个根本没有数据流,RIP可能会选择繁忙的那条链路。
RIP中的最大hop数是15,大于15则认为不可到达。因此在很大的自制系统中,hop数很可能超过15,使用RIP是很不现实的。RIP v1不支持子网,交换的信息中不含子网掩码,对给定路由确定子网掩码的方法各不相同,RIP v2则弥补了此缺点。RIP每隔30秒才进行信息更新,因此在大网中断链信息可能要花些时间才能传播开来,路由信息的稳定时间可能更长,并且在这段时间内可能产生路由环路。对此有一些解决办法,但这里不进行讨论。 可以看出,RIP是一个简单的路由协议,有一些限制,尤其在版本1中。不过,它常常是某些操作系统的唯一选择
因篇幅问题不能全部显示,请点此查看更多更全内容