【正文】 。 路由器的常用命令 ? 路由器的常用命令 ? （ 1）幫助 ? 在 IOS操作中，無論任何狀態(tài)和位置，都可以鍵入“？”得到系統(tǒng)的幫助。 （ 5）基本設(shè)置命令 任務(wù) 命令 全局設(shè)置 config terminal 設(shè)置訪問用戶及密碼 username username password password 設(shè)置特權(quán)密碼 enable secret password 設(shè)置路由器名 hostname name 設(shè)置靜態(tài)路由 ip route destination submask nexthop 啟動 IP路由 ip routing 啟動 IPX路由 ipx routing 端口設(shè)置 interface type slot/number 設(shè)置 IP地址 ip address address submask 設(shè)置 IPX網(wǎng)絡(luò) ipx work work 激活端口 no shutdown 物理線路設(shè)置 line type number 啟動登錄進(jìn)程 login [local|tacacs server] 設(shè)置登錄密碼 password password 路由器的配置 1）靜態(tài)路由 ? 靜態(tài)路由是管理員根據(jù)網(wǎng)絡(luò)的情況手動在路由器中配置路由，靜態(tài)路由一經(jīng)設(shè)定就存在于路由表中，在網(wǎng)絡(luò)結(jié)構(gòu)發(fā)生變化后，管理員必須手工修改路由表。 ? 靜態(tài)路由的優(yōu)點(diǎn)是簡單、高效、可靠，但是它的網(wǎng)絡(luò)擴(kuò)展性較差，配置煩瑣 ? 當(dāng)一個數(shù)據(jù)包在路由器中進(jìn)行尋徑時，路由器首先查找靜態(tài)路由，如果查到則根據(jù)相應(yīng)的靜態(tài)路由轉(zhuǎn)發(fā)數(shù)據(jù)，否則再查找動態(tài)路由。 ? work: 所要到達(dá)的目的網(wǎng)絡(luò) ? mask :子網(wǎng)掩碼 ? address:下一個跳的 IP地址，即相鄰路由器的端口地址。 例 51 在如圖 541所示的網(wǎng)絡(luò)中，若要實(shí)現(xiàn)兩個網(wǎng)絡(luò)的通信，其靜態(tài)路由的配置方法為： ? !路由器 A的靜態(tài)配置 ? RouterA(config)interface ether0 ? RouterA(configif)ip address ? RouterA(config)interface serial0 ? RouterA(configif)ip address ? RouterA(config)ip route ? !路由器 B的靜態(tài)配置 ? RouterA(config)interface ether0 ? RouterA(configif)ip address ? RouterA(config)interface serial0 ? RouterA(configif)ip address ? RouterA(config)ip route 例 +： 默認(rèn)路由的配置 ? 默認(rèn)路由是一種特殊的靜態(tài)路由，指的是當(dāng)路由表中與包的目的地址之間沒有匹配的表項(xiàng)時路由器能夠做出的選擇。 默認(rèn)路由在某些時候非常有效，當(dāng)存在末梢網(wǎng)絡(luò)時，默認(rèn)路由會大大簡化路由器的配置，減輕管理員的工作負(fù)擔(dān) ,提高網(wǎng)絡(luò)性能。 ? 如果路由更新信息表明網(wǎng)絡(luò)拓樸發(fā)生了變化，路由協(xié)議就會重新計(jì)算路由表以動態(tài)地反映網(wǎng)絡(luò)拓樸的變化。當(dāng)然，各個動態(tài)路由協(xié)議會不同程度地占用網(wǎng)絡(luò)帶寬和 CPU資源。 ? 如果到相同目標(biāo)有二個不等速或不同帶寬的路由器，但跳躍計(jì)數(shù)相同，則 RIP認(rèn)為兩個路由是等距離的。 ? RIP協(xié)議適用于小型同類網(wǎng)絡(luò)。 OSPF協(xié)議 ? OSPF是鏈路狀態(tài)路有協(xié)議，鏈路是路由器接口的另一種說法，因此 OSPF也稱為接口狀態(tài)路由協(xié)議 ? OSPF通過路由器之間通告網(wǎng)絡(luò)接口的狀態(tài)來建立鏈路狀態(tài)數(shù)據(jù)庫，生成最短路徑樹，每個 OSPF路由器使用這些最短路徑構(gòu)造路由表。多個 OSPF進(jìn)程需要多個 OSPF數(shù)據(jù)庫的副本，必須運(yùn)行多個最短路徑算法的副本。 ? wildcardmask 是子網(wǎng)掩碼的反碼 , 網(wǎng)絡(luò)區(qū)域 ID areaid在 04294967295內(nèi)的十進(jìn)制數(shù)，也可以是帶有 IP地址格式的 。不同網(wǎng)絡(luò)區(qū)域的路由器通過主干域?qū)W習(xí)路由信息。 任務(wù) 命令 指定身份驗(yàn)證 area areaid authentication [messagedigest] 使用純文本身份驗(yàn)證 ip ospf authenticationkey password 使用消息摘要 (md5)身份驗(yàn)證 ip ospf messagedigestkey keyid md5 key ACL管理 什么是 ACL? ? 訪問控制列表簡稱為 ACL，訪問控制列表使用包過濾技術(shù)，在路由器上讀取第三層及第四層包頭中的信息如源地址，目的地址，源端口，目的端口等，根據(jù)預(yù)先定義好的規(guī)則對包進(jìn)行過濾，從而達(dá)到訪問控制的目的。 ACL的處理過程： 語句排序 —— 一旦某條語句匹配，后續(xù)語句不再處理。 ACL配置的規(guī)則 ? 訪問控制列表的編號指明了使用何種訪問控制列表。 ? 訪問控制列表的內(nèi)容決定的數(shù)據(jù)的控制順序。 ? 在訪問控制列表的最后有一條隱含聲明： deny any。 ? 先創(chuàng)建訪問控制列表，然后應(yīng)用到端口上。 例 55 在如圖 544所示的網(wǎng)絡(luò)中，要求三個部門間可以進(jìn)行通信；銷售部不能對財務(wù)部進(jìn)行訪問，但經(jīng)理部可以對財務(wù)部進(jìn)行訪問。通過標(biāo)準(zhǔn) ACL可以控制 vty（ Virtual Terminal）的訪問，方法是： 創(chuàng)建標(biāo)準(zhǔn) ACL，只允許希望訪問的主機(jī)登錄。 參考配置如下： ? Router2(config) accesslist 2 permit ? Router2(config) line vty 0 4 ? Router2(configline) accessclass 2 in ? accessclass與 accessgroup的區(qū)別： ?accessclass是控制路由器發(fā)起的 tel會話，不進(jìn)行包過濾； accessclass用在 vty線路下。 例 57 如圖 545所示，如果 A網(wǎng)段主機(jī)不能使用 FTP服務(wù)器，應(yīng)該怎么配置參考擴(kuò)展 ACL？ 例 57 參考擴(kuò)展 ACL配置如下： ? ！配置擴(kuò)展 ACL ? Router3(config)accesslist 101 deny tcp eq ftp ? !禁止規(guī)定網(wǎng)段對服務(wù)器的 ftp訪問 ? Router3(config)accesslist 101 permit ip any any !允許其他流量通過 ? ！將 ACL應(yīng)用在相應(yīng)的接口 ? Router3(config)interface fastEther 0 ? Router3(configif)ip accessgroup 101 in 注意事項(xiàng) ? 標(biāo)準(zhǔn)訪問控制列表要應(yīng)用在靠近目標(biāo)端 因?yàn)闃?biāo)準(zhǔn)訪問控制列表只能對數(shù)據(jù)包的源 IP地址進(jìn)行控制。 ? 擴(kuò)展訪問控制列表盡量用在靠近源端 例 57中擴(kuò)展訪問控制列表如果用在 f2端口的 out方向也是可以發(fā)揮作用的，但是一般應(yīng)用在 f0端口的 in端，因?yàn)榧热徊辉试S的數(shù)據(jù)包早晚都會被丟棄，晚丟棄不如早丟棄，早丟棄還以節(jié)省中間鏈路的帶寬。 ACL的應(yīng)用和刪除 ? no ip accesslist accesslistnumber ！刪除 ACL ? Router(configif)ip accessgroup accesslistnumber {in|out} ！ 在端口上應(yīng)用 ACL，指明進(jìn)或出方向，缺省為出方向。 網(wǎng)絡(luò)地址轉(zhuǎn)換 1． NAT的概念 1）為什么需要 NAT 私有 IP地址只能用于內(nèi)部尋址，而不能用于訪問外部資源，使用網(wǎng)絡(luò)地址轉(zhuǎn)換（ Network Address Translate， NAT）技術(shù)可以將多個內(nèi)部地址映射成少數(shù)幾個甚至一個合法的公網(wǎng) IP地址，讓內(nèi)部網(wǎng)絡(luò)中使用私有 IP地址的設(shè)備通過“偽 IP”訪問 Inter等外部資源。 2） NAT的工作原理 NAT是一種把內(nèi)部私有網(wǎng)絡(luò)地址翻譯成合法網(wǎng)絡(luò)地址的技術(shù)。通過使用 NAT技術(shù)，可以只申請一個合法 IP地址，就把整個局域網(wǎng)中的計(jì)算機(jī)接入 Inter中。 NAT 功能通常被集成到路由器、防火墻、ISDN路由器或者單獨(dú)的 NAT設(shè)備中。另外對小型企業(yè)來說，通過軟件也可以實(shí)現(xiàn)這一功能。 3） NAT的特點(diǎn) （ 1）將內(nèi)部網(wǎng)絡(luò)連接到 Inter。而且 NAT修改了數(shù)據(jù)包的源地址，由于外部設(shè)備看不到內(nèi)部設(shè)備的地址，因此網(wǎng)絡(luò)的安全性也得到了一定的保障。 （ 3）支持 TCP負(fù)載均衡。當(dāng)流量進(jìn)入內(nèi)部網(wǎng)絡(luò)時， NAT可以在這幾臺服務(wù)器之間自動進(jìn)行分流，這樣就增加了網(wǎng)絡(luò)的可靠性。對于每次翻譯的流量， NAT都必須記住其轉(zhuǎn)換的地址和端口，所以當(dāng)NAT設(shè)備出現(xiàn)故障或 NAT鄰近的鏈路出現(xiàn)故障時，路由難以快速收斂。 （ 2）在進(jìn)行一些網(wǎng)絡(luò)安全的設(shè)計(jì)和實(shí)施時，一些加密方法必須對 IP包頭的完整性進(jìn)行校驗(yàn)，這樣就要求包頭在從源到目的地址之間傳輸時不能被改變。因此，在做 IPSec VPN時，IPSec不能對 NAT流量實(shí)施端到端的安全保護(hù)。 NAT不支持的 IP業(yè)務(wù)和應(yīng)用有 BOOTP、SNMP、 NETSHOW等，特別是各種動態(tài)路由協(xié)議的路由表更新和 DNS數(shù)據(jù)庫的相互更新。 ? （ 1）靜態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有 IP地址轉(zhuǎn)換為公有 IP地址，IP地址對是一對一的，是一成不變的，某個私有 IP地址只轉(zhuǎn)換為某個公有 IP地址。 ? （ 2）動態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有 IP地址轉(zhuǎn)換為公用 IP地址時， IP地址是不確定的，是隨機(jī)的，所有被授權(quán)訪問Inter的私有 IP地址可隨機(jī)轉(zhuǎn)換為任何指定的合法 IP地址。動態(tài)轉(zhuǎn)換可以使用多個合法外部地址集。 ? （ 3）端口地址轉(zhuǎn)換是指改變外出數(shù)據(jù)包的源端口并進(jìn)行端口轉(zhuǎn)換。同時，又可隱藏網(wǎng)絡(luò)內(nèi)部的所有主機(jī)，有效避免來自 Inter的攻擊。 靜態(tài) NAT的配置 靜態(tài) NAT配置的基本步驟為： ? （ 1）在端口配置模式下指定接口為內(nèi)部端口。 ? ip nat outside ? （ 3）在全局配置模式下，在內(nèi)部本地地址與內(nèi)部全局地址之間建立靜態(tài)地址轉(zhuǎn)換。 ? 例 58 實(shí)現(xiàn)靜態(tài) NAT地址轉(zhuǎn)換功能。 ? RouterA（ config） int f0/0 ? RouterA（ configif） ip address ? RouterA（ configif） ip nat inside ? RouterA（ config） int s0/0 ? RouterA（ configif） ip address ? RouterA（ configif） iip nat outside ? RouterA（ configif） clockrate 64000 ? RouterA（ config） ip nat inside source static ? RouterA（ config） ip nat inside source static ? RouterA（ config） ip route S0/0 動態(tài) NAT的配置 動態(tài) NAT配置的基本步驟為： ? （ 1）在端口配置模式下，指定接口為內(nèi)部端口。 ? ip nat outside ? （ 3）全局配置模式下定義地址池來表示可用公有 IP地址范圍 ? ip nat pool 地址池名字 起始 IP 終止 IP {mask 掩碼|preficlength 網(wǎng)絡(luò)號長度 } ? （ 4）全局配置模式下定義 accesslist表示私有 IP地址范圍 ? accesslist accesslist permit source sourcewildcard ? （ 5）在全局配置模式下，在內(nèi)部的本地址與內(nèi)部的全局地址之間復(fù)用動態(tài)地址轉(zhuǎn)換。將 f0/0作為內(nèi)部端口，其地址為 ， s0/0作為外部端口，其地址為；其中 ~，其內(nèi)部地址為 。 例 510與例 59的區(qū)別在于： 1. 例 510要分別定義 4個地址池 2. 例 510要分別定義 4個 accesslist 3. 例 510要對 4組私有地址和公有地址分別進(jìn)行轉(zhuǎn)換，且公有部門的地址轉(zhuǎn)換命令后要加上“ overload” 基于 NAT的 TCP負(fù)載均衡的配置 ? NAT翻譯都是從內(nèi)到外的翻譯，即對內(nèi)部主機(jī)發(fā)送的數(shù)據(jù)包的源地址進(jìn)行翻譯。 ? 例如內(nèi)部服務(wù)器 、 組成一個服務(wù)器組，它們共同虛擬成一臺虛擬服務(wù)器 ，當(dāng)外部主機(jī)對虛擬服務(wù)器 行訪問時， NAT路由器將 TCP會話輪流分配給這個服務(wù)器中的成員， NAT以循環(huán)的方式將外部發(fā)來的連接的目標(biāo)地址輪流地翻譯成 3臺服務(wù)器的實(shí)際內(nèi)部地址，由 3臺服務(wù)共同處理外部主機(jī)的通信。 ip nat inside ? ② 在端口配置模式下指定接口為外部端口