第8章路由器配置清華大學出版社ISBN978-7-302-26755-38.1路由器配置基本概念8.1.1路由器配置的基本內容8.1.2路由器系統(tǒng)的組成8.1.3路由器的接口8.1.4IOS和進程8.1.5IOS配置文件8.1.6Cisco路由器產(chǎn)品系列8.1.1路由器配置的基本內容路由器的配置內容，除了硬件接口物理連接以外，主要是用路由器的網(wǎng)絡操作系統(tǒng)軟件(例如CiscoIOS)對路由器的接口參數(shù)、路由協(xié)議、路由表、連接屬性、路由性能進行配置8.1.2路由器系統(tǒng)的組成Cisco路由器的基本組成部件有：CPU、各種存儲器和接口電路不同公司、不同系列的路由器，CPU和存儲器的種類也不盡相同，外部接口種類和多少也有差異Cisco路由器提供了四種類型的存儲器8.1.3路由器的接口所有路由器都有接口(Interface)。接口有時也稱為端口路由器支持的接口類型有：1、控制臺端口(ConsolePort)2、輔助端口(AuxiliaryPort)3、局域網(wǎng)接口4、廣域網(wǎng)接口5、ISDN接口(BRI接口)6、高密度異步接口一個接口的全名至少應該包括兩個數(shù)字，中間用一個正斜杠(/)進行分隔其中，第一個數(shù)字代表插槽編號，接口處理器卡將安裝在這個插槽上第二個數(shù)字代表接口處理器的接口編號。例如，Serial1/0表示位于1號插槽的第一個同步串行口支持“萬用接口處理器(VIP)”的路由器，其接口名中應該包括3個數(shù)字其編號形式為“插槽/接口適配器/接口號”。例如，Ethernet4/0/1表示4號插槽上第1個接口適配器上的第2個以太網(wǎng)接口8.1.4IOS和進程IOS(InternetworkOperatingSystem，互連網(wǎng)絡操作系統(tǒng))屬于Cisco路由器系統(tǒng)軟件的重要組成部分，用戶可以通過多種途徑配置IOSCiscoIOS軟件功能包括：1、連接多種網(wǎng)絡2、提供安全服務3、提供多種內嵌功能CiscoIOS采用模塊化結構，可移植性和可擴展性好。對于IOS的大多數(shù)配置命令，在整個Cisco系列產(chǎn)品中都是通用的8.1.5IOS配置文件IOS有兩種配置文件：運行配置文件(RunningConfiguration)啟動配置文件(StartupConfiguration)這兩個文件均以ASCII文本格式存儲，可以很方便地閱讀和操作它們啟動完成后，“啟動配置文件”中的命令就變成了“運行配置文件”中的命令8.1.6Cisco路由器產(chǎn)品系列CiscoSystem公司的路由器產(chǎn)品中低端的路由器有16XX、25XX系列中端層次的路由器有26XX、36XX系列高端的路由器有4XXX和7XXX系列8.2路由器的基本配置8.2.1路由器配置的途徑8.2.2路由器配置環(huán)境搭建8.2.3路由器的一般配置過程8.2.4IOS的啟動與系統(tǒng)配置8.2.1路由器配置的途徑Cisco路由器可以通過下列途徑進行配置：1、通過控制臺端口進行配置2、通過輔助端口進行配置3、通過以太網(wǎng)接口（局域網(wǎng)接口）進行配置路由器配置圖示8.2.2路由器配置環(huán)境搭建通過控制端口配置路由器，需要從硬件和軟件兩個方面搭建環(huán)境用一條串行線將控制臺端口與終端連接起來在PC機上運行并設置超級終端軟件超級終端設置超級終端設置-2通過輔助端口AUX配置路由器路由器的輔助端口AUX連接一臺Modem，遠程計算機上的串口上也連接上一臺Modem，兩臺Modem通過電話線連接起來超級終端設置，選擇所使用的Modem口通過以太網(wǎng)口配置路由器把計算機與路由器的一個以太網(wǎng)口用RJ-45跳線連接，該以太網(wǎng)口應該設置了IP地址運行終端仿真程序Telnet網(wǎng)絡工作站FTP服務器TFTP服務器，小型文件傳輸協(xié)議8.2.3路由器的一般配置過程路由器的一般配置方法是，在適當?shù)腎OS工作模式下使用命令改變路由器配置。使用“showrunning-config”命令來查看配置結果從網(wǎng)絡上的TFTP服務器或者NVRAM中裝載配置信息使用“copyrunning-configtftp”命令將當前路由器RAM中的配置存儲到網(wǎng)絡TFTP服務器中使得可以在一個集中地方存儲和維護配置信息配置路由器的一般方式8.2.4IOS的啟動與系統(tǒng)配置首先運行在ROM中的程序，完成系統(tǒng)自檢及引導接著運行FLASH中的IOS再在NVRAM中尋找路由器配置文件，找到后裝入RAM中運行如果路由器沒有找到有效的IOS系統(tǒng)映像，或者它的配置文件在啟動時被破壞并且配置寄存器第13位被設置為要求進入ROM監(jiān)測模式路由器應按以下步驟啟動1、檢查路由器電源連接，確保路由器的電源開關處于斷開狀態(tài)，這對設備安全尤為重要。2、檢查控制臺連接線是否連接好，RJ-45一端連接路由器控制端口，DB-9F一端連接PC機com1接口。3、按下路由器電源開關，使路由器接通電源，給路由器加電。觀察面板燈狀況。4、在PC機終端上查看路由器的啟動過程信息。系統(tǒng)配置對話過程系統(tǒng)配置對話過程主要分為4個階段：顯示說明信息設置全局參數(shù)設置接口參數(shù)總結顯示配置結果8.3路由器配置模式8.3.1路由器配置權限和配置模式8.3.2改變配置模式的方法8.3.3ROM檢測模式8.3.4其它配置模式8.3.1路由器配置權限和配置模式CiscoIOS提供具有不同配置權限的配置模式1、用戶模式“Router>”2、特權模式“Router#”3、全局配置模式“Router(config)#”4、ROM檢測模式8.3.2改變配置模式的方法(1)Enable命令。在用戶模式下運行，進入特權用戶模式。(2)Disable命令。退出特權模式。(3)Setup命令。進入系統(tǒng)配置對話模式。(4)Configterminal命令。在特權模式下運行，進入全局設置模式。(5)End命令。退出目前的設置狀態(tài)。(6)Interfacetypeslot/number命令。進入網(wǎng)絡接口局部設置狀態(tài)。(7)Interfacetypenumber.subinterface[point-to-point|multipoint]命令。進入網(wǎng)絡子接口設置狀態(tài)。(8)Linetypeslot/number命令。進入線路設置狀態(tài)。(9)Routerprotocol命令。進入路由器設置狀態(tài)。(10)Exit命令。退出局部設置狀態(tài)。8.3.3ROM檢測模式在ROM檢測模式下，可以重新啟動路由器或進行系統(tǒng)診斷。它主要用來進行路由器的初始化安裝、系統(tǒng)的升級和恢復在系統(tǒng)啟動的頭60秒內，按下“ctrl-break”鍵進入ROM監(jiān)控狀態(tài)該模式的提示符為“>”在全局模式下，鍵入“config-register0X0”，然后關閉電源，重新啟動，也可以進入該模式8.3.4其它配置模式(1)系統(tǒng)對話配置模式(2)控制器配置模式(ControllerConfiguration)(3)終端線路配置模式(Lineconfiguration)(4)路由器協(xié)議配置模式(Routerconfiguration)8.4IOS命令行接口CLI8.4.1CLI使用約定和規(guī)則8.4.2命令行的注釋和默認設置8.4.3顯示和查看路由器狀態(tài)8.4.1CLI使用約定和規(guī)則使用IOS的命令行接口CLI(CommandLineInterface)，通過輸入IOS命令進行配置幫助命令“？”，即可顯示在該模式下的所有命令上下文相關的幫助，可以先輸入開始的幾個字符，其后緊跟一個問號“？”，路由器會在這些字符的基礎上，補充為一個完整的命令詞輸入命令行不完整的字符后，按下Tab健，系統(tǒng)會將命令行剩余的部分逐步補充完整按“ctrl-p”或者上箭頭鍵“↑”，可以調用最近使用過的命令如果命令輸入不正確，“^”符號和幫助會指出錯誤CLI的編輯組合健Ctrl+A：光標從命令行當前位置移到命令行的第一個字符位置。Ctrl+E：光標從命令行當前位置移到命令行的最后一個字符位置。Ctrl+B：光標從命令行當前位置向左移動一個字符位置。Ctrl+F：光標從命令行當前位置向右移動一個字符位置。8.4.2命令行的注釋和默認設置1、命令行的注釋方法和編輯組合鍵2、更改路由器的名字3、關閉DNS查找4、啟用同步記錄功能5、為路由器配置用戶名和用戶口令6、禁用Web服務7、配置命令別名8、設置路由器時鐘8.4.3顯示和查看路由器狀態(tài)有很多命令可以用于檢測顯示路由器的狀態(tài)8.5IOS備份、口令管理和路由器測試8.5.1IOS及配置文件的備份方法8.5.2路由器口令管理8.5.3路由器測試命令8.5.1IOS及配置文件的備份方法啟動配置文件存儲在NVRAM中，當路由器重新啟動時會讀取這個文件把IOS裝載到路由器中有三種方式都可在全局配置模式下使用“boot”命令進行設置1、從閃存裝載Router(config)#bootsystemflashIOS-FileName2、從網(wǎng)絡TFTP服務器上裝載Router(config)#bootsystemTFTPIOS-FileNameTFTP-IP-address3、從ROM中裝載Router(config)#bootsystemROM然后，在特權模式下使用“copy”命令存入啟動配置文件。Router#copyrunning-configstartup-config8.5.2路由器口令管理1、為控制臺設置口令2、為遠程終端設置口令3、設置超級用戶口令4、加密口令8.5.3路由器測試命令1、測試網(wǎng)絡路徑狀態(tài)2、ping命令檢測線路和設置的狀態(tài)3、從應用層進行測試8.6路由器常用配置8.6.1IP路由配置步驟8.6.2路由協(xié)議配置8.6.3廣域網(wǎng)協(xié)議配置8.6.1IP路由配置步驟1、IP協(xié)議配置原則(1)路由器的某接口連接到網(wǎng)絡上，則該接口的IP地址的網(wǎng)絡號和所連接網(wǎng)絡的網(wǎng)絡號應該相同。(2)一般地，路由器的物理網(wǎng)絡地址接口需要有一個IP地址。(3)相鄰路由器的相鄰接口的IP地址必須在同一個IP子網(wǎng)上。(4)同一路由器的不同接口的IP地址必須在不同的IP子網(wǎng)上。(5)除了相鄰路由器的相鄰接口外，所有路由器任何兩個非相鄰接口的地址都不能在同一個子網(wǎng)上。相鄰路由器與相鄰接口Router1與Router2、Router3它們都互為相鄰路由器。其中Router1中的串口S0與Router2的串口S1為相鄰路由器的相鄰接口。但是，Router1的S1與Router2的S1不是相鄰接口。Router1與Router4，Router2與Router4都不是相鄰路由器。8.6.2路由協(xié)議配置為路由器配置一種動態(tài)選路協(xié)議后，路由器之間可以通過選路協(xié)議自行調整路由1、靜態(tài)路由2、動態(tài)路由3、靜態(tài)路由配置和默認路由配置4、路由信息協(xié)議RIP及其配置5、OSPF協(xié)議及其配置6、兩種動態(tài)路由協(xié)議的比較配置靜態(tài)路由示例-圖示OSPF協(xié)議的區(qū)域劃分OSPF路由配置示例-圖示8.6.3廣域網(wǎng)協(xié)議配置DDN、幀中繼(FrameRelay)、DDR(DemandDialRouting，請求撥號路由)和電話撥號是最常見的廣域網(wǎng)技術1、HDLC高級數(shù)據(jù)鏈路控制協(xié)議及配置2、PPP(Point-to-PointProtocol，點對點協(xié)議)及其配置3、刪除路由配置用到的命令8.7網(wǎng)絡地址轉換NAT及配置8.7.1網(wǎng)絡地址轉換NAT概述8.7.2網(wǎng)絡地址轉換NAT配置8.7.1網(wǎng)絡地址轉換NAT概述NAT(NetworkAddressTranslation）用于將一個專用地址域(局域網(wǎng)內部或Intranet)與另一個地址域(如Internet)建立起對應關系的技術這種對應關系稱為映射NAT有兩個主要的作用：多個內部地址可以共享一個全局地址上網(wǎng)增強網(wǎng)絡的安全性8.7.2網(wǎng)絡地址轉換NAT配置NAT包括靜態(tài)NAT和動態(tài)NAT兩種方式，動態(tài)NAT又分為地址池轉換(poolNAT)和端口地址轉換(portNAT)1、靜態(tài)NAT2、動態(tài)地址轉換poolNAT配置portNAT配置3、NAT配置示例8.8路由器應用配置8.8.1路由器應用配置的環(huán)境8.8.2靜態(tài)路由協(xié)議配置8.8.3RIP路由協(xié)議配置8.8.4OSPF路由協(xié)議配置8.8.1路由器應用配置的環(huán)境配置環(huán)境采用loopback設置邏輯網(wǎng)絡接口采用邏輯網(wǎng)段和邏輯網(wǎng)絡接口的方式，可以節(jié)省交換機的連接實驗環(huán)境中有5個網(wǎng)段，分別用PC機與3臺路由器的控制口連接通過show命令查看路由器的設置情況，通過ping命令測試通過路由器的連通性路由器配置實驗環(huán)境以3臺Cisco2811路由器通過V.35電纜連接為例說明路由器的配置配置環(huán)境采用邏輯網(wǎng)段和邏輯接口（模擬一個終端節(jié)點）的方式，可以節(jié)省交換機的連接，給配置實驗帶來方便子網(wǎng)掩碼均為。邏輯接口的IP地址分別為、、，可以模擬3個網(wǎng)段Cisco2811路由器的前、后面板Cisco2811路由器的前面板設計有控制端口、輔助控制端口、支持熱插拔的Flash模塊、電源連接器、電源開關、面板指示燈Cisco2811路由器的后面板設計有多個模塊化的插槽，可以支持多種網(wǎng)絡接口的配置8.8.2靜態(tài)路由協(xié)議配置重要干線的路由器通常要配置靜態(tài)路由靜態(tài)路由優(yōu)先于動態(tài)路由在所有的路由中，靜態(tài)路由優(yōu)先級最高靜態(tài)路由是網(wǎng)管人員人工配置的一旦靜態(tài)路由生效，它不會自行發(fā)生變化！R1路由器的靜態(tài)路由配置R1(config)#iprouteR1(config)#iprouteR1(config)#iproute靜態(tài)路由協(xié)議配置示例過程1．對R1的配置2．對R2的配置3．對R3的配置4．對靜態(tài)路由配置的測試1．對R1的配置！對邏輯網(wǎng)段的配置R1(config)#interfaceloopback1R1(config-if)#ipaddR1(config-if)#noshutdownR1(config-if)#exit！對路由器接口s0/0/0的配置R1(config)#interfaces0/0/0R1(config-if)#ipaddR1(config-if)#encapsulationpppR1(config-if)#clockrate64000R1(config-if)#noshutdownR1(config-if)#exit！R1路由器的靜態(tài)路由配置R1(config)#iprouteR1(config)#iprouteR1(config)#iproute對R2的配置如下：！對邏輯網(wǎng)段的配置R2(config)#interfaceloopback2R2(config-if)#ipaddR2(config-if)#noshutdownR2(config-if)#exit！R2路由器的靜態(tài)路由配置R2(config)#iprouteR2(config)#iprouteR2(config)#iproute對R3的配置如下：！對邏輯網(wǎng)段的配置R3(config)#interfaceloopback3R3(config-if)#ipaddR3(config-if)#noshutdownR3(config-if)#exit！對路由器接口s0/0/1的配置R3(config)#interfaces0/0/1R3(config-if)#ipaddR3(config-if)#encapsulationpppR3(config-if)#noshutdownR3(config-if)#exit靜態(tài)路由配置后的測試配置完成后，在特權模式下輸入“showiproute”查看靜態(tài)路由表，以R3路由器為例：R3#showiproute用ping命令測試網(wǎng)絡的連通性：R3#pingR3#ping在路由器上進行的路由配置會對后面的路由配置實驗產(chǎn)生影響，可以執(zhí)行取消靜態(tài)路由設置命令“noiproute”，取消路由設置。以R3路由器為例：R3(config)#noiproute8.8.3RIP路由協(xié)議配置分別對路由器配置環(huán)境中的3臺路由器進行RIP路由協(xié)議配置應用環(huán)境中各個網(wǎng)絡設備的網(wǎng)絡接口的IP配置，數(shù)據(jù)鏈路層協(xié)議封裝是類似的！啟動RIP路由協(xié)議。R1(config)#routerrip！指明路由器直接相連的網(wǎng)段，使用RIP動態(tài)路由。R!(config-router)#networkR!(config-router)#network對R1的配置！啟動RIP路由協(xié)議。R1(config)#routerrip！指明路由器直接相連的網(wǎng)段，使用RIP動態(tài)路由R1(config-router)#networkR1(config-router)#networkR1(config-router)#exitR1(config)#對R2的配置！啟動RIP路由協(xié)議。R2(config)#routerrip！指明路由器直接相連的網(wǎng)段，使用RIP動態(tài)路由。R2(config-router)#networkR2(config-router)#networkR2(config-router)#network對R3的配置！啟動RIP路由協(xié)議。R3(config)#routerrip！指明路由器直接相連的網(wǎng)段，使用RIP動態(tài)路由。R3(config-router)#networkR3(config-router)#networkRIP配置后的測試RIP路由協(xié)議配置完成后，在特權模式下可以顯示路由器所配置的路由信息，也可以顯示IP路由表，以R3路由器為例：R3#showipprotocolsR3#showiproute然后用ping命令測試配置后的連通性需要注意的是，若在路由器上做了多種路由協(xié)議配置，在運行路由時，默認設置是靜態(tài)路由優(yōu)先，若要使動態(tài)路由起作用，需要先刪除原來配置的靜態(tài)路由對RIP配置結果查看的命令在路由器上使用“showiproute”、“showipripdatabase”、“showipripdata”和“showipprotocol”命令，可以查看配置路由后的結果其中，顯示信息用較小的字號標識，“……”表示省略的部分信息或IP地址值為避免RIP路由協(xié)議配置對以后路由協(xié)議實驗的影響，需要取消已經(jīng)做的路由配置，所采用的命令為“norouterrip”將RIPv1路由協(xié)議升級成RIPv2的方法將RIPv1路由協(xié)議升級成version2的RIPv2路由協(xié)議的配置方法是：

R1(config)#routerripR1(config-router)#version2在路由器上使用“debugiprip”和“cleariproute*”命令查看RIPv2的動態(tài)更新情況，查看完畢之后，使用“undebugall”關閉調試8.8.4OSPF路由協(xié)議配置分別對圖8.19中的3臺路由器進行OSPF路由協(xié)議配置各個網(wǎng)絡設備的網(wǎng)絡接口的IP配置，數(shù)據(jù)鏈路層協(xié)議封裝是類似的！啟動OSPF路由協(xié)議,100為進程號R1(config)#routerospf100！指明路由器直接相連的網(wǎng)段R!(config-router)#network55area200R!(config-router)#network55area200OSPF路由協(xié)議配置過程1．配置OSPF的準備2．對R1的配置3．對R2的配置4．對R3的配置5．配置OSPF的測試6．配置OSPF的步驟總結7．配置OSPF的示例8．Showipprotocol命令示例9．shipospfneighbor命令示例10．shipospfinterface命令示例11．相應接口的ospf信息12．shipospfdatabase命令示例配置OSPF的準備對路由器網(wǎng)絡接口的配置及方法與前面的講述是一樣的，在對路由器網(wǎng)絡接口配置完成之后，分別對圖8.19實驗圖中的3臺路由器進行OSPF路由協(xié)議配置在配置時特別注意DCE和DTE的區(qū)分及兩條串行（Serial0/0/0、Serial0/0/1）線路速率的設定對R1的配置！啟動OSPF路由協(xié)議，100為進程號，取值范圍1—65535，用于標識OSPF為該路由器內的一個進程。R1(config)#routerospf100！指明路由器直接相連的網(wǎng)段，使用OSPF動態(tài)路由。為直接相連的網(wǎng)段，統(tǒng)配符55為子網(wǎng)掩碼的反碼。區(qū)域號的取值范圍為0—4294967295。R1(config-router)#network55area200R1(config-router)#network55area200R1(config-router)#exit對R2的配置！啟動OSPF路由協(xié)議。R2(config)#routerospf100！指明路由器直接相連的網(wǎng)段，使用OSPF動態(tài)路由。R2(config-router)#network55area200R2(config-router)#network55area200R2(config-router)#network55area200R2(config-router)#exit對R3的配置！啟動OSPF路由協(xié)議。R3(config)#routerospf100！指明路由器直接相連的網(wǎng)段，使用OSPF動態(tài)路由。R3(config-router)#network55area200R3(config-router)#network55area200配置OSPF的測試OSPF路由協(xié)議配置完成后，在特權模式下可以顯示路由器所配置的路由信息，也可以顯示IP路由表，以R3路由器為例：R3#showipprotocolsR3#showiproute然后用ping命令測試配置后的連通性需要注意的是，若在路由器上做了多種路由協(xié)議配置，在運行路由時，默認設置是靜態(tài)路由優(yōu)先，若要使動態(tài)路由起作用，需要先刪除原來配置的靜態(tài)路由配置OSPF的步驟總結Routerospf100命令啟動一個OSPF路由選擇協(xié)議進程，其中的“100”為進程號與配置EIGRP協(xié)議中的AS號不同的是，在配置OSPF時并不需要每臺路由器中的進程號一致。Network命令使相應的網(wǎng)段加入OSPF路由進程中，其格式為：network網(wǎng)絡地址（或IP地址）通配碼area區(qū)域號8.9訪問控制列表配置8.9.1訪問控制列表配置8.9.2標準訪問控制列表配置8.9.3擴展訪問控制列表配置8.9.1訪問控制列表配置實驗環(huán)境有3個不同的網(wǎng)段，、、，子網(wǎng)掩碼均

假設實驗中的各路由器、交換機、PC機的連接和基本配置已經(jīng)設置正確，例如在兩個路由器之間連接的網(wǎng)絡接口上封裝了PPP協(xié)議，網(wǎng)絡中設置了動態(tài)路由協(xié)議RIPIP數(shù)據(jù)包過濾規(guī)則有兩種一種是只對數(shù)據(jù)包中的源地址進行檢查，稱為標準訪問控制列表，過濾標識號范圍為1—99，在全局配置模式下進行數(shù)據(jù)包過濾規(guī)則的設置，設置命令格式為：access-list<標識號><deny│permit><源地址><通配符>另一種需要對數(shù)據(jù)包中的源地址、目的地址、協(xié)議和端口號都進行檢查，稱為擴展訪問控制列表，過濾標識號范圍為100—199，設置命令格式為：access-list<標識號><deny│permit><協(xié)議標識><源地址><通配符><目的地址><通配符>引用過濾已經(jīng)定義的規(guī)則在需要數(shù)據(jù)包過濾功能的接口引用過濾已經(jīng)定義的規(guī)則，引用格式為：ipaccess-group<標識號><in│out>若對進入該接口的數(shù)據(jù)包進行檢查，選擇in，若對該接口送出的數(shù)據(jù)包進行檢查，選擇out。規(guī)則中參數(shù)deny表示禁止，參數(shù)permit表示允許。訪問控制列表配置命令的格式access-list[access-list-number]|[access-list-number-name]{deny|permit}[accessrule]|[any]其中：1）access-list-number，訪問控制列表的編號，1-99是標準IP訪問控制列表，100-199是擴展訪問控制列表2）access-list-number-name，訪問控制列表名，使用該參數(shù)來定義命名的訪問控制列表3）[Deny]|[permit]，拒絕或允許某項規(guī)則4）Accessrule，訪問規(guī)則5）Any，所有主機8.9.2標準訪問控制列表配置假設訪問控制列表配置環(huán)境中的各路由器、交換機、PC機的連接、網(wǎng)絡接口、路由協(xié)議、路由表等基本配置已經(jīng)設置正確，PC-A與PC-B之間可以互相通信。在路由器2811-A進行過濾規(guī)則的配置：2811-A(config)#access-list99deny2811-A(config)#access-list99permit55！引用過濾規(guī)則2811-A(config)#interfaces0/0/12811-A(config-if)#ipaccess-group99in測試標準ACL的配置情況！在特權模式下查看IP訪問列表2811-A#showipaccess-list！在特權模式下查看端口訪問列表2811-A#showipinterfaceserial0/0/1用ping命令驗證訪問列表設置后的作用，在PC-B計算機上執(zhí)行“ping”測試與PC-A計算機通信，因有配置規(guī)則過濾，無法進行進行通信。需要注意驗證的方向性。配置實驗完成后，在全局配置模式下執(zhí)行下面命令取消訪問控制列表：2811-A(config)#noaccess-list99在接口配置模式下，執(zhí)行下面命令取消對訪問列表的引用2811-A(config-if)#noipaccess-group99in8.9.3擴展訪問控制列表配置假設在圖8.20中的各路由器、交換機、PC機的連接和基本配置已經(jīng)設置正確！進行過濾規(guī)則的配置，標識號為1102811-A(config)#access-list110denytcpeq232811-A(config)#access-list110permitipanyany！引用過濾規(guī)則2811-A(config)#interfaces0/0/12811-A(config-if)#ipaccess-group110in測試和驗證擴展訪問列表配置結果在PC-B計算機上輸入“telnet”測試和驗證擴展訪問列表配置結果在PC-B計算機上輸入“telnet”，不能與路由器2811-A通信，執(zhí)行“ping”命令，卻可以與路由器2811-A通信配置實驗完成后，在全局配置模式下執(zhí)行下面命令取消擴展訪問控制列表：2811-A(config)#noaccess-list110在接口配置模式下，執(zhí)行下面命令取消對擴展訪問列表的引用：2811-A(config-if)#noipaccess-group110in進行telnet操作的設置方法若要進行telnet操作，需要預先進行虛擬終端VTY配置，方法是：Router(config)#linevty04Router(config)#loginpasswordciscoenablepasswordcisco其中，cisco為用telnet登錄時使用的密碼設置，需要用戶輸入訪問控制列表的引用首先進入要引用訪問控制列表的端口，然后再指明引用的列表編號或名稱,是進入（in）方向還是離開方向（out）這里的in和out是指以路由器本身為參考點，數(shù)據(jù)包是進入（in）還是離開（out）路由器。例如，要在S0/0/0接口out方向上引用編號為1的標準訪問控制列表，輸入的命令為：interfaces0/0/0ipaccess-groutp1out配置ACL時需要注意的問題1）在定義訪問控制列表時，需要注意語句輸入的先后順序2）路由器不對由自身產(chǎn)生的IP包進行過濾，在實驗時應由其他的設備發(fā)包進行測試3）showipaccess-list命令列出了所定義的訪問控制列表的情況。showipints0命令列出的信息會給出關于訪問控制列表引用情況的信息，表明在進入（in）或出（out）路由器的方向上引用訪問控制列表的情況4）clearaccess-listcounters指令清空了訪問控制列表的計數(shù)器，以便觀察配置結果5）為了驗證訪問控制列表配置的正確性，可以形成回路的路由器的網(wǎng)絡接口關閉，使網(wǎng)絡路由拓撲不形成回路6）可以使用擴展的

ping命令測試訪問控制列表的定義和引用情況8.10路由器系統(tǒng)軟件恢復和維護8.10.1路由器密碼恢復8.10.2路由器IOS的故障8.10.3路由器IOS恢復方法8.10.4FTP站點的創(chuàng)建8.10.5Rommon模式下的IOS恢復8.10.6通過FTP或TFTP的IOS恢復8.10.1路由器密碼恢復以Cisco2811路由器密碼恢復為例進行討論1、路由器密碼存放的位置2、密碼恢復步驟（以恢復控制臺密碼為例）①重新啟動路由器②修改配置寄存器的值③路由器重啟后會提示是否進入初始配置模式④在用戶模式（usermode）下，輸入“enable”進入特權模式此時我們可以有兩種處理的方法一是將系統(tǒng)恢復出廠配置二是保留配置中其他信息路由器密碼存放的位置路由器在啟動的時候，首先會進行路由器加電自檢測試（POST），然后在閃存（flash）中查找IOS，隨后IOS處理裝載，并且在NVRAM中查找有效配置文件，也就是通常所說的啟動配置文件（startup-config）如果配置文件存在，則運行相應的配置信息，如果不存在，則會進入設置模式這里要注意的是，所有被設置的密碼信息就包含在這個啟動配置文件（startup-config）中所以口令恢復的關鍵是在于繞過startup-config文件，不加載配置信息，也就不會出現(xiàn)輸入密碼的提示配置寄存器中與密碼配置有關的位要提到一個重要的概念：配置寄存器它是一個位于NVRAM中的16位軟件寄存器默認情況下，配置寄存器的值是0x2102二進制表示為：0010000100000010，從右到左依次是第0位…第15位。這個值意味著路由器從閃存加載IOS并告訴路由器從NVRAM調用啟動配置（startup-config）相反，如果第6位是“1”則表示讓路由器啟動的時候繞過startup-config文件進入到設置模式，這時沒有“Password”的提示所以口令恢復的關鍵就在于修改“配置注冊碼”的第6位，使啟動繞過存放在NVRAM(存儲備份配置文件)中的“有效口令”，而進行直接啟動密碼恢復方法與步驟1）重新啟動路由器，在路由器啟動的第一個60秒內按下Ctrl+Break鍵，這時會終止路由器的啟動，進入Rommon模式下，會出現(xiàn)如下所示的提示rommon1>2）修改配置寄存器的值，在rommon1>提示下輸入rommon1>confreg0x2142接著重新啟動路由器，命令如下rommon2>reset3）路由器重啟后會提示是否進入初始配置模式，選擇no，不進行配置。Wouldyouliketoentertheinitialconfigurationdialog?[yes/no]no4）在用戶模式（usermode）下，輸入“enable”進入特權模式（privilegedmode）下，此時可以有兩種處理的方法一是將系統(tǒng)恢復出廠配置二是保留配置中其他信息，只刪除密碼信息或者設置新的密碼。5）將系統(tǒng)恢復出廠配置將系統(tǒng)恢復出廠配置，配置過程Router#erasestartup-configRouter#configtRouter(config)#config-register0x2102Router(config)#exitRouter#copyrunning-configstartup-config重新啟動路由器。上述命令所執(zhí)行的操作依次是：刪除系統(tǒng)的啟動配置文件；進入全局配置模式下，將配置寄存器的值修改為默認值；然后在特權模式下保存當前的運行配置取消口令的設置或者修改新的口令Router#copystartup-configrunning-configRouter#showrunning-configRouter#configtRouter(config)#lineconsole0Router(config-