路由器与交换机配置Word格式.docx
《路由器与交换机配置Word格式.docx》由会员分享,可在线阅读,更多相关《路由器与交换机配置Word格式.docx(13页珍藏版)》请在冰豆网上搜索。
4、最先启动的路由器被选举成DR;
如果同时启动,或者重新选举,则看接口优先级,多路访问网络的接口优先级为1,点到点网络接口优先级为0,修改接口优先级的命令是“ipospfpriority”,如果接口的优先级被设置为0,那么该接口将不参与DR选举;
所有其它路由器只与DR和BDR建立邻接关系;
5、多路访问网络
6、认证(基于区域和基于链路)
[技术要点]多区域
1、OSPF路由器类型
1.内部路由器:
OSPF路由器上所有直连的链路都处于同一个区域;
2.主干路由器:
具有连接区域0接口的路由器;
3.区域边界路由器(ABR):
路由器与多个区域相连;
4.自治系统边界路由器(ASBR):
与AS外部的路由器相连并互相交换路由信息;
2、区域类型
1.标准区域:
可以接收链路更新信息和路由汇总;
2.主干区域:
连接各个区域的中心实体,所有其它的区域都要连接到这个区域上交换
路由信息;
3.末节区域(StubArea):
不接受外部自治系统的路由信息;
4.完全末节区域(TotallyStubbyArea):
它不接受外部自治系统的路由以及自治系
统内其它区域的路由汇总,完全末节区域是Cisco专有的特性;
5.次末节区域(Not-So-StubbyArea,NSSA):
允许接收以7类LSA发送的外部路由信息,
并且ABR要负责把类型7的LSA转换成类型5的LSA。
类型5的LSA:
外部LSA(OE1或E2)由ASBR产生,含有关于自治系统外的链路信息。
类型7的LSA:
NSSA外部LSA(ON1或N2)由ASBR产生的关于NSSA的信息,可以在NSSA区域内扩散,ABR可以将类型7的LSA转换为类型5的LSA。
3、OSPF末节区域和完全末节区域
本实验在路由器R2上将环回接口0以重分布的方式注入OSPF区域,用来构造5类的LSA。
把区域1配置成末节区域,将区域2配置成完全末节区域。
R1(config-router)#area1stub//把区域1配置成末节区域
R3(config-router)#area2stubno-summary//把区域2配置成完全末节区域
“no-summary”阻止区域间的路由进入末节区域,所以叫完全末节区域。
只需在ABR上启用本参数即可。
R2重分布进来的环回接口的路由并没有在R1的路由表中出现,说明末节区域不接收类型5的LSA,也就是外部路由;
同时末节区域1的ABRR2自动向该区域内传播0.0.0.0/0的默认路由;
末节区域可以接收区域间路由。
完全末节区域2中,R4的路由表中除了直连和区域内路由,全部被默认路由代替,证明完全末节区域不接收外部路由和区域间路由,只有区域内的路由和一条由ABR向该区域注入的默认路由。
3、汇总
R2(config-router)#area1range1.1.4.0255.255.252.0//配置区域间路由汇总
R3(config-router)#summary-address4.4.0.0255.255.252.0
//配置外部自治系统路由汇总
(1)区域间路由汇总必须在ABR上完成;
(2)外部路由汇总必须在ASBR上完成。
R3(config-router)#redistributeospf1metric2//将OSPF路由重分布到RIP中,重分布进RIP的时候必须要制定跳数。
4、NSSA区域
本实验在路由器R1上将环回接口0以重分布的方式注入OSPF区域,用来验证5类的LSA在NSSA区域的传递方式。
区域间的路由是可以进入到NSSA区域的;
但是在R1的路由表中并没有出现在R3上把RIP重分布进来的路由,因此说明LSA类型为5的外部路由不能在NSSA区域中传播,ABR也没有能力把类型5的LSA转成类型7的LSA,如果不想在NSSA区域中出现区域间的路由,则在ABR的路由器上配置NSSA区域时加上“no-summary”参数即可。
这时ABR也会自动向NSSA区域注入一条“OIA”的默认路由。
5、OSPF虚链路
在实际网络中,可能会存在主干区域不连续或者某一个区域与主干区域物理不相连的情况,在这两种情况下,可以通过虚链路来解决。
不连续区域0的虚链路
R2(config-router)#area1virtual-link3.3.3.3//配置虚链路
R3(config-router)#area1virtual-link2.2.2.2
配置虚链路的时候,“virtual-link”后一定要互指对方的路由器ID。
远离区域0的虚链路
R2(config-router)#area1virtual-link3.3.3.3
虚链路属于区域0,所以在进行区域0认证的时候,不要忘记虚链路的认证,例如如果区域0采用MD5认证,则在虚链路上配置如下:
R3(config-router)#area1virtual-link2.2.2.2message-digest-key1md5cisco
三、EIGRP路由协议配置(EnhancedInteriorGatewayRoutingProtocol,增强型内部网关路由协议)
1、在路由器R1上通过“ipdefault-network”向EIGRP网络注入一条默认路由
EIGRP负载均衡
本实验只关注路由器R2的Loopback0,虽然路由器R4到达路由器R2的Loopback0有两条路径,但是路由器会将FD最小的放入路由表,选择走g0/0接口。
那么另外一条路径是不是可行后继路由呢?
详情请看Cisco实训。
汇总
R4(config)#interfaces0/0/0
R4(config-if)#ipsummary-addresseigrp14.4.0.0255.255.252.0
//配置EIGRP手工路由汇总
EIGRP认证
R1(config)#keychainccnp
R1(config-keychain)#key1
R1(config-keychain-key)#key-stringcisco
R1(config)#interfaces0/0/0
R1(config-if)#ipauthenticationmodeeigrp1md5//认证模式为MD5
R1(config-if)#ipauthenticationkey-chaineigrp1ccnp//在接口上调用钥匙链
四、EBG(外部网关协议)
EGP主要用于ISP之间交换路由信息。
1.对等体(peer):
当两台BGP路由器之间建立了一条基于TCP的连接后,就称它们为
邻居或对等体;
2.AS:
是一组处于统一管理控制和策略下的路由器或主机。
AS号由因特网注册机构分
配,范围为1-65535,其中64512-65535是私有使用的;
3.IBGP:
当BGP在一个AS内运行时,被称为内部BGP(IBGP);
4.EBGP:
当BGP运行在AS之间时,被称为外部BGP(EBGP);
5.同步:
在BGP能够通告路由之前,该路由必须存在于当前的IP路由表中。
也就是说,
BGP和IGP必须在网络能被通告前同步。
Cisco允许通过命令“nosynchronization”来关
闭同步;
6.IBGP水平分割:
通过IBGP学到的路由不能通告给其它的IBGP邻居。
IBGP和EBGP基本配置
(1)BGP中的“network”命令与IGP不同,它只是将IGP中存在的路由条目(可以是直连、静态路由或动态路由)在BGP中通告。
同时“network”命令使用参数“mask”来通告单独的子网。
如果BGP的自动汇总功能没有关闭,如果在IGP路由表中存在子网路由,在BGP中可以用“network”命令通告主类网络的。
如果BGP的自动汇总功能关闭,则通告必须严格匹配掩码长度;
(2)在命令“neighbor”后边跟“next-hop-self”参数是为了解决下一跳可达的问题,因为当路由通过EBGP注入到AS时,从EBGP获得的下一跳会被不变的在IBGP中传递,“next-hop-self”参数使得路由器会把自己作为发送BGP更新的下一跳来通告给IBGP邻居;
只要两台路由器之间建立了一条TCP连接,就可以形成BGP邻居关系。
R3(config)#routerbgp100
R3(config-router)#nosynchronization
R3(config-router)#bgprouter-id3.3.3.3
R3(config-router)#neighbor1.1.1.1remote-as100
R3(config-router)#neighbor1.1.1.1update-sourceLoopback0
R3(config-router)#neighbor1.1.1.1next-hop-self
//配置下一跳自我,即对从EBGP邻居传入的路由,在通告给IBGP邻居时,强迫路由器
通告自己是发送BGP更新的下一跳,而不是EBGP邻居
R3(config-router)#neighbor2.2.2.2remote-as100
R3(config-router)#neighbor2.2.2.2update-sourceLoopback0
R3(config-router)#neighbor2.2.2.2next-hop-self
R3(config-router)#neighbor34.34.34.4remote-as200
R3(config-router)#noauto-summary
图24-2BGP地址聚合配置
图24-3用BGP属性控制选路
难点:
控制选路
NAT
NAT有三种类型:
静态NAT、动态NAT和端口地址转换(PAT)。
1.静态NAT
静态NAT中,内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。
静
态地址转换将内部本地地址与内部合法地址进行一对一的转换,且需要指定和哪个合法地址
进行转换。
如果内部网络有E-mail服务器或FTP服务器等可以为外部用户提供的服务,这
些服务器的IP地址必须采用静态地址转换,以便外部用户可以使用这些服务。
2.动态NAT
动态NAT首先要定义合法地址池,然后采用动态分配的方法映射到内部网络。
动态NAT
是动态一对一的映射。
3.PAT
PAT则是把内部地址映射到外部网络的IP地址的不同端口上,从而可以实现多对一的映
射。
PAT对于节省IP地址是最为有效的。
(1)R1(config)#ipnatinsidesourcestatic192.168.1.1202.96.1.3
(2)R1(config)#ipnatpoolNAT202.96.1.3202.96.1.100netmask255.255.255.0
//配置动态NAT转换的地址池
R1(config)#ipnatinsidesourcelist1poolNAT
//配置动态NAT映射
R1(config)#access-list1permit192.168.1.00.0.0.255
(3)R1(config)#ipnatpoolNAT202.96.1.3202.96.1.100netmask255.255.255.0
R1(config)#ipnatinsidesourcelist1poolNAToverload//配置PAT
如果主机的数量不是很多,可以直接使用outside接口地址配置PAT,不必定义地址池,
命令如下:
R1(config)#ipnatinsidesourcelist1interfaces0/0/0overload
ACL
R2(config-if)#ipaccess-group1in//在接口下应用ACL
R2(config-line)#access-class2in//在vty下应用ACL
R2(config)#iphttpserver//将路由器配置成WEB服务器————————
R3(config)#time-rangetime//定义时间范围
R3(config-time-range)#periodicweekdays8:
00to18:
00
动态ACL:
在用户被认证之后,路由器会自动关闭telnet会话,并将一个动态访问表项置于某个访问表中,以允许源地址为认证用户工作站地址的报文通过。
R2(config)#access-list120dynamictesttimeout120permitip172.16.3.00.0.0.255host2.2.2.2
//“dynamic”定义动态ACL,“timeout”定义动态ACL绝对的超时时间
R2(config-line)#autocommandaccess-enablehosttimeout5
//在一个动态ACL中创建一个临时性的访问控制列表条目,“timeout”定义了空闲超时
值,空闲超时值必须小于绝对超时值。
自反ACL
本实验要求内网可以主动访问外网,但是外网不能主动访问内网,从而有效保护内网。
3.实验步骤
(1)步骤1:
分别在路由器R1和R3配置默认路由确保IP连通性
R1(config)#iproute0.0.0.00.0.0.0192.168.12.2
R3(config)#iproute0.0.0.00.0.0.0202.210.23.2
(2)步骤2:
在路由器R2上配置自反ACL
R2(config)#ipaccess-listextendedACLOUT
R2(config-ext-nacl)#permittcpanyanyreflectREF//定义自反ACL
R2(config-ext-nacl)#permitudpanyanyreflectREF
R2(config)#ipaccess-listextendedACLIN
R2(config-ext-nacl)#evaluateREF//评估反射
R2(config)#ints0/0/1
R2(config-if)#ipaccess-groupACLOUTout
R2(config-if)#ipaccess-groupACLINin