第九章 路由器配置

第九章 路由器配置 学习目的与要求 本章主要介绍路由器的基本配置方法，基于路由器的常用配置方法。通过本章的学习，读者可以了解路由器的软、硬件构成，了解路由器的启动过程；掌握路由器的配置方式，掌握路由器手工配置方法，掌握基于路由的访问控制列表配置，掌握IP路由的配置。

第九章 路由器配置 9.1 路由器的基本配置 9.2 基于路由的访问列表配置 9.3 IP路由原理及其配置

9.1 路由器的基本配置 9.1.1 路由器软件和硬件的概述 尽管有着各种各样、类型不同的路由器。但是，它们的硬件组成都是基本相同的。 9.1 路由器的基本配置 9.1.1 路由器软件和硬件的概述 尽管有着各种各样、类型不同的路由器。但是，它们的硬件组成都是基本相同的。 (1) 中央处理单元 (2) 只读存储器 (3) 内存 (4) 闪存 (5) 非易失性内存 (6) 控制台端口 (7) 辅助端口 (8) 接口 (9) 缆线

9.1 路由器的基本配置 9.1.2 路由器软件概述 1. 路由器操作系统 2. 配置文件 9.1 路由器的基本配置 9.1.2 路由器软件概述 1. 路由器操作系统 大部分Cisco路由器使用的是Cisco网络互连操作系统(Internetworking Operating System，IOS)。IOS配置通常是通过基于文本的命令行接口(Command Line Interface，CLI)进行的。 2. 配置文件 (1) 启动配置文件：也称为备份配置文件，被保存在NVRAM中，并且在路由器每次初始化时加载到内存中变成运行配置文件。 (2)运行配置文件：也称为活动配置文件，驻留在内存中。当通过路由器的命令行接口对路由器进行配置时，配置命令被实时添加到路由器的运行配置文件中并被立即执行。

9.1 路由器的基本配置 3. 实用管理程序 除了存在于路由器内部的上述软件外，Cisco还提供了一些图形化的路由器配置、管理程序，如Fast Step、Cisco ConfigMaker、Cisco Works等。

9.1 路由器的基本配置 9.1.3 路由器启动过程概述

9.1 路由器的基本配置 9.1.4 路由器配置方式

9.1 路由器的基本配置 1. 通过超级终端进行配置 对于第一次初始安装的路由器来说，只能通过控制台Console端口对其进行初始配置。在配置之前，必须首先用路由器附带的控制台电缆连接路由器和终端(一般为PC机)。 如图所示，将控制台电缆的RJ-45接头的一端连接到路由器的控制台端口，另一端连接计算机的串行端口上。

9.1 路由器的基本配置 在工作站端启动超级终端应用程序，如图所示，并为此连接输入一个名称。

9.1 路由器的基本配置 然后，选择连接所使用的端口，如图所示。

9.1 路由器的基本配置 最后，必须将终端设备配置成工作于9600波特率、8个数据位、没有奇偶校验、一个停止位的状态。数据流控制可以选择Xon/Xoff，如图所示。

9.1 路由器的基本配置 2. 通过Telnet进行配置 9.1 路由器的基本配置 2. 通过Telnet进行配置 当为路由器的某个接口设置了IP地址后，可以通过虚拟终端从任何地点的Telnet到路由器上对其进行配置，如图所示。

9.1 路由器的基本配置 9.1.5 路由器配置向导 以下为进入设置对话过程后，路由器首先会显示一些提示信息： 9.1 路由器的基本配置 9.1.5 路由器配置向导 以下为进入设置对话过程后，路由器首先会显示一些提示信息： --- System Configuration Dialog --- At any point you may enter a question mark '?' for help. Use ctrl-c to abort configuration dialog at any prompt. Default settings are in square brackets '[]'. 这是告诉你在设置对话过程中的任何地方都可以键入“？”得到系统的帮助，按ctrl-c可以退出设置过程，缺省设置将显示在‘[]’中。然后路由器会问是否进入设置对话： Would you like to enter the initial configuration dialog? [yes]: 如果按y或回车，路由器就会进入设置对话过程。首先你可以看到各端口当前的状况： First, would you like to see the current interface summary? [yes]: Any interface listed with OK? value "NO" does not have a valid configuration

9.1 路由器的基本配置 然后，路由器就开始全局参数的设置： Configuring global parameters: 9.1 路由器的基本配置 然后，路由器就开始全局参数的设置： Configuring global parameters: (1) 设置路由器名： Enter host name [Router]: (2) 设置进入特权状态的密文(secret)，此密文在设置以后不会以明文方式显示： The enable secret is a one-way cryptographic secret used instead of the enable password when it exists. Enter enable secret: cisco (3)设置进入特权状态的密码(password)，此密码只在没有密文时起作用，并且在设置以后会以明文方式显示： The enable password is used when there is no enable secret and when using older software and some boot images. Enter enable password: pass (4)设置虚拟终端访问时的密码： Enter virtual terminal password: cisco

9.1 路由器的基本配置 (5) 询问是否要设置路由器支持的各种网络协议： 9.1 路由器的基本配置 (5) 询问是否要设置路由器支持的各种网络协议： Configure SNMP Network Management? [yes]: Configure DECnet? [no]: Configure AppleTalk? [no]: Configure IPX? [no]: Configure IP? [yes]: Configure IGRP routing? [yes]: Configure RIP routing? [no]: ………

9.1 路由器的基本配置 (6)如果配置的是拨号访问服务器，系统还会设置异步口的参数： 9.1 路由器的基本配置 (6)如果配置的是拨号访问服务器，系统还会设置异步口的参数： Configure Async lines? [yes]: 设置线路的最高速度： Async line speed [9600]: 是否使用硬件流控： Configure for HW flow control? [yes]: 是否设置modem： Configure for modems? [yes/no]: yes 是否使用默认的modem命令： Configure for default chat script? [yes]: 是否设置异步口的PPP参数： Configure for Dial-in IP SLIP/PPP access? [no]: yes 是否使用动态IP地址： Configure for Dynamic IP addresses? [yes]: 是否使用缺省IP地址： Configure Default IP addresses? [no]: yes 是否使用TCP头压缩： Configure for TCP Header Compression? [yes]: 是否在异步口上使用路由表更新： Configure for routing updates on async links? [no]: y 是否设置异步口上的其它协议。

9.1 路由器的基本配置 接下来，系统会对每个接口进行参数的设置。 Configuring interface Ethernet0: 9.1 路由器的基本配置 接下来，系统会对每个接口进行参数的设置。 Configuring interface Ethernet0: (1)是否使用此接口： Is this interface in use? [yes]: (2)是否设置此接口的IP参数： Configure IP on this interface? [yes]: (3)设置接口的IP地址： IP address for this interface: 192.168.162.2 (4)设置接口的IP子网掩码： Number of bits in subnet field [0]: Class C network is 192.168.162.0, 0 subnet bits; mask is /24 在设置完所有接口的参数后，系统会把整个设置对话过程的结果显示出来： The following configuration command script was created: hostname Router enable secret 5 $1$W5Oh$p6J7tIgRMBOIKVXVG53Uh1 enable password pass ………… 显示结束后，系统会问是否使用这个设置： Use this configuration? [yes/no]: yes 如果回答yes，系统就会把设置的结果存入路由器的NVRAM中，然后结束设置对话过程，使路由器开始正常的工作。

9.1 路由器的基本配置 9.1.6 路由器手工配置 1. 路由器命令解释器及路由器配置模式

9.1 路由器的基本配置 2. 路由器的上文帮助 Cisco路由器允许使用命令的缩写形式。原则上只要不和其他命令混淆，可以使用尽量短的命令形式。如果忘记某个命令的部分拼写，可以在键入该命令的前几个字母后紧接着键入一个问号。这时，可以列出所有可能的命令列表。 在一个命令后加一个空格，再键入一个问号还可以列出一个命令所有可能的参数或子命令。 如果记不清某个命令的具体拼写，可以采用Tab键的方式将不完整的命令拼写补全。方法是输入一个命令足够多的缩写字母后，按键盘上的Tab键，IOS将会把其余的字符补齐。

9.1 路由器的基本配置 3. 命令历史和命令编辑快捷键 9.1 路由器的基本配置 3. 命令历史和命令编辑快捷键 默认情况下，IOS将用户输入的最近lO条命令保存在内存中的命令历史缓冲区内。可以在当前的路由器提示符后输入命令show history得到当前的命令历史缓冲区中的命令列表。可以使用命令terminal history size定义IOS保存在命令历史缓冲区内历史命令的条数。 快捷键“Ctrl+P”可以将上一条命令显示在当前的路由器提示符后，而快捷键“Ctrl+N”可显示后一条命令，等等。

9.1 路由器的基本配置 9.1.7 常用路由器基本配置命令 1. 帮助 9.1 路由器的基本配置 9.1.7 常用路由器基本配置命令 1. 帮助 在IOS操作中，无论任何状态和位置，都可以键入“？”得到系统的帮助。

9.1 路由器的基本配置 2. 改变命令状态 任务 命令 进入特权命令状态 enable 退出特权命令状态 disable 进入设置对话状态 9.1 路由器的基本配置 任务 命令 进入特权命令状态 enable 退出特权命令状态 disable 进入设置对话状态 setup 进入全局设置状态 config terminal 退出全局设置状态 end 进入端口设置状态 interface type slot/number 进入子端口设置状态 interface type number.subinterface [point-to-point | multipoint] 进入线路设置状态 line type slot/number 进入路由设置状态 router protocol 退出局部设置状态 exit 2. 改变命令状态

9.1 路由器的基本配置 3. 显示命令 任务 命令 查看版本及引导信息 show version 查看运行设置 9.1 路由器的基本配置 任务 命令 查看版本及引导信息 show version 查看运行设置 show running-config 查看开机设置 show startup-config 显示端口信息 show interface type slot/number 显示路由信息 show ip router 3. 显示命令

9.1 路由器的基本配置 4. 拷贝命令 用于IOS及CONFIG的备份和升级，文件复制如图9.11所示

9.1 路由器的基本配置 5. 网络命令 任务 命令 登录远程主机 telnet hostname|IP address 网络侦测 9.1 路由器的基本配置 5. 网络命令 任务 命令 登录远程主机 telnet hostname|IP address 网络侦测 ping hostname|IP address 路由跟踪 trace hostname|IP address

9.1 路由器的基本配置 6. 基本设置命令 任务 命令 全局设置 config terminal 设置访问用户及密码 9.1 路由器的基本配置 任务 命令 全局设置 config terminal 设置访问用户及密码 username username password password 设置特权密码 enable secret password 设置路由器名 hostname name 设置静态路由 ip route destination subnet-mask next-hop 启动IP路由 ip routing 6. 基本设置命令

9.1 路由器的基本配置 任务 命令 启动IPX路由 ipx routing 端口设置 interface type slot/number 9.1 路由器的基本配置 任务 命令 启动IPX路由 ipx routing 端口设置 interface type slot/number 设置IP地址 ip address address subnet-mask 设置IPX网络 ipx network network 激活端口 no shutdown 物理线路设置 line type number 启动登录进程 login [local|tacacs server] 设置登录密码 password password

9.1 路由器的基本配置 7. 配置IP寻址 任务 命令 接口设置 interface type slot/number 为接口设置IP地址 9.1 路由器的基本配置 7. 配置IP寻址 任务 命令 接口设置 interface type slot/number 为接口设置IP地址  ip address ip-address  mask

9.2 基于路由的访问列表配置 9.2.1 访问控制列表概述 1. 访问控制列表概述 9.2 基于路由的访问列表配置 9.2.1 访问控制列表概述 1. 访问控制列表概述 访问控制列表(Access control List，AcL)是控制流入、流出路由器数据包的一种方它通过在数据包流入路由器或流出路由器时进行检查、过滤达到流量管理的目的。 访问控制列表不但可以起到控制网络流量、_、流向的作用，还在很大程度上起到保护网络设备、服务器的关键作用。作为外网进入企业内网的第一道关卡，路由器上的访问控制列表成为保护内网安全的有效手段。

9.2 基于路由的访问列表配置 2. 配置访问控制列表 访问控制列表是一个有序的语句集合，它通过匹配报文信息与访问列表参数，来允许报文或拒绝报文通过某个接口。因此，访问控制列表也被称为包过滤器。 配置访问控制列表需要两个步骤。第一步，定义允许或禁止报文的描述语句(访问列表)；第二步，将访问列表应用到路由器的具体接口(应用访问组)。这样，当数据包出入相应的接口时，路由器将检查数据包的类型并按照预先定义的访问控制列表对数据包进行处理：放行或丢弃。

9.2 基于路由的访问列表配置 9.2.2 标准访问控制列表配置方法 1. 标准IP访问控制列表语句 标准IP访问控制列表的命令格式为： 9.2 基于路由的访问列表配置 9.2.2 标准访问控制列表配置方法 1. 标准IP访问控制列表语句 标准IP访问控制列表的命令格式为： ACCESS—LIST access—list—number {DENY|PERMIT} {SOURCE[source—wildcard]|ANY} 标准IP访问控制列表的号码(access-list-number)范围介于1和99之间。可以使用这个范围之内的任意号码。 下一个关键字DENY|PERMIT指出该访问控制列表是允许还是拒绝数据包。最后，可以选择主机或网络的源地址，或者使用关键字ANY。 要过滤某个主机，需要输入该主机的主机名和IP地址。要过滤某个网络，则需要输入网络号，后面跟上通配符掩码。要过滤所有的网络和主机，需要使用关键字ANY。

9.2 基于路由的访问列表配置 2. IP访问控制组语句 定义好了IP访问控制列表语句后，需要将IP访问控制列表应用到具体接口。 9.2 基于路由的访问列表配置 2. IP访问控制组语句 定义好了IP访问控制列表语句后，需要将IP访问控制列表应用到具体接口。 首先，进入路由器某个接口的接口配置模式，如interface serial 0/0。接下来输入IP访问控制组语句： IP ACCESS—GROUP access—list—number (IN | OUT) 其中，access-list-number是在前一步中定义的IP访问控制列表表号，关键字IN|OUT 表示对流入还是流出(也称为入站/出站)路由器的数据包进行检查。

9.2 基于路由的访问列表配置 9.2.3 扩展访问控制列表配置方法 1. 扩展IP访问控制列表语句 扩展IP访问控制列表的命令格式为： 9.2 基于路由的访问列表配置 9.2.3 扩展访问控制列表配置方法 1. 扩展IP访问控制列表语句 扩展IP访问控制列表的命令格式为： ACCESS—LIST access—list—number {DENY | PERMIT}protocol source source—wildcard destination destination—wildcard option 扩展IP访问控制列表的号码(access-list-number)范围介于100和199之间。可以使用这个范围之内的任意号码。 下一个关键字指出该访问控制列表是允许还是拒绝数据包。 protocol关键字指明要过滤使用什么协议的数据包，如TCP、UDP、ICMP、IP等等。 可以选择主机或网络的源地址、目标地址及通配符掩码，或者使用关键字ANY。最后，是一些进一步定义数据包特征的可选项。

9.2 基于路由的访问列表配置 2. IP访问控制组语句 9.2 基于路由的访问列表配置 2. IP访问控制组语句 和标准IP访问控制列表一样，定义好扩展IP访问控制列表语句后，需要将IP访问控制列表应用到具体接口。首先，进入路由器某个接口的接口配置模式，如interface serial 0。 接下来输入IP访问控制组语句： IP ACCESS—GROUP access—list—number {IN | OUT} 其中，access-list-number是在前一步中定义的IP访问控制列表，关键字IN | OUT表示对入站还是出站的数据包进行检查。

9.3 IP路由原理及其配置 9.3.1 路由协议概述 1. 路由基本原理 (1) 路由表 在路由表的每一条路由条目中，主要有以下一些元素： 9.3.1 路由协议概述 1. 路由基本原理 (1) 路由表 在路由表的每一条路由条目中，主要有以下一些元素： 目标网络地址/掩码字段 管理距离/代价字段 下一跳地址字段 路由更新时间字段 输出接口字段

9.3 IP路由原理及其配置 (2)管理距离和代价 当一个路由器同时运行多种路由协议的时候，它可能同时通过多种不同的路由协议学习到去往相同目标网络的多种不同最优路径。这时，路由器会将管理距离较小的路由条目安装到路由表中。 路由信息源 默认管理距离值 Connected(直连路由) Static(静态路由) 1 EIGRP 90 IGRP 100 OSPF 110 RIP 120 EGP 140 未知 255

9.3 IP路由原理及其配置 (3) 最长掩码匹配原则 路由器会选择子网掩码位最长的路由发送数据包。 (4) 路由过程中的数据包交换 当源节点向位于不同网络上的目的节点发送数据包时，它使用目的节点的节点IP地址来发送数据包。在该数据包中，源节点加上了本网段路由器(默认网关)的MAC(介质访问控制)层地址。通过该MAC地址，路由器收到数据包，然后查看目的节点的节点IP地址。接下来，路由器确定它是否可以转发数据包到目的网络。如果可以转发，该路由器将源MAC地址改为自己的MAC地址，将目标MAC地址改为下一跳设备的MAC地址。如果它无法为这个数据包选择路由，则或者丢弃数据包或者转发到缺省路由。 若下一跳不是最终的目的节点，一般它总是下一个路由器。下一个路由器对数据包执行完全相同的操作，即确定下一跳，更改MAC层地址，并转发数据包。如此继续，直到数据包到达目的节点。由此可见，节点IP地址一直不会改变，而MAC地址在每一跳都改变。

9.3 IP路由原理及其配置 2. 路由协议的分类 (1)直连路由、静态路由、动态路由 (2)IGP和EGP (3)距离矢量、链路状态路由选择协议

9.3 IP路由原理及其配置 9.3.2 静态路由和缺省路由配置 1. 静态路由配置 9.3.2 静态路由和缺省路由配置 1. 静态路由配置 静态路由(static route)是通过手工来管理的。网络管理员将其输入到路由器的配置中，每当网络拓扑结构发生改变需要更新路由时，管理员必须手工更新静态路由信息。静态路由有许多优点： 不需要启动动态路由选择协议进程 在小型互连网络上很容易配置 可以控制路由选择。

9.3 IP路由原理及其配置 如图所示，是一个小型网络互连的例子。图中两个局域网192.168.0.0/24和192.168.1.0/24通过同步串行线路连接起来。因为在这个例子里网络拓扑结构非常简单，所以可以采用静态路由。

9.3 IP路由原理及其配置 首先在Router A的全局配置模式下键入命令 ip route 192.1 68.1.0 255.255.255.0 serial 0/0 或者 ip route 192.168.1.0 255.255.255.0 10.0.0.2 其中，前者指出到网段192.168.1.0/24的数据包由Serial 0/0送出，后者指出到网段192.168.1.0/24的数据包的下一跳IP地址是10.0.0.2，即对端路由器的入口：Serial 0/0。命令中的255.255.255.0指明对端网络的子网掩码。 然后，在Router B的全局配置模式下键入命令 ip route 192.168.0.0 255.255.255.0 serial 0/0 ip route 192.168.0.0 255.255.255.0 10.0.0.1 其中，前者指出到网段192.168.0.0/24的数据包由Serial 0/0送出，后者指出到网段192.168.0.0/24的数据包的下一跳IP地址是10.0.0.1，即对端路由器的入口：Serial 0/0。命令中的255.255.255.0指明对端网络的子网掩码。

9.3 IP路由原理及其配置 2. 缺省路由配置 缺省路由(default route)又称为默认路由；是静态路由的一个特例，因此也是通过手工来管理的。当路由器为路由数据包而查找路径时，没有可供使用的、匹配的路由选择信息时，缺省路由为数据包指定一个固定的下一跳地址 如图所示，RouterA除了和远程的子网172.25.0.0/24通过Router B相连外，还通过串行接口Serial 0/1连入Internet。

9.3 IP路由原理及其配置 缺省路由的配置方法是在全局配置模式下键入 ip route 0.0.0.0 0.0.0.0 serial 0/1 或者 ip route 0.0.0.0 0.0.0.0 192.168.1.2 其中，0.0.0.0 0.0.0.0表示未知主机，即任何无法判断目的地的主机地址，192.168.1.2是Internet的入口路由器接口IP地址。 同理，对于路由器Router B来说只需要配置一条指向RouterA的缺省路由即可。

9.3 IP路由原理及其配置 9.3.3 动态路由RIP配置 1. RIP概述 RIP协议是最早出现的一种路由协议，它最初发源于UNIX系统的GATED服务。在RFC 1508中对RIP的实现进行了描述。 RIP采用贝尔曼一福德(Bellman-Ford)算法，该算法根据图论原理选择一条到目标网络的最短路径安装到路由表中。

9.3 IP路由原理及其配置 目前RIP有两个版本RIPvl和RIPv2。RIP具有以下一些主要特性： RIP消息通过广播地址255．255．255．255进行发送，使用UDP协议的520端口。 RIP以到目的网络的最小跳数作为路由选择的度量标准。 RIP是为小型网络设计的。它的跳数计数限制为16跳。 RIP是一种有类路由协议，不支持不连续子网设计。 RIP周期进行路由更新，将路由表广播给邻居路由器，广播周期为30秒。 RIP的管理距离为120。

9.3 IP路由原理及其配置 2. RlP配置 配置RIP的步骤很简单。首先，启动对P路由进程。然后，声明RIP协议“关心”的网络。所谓“关心”的网络是指ⅪP将广播本路由器接口所在的这些网络的路由更新信息。 以下用一个实例来说明RIP配置的步骤，实例如图所示。

9.3 IP路由原理及其配置 RouterA： RouterA(config)#router rip RouterA(config-router)#network 192.168.0.0 RouterA(config-router)#network 192.168.1.0 RouterA(config-router)#end RouterB： RouterB(config)#router rip RouterB(config-router)#network 192.168.1.0 RouterB(config-router)#network 192.168.2.0 RouterB(config-router)#end RouterC： RouterC(config)#router rip RouterC(config-router)#network 192.168.2.0 RouterC(config-router)#network 192.168.3.0 RouterC(config-router)#end

9.3 IP路由原理及其配置 3. RIPv2 RIPv2(RFC 1723)是RIPvl的扩展版本，它对原始的RIPvl做了很多改进。其中，最重要的改进是在RIPv2的消息包中包含了子网掩码信息。这意味着RIPv2支持VLSM(可变长子网掩码)，它允许进行不连续的网络设计。另外，和RIPvl的消息通过广播地址255.255.255.255进行发送不同。在RIPv2中，更新消息发送到多播地址224.0.0.9，不会对其他没有运行RIP协议的主机产生影响。此外，RIPv2默认情况下也会在网络边界进行自动总结。但是，也可以关闭自动总结的特性。这给了网络设计、管理人员很大的灵活性。 和RIPvl相同的是，RIPv2也采用跳跃计数作为链路代价值。因此，RIPv2也属于距离矢量路由协议。此外，RIPv2采用和RIPvl相同的计数器。还有，RIPv2的跳跃计数的最大值和RIPvl一样，也是15跳，这同样限制了网络的规模。