1、PPT下載: 開始,運行 172.16.11.190,實驗要求 1、了解路由器的工作過程，了解靜態路由的優缺點及適用范圍。掌握配置靜態路由實現網絡互通的方法，并能夠通過查看路由表了解數據包在路由器中的轉發過程。 2、給出比較簡單的網絡拓撲結構，能夠選擇并配置合適的動態路由協議，實現網絡互連。掌握路由信息協議（Routing Information Protocal，RIP）協議的配置方法。 3、掌握標準訪問控制列表和擴展訪問列表的配置。 實驗條件 RouterSim公司的模擬器CCNA Network Visualizer 5.0,路由就是將數據包從一個網絡的計算機跨越中間網絡發送到另一個網絡

2、的計算機上。路由器的作用是根據網絡拓撲結構和通信狀況轉發數據包，使其沿著一條最短最快的通路到達目的端。路由選擇是第三層設備路由器最重要的功能，為了實現這個功能，路由器至少應該知道：目標地址、相鄰的路由器（通過它獲知不相鄰網絡的拓撲信息）、到達目標網絡的所有可用的路徑、到目標網絡的最佳路徑以及如何檢驗更新路由信息。,路由器可以通過網管人員，也可以由相鄰的路由器來收集不相鄰網絡的拓撲信息，然后路由器會建立路由表來存放到達各網絡的路由選擇結果，并用它來指導數據包的路由轉發。在轉發數據包時，路由器會首先查看路由表，如果路由表中沒有該數據包目標網絡的轉發聲明，路由器不是像交換機那樣發布廣播來詢問，而是直

3、接丟棄這個數據包。,路由器將連接到它各接口的網絡地址直接放入路由表中，所以它自己知道如何“到達”這些直連網絡；而對于如何“到達”所謂“遙遠”的目的網絡，即非直連網絡，路由器就要通過學習才能獲知。,路由器可以通過靜態路由和動態路由兩種方式來獲知怎樣將數據包送達至非直接相連的目的地。所謂靜態路由就是由網管人員定義的路由，是以人工方式將路由條目添加到路由表中，以指導數據包向目的端的轉發。而動態路由則是路由器利用動態路由協議與相鄰路由器進行路由通信，通過這個過程來獲知到達目的網絡的路徑。配置了動態路由協議的各個路由器會將自己所指導的網絡信息比如網絡可達信息、拓撲變化信息等通知給彼此。,靜態路由的優點在

4、于它不會占用路由器CPU的資源，也不會占用路由器之間的帶寬（啟用動態路由協議的路由器之間需要定期進行路由更新、路由查詢等路由通信，難免要消耗一些帶寬）。最后就是安全，因為數據可以路由到哪個網絡是由管理員自己指定的。,靜態路由通常只用于網絡路由相對簡單、網絡與網絡之間只通過一條路徑互連的情況。為了實現網絡之間的互通，源端和目的端的路由器都要配置靜態路由。靜態路由不能對線路不同等路由變化做出反應，需要手工更新路由表。比如，如果有一個子網新加到網絡中，為了令該子網對其他網絡是可達的，管理員必須在網絡中所有的路由器（除了與該子網直接相連的路由器）中加入相關的路由信息。另外，配置靜態路由要求管理員對網絡

5、及各個路由器的連接情況比較了解，錯誤的配置會導致網絡之間的連接中斷。,使用模擬器來實現如下圖所示的網絡拓撲。,啟動RouterSim CCNA Network Visualizer，出現如下圖所示的界面。,單擊按鈕“Net visualizer Screen”，出現如右圖所示的設計界面。從設計界面工具欄上可以看到模擬器模擬的Cisco設備，包括一臺Cisco 2600路由器和三臺Cisco的交換機（型號分別為：1900、2950和3550）。,鼠標單擊工具欄中的設備快捷鍵，在設計界面的工具區就會出現該設備，再用鼠標拖動該設備到指定位置，以此類推，將拓撲圖上的交換設備放在相應的位置上，如下圖所示

6、。,當將鼠標指向設備圖標時，會出現如下圖的操作提示，如想連接設備可單擊鼠標右鍵。,如果選擇的是串行端口，比如Serial0/0（S0/0），會彈出對話框以便選擇該串行端口是充當DCE端還是DTE端，如下圖所示。,然后右鍵單擊另一端的交換設備，會出現該設備的接口界面，鼠標單擊要連接的接口，則完成兩個設備的連接。以此類推，將實驗設備在模擬器的設計界面上按拓撲圖連接完成，如下圖所示。接下去要做的就是對各個交換設備進行配置。雙擊要配置的交換設備，配置界面就會被調出來。,在配置靜態路由之前，要配置路由器各個端口的IP地址，還要用命令no shutdown激活端口。串口如果充當DCE端，還需要配置時鐘頻率

7、，如下圖所示。,用戶模式 在用戶模式中，顯示的是路由器的基本接口信息。有人認為這種思科路由器模式根本就沒有用，因為這種模式中無法作出配置改變，用戶也無法查看任何重要的信息。 特權模式 管理員可以在這種模式中查看和改變配置。筆者以為，在這個級別上，擁有一套口令集是絕對重要的。要從用戶模式切換到特權模式，管理員需要鍵入enabel命令，并按下回車鍵：,全局配置模式 從特權模式下，我們現在可以訪問全局配置模式。這里，我們可以作出改變影響整個路由器的運行，這些改變當然包括配置上的改變。作為管理員，我們需要更進一步，深入到路由器的命令中，對其配置作出合理的改變。下面給出的是一個訪問這種模式的例子：,在準

8、備工作做完之后，如果查看路由表（show ip route），會看到路由器直連網絡的情況，如下圖所示。在路由表中可以看到路由器直連了三個網絡，在每個路由條目前都有一個字母C，它所代表的含義可以通過路由條目前的codes得知。由“Code: C-connecte, S-static, I”，可知C是connected的第一個字母，代表直連。另外在路由條目中目標網絡后都有一個“/24”，這是網絡的子網掩碼，即255.255.255.0（二進制表示中正好是連續24個1：11111111.11111111.11111111.0）。路由表中還將連接網絡的路由器端口標識出來，如連接網絡201. 100.1

9、1.0的就是路由器的串行口Serial0。,同樣的方法將RouteB各個端口的IP地址配好（注意圖中路由器B的各個端口地址，f0/0：199.6.13.1，S0/1：201.100.11.2，不要設錯！），用命令no shutdown激活。注意RouterB的串行口充當DTE端，所以不需要配置時鐘頻率。配置完成后查看RouterB的路由表如下圖所示。,在RouterA上，通過ping命令測試到路由器RouterB的直連網絡地址199.6.13.1是否連通，如下圖所示,“Success rate is 0 percent”表明ping不通，需要配置靜態路由或動態路由協議。接下來我們來配置靜態路由

10、。,配置靜態路由的命令格式為 Router(config)#ip route destination_network mask next_hop_address or exitinterface administrative_distance permanent 在命令格式中，“destination_network”是所要到達的目的網絡，“mask”為目的網絡的子網掩碼。而“next_hop_address”是指下一跳的IP地址。所謂下一跳是指數據包向目的地址前進的下一個的路由器的端口，當然必須保證這個端口的IP地址可以ping得通。有時候在“next_hop_address”這個位置上用“

11、exitinterface”，就是數據包離開路由器的接口，但這種配置方式只可以用于端到端的連接，比如說廣域網，在以太網中就不可以使用這種配置方式。,“adminitstrtive_distance”為管理距離（可選），靜態路由默認的管理距離是1，可以通過這個參數修改這個權值。“parmanent”指定此路由即使該端口關掉也不被移掉。,路由A如果打算向199.6.13.0網絡轉發數據包（199.6.13.0非路由器的直接網絡），它必須配置一條關于199.6.13.0網絡的路由條目。這樣配置以后，再查看路由表，可以看見到達199.6.13.0的指導信息。如下圖所示。,從第一個路由條目中的第一個字母

12、S，可知這條路由信息是通過靜態配置得到的（S是Static的首字母），其次是到達目的網絡199.6.13.0的下一跳地址是201.100.11.2。注意在子網掩碼“/24”后有一個1/1，其中分子位置的數字1表示靜態路由的管理距離為1，關于管理距離的作用將在后面動態路由中作詳細的解釋；分母位置的數字1則表示從該臺路由器到達目標網絡需要經過1跳，即1臺路由器。,在圖中，在路由條目的前面都出現“Gatway of last resort is not set”，就是說如果目的子網沒有在路由條目中出現，數據包就會被路由器丟掉，而不是發送到一個默認的端口。接下來開始配置所謂的默認路由（Default

13、Routing）。,當某個網絡連接到“單一網絡”（Stub Network）時最常使用的路由就是默認路由。“單一網絡”是指一個網絡只能由一個路徑進出，而默認路由是指將目標網絡不在路由表中的數據包都將全部送到出口路由的下一跳路由器上。,在實驗用網絡拓撲圖中，199.6.13.0網絡只能通過路由器B的串口201.100.11.2出入網絡，所以它是一個“stub network”，可以使用網絡地址和子網掩碼的通配符（即0.0.0.0）來配置默認路由。,查看路由表，可以發現路由表中除了出現兩個直連網絡外，還增加了一個S*條目。這個S*表明該路由條目時默認路由條目，如下圖所示。,其中路由表中的路由條目前

14、有一行這樣的字符串“Gateway of last resort is 201.100.11.1 to network 0.0.0.0”，這是表明如果數據包的目標網絡不在路由表中，則將數據包發往201.100.11.1。S*標識的默認路由條目中0.0.0.0、0是網絡地址及子網掩碼的通配符，標識任意網絡。,配置默認網絡還要注意有一條命令要特別配置，就是在全局配置模式下輸入“ip classless”，即“Router(config) #ip classless”。“ip classless”即“無類型”，這條命令允許用可變長掩碼分配子網，意思是現在的路由決策是基于整個32位IP地址的掩碼操作，

15、而不管其IP地址是A類、B類還是C類。關于有/無類別路由，本次實驗不做進一步探討。總之，如果不用命令“ip classless”，默認路由有時可以工作，有時不能正常工作。所以，在使用默認路由時，要用“ip classless”這條命令將無類別的路由打開。,當所有的路由器的路由表配置好后，都需要對連通性進行檢查，通常是使用ping命令。 為了測試路由器B與網絡192.5.5.0的連通性（假設連接網絡192.5.5.0的路由器接口為192.5.5.1），則可以在路由器B上（普通用戶模式或者超級用戶模式下均可）運行ping 192.5.5.1。,如果出現如下圖所示內容，說明網絡連通性良好，路由配置正

16、確；反之，如果路由配置有問題或其他原因導致目的網絡不可達，則要從離該路由器最近的路由器端口向目標網絡方向逐跳ping過去，先確定故障位置，再想辦法解決。,Ping成功后，將虛擬器保存后關閉，待動態路由配置也完成后給助教老師檢查。,路由是把報文從一個網絡轉發到另一個網絡的過程。在小規模的網絡互連的情況下，可以采取手工靜態建立路由表lwternet的方法，人為的指定每一個可達目的網絡的路由。在一個由成千上萬個網絡組成的互聯網中，這種方法顯然是不行的。目前大多數的路由器都能夠配置動態路由協議，通過與相鄰的路由器交換網絡信息而動態建立路由表。,路由信息協議（RIP）定義了路由器間相互交換網絡信息的規范

17、。路由器之間通過路由信息協議，相互交換網絡的可達性信息，然后，每個路由器據此計算出到達各個目的網絡的路由。路由信息協議能夠用以下度量標準的幾種或全部來決定到目的網絡的最優路徑：路徑長度、可靠程度、延遲、帶寬、負載和通信代價。,內部及外部網關協議 路由協議可以分為內部和外部兩種路由協議。對于網絡內部路由協議來說，最重要的是如何找到報文穿越網絡到達目的地的最佳路徑，像RIP、IGRP都屬于內部網關協議（Internal Gateway Protocol，IGP）；而外部網關協議則主要用于不同管理域的網絡之間交換路由信息，比如說邊界網關協議（Border Gateway Protocol，BGP）就

18、是外部網關協議（Exterior Gateway Protocol，EGP）的一種。,路由協議的管理距離 靜態路由的管理距離是1，動態路由協議也都有自己的管理距離。管理距離是衡量路由信息可信程度的一個參數，管理距離越低，表明該協議提供的路由信息越可靠。如下圖所示，路由器A上同時配置了RIP和IGRP兩種動態網關協議。對于從路由器A發往目標網絡E的數據包的轉發路徑，兩種協議分別給路由器A兩條路徑：一條是IGRP協議建議從路由器B這條路徑走；另一種是RIP建議取道路由器C。路由器A就要根據管理距離來決定取舍。IGBP的管理距離是100，小于RIP協議的管理距離120，所以路由器A就采納IGRP協議

19、建議的路徑。,RIP的特點 RIP協議具有幾個特點：首先RIP協議屬于距離向量（Distance Vector）路由協議；其次，RIP是根據跳數來做路由選擇的。下圖中的各路由器均配置了動態路由協議RIP，兩臺計算機互通，既可以走19.2Kbps這條路徑，也可以走T1這條路。,T1帶寬可以達到1.544Mbps，所以盡管走T1這條路徑經過的跳數比較多，速度還是更快。但RIP協議卻會選擇19.2Kbps這條路徑。因為RIP協議做路由選擇時只考慮跳數，組19.2Kbps只需要一跳，而走T1這條路徑則需要經過3跳。而且，RIP協議最多可允許15跳，即RIP協議的作用半徑在15個路由器之內。默認的情況下

20、，RIP協議每隔30秒進行一次路由更新，可以在6條代價相等的路由選擇路徑上做負載均衡。最后一點就是，配置RIP起作用的網絡時，網絡地址必須使用A類、B類或C類網絡號（這種網絡地址又稱為可分類的網絡）。在這里只討論RIPv1，事實上RIPv2允許無類別子網。,配置RIP的兩條命令分別是： Router（config）#router rip：用于啟動RIP協議。 Router (config-router) #network network-number：選擇RIP協議起作用的網絡（必須是路由器直接相連的可分類網絡）。 RIP協議的具體配置如下圖所示，對于路由器A，連接網絡172.16.1.0的接

21、口E0和連接網絡10.0.0.0的接口S2對RIP路由更新信息進行發送和接收，這些更新信息使路由器A了解這個網絡的拓撲結構。,用“show ip protocols”可以顯示路由協議RIP的工作情況，如下圖所示。這條命令可以顯示路由器定時器的信息及和路由器相連的一些網絡信息，可以用這些信息來確定被懷疑發布錯誤路由信息的路由器。從圖中的陰影部分可以看到路由器每隔30秒發布一次路由更新信息，同時可知路由協議RIP的管理距離是120。,命令“show ip route”用來檢查路由器A的路由表，路由表中包含了關于直連網絡和非直連網絡的網絡信息條目。在靜態路由配置實驗中的路由條目可見，字母C（conn

22、ected）表示直連網絡，字母S（static）表示靜態路由，以此類推。RIP的第一個字母R用來表示RIP協議“學到”的網絡。如果路由表中沒有顯示出通過RIP協議獲知的路由條目，可以再超級用戶模式下用命令“show running-config”或“show ip protocols”檢查在配置路由協議的過程中是否配錯。前面圖中顯示的路由表的輸出中，陰影部分的條目就是通過RIP協議獲得的。,例如上圖中，“R 10.2.2.0 120/1 via 10.1.1.2, 00:00:17, serial2”，這里R表明了該條目是通過RIP協議學到的，到達目標網絡10.2.2.0的數據包會從路由器Se

23、rial2端口被轉發到IP地址為10.1.1.2的下一跳路由器的端口上。120/1表明RIP協議的管理距離是120，而到達目標網絡10.2.2.0要經過1跳（即經過一個路由器）。 檢查：從172.16.1.0的網絡ping192.168.1.0的網絡。,訪問列表（Acess List）是一個有序的語句集，通過匹配數據包中信息與訪問列表參數，并應用于路由器接口來允許通過或拒絕數據包通過此接口，從而增加了在路由器接口上過濾數據包出入的靈活性，幫助網絡管理員限制網絡流量。同時也控制用戶和設備對網絡的使用。訪問列表根據網絡中每個數據包所包含的信息內容決定是否允許該信息包通過接口，以期達到拒絕不期望訪問

24、的管理目的。,本次實驗將配置兩種訪問列表，即標準訪問列表和擴展訪問列表。標準訪問列表檢查可被路由的數據包的源地址，根據源網絡、子網、主機IP地址來決定對數據包的拒絕或允許，其序列號范圍時199；而擴展訪問列表則能夠檢查可被路由的數據包的源地址和目的地址，同時還可以檢查指定的協議、端口號和其他參數，配置更加靈活、控制也更加精確，其序列號的范圍是100199。,首先要創建訪問列表，無論是標準還是擴展的訪問列表，命令格式均為：access-list access-list-number deny|permit test conditions 其中，“access-list-number”為列表序號或

25、命名，建議使用命名來配置訪問列表，這樣在以后的修改中也方便。“test conditions”為過濾條件語句。然后開始應用訪問列表，需要再接口模式下，應用“ip access-group access-list-number in|out”命令。,本次實驗的拓撲圖如下圖所示。,在模擬器上實驗設備的連接圖如下圖所示。,對于模擬器上計算機的IP地址的配置如右圖所示（以主機A為例，其他主機的配置請大家根據實驗拓撲圖自己配置）。 右擊“Host A”，然后點擊“configs”進入配置界面。,在配置訪問列表之前，兩臺路由器要進行基本的配置。路由器B的基本配置如下圖所示。,如果用戶沒有在路由器的控制臺上

26、設置口令，其他用戶就可以訪問用戶模式，并且，如果沒有設置其它思科路由器模式的口令，別人也就可以輕松進入其它思科路由器模式。控制臺端口是用戶最初開始設置新路由器的地方。在路由器的控制臺端口上設置口令極為重要，因為這樣可以防止其它人連接到路由器并訪問用戶模式。因為每一個路由器僅有一個控制臺端口，所以你可以在全局配置中使用line console 0命令，然后再使用login和password命令來完成設置。這里password命令用于設置恰當的口令，如下所示：,路由器RouterA的基本配置如下圖所示,如果此時在主機B上ping同一個交換機上的主機D，可以看到他們是連通的；在主機B上ping子網為

27、205.7.5.0上的主機A，可見他們也是連通的。此時雖然沒有配置路由，但作為直連網絡，205.7.5.0這個條目已經出現在現在路由器B中的路由表中；在主機B上ping子網199.6.13.0上的主機C，因為路由沒有配置，所以是不通的。,路由器RouterA上路由協議RIP的配置如下： 路由器RouterB上路由協議RIP的配置如下：,建立標準訪問列表的格式為： access-list list number permit|deny source address wildcard mask 其中list number為列表序號（199）或者命名，source address為源IP地址，wildcard mask為掩碼，如果不使用掩碼，則使用關鍵字Host，例：host 192.168.2.4。,（1）在RouterA上建立訪問列表，使主機HostA不能遠程登錄RouterA。 首先從主機HostA遠程登錄（telnet）到RouterA，結果下圖所示。,現在在R