江苏大学：计算机网络课程设计：CISCO路由器介绍及常用配置

Cisco路由器配置 徐立新（2004年7月） 第一部分 Cisco路由器的配置 实训一 Cisco路由器认识 1、Cisco产品介绍 （1）路由器 模块化路由器 · Cisco 12000系列：12008、12012、12016 · Cisco 7500 系列：7505、7507、7513、7576 · Cisco 7200 系列：7204、7206 · Cisco 4500 系列：4500M、4700M · Cisco 3600 系列：3620、3640、3661、3662 · Cisco 2600 系列：2610、2611、2620、2621 · Cisco 1700 系列：1720、1750 · Cisco 1600 系列：1601R、1603R、1605R 固定配置路由器 · Cisco 2500 系列路由器 · Cisco 800 系列路由器 （2）访问服务器 模块化配置 · AS5300、AS5800系列访问服务器 固定配置 · Cisco 2500系列：2509、2511 （3）交换机产品 模块化配置 · Catalyst 8500 系列：8540、8510 · Catalyst 6000 系列：6006、6009、6506、6509 · Catalyst 5000 系列：5000、5505、5509、5500 · Catalyst 4000 系列：4003、4006 · Catalyst 2900XL 系列：2912MF-XL、2924M-XL · Catalyst 2820 系列：2828 固定配置 Cisco路由器配置 徐立新（2004年7月） · Catalyst 3500 系列：3512-XL、3524-XL、3548-XL、3508G · Catalyst 2900 系列：2948G、2912-XL、2924-XL · Catalyst 1900 系列：1912、1924、1924C （4）防火墙产品 · PIX Firewall系列硬件防火墙 2、Cisco 2600系列模块化访问路由器介绍 null 1个网络模块插槽，2个WIC广域接口卡插槽 null 支持的局域网接口类型包括以太网、快速以太网、令牌环 null 支持的广域网接口类型包括同步串口、异步串口、同/异步自适应串口、ISDN BRI、ISDN PRI、ATM、Channelized E1等 null 可支持多种网络协议，包括IP、Novell IPX、AppleTalk和DECnet等等 null 可支持多达60路Voice Over IP, 实现数据网络与语音网络的融合 系列产品 固定端口 （LAN） 广域网插槽 （WIC） 网络模块 插槽（NM） 高级集成 模块（AIM） Cisco 2610 1以太网 2 1 1 Cisco 2611 2以太网 2 1 1 Cisco 2612 1以太网/1令牌环 2 1 1 Cisco 2613 1令牌环 2 1 1 Cisco 2620 1个10/100M自适应以太网 2 1 1 Cisco 2621 2个10/100M自适应以太网 2 1 1 Cisco路由器配置 徐立新（2004年7月） （1）Cisco 2600系列网络模块-NM NM-1E 1口以太网模块 NM-1FE-FX 1口快速以太网模块 FX光纤接口 NM-1FE-TX 1口快速以太网模块 TX 双绞线接口 NM-1V 1个Voice/fax语音卡(VIC)插槽 NM-2V 2个Voice/fax语音卡(VIC)插槽 NM-HDV-1E1-30E 单口 30 Enhanced Channel E1 Voice/Fax 网络模块 NM-HDV-2E1-60 双口 60 Channel E1 Voice/Fax 网络模块 NM-4A/S 4口同步/异步串口 NM-4B-S/T 4口ISDN-BRI NM-8A/S 8口 同步/异步 串口 网络 模块 NM-8AM 8口 模拟Modem 网络 模块 NM-8B-S/T 8口 ISDN-BRI 网络 模块 NM-1CE1B 1口 Channelized E1/ISDN-PRI 平衡式 NM-1CE1U 1口 Channelized E1/ISDN-PRI 非平衡式 NM-2CE1B 2口 Channelized E1/ISDN-PRI 平衡式 NM-2CE1U 2口 Channelized E1/ISDN-PRI 非平衡式 NM-4E 4口以太网 NM-16A 16口异步模块 NM-16AM 16口模拟Modem NM-32A 32口异步模块 NM-1ATM-25 1口ATM 25Mbps NM-COMPR2 压缩模块 （2）语音接口卡-VIC VIC-2E/M 2口语音接口卡- E&M VIC-2FXO 2口语音接口卡- FXO VIC-2FXS 2口语音接口卡- FXS VIC-2BRI-S/T-TE 2口语音接口卡- BRI (Terminal) VWIC-1MFT-E1 1口 RJ-48 Multiflex Trunk - E1 (配套的NM-HDV-1E1-30等将出) VWIC-2MFT-E1 2口 RJ-48 Multiflex Trunk - E1 (同上) VWIC-2MFT-E1-DI 2口 RJ-48 Multiflex Trunk - E1 With Drop and Insert (同上) Cisco路由器配置 徐立新（2004年7月） （3）广域网接口卡-WIC WIC-1T 1口广域网串口卡 WIC-1B-S/T 1口ISDN BRI S/T广域网串口卡(拨号及专线) WIC-2A/S 2口同步/异步串口 WIC-2T 2口高速同步串口 3、Cisco 2500系列路由器 null 1或2个高速同步串口（最高至2.048 M），可通过DDN专线、Frame Relay、 X.25 等接入广域网。 null 单口、双口型号均提供AUI接口，可接驳各种类型以太网。 null 2509,2511的异步口是1(2)个68针SCSI接口,需用CAB-OCTAL-KIT线分为 8(16)个异步串口,分别提供8/16个异步串口，工作在同步方式时，最高速 率128Kbps;工作在同步方式时，最高速率115.2Kbps。 系列路由器 Ethernet以太网口 ISDN BRI Serial同步串口 (2.048Mbps) Async异步串口 (115.2Kbps) 2501 1 AUI (DB15) - 2 * DB60 - 2503 1 AUI (DB15) 1 RJ-45 2 * DB60 - 2505 8 UTP Hub RJ-45 - 2 * DB60 - 2507 16 UTP Hub RJ-45 - 2 * DB60 - 2509 1 AUI (DB15) - 2 * DB60 8 68针 SCSIⅡ *1 2511 1 AUI (DB15) - 2 * DB60 1668针 SCSIⅡ *2 2509-RJ 1 AUI (DB15) - 1 * DB60 8 RJ-45 2511-RJ 1 AUI (DB15) - 1 * DB60 16 RJ-45 2516 14 UTP Hub RJ-45 1 RJ-45 2 * DB60 - Cisco路由器配置 徐立新（2004年7月） 2520 1 AUI (DB15) 1 RJ-45 2 * DB60 - 2522 1 AUI (DB15) 1 RJ-45 2 * DB60 - 4、 Cisco 1700 系列模块化多服务路由器 基本型号 WIC 插槽数 VIC 插槽数 Flash DRAM IOS软件 Cisco 1720 2 无 4MB-16MB 16MB–48MB IP Cisco 1750 2 1 4MB-16MB 16MB–48MB IP Cisco 1750-2V 2 1 8MB-16MB 24MB–48MB IP Plus Voice Cisco 1750-4V 2 1 8MB-16MB 24MB–48MB IP Plus Voice （1）Cisco 1700系列路由器的广域网模块-WIC 广域网网卡 WIC 接 口 WIC-1T / WIC-2T 一个 / 二个串行、异步及同步接口 WIC-2A/S 二个低速(28Kbps)串行、异步及同步接口 WIC-1B-S/T 一个ISDN BRI S/T接口 （2）Cisco 1750使用的语音功能模块-VIC 模块名称 VIC 描 述 Cisco路由器配置 徐立新（2004年7月） VIC-2FXS 2口FXS语音/传真接口卡直接接电话机、传真机等设备 VIC-2FXO 2口FXO语音/传真接口卡连接程控交换机(PBX)或按键系统，公用电话网 (PSTN) VIC-2FXM 2口E&M语音/传真接口卡 连接程控交换机(PBX)或按键系统中继线 实训二 路由器的配置基础 路由器在使用时必须进行相关的配置才能起到相应的作用。路由器的配置包括 的方面比较多，如：基本配置、静态路由、动态路由协议、广域网协议、远程访问、 IP电话、地址转换、访问列表等，用户应根据网络的具体情况和需求，先进行规划 和设计，经分析确认后，有选择地依次对网络中的每个路由器进行相应地配置。 1、路由器的配置方式 ①超级终端方式。该方式主要用于路由器的初始配置，路由器不需要IP地址。 基本方法是：计算机通过COM1/COM2口和路由器的Console口连接，在计算机上 启用“超级终端”程序，设置“波特率 ：9600 ，数据位 ：8，停止位 ：1，奇偶 校验: 无，校验：无”即可。常用 ②Telnet方式。该方式配置要求路由器必须配置了IP地址。基本方法是：计算 机通过网卡和路由器的以太网接口相连，计算机的网卡和路由器的以太网接口的IP 地址必须在同一网段。常用 ③其他方式：AUX口接MODEM，通过电话线与远方运行终端仿真软件的微机； 通过Ethernet上的TFTP服务器；通过Ethernet上的SNMP网管工作站。 Cisco路由器配置 徐立新（2004年7月） 2、路由器的工作模式 在命令行状态下，主要有以下几种工作模式： ① 一般用户模式。主要用于查看路由器的基本信息，只能执行少数命令，不 能对路由器进行配置。提示符为：Router>。 ② 使能（特权）模式。主要用于查看、测试、检查路由器或网络，不能对接 口、路由协议进行配置。提示符为：Router# ；进入：Router>enable。 ③ 全局配置模式。主要用于配置路由器的全局性参数。提示符为： Router(confg)# ；进入：Router#config ter。 ④ 全局模式下的子模式。包括：接口、路由协议、线路等。其进入和提示符 如下： Router(confg)#ineterface e0 //进入接口模式 Router(confg-if)# //接口模式提示符 Router(confg)#rip //进入路由协议模式 Router(confg-router)# //路由协议模式 Router(confg)#line con 0 //进入线路模式 Router(confg-line)# //线路模式提示符 ⑤ 监控模式。该模式主要用于IOS升级及恢复口令，不能用于正常配置。提示 符：>，进入：在路由器加电60秒内，在超级终端连接状态下，同时按 Ctrl+Break。 3、常用命令 ①“？”、“Tab”的使用 键入“？”得到系统的帮助；“Tab”补充命令。 ② 改变命令状态 任 务 命 令 进入特权命令状态 enable 进入全局设置状态 config terminal 退出一层命令 exit 进入端口设置状态 interface type slot/number 进入线路设置状态 line type slot/number 进入路由设置状态 router protocol ③ 显示命令 Cisco路由器配置 徐立新（2004年7月） 任务 命令 查看版本及引导信息 show version 查看flash版本 show flash 查看运行设置 show running-config 查看开机设置 show startup-config 显示端口信息 show interface type slot/number 显示路由信息 show ip route ④ 拷贝命令 用于IOS及CONFIG的备份和升级 ⑤ 网络命令 任务 命令 登录远程主机 telnet hostname|IP address 网络侦测 ping hostname|IP address 路由跟踪 Traceroute hostname|IP address ⑥ 基本设置命令 任务 命令 全局设置 config terminal 设置访问用户及密码 username username password password 设置特权密码 enable secret password 设置路由器名 hostname name Cisco路由器配置 徐立新（2004年7月） 设置静态路由 ip route destination subnet-mask next-hop 启动IP路由 ip routing 端口设置 interface type slot/number 设置IP地址 ip address address subnet-mask 激活/关闭端口 no shutdown/shutdown 物理线路设置 line type number 启动登录进程 login [local|tacacs server] 设置登录密码 password password 4、内存体系结构介绍 ①ROM：相当于PC 机的BIOS，Cisco路由器运行时首先运行ROM中的程序。 该程序主要进行加电自检，对路由器的硬件进行检测。 ②FLASH：存放的是“IOS”，可以通过写入新版本对路由器进行软件升级。 (Show flash) ③DRAM：动态内存。该内存中的内容在系统掉电时会完全丢失。DRAM中主 要包含路由表，ARP缓存，fast-switch缓存，数据包缓存等。DRAM中也包含有正 在执行的路由器配置文件“running-config”。 ( show running-config| show ip route| show mem| show protocols| show processes cpu) ④NVRAM：NVRAM中包含有路由器配置文件“startup-config”，NVRAM中的 内容在系统掉电时不会丢失。 (show startup-config) 注意： null 路由器启动时，首先运行ROM中的程序，进行系统自检及引导，然后运行 FLASH中的IOS，并在NVRAM中寻找路由器的配置，并将装入DRAM中。 null ROM，NVRAM 大小不能调整；FLASH，DRAM大小能调整。 5、CLI命令行操作组合键 ctrl+p: 恢复上一条命令 ctrl+n: 恢复下一条命令 ctrl+b: 左移光标 ctrl+f: 右移光标 Cisco路由器配置 徐立新（2004年7月） 实训三 路由器的基本配置 0. 路由器的基本配置内容 路由器的基本配置一般包括如下内容：路由器命名、配置口令及加密、配置相 关地接口、配置保存与加载、静态路由、默认路由等，它是用户在使用路由器时必 须进行地配置，是后续其它配置地基础。 在设计路由器的各种配置时，为便于举例说明，下面以图1为工程背景，如有 不同时另再说明。 图1 网络结构示意图 网络结构说明： 该结构模型由R1(Cisco 2621)、R2(Cisco 1750)、R3(Cisco 2509)三个路由器通过 同步串口的DTE、DCE电缆将211.69.10.0/24、211.69.12.0/24、211.69.13.0/24、 211.69.15.0/24四个C类网段互联起来，而211.69.11.0/30、211.69.11.4/30、 211.69.11.8/30、211.69.14.0/30四个子网，每个子网内只有2个IP地址，用于路由 器之间互联的端口使用。 （1） R1(Cisco 2621)：其自带2个10/100Mbps 快速的以太网接口，分别为 FastEthernet0/0(Fe0/0)、FastEthernet0/1(Fe0/1)，分别连接了211.69.10.0/24、 211.69.14.0/30两个网段；另需配置1个2FAS-WIC广域网接口模块，通过DTE/DCE 电缆分别和R2(Cisco 1750)、R3(Cisco 2509)2个路由器连接；再配置1个NM-1V网 络模块、1个2FSX的Vo i c e / F a x语音接口模块，以实现IP电话功能。 Cisco路由器配置 徐立新（2004年7月） （2） R2(Cisco 1750)：其自带1个10/100Mbps 的快速以太网接口为 FastEthernet0/0(Fe0)，连211.69.12.0/24这个C类网段；另需配置1个2FAS-WIC广 域网接口模块，通过DTE/DCE电缆分别和R1(Cisco 2621)、R3(Cisco 2509)2个路由 器连接；再配置1个NM-1V网络模块、1个2FSX的Vo i c e / F a x语音接口模块，和 R1(Cisco 2621)一起实现IP电话功能。 （3） R3(Cisco2509)：其自带1个10Mbps 的以太网接口为Ethernet0/0(E0)，连 211.69.13.0/24这个C类网段；自带8个Async异步拨号接口，通过连接Modem实 现远程拨号访问；另需配置1个2FAS-WIC广域网接口模块，通过DTE/DCE电缆 分别和R1(Cisco 2621)、R2(Cisco1750)2个路由器连接。 （4）R4(Cisco 2621)：作为外网ISP的接入路由器，其自带2个10/100Mbps 快 速的以太网接口，通过FastEthernet0/1(Fe0/1)连接211.69.14.0/30和R1相连。 各路由器接口的IP地址如下： （1）R1(Cisco 2621) S0/0端口的IP地址：211.69.11.5/30 S0/1端口的IP地址：211.69.11.1/30 Fe0/0端口的IP地址：211.69.10.1/24 Fe0/1端口的IP地址：211.69.14.1/30 （2）R2(Cisco 1750)上各端口的IP地址如下： S0端口的IP地址：211.69.11.2/30 S1端口的IP地址：211.69.11.9/30 Fe0端口的IP地址：211.69.12.1/24 （3）R3(Cisco 2509)上各端口的IP地址如下： S0端口的IP地址：211.69.11.10/30 S1端口的IP地址：211.69.11.6/30 E0端口的IP地址：211.69.13.1/24 （4）R4(Cisco 2621) Fe0/1端口的IP地址：211.69.14.2/30 1. 路由器的命名 路由器的名字被称作主机名（hostname），它会在系统提示符中显示，在集中配 置一个多路由器环境的网络中，路由器的统一命名，会给管理与配置网络中路由器 带来极大的方便。路由器的系统默认名字是Router。命名需要在全局配置模式下完 成，方法如下： Router # config ter //进入全局配置模式 Router(config)# hostname cisco2621 //命名为“cisco2621” Cisco路由器配置 徐立新（2004年7月） 2. 配置口令及加密 路由器的口令主要有：enable口令、console口口令、aux口口令及Telnet口令 等，通过口令配置，增加系统的安全性。默认配置的大部分口令是明码显示，可通 过加密的方式，使所有口令在用“show run”显示时成为密文。 （1）enable口令（特权用户） Router(config)#enable password xlx1618 //配置enable口令为“xlx1618”，明文显示 Router(config)#enable secret xu1618 //配置enable加密口令为“xu1618”，密文显示 （2）console口口令 Router(config)#line console 0 //进入console口 Router (config-line)#login //提示输入口令 Router(config-line) #password cisco //配置console口口令为“cisco” （3）aux口口令 Router(config)#line aux 0 //进入aux口 Router (config-line)#login //提示输入口令 Router(config-line) #password cisco //配置aux口口令为“cisco” （4）Telnet口令 如果要使用Telnet来登陆网络中的路由器进行管理与配置，必须配置Telnet口 令。路由器一般支持最多5个Telnet用户。Line vty 0 4 建立telnet 会话访问时使用 的密码保护。 ①5个Telnet用户口令相同 Router (config)#line vty 0 4 //进入vty 0 4 Router(config-line) # login //提示输入口令 Router(config-line) # password cisco //口令为“cisco” ②Telnet用户口令不全相同 Router (config)#line vty 0 //进入vty 0 Router(config-line) # login //提示输入口令 Router(config-line) # password cisco //口令为“cisco0” Router (config)#line vty 1 3 //进入vty 1 3 Router(config-line) # login //提示输入口令 Router(config-line) # password cisco //口令为“cisco1” Router (config)#line vty 4 //进入vty 4 Router(config-line) # login //提示输入口令 Router(config-line) # password cisco //口令为“cisco4” （5）口令加密 上述除“enable secret”为加密口令外，其余口令都为明文显示。如果想加密， Cisco路由器配置 徐立新（2004年7月） 可采用如下命令即可。 Router(config)#service password-encryption 3. 配置接口 对于以太网口的基本配置，主要包括：IP地址、速率、双工模式等。对于串口 的基本配置，主要包括：IP地址、封装协议、速率等，串口的其它配置会在后面有 关内容中介绍。 配置接口的命令格式如下所示： Router (config)# interface type port-number 其中，“type”：接口类型，如“serial”、“Ethemet”、“FastEthernet”等。“port-number”： 接口号，如“0”、“0/1”等。 （1）以太网的基本配置 Router(config)#interface fastEthernet 0/0 Router(config-if)#ip add 20.0.0.1 255.0.0.0 //配置IP地址 Router(config-if)#speed 100 //配置速率为100Mbps Router(config-if)#duplex full //配置为全双工模式 （2）串口的基本配置 Router(config)#interface serial 0/0 Router(config-if)#ip add 30.0.0.1 255.0.0.0 //配置IP地址 Router(config-if)#enca ppp //封装PPP协议 Router(config-if)#clock rate 128000 //速率为128000bps （3）接口的关闭和开启 Router (config-if)#shutdown //关闭接口 Router (config-if)#no shutdown //开启接口 4．配置静态路由 静态路由是手工配置的，当网络拓扑结构发生改变而需要更新路由时，网络管 理员就必须手工更新静态路由信息。当某个网络只能通过一条路由出去时，使用静 态路由即可。网络配置静态路由时就避免了动态路由更新所带来的系统和带宽开销。 “ip route ”命令用来设定一条静态路由，语法如下： ip route network mask {address|interface} [distance] [tag] [permanent] 其中： network 目标网络或子网地址。 Mask 子网掩码. Address 下一跳的IP地址或相邻路由器的端口地址。 Cisco路由器配置 徐立新（2004年7月） Interface 相邻路由器的端口名称。 Distance 管理距离。 Tag 可选 Permanent 路由的优先级 [例1] 静态路由的配置 如图1所示，要求：内部网之间通过静态路由实现内网各网段211.69.10.0/24、 211.69.12.0/24、211.69.13.0/24的相互通信。 R1的配置： Router(config)#ip route 211.69.12.0 255.255.255.0 211.69.11.2 Router(config)# ip route 211.69.13.0 255.255.255.0 211.69.11.6 R2的配置： Router(config)# ip route 211.69.10.0 255.255.255.0 211.69.11.1 Router(config)# ip route 211.69.13.0 255.255.255.0 211.69.11.1 Router(config)# ip route 211.69.11.4 255.255.255.0 211.69.11.1 R3的配置： Router(config)# ip route 211.69.10.0 255.255.255.0 211.69.11.5 Router(config)# ip route 211.69.12.0 255.255.255.0 211.69.11.5 Router(config)# ip route 211.69.11.0 255.255.255.0 211.69.11.5 5．配置默认路由 默认路由也是由用户手工配置的，它作为到达目的网络的路由未知时所选择的 路径。也就是当路由表中没有明确列出到达某一目的网络的下一跳时，则将选择默 认路由所指定的下一跳地址（默认路由的优先级最低）。 实际上，路由器不可能知道到达所有网络的路由，如在图1中，R1、R2、R3 路由器，不可能知道内网访问Internet时所有路由的目的网络地址，因此，如想让 内网用户能够访问Internet，必须都配置一条默认路由。 [例2] 默认路由配置 如图1所示，要求：内网的所有用户能够访问Internet。 R1的配置： Router(config)#ip route 211.69.12.0 255.255.255.0 211.69.11.2 Router(config)# ip route 211.69.13.0 255.255.255.0 211.69.11.6 Router(config)# ip route 0.0.0.0 0.0.0.0 211.69.14.2 R2的配置： Router(config)# ip route 0.0.0.0 0.0.0.0 211.69.11.1 R3的配置： Cisco路由器配置 徐立新（2004年7月） Router(config)# ip route 0.0.0.0 0.0.0.0 211.69.11.5 6. 配置保存及导入 （1）将当前配置（running-config）保存到启动配置（startup-config）中。 Router(config)#copy run start //或者 Router(config)#write （2）将当前配置（running-config）保存到Tftp计算机上保存。 Router(config)#copy run tftp //需按提示进行IP地址、文件名、存放位置进行设置 （3）将Tftp上的配置文件导入到当前配置（running-config） Router(config)#copy tftp run //需按提示进行IP地址、文件名、文件位置进行设置 7．导出和导入IOS软件 用TFTP服务器可以对系统IOS软件进行上传和下载的要求。TFTP服务器可以 是一台装有并运行TFTP软件的计算机。可以把IOS软件作为备份拷贝到计算机上， 也可以利用此方法对IOS软件进行升级（导入）。其方法如下： （1）导出IOS（备份）。 Router(config)#copy flash tftp //需按提示进行IP地址、文件名、文件位置进行设置 （2）导入IOS（升级）。 Router(config)#copy tftp flash //需按提示进行IP地址、文件名、文件位置进行设置 8．恢复出厂默认配置 Router#write erase Router#reload 9．设置日期、时间 Router#clock set hh:mm:ss month day year Router#show clock 10．地址解析 单区域时：Router(config)#ip domain-name hneeu.edu.cn Router(config)#ip name-server 211.69.0.8 多区域时：Router(config)# ip domain-name hneeu.edu.cn Router(config)# ip domain-name hneeu.com.cn Router(config)# ip name-server 211.69.0.8 211.69.0.2 …..211.69.0.9(最多6个) Cisco路由器配置 徐立新（2004年7月） 实训四 路由协议配置 动态路由协议的两个基本功能为：维护路由选择表，以路由更新的形式将信息 及时地发布给其他路由器。 路由器最常用的度量有： ·带宽（bandwidth）：链路的数据承载能力。 ·延迟（delay）：把数据包从源端送到目标端所需的时间。 ·负载（load）：在路由器或链路上的通信信息量。 ·可靠性（reliability）：网络中每条通信链路上的差错率。 ·跳数（hopcount）：数据包从源端到达目的端所必须通过的路由器个数。 ·滴答数（ticks）：数据链路延迟。 基本路由算法可分为两种：距离矢量和链路状态。距离矢量算法是确定网络中 任一条链路的方向（矢量）和距离，当从源端到目的端存在多条路径时，以距离最 短（HOPS）为最优；链路状态（也称最短路径优先）算法需重建整个网络的拓扑结 构，当从源端到目的端存在多条路径时，以代价最小（Costs）为最优。 1. RIP配置 路由信息协议（RIP）是一种应用较早，使用广泛的内部网关协议。RIP适用于 小型网络，是典型的距离向量算法协议。RIP路由以距离最短（HOPS）的路径为路 由。RIP有三个时钟，分别是：路由更新时钟（每30秒）、路由无效时钟（每90秒）、 路由取消时钟（每270秒）。 RIP-1版本的最大hops数是15，RIP-2版本的最大hops数是128，大于15/128 则认为不可到达。因此，在大的网络系统中，hop数很可能超过规定值，使用RIP 是很不现实的。另外，RIP每隔30秒才进行信息更新，因此，在大型网络中，坏的 链路信息可能要花很长时间才能传播过来，路由信息的稳定时间可能更长，并且在 这段时间内可能产生路由环路。 [例3]RIP的配置 如图1所示，要求：内网R1、R2、R3路由器启用RIP-2路由协议。注意，在 实验时为保证RIP路由的有效性，必须删除静态路由，可以保留默认路由。 R1配置的主要内容： Router(config)#router rip //启用RIP协议 Router(config-router)#version 2 //使用RIP-2协议 Router(config-router)#network 211.69.10.0 //宣告所连211.69.10.0网段 Router(config-router)#network 211.69.14.0 //宣告所连211.69.14.0子网 Router(config-router)#network 211.69.11.0 //宣告所连211.69.11.0子网 Cisco路由器配置 徐立新（2004年7月） Router(config-router)#network 211.69.11.4 //宣告所连211.69.11.4子网 其它路由器的主要配置步骤 对于R2，将所连211.69.12.0、211.69.11.0、211.69.11.8网段宣告出来即可； 对于R3，将所连211.69.13.0、211.69.11.4、211.69.11.8网段宣告出来即可。 RIP配置完成后，可使用“show ip route”显示IP路由选择表。 [例4]查看路由表 如图1所示，以R3为例说明路由表的基本内容。 Router #sh ip rout Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, * - candidate default U - per-user static route, o - ODR 说明： ·C：表示该路由器的直连网络 ·R：经RIP学习的路由 ·via：表示路由器发布这条路由及其下一跳地址 ·00：00：24：RIP在上一次更新路由的时间。 ·120/1：“120”为管理距离，管理距离越小，路由最优，RIP的默认管理距离 为120；“1”为到目标网络的跳数，即HOPS为1。 注意：OSPF路由中，“110/20”：“110” 为管理距离，“20”为路由开销。 2. OSPF配置 OSPF（Open Shortest Path First）路由协议是由IETF（Internet Engineering Task Force）IGP工作小组于1987年开发的一种链路状态路由协议。OSPF能够适应 大型全局IP网络的扩展，OSPF协议的特性包括：支持VLSM（可变长子网掩吗）、快 速收敛、低网络利用、高级路由选择及可用组播传送报文等。 OSPF协议配置中主要增加的是OSPF协议的区域（area）设置。每个区域都有 一个区域号，当网络中存在多个区域时，必须存在0区域，它是骨干区域，所有其 他区域都通过直接或虚链路连接到骨干区域上。为了优化操作，各区域所包含的路 由器不应超过50-70个。 [例5]单区域的OSPF配置 如图1所示，以R1、R2、R3为例说明OSPF配置的主要内容。 R1的配置： Cisco路由器配置 徐立新（2004年7月） Router(config)#router ospf 100 //启用OSPF路由协议，定义OSPF进程ID号为100 //进程ID：1-65535，只在路由器内部起作用，不同路由器一般要求不同。 Router(config-router)#network 211.69.10.0 0.0.0.255 area 0 //宣告直连网段及所在区域为0 // area 0相当于area 0.0.0.0 ；area 1相当于area 0.0.0.1 Router(config-router)#network 211.69.11.0 0.0.0.3 area 0 //宣告直连网段及所在区域为0 Router(config-router)#network 211.69.11.4 0.0.0.3 area 0 //宣告直连网段及所在区域为0 Router(config-router)#network 211.69.14.0 0.0.0.3 area 0 //宣告直连网段及所在区域为0 对于R2，将所连211.69.12.0、211.69.11.0、211.69.11.8网段宣告出来并定 义区域为0即可；对于R3，将所连211.69.13.0、211.69.11.4、211.69.11.8网段 宣告出来并定义区域为0即可。注意，R1、R2、R3的区域（area）ID号必须相同， 才能相互交换路由信息；另外，网端后应是子网掩码的反码（通配符）。 [例6]多区域的OSPF配置 如图2所示，以R1、R2、R3、R4为例说明OSPF配置的主要内容。图中各路由 器相关接口的IP地址如下图3所示。 图2 多区域的OSPF配置的网络结构 Cisco路由器配置 徐立新（2004年7月） 图3 路由器相关接口的IP地址 R1的主要配置： Router(config)#router ospf 100 //启用OSPF路由协议，定义OSPF进程ID号为100 Router(config-router)#network 211.69.10.0 0.0.0.3 area 0 //宣告直连网段及所在区域为0 Router(config-router)#network 211.69.11.0 0.0.0.3 area 1 //宣告直连网段及所在区域为1 R2的主要配置： Router(config)#router ospf 200 //启用OSPF路由协议，定义OSPF进程ID号为200 Router(config-router)#network 211.69.11.0 0.0.0.3 area 1 //宣告直连网段及所在区域为1 Router(config-router)#network 211.69.13.0 0.0.0.255 area 1 //宣告直连网段及所在区域为1 R3的主要配置： Router(config)#router ospf 300 //启用OSPF路由协议，定义OSPF进程ID号为300 Router(config-router)#network 211.69.10.0 0.0.0.3 area 0 //宣告直连网段及所在区域为0 Router(config-router)#network 211.69.12.0 0.0.0.3 area 2 //宣告直连网段及所在区域为2 R4的主要配置： Router(config)#router ospf 400 //启用OSPF路由协议，定义OSPF进程ID号为400 Router(config-router)#network 211.69.12.0 0.0.0.3 area 2 //宣告直连网段及所在区域为2 Router(config-router)#network 211.69.14.0 0.0.0.255 area 2 //宣告直连网段及所在区域为2 [例7]多路由协议配置（重新分配路由或称再分布路由-选讲） 在实际工作中，用户会遇到使用多个IP路由协议的网络。为了使整个网络正常 地工作，必须在多个路由协议之间进行路由再分配，这样不同的路由协议间就可相 互通告路由信息了。（不配再分配，同一协议间交换，不同协议间不交换路由信息） Cisco路由器配置 徐立新（2004年7月） Router1的S0端口和Router2的S0端口运行OSPF，在Router1的E0端口运 行RIP-2，Router3运行RIP-2，Router2有指向Router4的192.168.2.0/24网段的 静态路由，Router4使用默认静态路由。需要在Router1和Router3之间重新分配 OSPF和RIP路由，在Router2上重新分配静态路由和直连的路由。 涉及的命令： 任 务 命 令 重新分配直连的路由 redistribute connected 重新分配静态路由 redistribute static 重新分配ospf路由 redistribute ospf process-id metric metric-value 重新分配rip路由 redistribute rip metric metric-value Router1配置: #interface ethernet 0 #ip address 192.168.1.1 255.255.255.0 #interface serial 0 #ip address 192.200.10.5 255.255.255.252 #router ospf 100 #redistribute rip metric 10 //重新分配RIP路由，度量值为10。 #network 192.200.10.4 0.0.0.3 area 0 #router rip # version 2 #redistribute ospf 100 metric 1 //重新分配OSPF路由，度量值为1。 Cisco路由器配置 徐立新（2004年7月） #network 192.168.1.0 Router2配置: #interface loopback 1 // Router2承担路由汇总，可减少网络中路由表的大小。 // loopback 1为回送借口，是一个虚拟接口，为OSPF指定一个路由器ID。 # ip address 192.168.3.2 255.255.255.0 //该地址需是网络中唯一地址，保证此路由器ID在整个网络中是独一的。 #interface ethernet 0 # ip address 192.168.0.2 255.255.255.0 #interface serial 0 # ip address 192.200.10.6 255.255.255.252 #router ospf 200 # redistribute connected subnet # redistribute static subnet # network 192.200.10.4 0.0.0.3 area 0 #ip route 192.168.2.0 255.255.255.0 192.168.0.1 Router3配置: #interface ethernet 0 # ip address 192.168.1.2 255.255.255.0 #router rip # version 2 # network 192.168.1.0 Router4配置: #interface ethernet 0 # ip address 192.168.0.1 255.255.255.0 #interface ethernet 1 # ip address 192.168.2.1 255.255.255.0 #ip route 0.0.0.0 0.0.0.0 192.168.0.2 实训五 广域网协议配置 目前最流行的WAN技术的工作方式以及在Cisco路由器上比较常用的广域网协 Cisco路由器配置 徐立新（2004年7月） 议配置，包括PPP、HDLC、帧中继和DDN等。 1. PPP与HDLC协议的配置 （1） PPP协议及配置 PPP（Point to Point Procotol）是SLIP（Serial Line IP Procotol）协议的继承者， 是一种标准的串行线路封装方法，提供了跨过同步和异步电路，实现路由器到路由 器或主机到网络的点对点连接。PPP支持的密码认证协议（PAP）和握手验证协议 （CHAP）；还支持动态地址分配、多种协议、及同步、异步通信等。 [例8] 不需要PPP验证的配置 如图2所示，以图中R1、R3的配置为例进行说明。 R1的主要配置内容： Router(config)#interface s0/0 Router(config-if)#ip address 211.69.10.1 255.255.255.252 Router(config-if)#enca ppp //封装PPP协议 Router(config-if)#clockrate 130000 //DCE端需配速率，DTE端不需配速率 Router(config-if)# no ppp authentication //默认为不使用验证，因此该步可省略 Router(config-if)#no shutdown R3的主要配置内容： Router(config)#interface s0/0 Router(config-if)#ip address 211.69.10.2 255.255.255.252 Router(config-if)#enca ppp //封装PPP协议 Router(config-if)#no ppp authentication //默认为不使用验证，因此该步可省略 Router(config-if)#no shutdown 注意：路由的配置 [例9] CHAP验证配置 如图2所示，以图中R1、R3的配置为例进行说明。 R1的主要配置内容： Router(config)#hostname router1 Router1(config)#username router3 password 1618 //建立对端路由器名和验证密码 Router1(config)#interface s0/0 Router1(config-if)#ip address 211.69.10.1 255.255.255.252 Router1(config-if)#enca ppp //封装PPP协议 Router1(config-if)#clockrate 130000 Router1(config-if)#ppp authentication chap //配置验证模式为CHAP Router(config-if)#no shutdown Cisco路由器配置 徐立新（2004年7月） R3的主要配置内容： Router(config)#hostname router3 Router3(config)#username router1 password 1618 //建立对端路由器名和验证密码 Router3(config)#interface s0/0 Router3(config-if)#ip address 211.69.10.2 255.255.255.252 Router3(config-if)#enca ppp //封装PPP协议 Router3(config-if)#ppp authentication chap //配置验证模式为CHAP Router(config-if)#no shutdown 注意：1、需配置路由，2、两端的验证密码须一致。 （2）HDLC协议及配置 HDLC（High-level Data Link Control）协议是高级数据链路控制协议，它是Cisco 串行线路的默认封装协议，与其他供应商设备不兼容，它是Cisco的默认封装协议， 正常情况下，是不用配置的。 HDLC配置命令如下： encapsulation hdlc 其他配置和验证方法同PPP配置，此处不再详述。 2. DDN专线连接的配置 在实际工程中，Cisco路由器接DDN专线时，一般采用HDLC协议封装，同步 串口需通过V. 3 5或RS232 DTE线缆连接CSU/DSU（通信服务单元/数据服务单元）， 则Cisco路由器为DTE，CSU/DSU为DCE，由DCE端提供时钟。如果将两台路由 器通过V. 3 5线缆进行背对背直接相连，则必须由连接DCE线缆的一方路由器提供 同步时钟。 Cisco2600系列产品的高速串口最高可支持到2Mbps，同步-异步串口在同步方 式下支持128Kbps，在异步方式下支持115.2Kbps。 [例10] DDN配置（略） 如图2所示，以图中R1、R3背对背连接配置为例进行说明。 R1的主要配置内容： Router(config)#interface serial 0/0 Router(config-if)#ip address 211.69.10.1 255.255.255.252 Router(config-if)#encapsulation hdlc //封装HDLC协议 Router(config-if)#clockrate 2000000 //在DCE端配置同步时钟 R3的主要配置内容： Router(config)#interface serial 0/0 Router(config-if)#ip address 211.69.10.2 255.255.255.252 Cisco路由器配置 徐立新（2004年7月） Router(config-if)#encapsulation hdlc //封装HDLC协议 实训六 远程访问配置 远程访问可以让网络延伸超越电缆网络的物理边界，延伸到世界的各个角落， 只需要一个接收拨入连接的远程访问服务器，一个拥有拨号软件的远程访问客户及 一对Modem即可。 远程访问连接链路一般都是从网络服务提供商（ISP）那里租用来的。远程客 户和远程服务器必须共享至少一个网络传输协议，如TCP/IP协议。另外，需要一个 链路协议，建立客户机和服务机之间的电话线或Internet连接。用于建立连接的协 议有：SLIP(Serial Line Intemet Protocol)和PPP（Point-to-Point Prorocol，目前最常 用的是PPP协议。 远程访问服务器是一个特殊类型的路由器，它们为通过拨号连接的远程用户提 供网络访问服务。大多数访问服务器主要通过调制解调器拨入连接，拨入连接的总 数目要由连接到访问服务器的所有租用线路中可用信道的数目来决定。 Cisco路由器分为固定配置的和模块化的两大类。固定配置路由器，如2500系 列，预先配备有固定的局域网和广域网接口，不需要另配广域网接口卡或网络模块， 一旦选定后，可用的接口就限制在出厂时安装的。 模块化路由器和访问服务器，如3600，备有1个或多个插槽，允许用户根据自 己的需要配置不同的插卡。用户可通过选择各种特性插卡、网络模块或广域网接口 卡等来确定路由器接口的类型。 [例11] 远程接入配置 如图1所示，以图中R3来说明实现路由器拨号访问连接建立的主要配置。 R3的主要配置： Router(config)#interface group-async1 //定义group-async1 Router(config-if)#ip unnumbered e0 //引用E0端口的IP地址 Router(config-if)#ip tcp header-compres passive //使用IP头指针压缩 Router(config-if)#enca ppp //封装PPP协议 Router(config-if)#async default routing //允许异步口路由 Router(config-if)#async dynamic routing //允许异步口动态路由 Router(config-if)#async mode interactive //异步口交互模式 Router(config-if)#peer default ip address pool xlx //定义一名为xlx的地址池 Router(config-if)#group-rang 1 8 //将Modem号1-8编组 Router(config)#router rip Router(config-router)#version 2 //启用RIPv2协议 Cisco路由器配置 徐立新（2004年7月） Router(config-router)#network 211.69.15.0 //宣告211.69.15.0网段 Router(config-router)#exit Router(config)#ip local pool xlx 211.69.15.1 211.69.15.8 //定义8个IP地址 Router(config)#line 1 8 //定义8条Modem拨号线路 Router(config-line)#autoselect ppp //自动选择ppp协议 Router(config-line)#login local //将读取用户名和密码 Router(config-line)#modem inout //允许Modem拨入拨出 Router(config-line)#autocommand ppp //连接建立后，自动进入ppp模式 Router(config-line)#transport input all //连接建立后，允许使用所有协议 Router(config-line)#stopbits 1 //定义1位停止位 Router(config-line)#rxspeed 38400 //设置接受速率 Router(config-line)#txspeed 38400 //设置发送速率 Router(config-line)#flowcontrol hard //设置硬件流控 Router(config-line)#exit Router(config)#username user1 password 1 //定义拨号用户名和口令 //此处可成批定义拨号用户 注意： null 路由的配置。 null 使用小型程控交换机将异步口的Modem和拨号上网微机的Modem连接起来，拨号的 号码由异步口所连程控交换机的端口号码决定。 null 异步口的发送和接受速率要和所用Modem匹配。如果能够拨号，但连接总是建立不起 来，可将异步口的速率设置低一些。 实训七 NAT配置与局域网访问Internet 如果想连接Internet，但不想让网络内的所有计算机都拥有一个真正的IP地址， 通过NAT（网络地址转换）功能，可以将申请的合法IP地址统一管理，当内网的 计算机需要上Internet时，动态或静态地将内网私有的IP地址转换为Internet合法 的IP地址。 最常用的两种地址分配方式为：静态地址分配和动态地址分配。 静态地址分配是用户在地址转换查找表中配置具体的地址转换对，即将指定的 内部地址静态地映射到指定的外部地址。内部地址和外部地址的静态映射是一对一 的。 动态地址分配是在知道对那些内部地址必须进行转换、可以用那些合法地址做 为外部地址时，一个主机根据使用需求被NAT设备转换的过程。动态转换可以使用 Cisco路由器配置 徐立新（2004年7月） 多个合法外部地址集，也可以共享一个合法外部IP地址，后者是通过改变外出数据 包的源端口并进行端口映射完成的，这就是PAT（端口地址翻译）技术。 1. 静态NAT的配置 要启用基本的静态IP地址转换，需完成下列步骤： 步骤一：在路由器上配置IP路由和IP地址。 步骤二：用“ip nat inside source static local-ip global-ip”全局配置命令。其中， “local-ip”指定内部网络中的私用地址，“global-ip”指定一个内部全局地址，这个 地址须是一个合法IP地址。 步骤三：进入相应的接口配置模式，输入“ip nat {inside|outside}”命令，在一 个内部和一个外部接口上启用NAT。 [例12] 静态NAT的配置 如图5所示，以图中R1来说明实现静态NAT的配置。 图 4 网络结构示意图 R1的主要配置： Router(config)#ip nat inside source static 192.168.0.2 211.69.0.2 //定义内部地址192.168.0.2，转换外部地址为211.69.0.2 Router(config)#ip nat inside source static 192.168.0.3 211.69.0.2 //定义内部地址192.168.0.3，转换外部地址为211.69.0.2 Router(config)#ip nat inside source static 192.168.0.4 211.69.0.2 //定义内部地址192.168.0.4，转换外部地址为211.69.0.2 Router(config)# interface FastEthernet0/0 Cisco路由器配置 徐立新（2004年7月） Router(config-if)# ip address 192.168.0.1 255.255.255.0 Router(config-if)# ip nat inside //指定FE0/0为内网接口 Router(config)# interface serial 0/0 Router(config-if)# ip address 211.69.0.1 255.255.255.0 Router(config-if)# ip nat outside //指定S0/0为外网接口 2. 动态NAT的配置 要启用动态IP地址转换，需完成下列步骤： 步骤一：在路由器上配置IP路由和IP地址。 步骤二：用“access-list access-list-number {permit | deny} local-ip-address”命令 为内部网络定义一个标准的IP访问控制列表。访问控制列表的内容将在下一节介 绍。 步骤三：用“ip nat pool pool-name start-ip end-ip {netmask netmask | prefix-length prefix-length}[type-rotary]”，为内部定义一个NAT地址池，该命令中参数的含义如 下。 （1） pool-name ：地址池的名字 （2） start-ip：地址池中地址范围的开始IP地址 （3） end-ip：地址池中地址范围的结束IP地址 （4） netmask：地址池中地址所属网络的网络掩码。 （5） prefix-length：掩码中1的个数。 （6） type-rotary：真正的内部的主机的地址池中的地址的范围，用于TCP负 载均衡，此参数可选。 步骤四：用“ip nat inside source list access-list-number pool-name”命令将访问 控制列表映射到NAT地址集。 步骤五：进入相应的接口配置模式，输入“ ip nat {inside | outside}”命令，以 在至少一个内部和一个外部接口上启用NAT。 [例13] 动态NAT的配置 如图5所示，以图中R1来说明实现动态NAT的配置。 R1的主要配置： Router(config)# ip nat pool xlx 211.69.0.2 211.69.0.6 netmask 255.255.255.0 //定义内部地址池“XLX”，地址范围为：211.69.0.2到211.69.0.6 Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255 //定义一个标准访问控制列表“1”，源地址为192.168.1.0/24的网络设为允许 Router(config)#ip nat inside source list 1 pool xlx Cisco路由器配置 徐立新（2004年7月） //将访问控制列表“1”映射到地址池“XLX” Router(config)# interface FastEthernet0/0 Router(config-if)# ip address 192.168.0.1 255.255.255.0 Router(config-if)# ip nat inside //指定FE0/0为内网接口 Router(config)# interface serial 0/0 Router(config-if)# ip address 211.69.0.1 255.255.255.0 Router(config-if)# ip nat outside //指定S0/0为外网接口 Router(config-if)#ip access-group 1 out //设置访问控制列表到S0/0接口，方向为控制出。 实训八 访问控制列表配置 网络管理最重要的任务之一就是网络安全，实现网络安全的一种方法便是使用 路由器提供的基于数据包的过滤功能，即访问控制列表ACL（Access Control List）， 其能在路由器接口处决定哪种类型的信息流量被转发，哪种类型的信息流量被拒绝。 在Cisco路由器中，每个访问控制列表的执行顺序是“从上到下，顺序判断”， 每一条新加的列表项都被安置在访问控制列表的最后面。所以，当一个ACL建好之 后，就不能通过行号删除某一指定的列表项。当需要另外增加一列表项时，只能采 取删处该ACL，然后再重新建立一个新的带有一系列条件判断语句（列表项）的 ACL。这就是为什么要在一台PC上使用文本编辑器编辑好路由器的ACL后，再通 过TFTP把它上传到路由器的原因。 另外，访问控制列表的结尾处有一个隐含的“deny all”，一般情况下，隐含拒 绝并不会出现在配置文件中，所以，如果某数据包在ACL的最后一条规则上停止， 它将被抛弃。 访问控制列表有两种基本类型 null 标准类型。列表号的范围为：1~99，其只对数据包中的源地址进行检查。 null 扩展类型。列表号的范围为：100~199，其可对数据包中的源地址、目标地址、 协议及端口号进行检查。 1. 标准访问控制列表有两种基本类型 1、标准访问控制列表的语法 Access-list access-list-number{deny|permit} source[source-wildcard] [log] 可以通过在“access-list”命令前加“no”的形式，来删除一个已经建立的标准 ACL。 access-list命令参数的含义如下： Cisco路由器配置 徐立新（2004年7月） （1） access-list-number：访问控制列表号，标准访问控制列表的号码范围是1~99。 （2） deny：如果满足条件，数据包被拒绝从该入口通过。 （3） permit：如果满足条件，数据包允许从该入口通过。 （4） source：数据包的源网络地址，源网络地址可以是具体的地址或any（任意），如果 源地址是单个IP地址时，将“source”改成“host”，后再写IP地址即可。 （5） Source-wildcard：可选项，分配给源地址的通配符的位数，默认时，该字段是0.0.0.0。 （6） Log：可选项，生成日志信息，记录匹配permit或deny语句的包。 2. 地址和通配符掩码 当使用标准访问控制列表时，源地址必须被指定。源地址可以是一台主机、一 组主机或是整个子网的地址。源地址的范围是由通配符字段来确定。通配符掩码是 一个32比特位的数字字符串，使用1或0来表示，它被用“.”分成4组，每组8 位。在通配符掩码位中，0表示“检查相应的位”，而1表示不检查相应位。通配符 掩码相当于子网掩码的反码。 [例14] 通配符掩码的匹配 211.69.10.0 0.0.0.255 //匹配的是211.69.10.0/24这个C类网段，包括：211.69.10.0~211.69.10.255。 211.69.10.0 0.0.0.3 //匹配的是211.69.10.0/30这个子网段，包括：211.69.10.0~211.69.10.3。 211.69.10.0 0.0.0.15 //匹配的是211.69.10.0/28这个子网段，包括：211.69.10.0~211.69.10.15。 211.69.10.0 0.0.0.31 //匹配的是211.69.10.0/27这个子网段，包括：211.69.10.0~211.69.10.31 211.69.0.0 0.0.15.255 //匹配的是211.69.0.0/20这个网段，包括：211.69.0.0~211.69.15.255。 172.15.0.0 0.0.255.255 //匹配的是172.15.0.0/16这个B类网段，包括：172.15.0.0~172.15.255.255。 3. 关键字any和host的用法 （1）any。指定对允许所有的IP地址作为源地址。这样，当某环境下允许访 问任何目的地址时，我们就不用输入source位为“0.0.0.0”，再输入通配符掩码为 “255.255.255.255”了，直接使用“any”就可以了。下面两行指令是等价的。 access-list 1 permit 0.0.0.0 255.255.255.255 access-list 1 permit any （2）host。用在访问表中指定通配符掩码是0.0.0.0。这样某环境下要输入单 个的地址，如172.16.8.1，就不用输入172.16.8.1和通配符掩码0.0.0.0了，直 接在地址前加host就可以了。下面两行指令是等价的。 Cisco路由器配置 徐立新（2004年7月） access-list 1 permit 172.16.8.1 0.0.0.0 access-list 1 permit host 172.16.8.1 4. ACL的使用 在创建了一个访问控制列表并分配了表号之后，为了让该访问控制列表真的起 作用，用户必须把它配置到一个接口上且指明应用的数据流方向。 语法是：ip access-group access-list-number {in|out} 对于该命令，要记住的是在每个端口、每个协议、每个方向上只能有一个访问 控制列表。其，下面列出了access-group命令参数的含义。 （1） Ip：定义所用的协议。 （2） access-list-number：访问控制列表的号码。 （3） in |out：定义ACL是被应用到接口的流入方向（in），还是接口的流出方向（out）。 注意：访问控制列表一般配置在内网的出口上。 [例15] 标准访问控制列表的配置 如图5所示，以图中R1来说明实现标准访问控制列表的配置。 要求：允许内网192.168.0.0/24访问Internet，但拒绝此网络中主机 192.168.0.2访问Internet。 R1的主要配置： Router(config)# access-list 1 deny host 192.168.0.2 Router(config)# access-list 1 permit 192.168.0.0 0.0.0.255 Router(config)# interface fastethernet 0/0 Router(config-if)# ip access-group 1 out 注意：因标准访问控制列表的执行是从上到下顺序进行的，所以，一定要注意 每个列表项的书写顺序。 2. 扩展访问控制列表 能进行更精确的包过滤控制，包括：数据包的源地址、数据包的目的地址、协 议类型、端口号等。 1. 扩展访问控制列表的语法 扩展ACL也是在全局配置模式下进行设计的，其命令“access-list”的完全 语法格式为： access-list access-list-number {deny|permit} protocol source[source-mask destination destination-mask] [operator operand] [established] 命令参数的主要含义如下： （1） access-list-number：访问控制列表号，范围为100-199。 （2） deny：如果满足条件，数据包被拒绝通过。 Cisco路由器配置 徐立新（2004年7月） （3） permit：如果满足条件，数据包允许通过。 （4） protocol：指定协议类型，如 IP/TCP/UDP/ICMP等。 （5） source：源地址。 （6） destination：目的地址。 （7） source-mask：源通配符掩码。 （8） destination-mask：目的通配符掩码。 （9） operator operand：可为it|gt|eq|neq，分别表示“小于|大于|等于|不等于”端口号。 （10） established：可选项。 2. 访问控制的参数 （1）协议及协议的端口号 可以使用扩展ACL来过滤多种不同协议，如TCP、UDP、ICMP和IP。在扩展ACL 中，要指定上层TCP或UDP端口号，从而选择允许或拒绝的协议。常见的端口号及 其对应协议为：20/21：FTP；23：Telnet；25：SMTP；69：TFTP；53：DNS；80：Http 等，详细的可参见Cisco的有关书目。 （2）地址和通配符掩码 扩展ACL的IP地址和通配符掩码的使用，同标准ACL，此处不再详述。 [例16]扩展访问控制列表的配置 如图5所示，以图中R1来说明实现扩展访问控制列表的配置。 要求：假设图5中的PC1为内网的WWW服务器，PC2为内网的FTP服务器，PC3 为内网中的特定计算机，PC4为外网中的特定计算机。现要求，内网的WWW、FTP服 务器能对外提供服务，内网只有特定计算机PC3能访问外网；外网均可访问内网的 WWW、FTP服务器，外网除特定计算机PC4外，均不能访问内网。 说明：本例假设内网的192.168.0.0/24地址为可用地址，即为合法的IP地址， 不再考虑地址转换问题。 R1的主要配置： Router(config)#access-list 101 permit tcp host 192.168.0.2 any eq 80 Router(config)#access-list 101 permit tcp host 192.168.0.3 any eq 21 Router(config)#access-list 101 permit ip host 192.168.0.4 any Router(config)#access-list 101 deny ip 192.168.0.0 0.0.0.255 any Router(config)#access-list 102 permit ip host 202.1.1.1 any Router(config)#access-list 102 permit ip 202.1.1.0 0.0.0.255 any eq 80 Router(config)#access-list 102 permit ip 202.1.1.0 0.0.0.255 any eq 21 Router(config)#access-list 102 deny ip any any Cisco路由器配置 徐立新（2004年7月） Router(config)#interface s0/0 Router(config-if)#ip access-group 101 out Router(config-if)#ip access-group 102 in 实训九 IP电话的配置（选讲） 如图1，在R1、R2之间路由建立好且Vo i c e / F a x语音接口模块配置好的前提下， 完成R1、R2之间IP电话功能的设定。 1． R1(Cisco 2621)端配置的关键步骤 #config ter *以下为R1本端的定义* #dial-peer voice 262101 pots //定义第一个语音端口 #destination-pattern 888 //定义电话号码888 #port 1/0/0 //指定语音端口 #exit #dial-peer voice 262102 pots //定义第二个语音端口 #destination-pattern 777 //定义电话号码777 #port 1/0/1 //指定语音端口 #exit *以下为R1对端的定义* #dial-peer voice 262103 voip //定义对端的voip功能 #destination-pattern 666 //定义电话号码666 #ip precedence 5 //定义IP语音的优先级 #session target ipv4:211.69.11.2 //定义对端的IP地址 #exit #dial-peer voice 262104 voip //定义对端的voip功能 #destination-pattern 555 //定义电话号码555 #ip precedence 5 //定义IP语音的优先级 #session target ipv4:211.69.11.2 //定义对端的IP地址 #exit #copy running-config startup-config //保存配置 Cisco路由器配置 徐立新（2004年7月） 2． R2(Cisco 1750)端配置的关键步骤 R2的配置基本上同R1，以下仅写出步骤，不再描述。 #config termial *以下为R2本端的定义* #dial-peer voice 175001 pots #destination-pattern 666 #port 2/0 #exit #dial-peer voice 175002 pots #destination-pattern 555 #port 2/1 #exit *以下为R2对端的定义* #dial-peer voice 175003 voip #destination-pattern 888 #ip precedence 5 #session target ipv4:211.69.11.1 #exit #dial-peer voice 175004 voip #destination-pattern 777 #ip precedence 5 #session target ipv4:211.69.11.1 #exit #copy running-config startup-config //保存配置 3． 关键问题及注意事项 null R1、R2路由器的flash版本一定要支持IP电话功能。 null IP语音优先级的范围为0~5，其中5为最高级。 null 使用普通电话机即可，无需专用IP电话机。 null 两路由器本、对端电话号码的定义务必一致。 null 路由配置。