路由器与交换机配置.docx

路由器与交换机配置.docx

《路由器与交换机配置.docx》由会员分享，可在线阅读，更多相关《路由器与交换机配置.docx（13页珍藏版）》请在冰豆网上搜索。

路由器与交换机配置

1、Redistribute命令，可以导入其它动态路由协议，直连路由，静态路由，但无法导入默认路由，想导入默认路由必须要使用：

default-informationoriginate

2、R4（config-router）#redistributeconnectedsubnets

//将直连路由重分布到OSPF网络，重分布的内容在后面的章节详细介绍

一、OSPF（开放式最短路径优先）

[技术要点]单区域

1、OSPF将网络划分为四种类型：

广播多路访问型（BMA）、非广播多路访问型（NBMA）、

点到点型（Point-to-Point）、点到多点型（Point-to-MultiPoint）。

route-id在OSPF中是作为路由器唯一标识的。

当OSPF中选举DR和BDR时首先查看路由器的优先级，优先级大者当选DR，其次是BDR；如果优先级相同则根据route-id的大小来选举，route-id大者当选。

route-id在不指定的情况下会由loopback接口数值最高的IP地址来做，当没有loopback接口时则由物理接口数值最高的IP来做。

而DR和BDR选举只是在接口类型为广播或NBMA时会产生（就是说非广播类的点对点和点对多点的接口类型是不选举DR和BDR的）。

2、环回接口OSPF路由条目的掩码长度都是32位，这是环回接口的特性，尽管通告了

24位，解决的办法是在环回接口下修改网络类型为“Point-to-Point”，操作如下：

R2（config）#interfaceloopback0

R2（config-if）#ipospfnetworkpoint-to-point

3、多路访问网络“auto-costreference-bandwidth”命令是修改参考带宽的

4、最先启动的路由器被选举成DR；如果同时启动，或者重新选举，则看接口优先级，多路访问网络的接口优先级为1，点到点网络接口优先级为0，修改接口优先级的命令是“ipospfpriority”，如果接口的优先级被设置为0，那么该接口将不参与DR选举；所有其它路由器只与DR和BDR建立邻接关系；

5、多路访问网络

6、认证（基于区域和基于链路）

[技术要点]多区域

1、OSPF路由器类型

1.内部路由器：

OSPF路由器上所有直连的链路都处于同一个区域；

2.主干路由器：

具有连接区域0接口的路由器；

3.区域边界路由器（ABR）：

路由器与多个区域相连；

4.自治系统边界路由器（ASBR）：

与AS外部的路由器相连并互相交换路由信息；

2、区域类型

1.标准区域:

可以接收链路更新信息和路由汇总；

2.主干区域:

连接各个区域的中心实体，所有其它的区域都要连接到这个区域上交换

路由信息；

3.末节区域（StubArea）：

不接受外部自治系统的路由信息；

4.完全末节区域（TotallyStubbyArea）：

它不接受外部自治系统的路由以及自治系

统内其它区域的路由汇总，完全末节区域是Cisco专有的特性；

5.次末节区域（Not-So-StubbyArea,NSSA）:

允许接收以7类LSA发送的外部路由信息，

并且ABR要负责把类型7的LSA转换成类型5的LSA。

类型5的LSA：

外部LSA（OE1或E2）由ASBR产生，含有关于自治系统外的链路信息。

类型7的LSA：

NSSA外部LSA（ON1或N2）由ASBR产生的关于NSSA的信息,可以在NSSA区域内扩散，ABR可以将类型7的LSA转换为类型5的LSA。

3、OSPF末节区域和完全末节区域

本实验在路由器R2上将环回接口0以重分布的方式注入OSPF区域，用来构造5类的LSA。

把区域1配置成末节区域，将区域2配置成完全末节区域。

R1（config-router）#area1stub//把区域1配置成末节区域

R3（config-router）#area2stubno-summary//把区域2配置成完全末节区域

“no-summary”阻止区域间的路由进入末节区域，所以叫完全末节区域。

只需在ABR上启用本参数即可。

R2重分布进来的环回接口的路由并没有在R1的路由表中出现，说明末节区域不接收类型5的LSA，也就是外部路由；同时末节区域1的ABRR2自动向该区域内传播0.0.0.0/0的默认路由；末节区域可以接收区域间路由。

完全末节区域2中，R4的路由表中除了直连和区域内路由，全部被默认路由代替，证明完全末节区域不接收外部路由和区域间路由,只有区域内的路由和一条由ABR向该区域注入的默认路由。

3、汇总

R2（config-router）#area1range1.1.4.0255.255.252.0//配置区域间路由汇总

R3（config-router）#summary-address4.4.0.0255.255.252.0

//配置外部自治系统路由汇总

（1）区域间路由汇总必须在ABR上完成；

（2）外部路由汇总必须在ASBR上完成。

R3（config-router）#redistributeospf1metric2//将OSPF路由重分布到RIP中，重分布进RIP的时候必须要制定跳数。

4、NSSA区域

本实验在路由器R1上将环回接口0以重分布的方式注入OSPF区域，用来验证5类的LSA在NSSA区域的传递方式。

区域间的路由是可以进入到NSSA区域的；但是在R1的路由表中并没有出现在R3上把RIP重分布进来的路由，因此说明LSA类型为5的外部路由不能在NSSA区域中传播，ABR也没有能力把类型5的LSA转成类型7的LSA，如果不想在NSSA区域中出现区域间的路由，则在ABR的路由器上配置NSSA区域时加上“no-summary”参数即可。

这时ABR也会自动向NSSA区域注入一条“OIA”的默认路由。

5、OSPF虚链路

在实际网络中，可能会存在主干区域不连续或者某一个区域与主干区域物理不相连的情况，在这两种情况下，可以通过虚链路来解决。

不连续区域0的虚链路

R2（config-router）#area1virtual-link3.3.3.3//配置虚链路

R3（config-router）#area1virtual-link2.2.2.2

配置虚链路的时候，“virtual-link”后一定要互指对方的路由器ID。

远离区域0的虚链路

R2（config-router）#area1virtual-link3.3.3.3

R3（config-router）#area1virtual-link2.2.2.2

虚链路属于区域0，所以在进行区域0认证的时候，不要忘记虚链路的认证，例如如果区域0采用MD5认证，则在虚链路上配置如下：

R3（config-router）#area1virtual-link2.2.2.2message-digest-key1md5cisco

三、EIGRP路由协议配置（EnhancedInteriorGatewayRoutingProtocol，增强型内部网关路由协议）

1、在路由器R1上通过“ipdefault-network”向EIGRP网络注入一条默认路由

EIGRP负载均衡

本实验只关注路由器R2的Loopback0，虽然路由器R4到达路由器R2的Loopback0有两条路径，但是路由器会将FD最小的放入路由表，选择走g0/0接口。

那么另外一条路径是不是可行后继路由呢？

详情请看Cisco实训。

汇总

R4（config）#interfaces0/0/0

R4（config-if）#ipsummary-addresseigrp14.4.0.0255.255.252.0

//配置EIGRP手工路由汇总

EIGRP认证

R1（config）#keychainccnp

R1（config-keychain）#key1

R1（config-keychain-key）#key-stringcisco

R1（config）#interfaces0/0/0

R1（config-if）#ipauthenticationmodeeigrp1md5//认证模式为MD5

R1（config-if）#ipauthenticationkey-chaineigrp1ccnp//在接口上调用钥匙链

四、EBG（外部网关协议）

EGP主要用于ISP之间交换路由信息。

1.对等体（peer）：

当两台BGP路由器之间建立了一条基于TCP的连接后，就称它们为

邻居或对等体；

2.AS:

是一组处于统一管理控制和策略下的路由器或主机。

AS号由因特网注册机构分

配,范围为1-65535，其中64512-65535是私有使用的；

3.IBGP:

当BGP在一个AS内运行时，被称为内部BGP（IBGP）；

4.EBGP:

当BGP运行在AS之间时，被称为外部BGP（EBGP）；

5.同步：

在BGP能够通告路由之前，该路由必须存在于当前的IP路由表中。

也就是说，

BGP和IGP必须在网络能被通告前同步。

Cisco允许通过命令“nosynchronization”来关

闭同步；

6.IBGP水平分割:

通过IBGP学到的路由不能通告给其它的IBGP邻居。

IBGP和EBGP基本配置

（1）BGP中的“network”命令与IGP不同，它只是将IGP中存在的路由条目（可以是直连、静态路由或动态路由）在BGP中通告。

同时“network”命令使用参数“mask”来通告单独的子网。

如果BGP的自动汇总功能没有关闭，如果在IGP路由表中存在子网路由，在BGP中可以用“network”命令通告主类网络的。

如果BGP的自动汇总功能关闭，则通告必须严格匹配掩码长度；

（2）在命令“neighbor”后边跟“next-hop-self”参数是为了解决下一跳可达的问题，因为当路由通过EBGP注入到AS时，从EBGP获得的下一跳会被不变的在IBGP中传递，“next-hop-self”参数使得路由器会把自己作为发送BGP更新的下一跳来通告给IBGP邻居；

只要两台路由器之间建立了一条TCP连接，就可以形成BGP邻居关系。

R3（config）#routerbgp100

R3（config-router）#nosynchronization

R3（config-router）#bgprouter-id3.3.3.3

R3（config-router）#neighbor1.1.1.1remote-as100

R3（config-router）#neighbor1.1.1.1update-sourceLoopback0

R3（config-router）#neighbor1.1.1.1next-hop-self

//配置下一跳自我，即对从EBGP邻居传入的路由，在通告给IBGP邻居时，强迫路由器

通告自己是发送BGP更新的下一跳，而不是EBGP邻居

R3（config-router）#neighbor2.2.2.2remote-as100

R3（config-router）#neighbor2.2.2.2update-sourceLoopback0

R3（config-router）#neighbor2.2.2.2next-hop-self

R3（config-router）#neighbor34.34.34.4remote-as200

R3（config-router）#noauto-summary

图24-2BGP地址聚合配置

图24-3用BGP属性控制选路

难点：

控制选路

NAT

NAT有三种类型：

静态NAT、动态NAT和端口地址转换（PAT）。

1．静态NAT

静态NAT中，内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。

静

态地址转换将内部本地地址与内部合法地址进行一对一的转换，且需要指定和哪个合法地址

进行转换。

如果内部网络有E-mail服务器或FTP服务器等可以为外部用户提供的服务，这

些服务器的IP地址必须采用静态地址转换，以便外部用户可以使用这些服务。

2．动态NAT

动态NAT首先要定义合法地址池，然后采用动态分配的方法映射到内部网络。

动态NAT

是动态一对一的映射。

3．PAT

PAT则是把内部地址映射到外部网络的IP地址的不同端口上,从而可以实现多对一的映

射。

PAT对于节省IP地址是最为有效的。

（1）R1（config）#ipnatinsidesourcestatic192.168.1.1202.96.1.3

（2）R1（config）#ipnatpoolNAT202.96.1.3202.96.1.100netmask255.255.255.0

//配置动态NAT转换的地址池

R1（config）#ipnatinsidesourcelist1poolNAT

//配置动态NAT映射

R1（config）#access-list1permit192.168.1.00.0.0.255

（3）R1（config）#ipnatpoolNAT202.96.1.3202.96.1.100netmask255.255.255.0

R1（config）#ipnatinsidesourcelist1poolNAToverload//配置PAT

R1（config）#access-list1permit192.168.1.00.0.0.255

如果主机的数量不是很多,可以直接使用outside接口地址配置PAT，不必定义地址池，

命令如下：

R1（config）#ipnatinsidesourcelist1interfaces0/0/0overload

ACL

R2（config-if）#ipaccess-group1in//在接口下应用ACL

R2（config-line）#access-class2in//在vty下应用ACL

R2（config）#iphttpserver//将路由器配置成WEB服务器————————

R3（config）#time-rangetime//定义时间范围

R3（config-time-range）#periodicweekdays8:

00to18:

00

动态ACL：

在用户被认证之后，路由器会自动关闭telnet会话，并将一个动态访问表项置于某个访问表中，以允许源地址为认证用户工作站地址的报文通过。

R2（config）#access-list120dynamictesttimeout120permitip172.16.3.00.0.0.255host2.2.2.2

//“dynamic”定义动态ACL，“timeout”定义动态ACL绝对的超时时间

R2（config-line）#autocommandaccess-enablehosttimeout5

//在一个动态ACL中创建一个临时性的访问控制列表条目，“timeout”定义了空闲超时

值，空闲超时值必须小于绝对超时值。

自反ACL

本实验要求内网可以主动访问外网，但是外网不能主动访问内网，从而有效保护内网。

3.实验步骤

（1）步骤1：

分别在路由器R1和R3配置默认路由确保IP连通性

R1（config）#iproute0.0.0.00.0.0.0192.168.12.2

R3（config）#iproute0.0.0.00.0.0.0202.210.23.2

（2）步骤2：

在路由器R2上配置自反ACL

R2（config）#ipaccess-listextendedACLOUT

R2（config-ext-nacl）#permittcpanyanyreflectREF//定义自反ACL

R2（config-ext-nacl）#permitudpanyanyreflectREF

R2（config）#ipaccess-listextendedACLIN

R2（config-ext-nacl）#evaluateREF//评估反射

R2（config）#ints0/0/1

R2（config-if）#ipaccess-groupACLOUTout

R2（config-if）#ipaccess-groupACLINin