能力单元 2 实现路由器的操作与配置

本章主要内容

实现路由器的基本操作1

实现路由器接口的配置2

实现数据流的控制3

实现私有地址上的互联网4

1. 什么是路由器

路由器是一种连接多个网络或网段的网络设备，它能将不同网络或网段之间的数据信息进行“翻译”，以使它们能够相互“读”懂对方的数据，从而构成一个更大的网络。

路由器是工作在 OSI 参考模型第三层——网络层的数据包转发设备。路由器通过转发数据包来实现网络互连。

一 . 实现路由器的基本操作

（ 1 ）路由器做了什么？

某个接口接收数据帧

去掉链路层的帧头、尾（称为包）

根据目标 IP 地址进行路径查找（选

路）

封装相应的链路层帧头、尾（帧）

从另一接口发送该数据（转发）

（ 2 ）路由器的分类

1 ）从结构上分，路由器可分为模块化结构与非模块化结构，通常中高端路由器为模块化结构，低端路由器为非模块化结构。

2 ）从网络位置划分，路由器可分为核心路由器与接入路由器。核心路由器位于网络中心，通常使用高端路由器，要求快速的包交换能力与高速的网络接口，通常是模块化结构；接入路由器位于网络边缘，通常使用中低端路由器，要求相对低速的端口以及较强的接入控制能力。

（ 2 ）路由器的分类

3 ）从功能上划分，路由器可分为通用路由器与专用路由器。一般所说的路由器为通用路由器。专用路由器通常为实现某种特定功能对路由器接口、硬件等作专门优化，例如接入路由器用作接入拨号用户，增强 PSTN 接口以及信令能力；

从性能上分，路由器可分为线速路由器以及非线速路由器。通常线速路由器是高端路由器，能以媒体速率转发数据包；中低端路由器是非线速路由器，但是一些新的宽带接入路由器也有线速转发能力。

（ 2 ）路由器的分类 4 ）按标准划分，路由器从能力上区分可分为高端路由器

和低端路由器。

背板交换能力大于 20Gbit/s ，包交换能力大于20Mbit/s 的路由器称为高端路由器；包交换能力小于1Mbit/s 的路由器称为低端路由器。以市场占有率最大的 Cisco 公司为例， 12000 系列为高端路由器， 7500 以下系列路由器为低端路由器。显然上述划分存在空档：包交换能力 1Mbit/s 以上 20Mbit/s 以下的路由器没有参照标准。按照标准系列，应当有中档路由器规范。但是由于中档路由器没有特殊性，可以参照低端路由器或高端路由器，所以不再单独另立标准。

RAM

ROM

Flash

NVRAM

Interface

Line

（ 3 ）路由器的组成

E1 接口： ISDN 接口：以太网接口：串行同步口：异步口： FDDI 接口以及其他接口。

（ 4 ）路由器的接口分类

常用的接口：1 ）以太口，用 Fastethernet （ Etherne

t ）表示。2 ）同步口，用 Serial 表法。3 ）异步口，用 asynchronous 。进入的方法：1 ）进入以太口： interface faste 0

2 ）进入同步口： interface serial 0

3 ）进入异步口： interface async 0

（ 5 ）路由器接口命名方式

1 ）控制台端口（ Console ）

所有路由器都安装了控制台端口，使用户或管理员能够利用终端与路由器进行通信，完成路由器配置。该端口提供了一个 EIA/TIA-232 异步串行接口，用于在本地对路由器进行配置（首次配置必须通过控制台端口进行）。

路由器的型号不同，与控制台进行连接的具体接口方式也不同，有些采用 DB25 连接器 DB25F ，有些采用RJ45 连接器。通常，较小的路由器采用 RJ45 连接器，而较大的路由器采用 DB25 连接器。

（ 6 ）路由器常见接口

2 ）辅助端口（ AUX ）

多数路由器均配备了一个辅助端口，它与控制

台端口类似，提供了一个 EIA/TIA-232 异步

串行接口，通常用于连接 Modem 以使用户

或管理员对路由器进行远程管理。

（ 6 ）路由器常见接口

1 ）系统硬件加电自检。运行 ROM 中的硬件检测程序，检测各组件能否正常工作。完成硬件检测后，开始软件初始化工作。

2 ）软件初始化过程。运行 ROM 中的BootStrap程序，进行初步引导工作。

3 ）寻找并载入 IOS 系统文件。 IOS 系统文件可以存放在多处，至于到底采用哪一个 IOS ，是通过命令设置指定的。

（ 7 ）路由器上电启动过程

4 ） IOS 装载完毕，系统在 NVRAM 中搜索

保存的 Startup-Config文件，进行系统的

配置。如果NVRAM 中存在 Startup-

Config文件，则将该文件调入 RAM 中并逐

条执行。否则，系统进入 Setup 模式，进行

路由器初始配置。

（ 7 ）路由器上电启动过程

Console

Aux

任何 Interface前题是要有 IP 与密码并目的可达

Telnet

TFTP

2. 路由器的常见配置方法

（ 1 ）使用配置口

超级终端的设置：9600 ， 8 ，无， 1 ，无

（ 2 ）使用 AUX 配置

要有一个电话号码

（ 3 ）使用局域网方式

（ 4 ）超级终端属性配置

3. 路由器的命令层次

（ 1 ）普通用户层；

（ 2 ）特权层；

（ 3 ）全局配置层；

（ 4 ）子模式。

当用户通过 telnet 连接到路由器上时，会被要求键入授权口令，如果口令校验正确，则可进入普通用户命令层；如果用户是利用终端（包括仿真终端）通过控制台口连接到路由器上时，可直接进入到普通用户命令层，无需授权口令。在普通用户层，用户只能执行一小部分的命令，用来察看路由器的一般状态，或利用ping 、 tracerouter 等命令对网络的运行进行测试。

（ 1 ）普通用户层

当用户处在普通用户层时，可通过 enable 命令（需要授权密码）切换到特权用户层。进入特权用户层后，用户可更改路由器的所有设置，此时用户具有最高的权限。为了安全起见，在 enable 命令之后需要键入授权密码，在键入此密码字符串时是不回显、区分大小写的，如果系统在等待用户在输入密码的过程中，在一定的时限内用户没有任何的动作，系统将会自动退出等待密码输入状态，回到普通用户层。在特权用户层下，用户可配置一些普通的参数，或进行一些测试。

（ 2 ）特权层

全局配置模式 [ 主机名 (config)#]: 配置路由器的整体参数子模式 :

1 ）线路配置模式 [ 主机名 (config-line)#]: 配置路由器的线路参数

2 ）接口配置模式 [ 主机名 (config-if)#]: 配置路由器的接口参数

3 ）子接口配置模式 [ 主机名 (config-subif)#]配置路由器的子接口参数

（ 3 ）全局配置层及子模式

4. 常用指令

（ 1 ）进入全局配置模式下Router#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Router(config)#exitRouter#

（ 2 ）进入线路配置模式Router(config)#line console 0Router(config-line)#exitRouter(config)#

四、常用指令

（ 3 ）进入接口配置模式Router(config)#interface serial 0

Router(config-if)#exit

Router(config)#

（ 4 ）进入子接口配置模式Router(config)#interface serial 0.1

Router(config-subif)#exit

Router(config)#

1 ）使用命令简写 ( 按 TAB键将命令补充完整 )

2 ）在每种操作模式下直接输入“ ?” 显示该模式下所有的命令

3 ）命令空格 “ ?” 显示命令参数并对其解释说明4 ）字符“ ?” 显示以该字符开头的命令5 ）命令历史缓存 :

(Ctrl+P) 显示上一条命令 ,(Ctrl+N) 显示下一条命令

（ 5 ）帮助系统

1 ）显示路由器硬件及软件的信息Router#show version

2 ）显示当前运行的配置参数Router#show running-config

3 ）显示 NVRAM 中配置参数的副本Router#show startup-config

4 ）显示接口的状态labr1#show interfaces

5 ）显示接口的摘要信息labr1#show ip interface brief

（ 6 ）显示指令

1 ）将当前运行的配置参数复制到NVRAMRouter#copy running-config startup-configBuilding configuration...[OK]Router#2 ）清空 NVRAM 中的配置参数Router#erase startup-config[OK]Router#3 ）路由器重新启动Router#reloadProceed with reload? [confirm]

（ 7 ）配置文件操作指令

Router(config)#hostname labr1

labr1(config)#

（ 8 ）配置主机名

1 ）配置 console登陆密码labr1(config)#line console 0labr1(config-line)#loginlabr1(config-line)#password star

2 ）配置 VTY登陆密码labr1(config)#line vty 0 4labr1(config-line)#loginlabr1(config-line)#password star

（ 9 ）配置 telnet密码

配置特权密码labr1(config)#enable password star

labr1(config)#enable secret star

当二条指令都配置的时候，优先认定 secret 设置的密码。

（ 10 ）配置 enable密码

配置接口 IP 地址labr1(config-if)#ip address {IP

address} {IP

subnet mask} [secondary]

将接口启用labr1(config-if)#no shutdown

将接口关闭labr1(config-if)#shutdown

（ 11 ）配置接口

labr1#show interfaces fastEthernet 0FastEthernet0 is up, line protocol is up( 表示物理层协议工作正常 ) ( 表示数据链路层协议工作正常 )FastEthernet0 is up, line protocol is down( 表示物理层协议工作正常 ) ( 表示数据链路层协议工作不正常 )FastEthernet0 is down, line protocol is down( 表示物理层协议工作不正常 )FastEthernet1 is administratively down, line protocol is down( 表示从管理上将该接口处于关闭状态 )

（ 12 ）显示接口状态

远程登陆到其它设备labr1>telnet {IP address}

测试目的端的可达性labr1>ping {IP address}

测试到达目的端的路径labr1>traceroute {IP address}labr1#ping

排错指令： Labr1#debug

（ 13 ）测试指令

路由器的命令解释器提供了错误信息提示功能，如二义性命令，命令没有找到等。

在使用命令解释器的过程中您可能看到以下几种的错误提示信息：

Invalid input detected at '^' marker.这是错误命令提示信息，用’^’指示的那个字符，就是所输入的命令行产生错误的字符。请看下面的例子：

Router#piny 192.168.9.234 ^% Invalid input detected at '^' marker.

（ 14 ）错误提示

% Command not complete!这是命令没有正常结束的错误信息。输入的命令行完全正确，只是还没有正常结束，还需

要一些参数。如：Router#show% Command not complete!Star#show ?access-list Display access-list table

information……


% Ambiguous command...

这个错误信息是说所键入的命令会产生多义，即命令解释器无法正确识别你的命令，参考下面的例子：

Router#show host

% Ambiguous command...

Router#show host?

Hosts IP domain-name, lookup style…

Hostname Display hostname


二 . 实现路由器接口配置

1. 以太网口配置

2.广域网口配置

3.Dialer 口配置

1. 以太网口配置

步骤 1 ：进入全局配置层；步骤 2 ：在全局配置层进入相应的以太网口；步骤 3 ：给以太网口配置 IP 地址及子网掩码；步骤 4 ：配置路由协议；

2. 广域网口配置

步骤 1 ：进入全局配置层；步骤 2 ：进入路由器的同步口；步骤 3 ：配置同步口的 IP 地址及子网掩码；步骤 4 ：使能同步口；步骤 5 ：封装 PPP/HDLC协议；步骤 6 ：进入以太网口并配置以太网口的 IP 地址及子网掩码；步骤 7 ：配置路由协议。

3. Dialer 口配置

步骤 1 ：进入与 ADSL Modem 互联的以太网口，使能 PPPOE

功能；步骤 2 ：进入与交换机互联的以太网口，配置 IP 地址及子网掩码；步骤 3 ：创建一个 dialer 接口并配置相应的参数；步骤 4 ：在全局配置层配置拨号规则；步骤5 ：配置路由协议。

三 . 实现数据流的控制

访问控制列表的本质是：定义一些准则，对经过路由器、交换机接口的数据包进行控制：转

发或丢弃。准则的定义依据：源目标地址、端口、上层控制比特位

访问控制列表的分类：基本访问控制列表

• 标准•扩展

命名访问控制列表这种访问列表基本上是在交换机上面定义

海关2

1.访问列表的工作原理

A国 D国

E国

C国

B国海关 1 海关 3

海关4

假设： A 国的邻国的人要出国，都要经过 A 国

A 国对过境者要做如下的检测：携带危险物品者 ->拒绝过境B 国持旅游护照到D 国人员 ->允许过境C 国持留学护照到 E 国留学人员 ->允许过境其它所有人员 ->拒绝过境

2.IP ACL 的作用

内部网与外部网络互联

只允许外部网络访问特定的主机；

只能在限定的时间端内，允许远程用户访问内部网的特定资源，或者限时段访问互联网资源

内部网不同部门之间的互访

保证内部关键服务器的安全；

限制某些病毒的传播

3.IP ACL 的方向

访问控制列表，是对数据流进行控制的方向是从设备的角度来看，设备从该接口接收到数据

称为“ in”，设备从该接口发送数据称为“ out”；

每个设备接口的一个方向只能应用一个访问控制列表；

方向十分重要，错误的方向定义导致不可思议的

结果

（ 1 ）对单个访问列表可以使用多条独立的访问列表语句来定义多种准则。其中所有的语句应该使用同一个编号将这些语句绑定到同一个访问列表。

配置访问列表需要注意的规则是：

1 ）隐含的“拒绝所有的数据流”准则语句。

2 ）输入准则的顺序。加入的每条准则都被追加到访问列表的最后，语句被创建以后，就无法单独删除它，而只能删除整个访问列表。设备在决定转发还是阻断分组时，按语句创建的次序将分组与语句进行比较，找到匹配的语句后，便不再检查其他准则语句。

4.访问控制列表配置原则

（ 2 ）将访问列表应用于接口

对于一些协议（如 IP,扩展 IP ），可以最多将两个访问列表应用于同一个接口 : 一个进站访问列表，一个时出站访问列表；而对于另一些协议，则只能应用一个访问列表，它同时检查进站和出站分组。

如果访问列表是针对进站分组的，则当路由器收到分组时，路由器在该访问列表中寻找匹配的准则的语句，如果分组被允许通过，路由器继续处理它，否则丢弃它。

如果访问列表示针对出站分组的，则接到并路由分组到出站的接口后，路由器将在该访问列表中寻找匹配的准则语句，如果分组被允许通过，路由器继续处理它，否则丢弃它。

4.访问控制列表配置原则

协议编号范围IP 1-99

扩展 IP 100-199

以太类型码，透明桥接（协议类型）

200 － 299

5.编号访问控制列表

标准 IP访问列表（ 1 － 99 ）主要是根据源地址来进行转发或阻断分组的。

扩展 IP访问列表（ 100 － 199 ）使用以上三种组合来进行转发或阻断分组的。

6. 标准访问列表

access-list <访问列表号 > {permit |

deny} < 源 IP 地址段 [ 反码 ]>

访问列表号为 :1~99

只对源 IP 地址进行控制匹配符（ wildcard)缺省为 0.0.0.0 ， 0 表示精确匹

配， 1 表示忽略

例： access-list 1 permit 192.168.1.0

0.0.0.255

7.扩展访问列表

access-list <访问列表号 > {permit | deny} <

协议> < 源 IP 地址段 > <源反码> < 目的 IP 地址段 > < 目的反码>

列表号 :100~199

协议： tcp/udp

功能：根据源、目标 IP 地址， TCP/UDP 端口及其它条件对数

据进行控制。例： access 100 deny udp 192.168.1.0 0.0.0.255

8000 any any eq 8000

8. 命名访问列表

（ 1 ）标准访问控制列表：

ip access-list stand 名字

premit/deny …..

（ 2 ）扩展访问控制列表：

ip access-list extend 名字

permit/deny …..

（ 1 ）标准访问控制列表：路由器： access-list 1-99 deny(permit) 地址反码交换机： ip access-list stand 名字 premit/deny …..

如：路由器： access-list 1 deny 192.168.1.0

0.0.0.255

交换机： ip access-list stand acl_name

deny 192.168.1.0 0.0.0.255

9. 交换机与路由器配置 acl指令的差异

（ 2 ）扩展访问控制列表：路由器： access-list 100-199 deny(permit) 地址反码交换机： ip access-list extend 名字 permit/deny …..如：路由器： access-list 100 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 交换机： ip access-list extend acl_name deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

9. 交换机与路由器配置 acl指令的差异

10.把访问控制列表应用到接口

要把访问列表应用到接口，就要先进入相应的接口子层。如下指令说明把一个编号为 101 的访问列表应用到路由器的 f1/0 口。

Interface f 1/0

ip acc 101 in

注：如果是交换机，应用方式方法与路由器相同，不同之处在于交换机的接口命名与路由器有所差异。

在一个局域网内，不允许不同 vlan 之间互相

访问。

实际应用：在我们的网络实验室里面，不同

的 rack 包只能登录他们自己的 acs 而不能登

录到别的 acs 上。

11. 实例

1. 实例 1

内网中不同网段不允许访问

ip acc ex 101

permit ip 172.16.11.0 0.0.0.255 host 172.16.1.1

permit ip 172.16.11.0 0.0.0.255 host 172.16.11.1

permit ip 172.16.12.0 0.0.0.255 host 172.16.12.1

permit ip 172.16.12.0 0.0.0.255 host 172.16.2.1

permit ip 172.16.13.0 0.0.0.255 host 172.16.3.1

permit ip 172.16.13.0 0.0.0.255 host 172.16.13.1

deny ip any any

防止一些已知端口的蠕虫病毒，如果端口

号未知可以用 sniffer抓包分析。

2. 实例 2 ：

access-list 101 deny tcp any any eq 135access-list 101 deny tcp any any eq 136access-list 101 deny tcp any any eq 137access-list 101 deny tcp any any eq 138access-list 101 deny tcp any any eq 139access-list 101 deny tcp any any eq 445access-list 101 deny udp any any eq 135access-list 101 deny udp any any eq 136access-list 101 deny udp any any eq netbios-nsaccess-list 101 deny udp any any eq netbios-dgmaccess-list 101 deny udp any any eq 139access-list 101 deny udp any any eq tftpaccess-list 101 permit ip any any

路由器配置

ip access-list extended 101 deny tcp any any eq 135 deny tcp any any eq 136 deny tcp any any eq 137 deny tcp any any eq 138 deny tcp any any eq 139 deny tcp any any eq 445 deny udp any any eq 135 deny udp any any eq 136 deny udp any any eq netbios-ns deny udp any any eq netbios-dgm deny udp any any eq netbios-ss deny udp any any eq tftppermit ip any any

交换机配置

12.IP ACL 的其它应用

除了做 IP访问控制外；

QOS 的业务流分类；

路由协议重分布的路由选择；

等等

四、实现私有地址上互联网

1. 实现局域网访问互联网（ 1 ）项目背景某企业有 5 个部门，目前每个部门都只有 4 计算机台。

要求不同部门之间不能通过网上邻居互相访问，但可以通过 IP 地址的方式互访，局域网内部使用私有 IP 地址段。现电信分配给该企业 1 个固定 IP 地址（ 61.128.128.2/30 ），用来实现本企业内部的所有计算机都访问互联网。


（ 2 ）实现步骤步骤 1 ：根据已知条件，画出网络拓扑图；步骤 2 ：网络规划；步骤 3 ：进入路由器的全局配置层；步骤 4 ：给不同的以太网口配置 IP 地址及子网掩码；步骤 5 ：定义路由器接内网、外网的网卡；步骤 6 ：配置访问控制列表；步骤 7 ：启动内部源地址变换；步骤 8 ：配置路由协议；步骤 9 ：配置三层交换机： 1 ）创建 VLAN ； 2 ）给 VLAN加端口； 3 ）配置 VLAN 的 IP 地址，注意与路由器互联的接口的处理方法； 4 ）配置路由协议。


（ 3 ）实现过程步骤 1 ：画出网络拓扑图根据背景，画出如图所示的配置拓扑图。在图中，路由器的F1/0 接口与互联网连接， f1/1 口与内网的三层交换机连接。

四、实现私有地址上互联网步骤 2 ： IP 地址规划根据拓扑图，列出如表 2-1 所示的 IP 地址分布图

IP 网段网关 VLAN ID

VLAN 说明

交换机接口 ( 信息点数 )

192.168.1.0/24 192.168.1.1 11 部门 1 三层： f0/1-4 (4)

192.168.2.0/24 192.168.2.1 12 部门 2 三层： f0/5-8 (4)

192.168.3.0/24 192.168.3.1 13 部门 3 三层： f0/9-12 (4)

192.168.4.0/24 192.168.4.1 14 部门 4 三层： f0/13-16 (4)

192.168.5.0/24 192.168.5.1 15 部门 5 三层： f0/17-20 (4)

10.1.1.0/30 10.1.1.1 接路由器三层： f0/24 （ 1 ）61.128.128.1.0

/3061.128.128.

1接互联网路由器 f1/0 口

10.1.1.0/30 10.1.1.2 接三层交换机

路由器 f1/1 口

2 、实现互联网访问私有服务器（ 1 ）项目背景某企业有 5 个部门，目前每个部门都只有计算机 4 台。

要求不同部门之间不能通过网上邻居互相访问，但可以通过 IP 地址的方式互访，局域网内部使用私有 IP 地址段。现电信分配给该企业 1 个固定 IP 地址（ 61.128.128.2/30 ），用来实现本企业内部的所有计算机都访问互联网。同时，本企业还具有 WEB服务器1 台， MAIL服务器 1 台， FTP服务器 1 台。这些服务器都要求能够在互联网上访问到。



（ 2 ）实现步骤步骤 1 ：画出网络拓扑图；步骤 2 ：网络规划；步骤 3 ：配置路由器： 1 ）配置内部源地址变换； 2 ）配置端口映射； 3 ）配置路由协议；步骤 4 ：配置三层交换机： 1 ）创建 VLAN ； 2 ）给 VLAN加端口； 3 ）配置 VLAN 的 IP 地址及子网掩码。


【实现过程】步骤 1 ：画出网络拓扑图根据背景要求，画出拓扑图如图所示。

四、实现私有地址上互联网步骤 2 ： IP 规划根据拓扑图，得出表所示的 IP 地址分布表与表 2-3 所示的服务器 IP 地址

表。IP 网段网关 VLAN

IDVLAN 说明

交换机接口 ( 信息点数 )

192.168.1.0/24

192.168.1.1

11 部门 1 三层： f0/1-4 (4)

192.168.2.0/24

192.168.2.1

12 部门 2 三层： f0/5-8 (4)

192.168.3.0/24

192.168.3.1

13 部门 3 三层： f0/9-12 (4)

192.168.4.0/24

192.168.4.1

14 部门 4 三层： f0/13-16 (4)

192.168.5.0/24

192.168.5.1

15 部门 5 三层： f0/17-20 (4)

192.168.10.0/24

192.168.10.1

20 服务器三层： f0/21

10.1.1.0/30 10.1.1.1 接路由器三层： f0/24 （ 1 ）61.128.128.1.

0/3061.128.128

.1接互联网路由器 f1/0 口

10.1.1.0/30 10.1.1.2 接三层交换机

路由器 f1/1 口


表 2-3 服务器 IP 地址分配

服务器名称

服务器 IP 地址

服务器网关所属VLAN

备注

WEB服务器

192.168.10.10

192.168.10.1

20

FTP服务器

192.168.10.20

192.168.10.1

20

MAIL服务器

192.168.10.30

192.168.10.1

20

E1 ：除去北美以外其他地区的通信标准，带宽可达。 2.048Mbps ，支持DDR ，帧中继， X25 等通讯协议

T1 ：一种北美的通信标准，带宽可达。 1.544Mbps ，支持DDR ，帧中继， X25 等通讯协议。

一、常见的广域网线路

BRI:Basic rate interface, 基本速率接口，一种ISDN服务，提供 2B ＋ D 的通信信道，其中一个 B 信道的带宽是 64K ，用来传输数据， D 信道带宽是 16k ，主要用来传输控制指令，所以一个 BRI 接口的带宽最大可到 144K

PRI ： Primary rate interface 基群速率接口，在北美地区的标准中提供 23B ＋ D 的通信带宽，作用同上，但是这里的 D 信道的带宽是 64K ，总带宽可达1.544Mbps （ 1 个 T1 ），在欧洲和澳大利亚地区， PRI 接口带宽定义为 30B ＋ D ，总带宽为2.048Mbps （ 1 个 E1 ）。

一、常见的广域网线路

CE1 的传输线路的带宽是 2048Ｋ，它和 E1 的区别主要在于： E1 不能划分时隙， CE1 能划分时隙。 CE1 的每个时隙是 64K ，一共有 32 个时隙，在使用的时候，可以划分为 n*64K 。

CE1 的 0 和 15时隙是不用来传输用户的数据流量 ,0

时隙是传送同步号 ,15时隙传送控制信令 ,这样实际能用的只有 30 个时隙。

五 .拓展学习资料

1. 常见设备与线路的接口

V.35 接口最高速率可以达到 4Mbps

V24 接口最高速率可以达到 128Kbps

DTE 数据终端设备，不需要提供时钟

DCE 数据通信设备，需要提供时钟特别在背靠背连接中，需要注意！！

专线

电路交换

分组交换服务供应商

服务供应商

（ 1 ）广域网接入技术（第一层）

DDN 线路（接口 V.35 、 V.24/RS232 ）

PSTN/ISDN 线路（接口 RJ11 、 BRI ）

帧中继、 X.25 、 ATM （接口 V.35 、 V.24/RS232 ）

服务供应商

常见的 DTE 与 DCE 之间的连接标准★ EIA/TIA-232

★ V.35

提供时钟指令（接口层）：

Clock rate 速率

DTE( 数据终端设备 )

DCE( 数据通讯设备 )

（ 2 ） DTE 与 DCE

DCE 设备提供时钟， DTE 设备接收时钟

专线

电路交换

分组交换

HDLC, PPP

PPP, HDLC

X.25, F-R ， ATM

服务供应商

服务供应商

（ 3 ）广域网接入技术 ( 第二层 )

（ 4 ）广域网接口封装协议

广域网接口按照不同的线路，可以封装不同的协议。1 、 encapsulation ppp 封装 ppp协议2 、 encapsulation hdlc 封装 hdlc协议3 、 encapsulation fr 封装帧中继协议4 、 encapsulation x.25 封装 x.25协议

注意：封装的时候，相邻路由器的接口要一致

2. PPP协议工作原理

设备两端均需要封装 PPP协议

如果是背靠背，需要一端做 DCE ，并提供时钟

配置 IP 地址验证连通性

背靠背是实验室测试广域链路的一种方式，它采用的是用 v.35 dce/dte 成对线缆把二台路由器通过同步口直接相连。

（ 1 ）封装 PPP协议

1 ） PPP 基本概念

RFC 1661 定义PPP(Point-to-Point Protocol ）点到点互联协议，在 DDN 、 PSTN 、 ISDN 线路上运行

PPP协议由三个部分组成封装LCP （链路控制协议）NCP （网络控制协议）

2 ） PPP 操作原理

ISDN/PSTN

①进行 lcp协商，协商的内容包括工作方式、认证方式和最大传输单元等。

②lcp协商完成后，进入 establish阶段，些时 clp状态为 opened ，表示链路已经建立。

③如果配置了验证就进入 Authenticate阶段，开始 CHAP 或PAP验证。如果验证失败进入 Terminate阶段，拆除链路， LCP状态转为 closed ；如果验证成功就进入 Network协商阶段（ NCP ），此时 LCP状态仍为 opened ，而 IPCP状态从 closed 转到opened 。

④该链路将一直保持通信，直至有明确的 LCP 或 NCP 帧关闭这条链路，或发生了某些外部事件。

3 ）配置 PPP/HDLC

Router A Router B

172.16.1.0/24 172.16.2.0/24

配置过程 R1 （ DCE ）： En Conf t Int s ½ ip add 10.1.1.2 255.255.252 no shutdown enca ppp clock rate 64000 exit Int f 1/0 ip add 172.16.1.1 255.255.255.0 No shutdown exit Ip route 0.0.0.0 0.0.0.0 10.1.1.1

配置过程

R2 （ DTE ）： En Conf t Int s ½ ip add 10.1.1.1 255.255.252 no shutdown enca ppp exit Int f 1/0 ip add 172.16.2.1 255.255.255.0 No shutdown exit Ip route 0.0.0.0 0.0.0.0 10.1.1.2

PPP认证方式1 ） PAP认证；

2 ） CHAP认证。

（ 2 ） PPP认证

1 ） PAP认证方式

PAP两次握手认证，口令为明文；

被验证方发送用户名、口令到验证方；

验证方对用户名、口令进行认证，根据结果返

回失败或成功的信息。

2 ） PAP认证原理

远程路由器(SantaCruz)

中心路由器(HQ)

Hostname: santacruzPassword: boardwalk

username santacruzpassword boardwalk

“ santacruz, boardwalk”“ santacruz, boardwalk”

接受 /拒绝接受 /拒绝

PAP两次握手，传输明文

3 ） CHAP认证方式

CHAP 三次握手认证，只发送为密文；挑起过程：验证方向被验证方发送一串随机字符；发送密文：被验证方利用口令和 MD5算法，对随机字符进行加密产生密文，并将密文发送给验证方；

响应：验证方利用同样的方式对随机字符进行加密产生密文，跟接收到的密文比较，并根据结果反馈认证失败或成功；

4 ） CHAP认证原理

远程路由器(SantaCruz)远程路由器

(SantaCruz)中心路由器

(HQ)中心路由器

(HQ)

Hostname: santacruzPassword: boardwalk

username santacruzpassword boardwalk

挑战挑战

回应回应

接受 /拒绝接受 /拒绝

CHAP 三次握手，传输密文

5 ） CHAP 与 PAP 的比较

CHAP 三次握手， PAP两次握手过

程

CHAP 更安全

MD5加密

传输密文，非直接口令

生产中， CHAP得到更广泛的使用

1 ）用户数据库建立方法

①路由器本地用户数据库进行认证 Username 命令创建用户记录

本地判断是否通过认证

②通过 Radius 进行认证用户数据库设置在远程

是否通过认证在 Radius服务器判断

（ 3 ） PAP认证的配置

2 ）封装 PPP协议

进入需要封装 PPP 的广域端口 Router(config)#interface serial 0

封装 PPP协议 Router(config-if)#encapsulation

ppp

配置 IP 地址 Router(config-if)#ip address

192.168.1.1 255.255.255.0

使能接口 Router(config-if)#no shutdown

3 ） PAP认证配置图

RouterA 为验证方 Router B 作为被验证方

Router A Router B

DDN

也可以认为 A 为服务器端，而 B 为远程客户机端。

172.16.1.0/24 172.16.2.0/24

4 ）路由器 A 配置过程

①进入相应的配置层：

enable （从普通用户层进入特权层，如果系统已经在特权层了，这条指令不用输入）

config ter （从特权层进入全局配置层）

如果当前配置层已经在全局配置层的时候，以上二条指令不用再次输入了。


②进入路由器的相应接口，封装相应的广域协议，配置 IP地址（注意：这里的接口只能是广域网接口，不能是以太口，以太口不能封装协议）：

interface se1/2 enca ppp ip address 10.1.1.1 255.255.255.252 no shutdown exit interface f 1/0 ip add 172.16.1.1 255.255.255.0 no shutdown exit


③设置本机器为验证方（接口）：

ppp authentication pap

④配置本机的验证信息数据库（全局层）：

username test password test123


⑤配置路由协议：

A. 可以配置静态路由

ip route 172.16.2.0 255.255.255.0

10.1.1.2

B. 可以配置缺省路由：

ip route 0.0.0.0 0.0.0.0 10.1.1.2

5 ）路由器 B 配置过程






③发送用户名与密码（接口）

ppp pap sent-username test

password test123

注意：这里的用户名与密码一定要与 A 机上面配

置的用户密码相同，否则 ppp无法通过协商


④配置路由协议：

A. 可以配置静态路由

ip route 172.16.1.0 255.255.255.0

10.1.1.1

B. 可以配置缺省路由：

ip route 0.0.0.0 0.0.0.0 10.1.1.1

6 ）查看配置后的状态

要路由器 A 、路由器 B 都一起查看。可以分别在二台机器上执行如下的指令（前题条件是要把同步口线缆接好，使用背靠背的方式对接）：

Show run

Show int s 1/2

Show ip route

Show ip ospf

Show ip ospf ne

Show ip ospf database

CHAP认证配置

RouterA 为认证挑起者（验证方） Router B 不发起认证挑起

Router A Router B

DDN

172.16.1.0/24 172.16.2.0/24

路由器 A 配置过程


enable （从普通用户层进入特权层，如果系统

已经在特权层了，这条指令不用输入）


如果当前配置层已经在全局配置层的时候，以上

二条指令不用再次输入了。


③设置本机器为验证方（接口）：

ppp authentication chap

④配置本机的验证信息库（全局配置层

username test password test123


⑤配置路由协议：A. 可以配置静态路由 ip route 172.16.2.0 255.255.255.0

10.1.1.2B. 可以配置缺省路由： ip route 0.0.0.0 0.0.0.0 10.1.1.2C. 可以配置动态路由（这里以 ospf 为例） router ospf

network 172.16.1.0 0.0.0.255 area 0

network 10.1.1.0 0.0.0.3 area 0

路由器 B 配置过程






③发送用户名与密码（接口）

ppp chap hostname test

ppp chap password test123

注意：这里的主机名与密码一定要与 A 机上面配置的用户密码相同，否则 ppp无法通过协商


④配置路由协议：A. 可以配置静态路由 ip route 172.16.1.0 255.255.255.0


network 172.16.2.0 0.0.0.255 area 0

network 10.1.1.0 0.0.0.3 area 0

查看配置后的状态

要路由器 A 、路由器 B 都一起查看。可以分别在二台机器上执行如下的指令（前题条件是要把同步口线缆接好，使用背靠背的方式对接）：

Show runShow int s 1/2Show ip routeShow ip ospfShow ip ospf neShow ip ospf database

PC1PC2

S1/2:10.1.1.1/30 S1/2:10.1.1.2/30

F1/0192.168.2.1/24

F1/0192.168.1.1/24

R1R2

服务供应商DDN 线路（接口 v.35 ）

案例：

二个局域网通过DDN 线路连接，要求达到二个局域网能够互相通讯。

R1 的配置

int s 1/2 ip add 10.1.1.1 255.255.255.252 enca hdlc no shut exitint f 1/0 ip add 192.168.1.1

255.255.255.0 no shut exit

R1 的配置

配置路由协议A. 可以配置静态路由 ip route 192.168.2.0 255.255.255.0


network 192.168.1.0 0.0.0.255 area 0

network 10.1.1.0 0.0.0.3 area 0

R2 的配置

int s 1/2 ip add 10.1.1.2 255.255.255.252 enca hdlc no shut exitint f 1/0 ip add 192.168.2.1 255.255.255.0 no shut exit

R2 的配置

配置路由协议A. 可以配置静态路由 ip route 192.168.1.0 255.255.255.0


network 192.168.2.0 0.0.0.255 area 0

network 10.1.1.0 0.0.0.3 area 0

7 ）配置实例

Router A

Router B

DDN

172.16.1.0/24 172.16.3.0/24

172.16.2.0/24

172.16.4.0/24

Router C

Router D

RouterA 为中心路由器，其它路由器为接入路由器 . 要求网络畅通，机器都能够互访。要使用 ospf 路由协议。

用户名： username密码： password使用 pap认证方式

Pppoe 方式F0

F1

配置过程





配置过程

②进入接 ADSL Modem 的接口，不配置这个接口的 IP 地址，但要配置一个拨号地址池：

interface FastEthernet 1/0

no ip add

pppoe enable 启动 pppoe 拨号功能

pppoe-client dial-pool-number 10 dial-on-

demand

启动按需拨号功能

配置过程

③配置接内部网的接口，配置 IP 地址。

int f 1/1

ip add 192.168.1.1 255.255.255.0

no shutdown

exit

配置过程

④创建一个拨号口，并封装广域网协议为 ppp 方式， ppp认证方式为 pap ：

interface Dialer0 mtu 1488 ip address negotiate no ip mroute-cache encapsulation ppp dialer pool 10 这个池的名字要与接 ADSL 接口的池相

一致 dialer-group 1 这个数字要与拨号组一致 ppp pap sent-username username password 0

password

配置过程

⑤创建一个拨号组，使得只要有 IP 数据包

传递过来就开始拨号：

dialer-list 1 protocol ip permit

（ 3 ） NAT/NAPT

1 ） NAT/NAPT简介NAT就是将网络地址从一个地址空间转换到另外一

个地址空间的一个行为纯软件 NAT 防火墙 NAT 路由器 NAT

NAT 的类型 NAT （ Network Address Translation ）

• 转换后，一个本地 IP 地址对应一个全局 IP 地址 NAPT （ Network Address Port Translation ）

• 转换后，多个本地地址对应一个全局 IP 地址

①NAT/NAPT 带来的好处

解决 IPv4 地址空间不足的问题；私有 IP 地址网络与公网互联；

10.0.0.0/8 ， 172.16.0.0/12 ， 192.168.0.0/

16

非注册 IP 地址网络与公网互联；建网时分配了全局 IP 地址－但没注册

网络改造中，避免更改地址带来的风险；TCP 流量的负载均衡

②NAT/NAPT 带来的限制限制

影响网络性能不能处理 IP报头加密的报文；无法实现端到端的路径跟踪（ traceroute) 某些应用可能支持不了

内嵌 IP 地址的应用有： FTP DNS NetMeeting H.323,VoIP 其它自编应用

a ，连接到 internet ，但却没有足够的合法地

址分配给内部主机。

b ，更改到一个需要重新分配地址的 ISP 。

c ，有相同的 IP 地址的两个 internat合并。

d ，想支持负载均衡（主机）。

③NAT 使用的几种情况

2 ） NAT 的分类

① 静态 NAPT

需要向外网络提供信息服务的主机（如 web ）

永久的一对一“ IP 地址 + 端口”映射关系

② 动态 NAPT

只访问外网服务，不提供信息服务的主机

临时的一对一“ IP 地址＋端口”映射关系

3 ） NAT/NAPT 的术语

内部网络－ Inside

外部网络－ Outside

内部本地地址－ Inside Local Address

内部全局地址－ Inside Global Address

外部本地地址－Outside Local Address

外部全局地址－Outside Global Address

互联网OutsideInside

企业内部网外部网

什么是内部网？

inside 表示内部网络，这些网络的地址需要被转换。在内部网络，每台主机都分配一个内部 IP 地址，但与外部网络通讯时，又表现为另外一个地址。每台主机的前一个地址又称为内部本地地址，后一个地址又称为外部全局地址。

什么是外部网？

outside 是指内部网络需要连接的网络，一般指

互联网，也可以是另外一个机构的网络。外部的

地址也可以被转换，外部主机也同时具有内部地

址和外部地址。

内部本地地址

内部本地地址（ Inside Local Address ）

是指分配给内部网络主机的 IP 地址，该地址可能

是非法的未向相关机构注册的 IP 地址，也可能是

合法的私有网络地址。

这个地址也就是计算机的 IP 地址

内部全局地址

内部全局地址（ Inside Global Address ）

是指合法的全局可路由地址，在外部网络代表着

一个或多个内部本地地址。

也就是做了 nat后，在外部网看到的 IP 地址。

外部本地地址

外部本地地址（ Outside Local Address ）

是指外部网络的主机在内部网络中表现的 IP 地址，

该地址是内部可路由地址，一般不是注册的全局

唯一地址。

可以把这个地址理解为路由器与内网对接的那个

端口上的 IP 地址。

外部全局地址

外部全局地址（ Outside Global Addres

s ）

是指外部网络分配给外部主机的 IP 地址，该地址

为全局可路由地址。

可以把它看成是路由器外部网接口 IP 地址。

100.100.100.100DNS服务器

61.128.128.108主机： www.test.com

192.168.12.0/24

.2 .1

DNS请求解析主机www.test.com

SA:192.168.12.2DA:100.100.100.100 SA:61.128.128.2DA:100.100.100.100

DNS请求解析主机www.test.com

100.100.100.100 DNS 应答100.100.100.100 DNS 应答

SA:100.100.100.100DA:61.128.128.2IP=61.128.128.108

SA:100.100.100.100DA:192.168.12.2IP=61.128.128.108

4 ）配置动态 NAT

① 定义全局 IP 地址池 ip nat pool address-pool start-address end-address

{netmask mask | prefix-length prefix-length} ② 定义访问列表，只有匹配该列表的地址才转换 access-list access-list-number permit ip-address

wildcard ③ 定义内部源地址动态转换关系 ip nat inside source list access-list-number pool

address-pool ④ 定义该接口连接内部网络 interface interface-type interface-number ip nat inside ⑤ 定义接口连接外部网络 interface interface-type interface-number ip nat outside

配置动态 NAT

s1/2:61.1.1.0/24

F1/1:192.168.1.0/24 就是使用地址

池的方式进行变换。

int s 1/2 enca ppp ip add 61.1.1.2 255.255.255.0 no shut ip nat outside exit int f 1/1 ip add 192.168.1.1 255.255.255.0 no shut ip nat inside exit access-list 1 per any ip nat pool test 61.1.1.2 61.1.1.100 ip nat inside source list 1 pool test

5 ）配置端口复用 NAPT

①定义访问列表，只有匹配该列表的地址才转换 access-list access-list-number permit ip-

address wildcard ②定义内部源地址端口复用转换关系

ip nat inside source list list-name interface 外网接口 overload

③定义该接口连接内部网络 interface interface-type interface-number ip nat inside ④定义接口连接外部网络 interface interface-type interface-number ip nat outside

配置端口复用 NAPT

f1/0:61.1.1.0/30

F1/1:192.168.1.0/24

Ip nat inside source list 列表号 inter 外网接口EnConf tint f 1/0 ip add 61.1.1.2 255.255.255.252 no shut ip nat outside exit int f 1/1 ip add 192.168.1.1 255.255.255.0 no shut ip nat inside exit access-list 1 per anyip nat inside source list 1 int f1/0 Ip route 0.0.0.0 0.0.0.0 61.1.1.1

6 ）配置静态 NAT

① 定义内部源地址静态转换关系（也就是内网地址与外网地址一对一的映射关系）

ip nat inside source static local-address global-address

② 定义该接口连接内部网络 interface interface-type interface-number ip nat inside ③ 定义接口连接外部网络 interface interface-type interface-number ip nat outside ④ 定义访问列表，只有匹配该列表的地址才转换 access-list access-list-number permit ip-address

wildcard ⑤ 定义内部源地址端口复用转换关系


静态 NAT 配置f1/0 ： 61.1.1.0/24

F1/1192.168.1.0/24

192.168.1.10这台机器是一台服务器

配置过程：

int f 1/0 ip add 61.1.1.2 255.255.255.0 no shut ip nat outside exit int f 1/1 ip add 192.168.1.1 255.255.255.0 no shut ip nat inside exit ip nat inside source static 192.168.1.10 61.1.1.3 Access 1 per anyIp nat inside source lis 1 int f 1/0 Ip route 0.0.0.0 0.0.0.0 61.1.1.1

7 ）配置静态 NAPT

①定义全局 IP 地址（这条指令其实就是做端口映射） ip nat inside source static {UDP | TCP} local-

address port global-address port ②定义该接口连接内部网络 interface interface-type interface-number ip nat inside ③定义接口连接外部网络 interface interface-type interface-number ip nat outside ④定义访问列表，只有匹配该列表的地址才转换 access-list access-list-number permit ip-address

wildcard ⑤定义内部源地址端口复用转换关系


静态 NAPT 配置

f1/0 ： 61.1.1.0/30

F1/1192.168.1.0/24

192.168.1.10这台机器是一台 WEB服务器

配置过程：int f 1/0ip add 61.1.1.2 255.255.255.252 no shut ip nat outside exit int f 1/1 ip add 192.168.1.1 255.255.255.0 no shut ip nat inside exit ip nat inside source static tcp 192.168.1.10 80 61.1.1.2 80 Access-list 1 per anyIp nat inside source lis 1 int f1/0

8 ） NAT 的监视和维护命令

显示命令 show ip nat statistics

show ip nat translations

清除状态命令 clear ip nat translation *

clear ip nat translation outside local-

address global-address

更多的命令用 clear ip nat ?

9 ）案例

游戏服务器

客户机客户机客户机客户机

在同一广播域内

ISP

公网地址只有一个①单 ISP 小型网吧

②单 ISP企事业、网吧

游戏服务器

客户机客户机客户机客户机

在同一广播域内

ISP1

公网地址只有一个

③企业上网

F0/5 F0/6 F0/6

F0/24 F0/24 F0/24

F0/1 F0/2 F0/1 F0/2 F0/1 F0/2

VLAN2192.168.2.0/24

VLAN3192.168.3.0/24

VLAN4192.168.4.0/24

F0/24

F0/1 F0/2

VLAN5192.168.5.0/24

F0/7

F0/24F0/23F0/24

F0/24

出口F0/110.1.1.0/30

10.1.1.4/30

10.1.1.8/30

SW1 SW2SW3

61.128.1.0/30F0

用户名： username密码： password使用 pap认证方式

F0

F1

IP:192.168.1.10Mask:255.255.255.0GW:192.168.1.1

要求：所有的192.168.1.0/24 都能够正常的上外网

interface FastEthernet0 ip address 61.161.114.68 255.255.255.192 ip nat outsideinterface FastEthernet1 ip address 192.168.1.1 255.255.255.0 ip nat inside exitip nat in sou list 1 interface Fast 0 ip nat inside source static tcp 192.168.1.55 80

61.161.114.68 80ip route 0.0.0.0 0.0.0.0 61.161.114.65access-list 1 permit any

interface FastEthernet0 接 ADSL 的以太口 no ip address pppoe enable pppoe-client dial-pool-number 10 dial-on-demandinterface FastEthernet1 接内网 ip address 192.168.1.1 255.255.255.0 ip nat inside ip mtu 1488interface Dialer0 mtu 1488 ip address negotiate ip mtu 1488

no ip mroute-cache encapsulation ppp ip nat outside dialer pool 10 dialer idle-timeout 200 dialer-group 1 ppp pap sent-username username password 0

passwordip nat inside source list 1 interface Dialer0 overloadip route 0.0.0.0 0.0.0.0 Dialer0access-list 1 permit anydialer-list 1 protocol ip permit

某企业现有信息点 2000 个，分布在不同的 6 栋楼内，信息点具体分布如下：1 号楼：有信息点 400 个2 号楼：有信息点 240 个，中心机房也在该楼3 号楼：有信息点 500 个4 号楼：有信息点 100 个5 号楼：有信息点 260 个6 号楼：有信息点 500 个电信给了该企业一个固定 IP 地址：202.1.1.2/30 ，网关： 202.1.1.1要求：各楼栋之间使用单模光纤连接，楼内交换机之间也使用单模光纤对接。全部内网都能够正常的相互访问，能够正常的上互连网。外网用户能够访问本企业对外发布的 web 站点。

小结1. 实现路由器的基本操作2. 实现路由器接口的配置3. 实现数据流的控制4. 实现私有地址上互联网5.拓展学习资料

能力单元 2 实现路由器的操作与配置

Documents