还剩58页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
路由器配置入门教程欢迎参加路由器配置入门教程本课程旨在帮助网络初学者和专业人士掌握路由器配置的基础知识和技能通过系统学习,您将了解路由器的基本概念、硬件组成、操作系统以及各种配置方法,为网络管理和故障排除奠定坚实基础无论您是网络工程师、学生还是对网络技术感兴趣的爱好者,本教程都将为IT您提供清晰、实用的指导,帮助您迈出路由器配置的第一步课程目标了解路由器的基本概念掌握路由器的基本配置方法学习常见路由协议的配置123本课程将帮助您全面理解路由器的通过本课程,您将学习如何连接到您将了解和掌握静态路由以及、RIP定义、功能和工作原理您将学习路由器并进行基本设置,包括主机、和等常见动态OSPF EIGRP BGP路由器在网络架构中的位置和作用名配置、地址分配、接口设置和路由协议的基本配置方法通过实IP,以及不同类型路由器的特点和应密码保护等我们将介绍命令行界例演示,您将能够为不同网络环境用场景这些基础知识将为后续的面和界面的操作方法,帮选择和配置合适的路由协议,实现CLI Web实际配置提供理论支持助您熟悉路由器的配置环境高效的网络互联目录基础知识与硬件1首先,我们将介绍路由器的基础知识、工作原理和分类,帮助您建立对路由器的整体认识随后,我们会详细讲解路由器的硬件组成操作系统与配置准备,包括、内存、闪存和各种接口类型,让您了解路由器的物2CPU理构成接下来,我们将探讨常见的路由器操作系统,如、Cisco IOS和等然后,您将学习如何准备路Huawei VRPJuniper JUNOS由器配置环境,包括连接方法和不同配置模式的使用基本配置与接口设置3在这部分,您将学习基本的配置命令和接口设置方法,包括以太网接口、串行接口、接口和环回接口的配置,为路由设置和网VLAN路由与安全配置络互连奠定基础4随后,我们将深入探讨静态路由和各种动态路由协议的配置方法,以及路由重分布技术您还将学习用户认证、访问控制列表、SSH高级功能与故障排除5远程管理等安全配置技术最后,我们将讲解、、、等高级功能的配置NAT DHCPQoS VPN,并教您如何进行网络故障排除和性能优化,使您能够解决实际工作中遇到的各种网络问题第一部分路由器基础知识基础概念介绍分类与品牌技术准备在本部分,我们将首先介绍路由器的基本概随后,我们将讲解路由器的不同分类,包括最后,我们将为您提供必要的技术背景知识念和定义,帮助您理解什么是路由器以及它家用路由器、企业级路由器和核心路由器,,包括地址基础、子网划分和网络拓扑等IP在网络中的重要作用通过学习路由器的工让您了解不同类型路由器的应用场景和特点,为后续的路由器配置学习做好充分准备作原理,您将了解数据包如何在网络中被正我们还将介绍市场上主要的路由器品牌及这部分知识将帮助您更好地理解路由器的配确转发其产品特点置逻辑什么是路由器?定义功能在网络中的作用路由器是一种网络设备,工作在模型路由器的主要功能包括路径选择、数据包路由器在网络架构中起着至关重要的作用OSI的第三层(网络层)它负责接收数据包转发、网络隔离和连接不同网络它能够,它是互联网的基础设施之一在企业网,分析数据包中的目的地址信息,然后根根据路由算法选择最佳路径,提供网络地络中,路由器负责连接不同部门的局域网据路由表将数据包转发到正确的网络或子址转换服务,并通过访问控制列表;在家庭网络中,路由器连接家庭设备与NAT网路由器是连接不同网络的关键设备,提供基本的网络安全保护现代路互联网服务提供商路由器还可以ACL ISP使得跨网络通信成为可能由器还可能集成交换、防火墙和等多提供网络分段,减少广播域,提高网络性VPN种功能能和安全性路由器的工作原理数据包转发当路由器接收到数据包时,首先会检查数据包的完整性并验证校验和如果数据包有效,路由器会提取数据包头中的目的地址这个过程通常在路由器的IP接收接口完成,然后数据包被传送到路由处理器进行下一步处理路由表查询路由器通过查询路由表来确定如何处理数据包路由表包含网络目的地、下一跳地址和到达目的地的接口等信息路由表可以通过手动配置(静态路由)或动态路由协议自动生成和更新,确保路由信息的准确性和时效性最佳路径选择当存在多条到达同一目的地的路径时,路由器会根据路由协议的度量值(如跳数、带宽、延迟等)选择最佳路径选定路径后,路由器将修改数据包(如更新值),然后通过相应的出口接口将数据包转发到下TTL一个网络节点路由器的分类家用路由器企业级路由器家用路由器主要用于连接家庭网络与互企业级路由器设计用于中大型企业网络联网它们通常价格低廉,配置简单,环境,具有更强的处理能力、更大的内集成了交换机、无线接入点和基本防火存和更丰富的接口选项它们支持高级墙功能家用路由器一般具有有限的处路由协议(如、、)OSPF EIGRPBGP理能力和内存,支持简单的路由功能,和更复杂的安全功能,如、深度包VPN如和基础的它们适合小规模检测和高级访问控制企业级路由器通NAT QoS网络使用,支持少量用户同时连接常具有模块化设计,便于扩展和升级,适合支持数百甚至上千用户的网络核心路由器核心路由器位于网络核心层,负责处理大量的网络流量和高速数据转发它们具有极高的吞吐量和超低的延迟,采用专用的硬件设计和优化的软件架构这类路由器常用于互联网服务提供商和大型企业骨干网,支持复杂的路由政策,能够同时处ISP BGP理数百万条路由条目和高并发连接常见路由器品牌思科()是全球最知名的网络设备供应商之一,提供从入门级到高端的完整路由器产品线,其操作系统广受认可华为()近年来快速崛起,其企业网Cisco IOSHuawei络产品在功能和性价比方面具有竞争力,特别是在亚洲和新兴市场华三()专注于企业级网络解决方案,在中国市场占有重要份额其他知名品牌还包括、、等,各有特色和目标市场选择H3C JuniperNetworks MikroTikUbiquiti路由器时,应根据网络规模、性能需求、预算和技术支持等因素综合考虑第二部分路由器硬件组成处理器系统存储系统接口系统路由器的中央处理单元是路由器的存储系统包括(随路由器配备各种类型的接口,用CPU RAM其大脑,负责执行操作系统和机存取存储器)和闪存用于连接不同的网络媒介这些接RAM处理路由决策不同级别的路由于存储运行配置、路由表和数据口可能包括以太网接口、串行接器配备不同性能的处理器,从单包缓冲,而闪存则用于存储操作口、光纤接口和无线接口等接核处理器到多核高性能处理器不系统镜像和启动配置存储容量口的数量、类型和速率直接影响等,直接影响路由器的数据处理决定了路由器能够处理的路由表路由器的连接能力和网络吞吐量能力和路由计算速度大小和并发连接数电源与散热系统路由器的电源系统为各个硬件组件提供稳定的电力供应,高端路由器通常配备冗余电源以提高可靠性散热系统包括风扇和散热器,对于维持路由器正常工作温度至关重要,防止过热导致的性能下降或硬件损坏路由器的主要硬件组件内存闪存接口CPU路由器的中央处理单元是执行指路由器的内存用于存储运行闪存是路由器的非易失性存储器接口是路由器连接各种网络的物RAM令和处理数据的核心它负责运中的配置信息、路由表、表,主要用于存储操作系统镜像(理端口路由器可能配备多种类ARP行路由器操作系统,执行路由算、数据包缓冲区和操作系统的工如)和启动配置文件型的接口,如以太网端口Cisco IOSRJ-45法,处理数据包转发决策,以及作空间内存大小直接影响路由即使在断电情况下,闪存中的数、串行端口、光纤接口等每个管理路由器的各项功能高端路器能够处理的路由条目数量和并据仍然保持不变一些路由器还接口都有自己的控制器,负责处由器通常采用多核处理器架构,发连接数当路由器断电时,使用闪存来存储日志文件、备份理物理层和数据链路层的功能有些甚至使用专用的网络处理器中的数据会丢失,这就是为配置和其他需要永久保存的数据接口的速率、数量和类型是选择RAM来加速数据包处理什么需要保存配置到非易失性存闪存容量决定了可以存储的操路由器时的重要考虑因素NPU储作系统版本数量和大小路由器接口类型以太网接口串行接口最常见的路由器接口类型,用于连接局主要用于广域网连接,如租用线WAN域网现代路由器通常提供多个以太网路、帧中继和串行接口速率从几ISDN接口,支持速率十到几不等,通常需要外部10/100/1000Mbps KbpsMbps1,高端设备甚至支持或更高速率时钟信号虽然在新设备中逐渐被其他10Gbps2这些接口使用连接器,支持全技术取代,但在许多现有网络中仍然广RJ-45双工通信和自动协商功能泛使用其他特殊接口无线接口包括光纤接口如用于高速长集成在无线路由器中,提供连接功SFP/SFP+Wi-Fi4距离连接;接口用于连接互能现代无线接口支持多种标准DSL/Cable3联网服务提供商;接口用于连接存,工作在USB
802.11a/b/g/n/ac/ax储设备或调制解调器;控制和频段企业级无线路由3G/4G/5G
2.4GHz5GHz台接口用于本地管理;以及各种模块化器通常支持多输入多输出技术和MIMO接口卡扩展插槽波束成形,提供更好的覆盖范围和速率路由器的电源系统冗余电源系统多个电源模块并行工作,确保单电源故障时系统继续运行1电源DC2直流电源常用于电信级设备,提供直流电-48V电源AC3交流电源是最常见的类型,支持市电输入100-240V路由器的电源系统是确保设备稳定运行的关键组件大多数路由器使用电源,支持的交流电输入,通过内部电源模块转换为设备AC100-240V所需的直流电压这类电源适合办公环境和数据中心,具有通用性和易用性电源则主要用于电信环境和某些数据中心,通常使用直流电电源的优势在于效率高、发热少,且能够直接连接到电池备份系统,避DC-48V DC免使用的转换损耗高端企业级和电信级路由器通常配备冗余电源系统,允许多个电源模块并行工作,实现或冗余,确保单个电源UPS N+1N+N模块故障时系统能够继续正常运行第三部分路由器操作系统功能与特性版本选择路由器操作系统是路由器的大脑,提供用选择合适的操作系统版本需要考虑硬件兼容户界面、协议栈实现、路由算法执行和硬件性、功能需求、稳定性和安全性新版本通资源管理等核心功能不同厂商的操作系统常提供更多功能和修复安全漏洞,但可能不有各自的命令语法和特性集,但基本功能和如长期服务版本稳定在生产环境中,应谨工作原理相似了解操作系统的版本和特性12慎选择经过充分测试的版本,并建立版本管对于充分利用路由器功能至关重要理策略故障恢复升级与维护路由器操作系统通常提供多种故障恢复机制定期更新路由器操作系统是网络维护的重要43,如配置回滚、备份镜像启动和恢复模式部分升级过程需要,包careful planning了解这些故障恢复机制对于减少因操作系统括备份当前配置、验证硬件兼容性、下载和问题导致的网络中断至关重要某些高端路验证镜像文件,以及测试升级后的功能许由器还支持内存中运行多个操作系统实例,多企业会在测试环境中先验证新版本,然后实现无缝升级再部署到生产环境常见路由器操作系统Juniper JUNOS1基于的模块化操作系统,所有平台使用相同代码库,配置采用层次结构,支持回滚和提交确认FreeBSDHuawei VRP华为自主研发的操作系统,命令结构类似,支持多种网络协议和服务,在中国及亚洲市场广泛使2Cisco用Cisco IOS最广泛使用的路由器操作系统,提供丰富的网络功能和协议支持,有多种衍3生版本如、和IOS-XE IOS-XR NX-OS除了上述主流路由器操作系统外,还有许多其他值得关注的系统是基于的强大系统,广泛应用于中小型网络和MikroTik RouterOSLinux WISPArista EOS是面向数据中心的高性能操作系统,具有出色的可编程性和自动化能力和等开源操作系统则为预算有限的用户提供了功能丰富的选择VyOS pfSense不同操作系统有各自的优势和局限性选择时应考虑您的技术熟悉度、网络规模和复杂性、特定功能需求以及长期支持和升级路径许多企业网络可能同时使用多种操作系统,因此掌握不同系统的基本操作对网络管理人员非常重要简介Cisco IOS版本号格式功能集升级方法的版本号通常采用主版本子版提供不同的功能集以满足各种升级需要几个关键步骤首先Cisco IOS.Cisco IOSCisco IOS本维护版本的格式,如主版需求基础功能集包含基本路确认设备硬件是否支持目标版本;然.
15.
4.3IP BaseIOS本号表示重大功能变更,子版本号表示新由和交换功能;功能集添加了后验证当前内存和闪存是否满足新版本要IP Services功能添加,维护版本号表示错误修复此高级路由协议支持;求;备份当前配置;通过、或Advanced TFTPFTP外,还有字母后缀表示特定发布类型功能集包含防火墙和功能将新镜像传输到路由器;配置启T SecurityVPN USBIOS表示技术预览版,表示服务提供商版,;功能集则提供全动参数指向新镜像;最后重启路由器完成S EnterpriseServices表示企业版等了解版本号对选择合适套企业级功能选择功能集应根据网络需升级整个过程应谨慎进行,最好在维护E的版本非常重要求和预算,避免购买不必要的功能窗口期执行IOS路由器启动过程自检1POST路由器通电后首先进行开机自检,检查、内存和接口等硬件组件是否Power-On SelfTest CPU正常工作这个过程类似于个人电脑的自检如果发现硬件故障,路由器可能会停止启动过BIOS程并通过指示灯或控制台消息提示故障信息引导程序加载2成功完成硬件自检后,路由器会加载位于或闪存中的引导程序引导程序是一ROM Bootstrap个小型低级程序,负责初始化系统并找到主操作系统镜像在设备中,这个程序通常称为Cisco,可以用于基本系统恢复和密码重置ROMMON操作系统加载3引导程序会根据配置从闪存、服务器或其他指定位置加载主操作系统镜像如TFTPCisco IOS加载过程中,操作系统会被复制到中并开始初始化这个阶段会显示操作系统的版本信息、RAM授权信息以及硬件配置摘要配置文件加载4操作系统初始化后,路由器会尝试从加载启动配置文件如果找不到NVRAM startup-config有效的配置文件,某些路由器会进入设置向导或直接使用出厂默认配置配置加载完成后,接口会被激活,路由协议开始运行,路由器进入正常工作状态第四部分路由器配置准备1了解网络需求在开始配置路由器前,必须清楚了解网络需求和设计目标这包括确定地址规划、所需路由协议、安全策略和网络拓扑良好的准备工作能IP够避免日后的大量重新配置工作2准备必要工具配置路由器需要一些基本工具,包括控制台线缆、网线、适当的终端软件如或以及地址规划文档对于远程配置,还需PuTTY SecureCRTIP要确保有可靠的网络连接和适当的远程访问权限3掌握配置语法不同路由器品牌和型号的配置语法可能有所不同在开始配置前,应熟悉特定设备的命令结构、配置逻辑和常用命令厂商文档、配置指南和在线社区都是很好的学习资源4创建备份策略配置过程中,应养成定期保存和备份配置的好习惯制定明确的备份策略,包括备份频率、存储位置和版本管理方法这能够在配置错误或设备故障时快速恢复网络服务配置方法概述控制台配置远程配置界面配置12Telnet3Web控制台配置是最基本和可靠的配置方法,是一种允许通过网络远程访问许多现代路由器提供基于的图形用Telnet IPWeb通过串行控制台端口直接连接计算机和路路由器的协议一旦路由器配置了地址户界面,允许管理员通过浏览IP GUIWeb由器即使在网络故障或配置错误的情和启用了服务,管理员就可以从器配置设备界面通常更加直观,IP TelnetWeb况下,控制台连接仍然可用,因此它是初网络中的任何位置连接并配置路由器然适合不熟悉命令行的用户然而,Web始配置和故障恢复的首选方法控制台配而,以明文传输数据,包括密码界面可能不提供命令行界面的所有Telnet CLI置需要使用特殊的控制台线缆和终端仿真,因此在安全性要求高的环境中应避免使高级功能,在某些复杂配置场景下可能受软件,如、或用,或仅在隔离的管理网络中使用限高端企业路由器的界面通常更PuTTY SecureCRTWeb加功能完善Terminal连接到路由器串口线连接网线连接配置终端软件使用串口线(也称为控制一旦路由器配置了基本的连接到路由器后,需要使台线或线)将计设置,您可以使用标准用终端软件与设备交互Rollover IP算机的端口或网线通过以太网接口连接对于串口连接,需要配置COM USB端口(通过转串口适到路由器这种方法适用正确的串口参数通常为USB配器)连接到路由器的控于已经配置好地址并且波特率、数据位IP96008制台端口这种连接是最启用了远程管理服务(如、无奇偶校验、停止位1基本的访问方法,不依赖、或、无流控制(Telnet SSH9600于路由器的网络配置,因)的路由)常用的终端软件HTTP/HTTPS8N1此特别适合初始设置或故器网线连接可以是直接包括的Windows PuTTY障恢复现代笔记本电脑连接(使用交叉线或支持、、SecureCRT可能需要转串口适配自动的设备,的USB MDI/MDI-X TeraTermMac器才能进行这种连接)或通过网络交换机连接或,以及Terminal ZOC的等Linux Minicom路由器配置模式用户模式()用户模式是连接到路由器后的初始模式,命令提示符以结尾这是一个受限模式,只允许执行基本的查看命令,如查看路由器状态、接口信息等用户无法在此模式下更改配置或执行可能影响路由器运行的命令这个模式主要用于网络监控和基本故障排除特权模式()#特权模式(也称为启用模式)通过在用户模式下输入命令并提供密码(如果已配置)进入enable命令提示符以结尾在特权模式下,管理员可以执行所有查看命令,重启路由器,保存配置#,以及进入配置模式这个模式允许查看运行配置和启动配置,但不能直接修改它们全局配置模式()config全局配置模式通过在特权模式下输入(常简写为)命令进入configure terminalconf t命令提示符变为在这个模式下,管理员可以配置影响整个路由器的参数,如主机config#名、密码、全局路由参数等它也是进入更具体配置模式(如接口配置)的入口接口配置模式()config-if接口配置模式通过在全局配置模式下输入命令后跟接口标识符(如interface interface)进入命令提示符变为在这个模式下,可以配置GigabitEthernet0/0config-if#特定接口的参数,如地址、带宽、封装类型等其他特定配置模式还包括路由协议配置IP、线路配置等第五部分基本配置命令基础系统命令本部分将介绍路由器的基本系统设置命令,包括主机名配置、时钟设置、密码保护等这些命令是路由器初始配置的基础,为后续的高级配置奠定基础正确设置这些基本参数对于设备识别和安全访问控制至关重要配置管理命令您将学习如何查看、保存和管理路由器配置,包括和running-config startup-的区别及相互转换理解配置文件的管理对于防止配置丢失和实施变更config控制非常重要这部分还将介绍配置备份和恢复的方法系统查看命令最后,您将掌握一系列用于查看路由器状态和性能的命令这些命令是故障排除和网络监控的基础工具,允许管理员检查路由器的运行状态、资源使用情况和网络连接熟练掌握这些命令将大大提高网络管理和故障排除的效率基本系统设置配置项命令语法示例设置主机名hostname[name]hostname Router-Core-01配置时钟clock set[hh:mm:ss][day]clock set14:30:0015May2023[month][year]设置时区clock timezone[name][hours-clock timezoneCST8offset]启用密码enable password[password]enable passwordCisco123加密启用密码enable secret[password]enable secretSecure123!配置控制台密码line con0password linecon0password[password]login Console123login配置密码vty line vty04password line vty04password[password]login Telnet123login加密所有密码service password-encryption servicepassword-encryption设置基本系统参数是路由器配置的第一步主机名不仅用于识别设备,还会显示在命令提示符中,有助于管理员确认当前操作的设备时钟设置对于日志记录和证书验证等时间敏感功能至关重要,特别是在使用需要准确时间的安全协议时密码保护是网络安全的基础启用密码(特别是加密的)保护特权模式,防止未授权访问和配置更改控制enable secret台和线路密码则保护本地和远程管理会话启用密码加密服务可防止密码以明文形式出现在配置文件中,增强安全性vty查看和保存配置其他配置管理命令show running-config showstartup-config copyrunning-configstartup-config这个命令显示路由器当前运行的配此命令显示存储在中的启您还可以使用NVRAM copystartup-置,即存储在中的活动配置动配置,即路由器下次重启时将加这个命令将当前运行的配置保存到合并启动RAM config running-config所有当前生效的配置更改都会反载的配置如果运行配置未保存,中的启动配置,确保配置配置到运行配置中;使用NVRAM copy映在中这个命和更改在路由器重启后仍然有效这或running-config startup-configrunning-running-config tftpcopy令对于验证配置更改是否生效和理可能不同比较这两个配置是网络管理中最重要的习惯之一,将配置备份config startup-config tftp解路由器当前状态非常重要输出对于了解未保存的更改和恢复到之应该在完成任何配置更改后执行到服务器;使用TFTP erase可能很长,可以使用前状态非常有用启动配置在路由在设备上,可以使用快捷命清除启动配置后show Ciscostartup-config器断电后仍然保持令或简重启可以恢复出厂设置良好的配running-config|section writewrite memory等筛选命令查看特定部写为置管理实践是网络稳定性的关键interface wr分常用查看命令1show version2show interfaces显示路由器的软硬件信息,包括版本显示所有接口的详细状态和统计信息,IOS、系统正常运行时间、启动方式、硬件包括物理状态、协议状态、地址、IP型号、处理器类型、内存大小、接口数地址、带宽设置、负载、可靠性、MAC量和序列号等这个命令对于资产管理数据包计数器和错误计数器等可以指、故障排除和升级规划非常有用输出定特定接口,如show interface还包括系统镜像文件位置和配置寄存器这是诊断连接GigabitEthernet0/0值,有助于解决启动问题问题和性能瓶颈的主要命令之一3show ip route显示路由器的路由表,包括直连网络、静态路由和动态学习的路由输出显示目的网络IP、下一跳地址、路由来源、管理距离、度量值和出口接口等信息了解路由表对于验证网络连通性和排除路由问题至关重要可以使用参数筛选特定路由,如show ip routeospf除了上述基本命令外,还有许多有用的查看命令提供所有接口的配show ip interface briefIP置和状态概览;显示已启用的路由协议;列出通过show protocolsshow cdpneighbors CDP发现的邻居设备;提供接口硬件详情;和show controllersshow processcpu show用于监控系统资源使用情况memory第六部分接口配置配置复杂度使用频率接口配置是路由器配置的核心部分,直接影响设备与网络的连接不同类型的接口有不同的配置要求和参数以太网接口是现代网络中最常用的接口类型,配置相对简单;串行接口虽然使用频率下降,但在某些广域网连接中仍然重要;接口在企业网络中普遍使用;环回接口则常用于测试和路由协议配置VLAN本部分将详细介绍各类接口的配置方法,包括基本参数设置、状态管理和特殊功能配置掌握接口配置是实现网络互联和服务部署的基础技能我们将从最常用的以太网接口开始,逐步介绍其他接口类型的配置方法和注意事项以太网接口配置进入接口配置模式配置地址启用禁用接口IP/配置以太网接口的第一步是进入特定接口为接口分配地址和子网掩码是基本配置默认情况下,物理接口处于关闭状态,需IP的配置模式在全局配置模式下,使用在接口配置模式下使用命要手动启用ip address Routerconfig-if#no命令后跟接口标识符例如令若要禁用接口,使用命令interface Routerconfig-if#ip addressshutdown对于支启用接Routerconfig#interface
192.
168.
1.
1255.
255.
255.0Routerconfig-if#shutdown接口标识符的格持辅助地址的场景,可以使用口后,应检查接口状态以确认物理和协议GigabitEthernet0/0IP式因路由器型号而异,可能是关键字添加额外地址层面都已激活如果物理层显示但协secondary up、或议层显示,可能是因为没有连接FastEthernet GigabitEthernetRouterconfig-if#ip addressdown等,后跟槽位端线缆或对端设备未激活TenGigabitEthernet/
192.
168.
2.
1255.
255.
255.0口号较新的路由器可能使用接口名称缩也可以配置获取地secondary DHCPIP写,如址interface Gi0/0Routerconfig-if#ip addressdhcp串行接口配置设置时钟速率配置封装协议在点对点串行连接中,一侧必须提供时钟信串行接口需要配置数据链路层封装协议最号(通常是服务提供商端或端)如常用的封装类型包括(高级数DCE-HDLC果路由器的串行接口是端,需要配置据链路控制)默认封装,简单高效DCE Cisco时钟速率(点对点协议)提供认证、压缩Routerconfig-if#clock-PPP速率单位为比特秒,常用值和多链路支持帧中继支持多个虚电路rate64000/-包括、、、的网络协议配置封装命令示例5600064000128000()等可以使用1544000T1show Routerconfig-if#encapsulation ppp命令确认接口是或controllers serial0/0Routerconfig-if#encapsulation还是如果接口是端,则不DCE DTEDTE frame-relay需要配置时钟速率配置带宽串行接口的带宽设置不会影响实际线路速度,但会被路由协议用于计算度量值正确设置带宽对于路由决策非常重要带宽单位为千比特秒Routerconfig-if#bandwidth1544/例如,线路设置为,线路设置为此外,还可以配置保持队列大Kbps T11544E12048小、压缩和其他参数,以优化串行链路的性能QoS Routerconfig-if#hold-queue100out接口配置VLAN配置接口VLAN创建VLAN接口是一个虚拟接口,用于在间路由配置VLAN VLAN在支持的路由器上,首先需要创建在全局配VLAN VLAN接口(也称为交换虚拟接口)的步骤如下VLAN SVI置模式下,使用以下命令Routerconfig#vlan10Routerconfig#interface Vlan10Routerconfig-Routerconfig-vlan#name Marketingif#ip address
192.
168.
10.
1255.
255.
255.0然后可以将物理接口分配到Routerconfig-vlan#exit接口只有在对1Routerconfig-if#no shutdownVLAN这个,或创建接口()配置可能VLAN VLANSVI VLAN应中至少有一个活动的物理接口时才会激活VLAN VLAN2存储在单独的文件中,而不是在运行配置中vlan.dat接口常用于路由器即交换机环境中分配端口到VLAN间路由VLAN要将物理接口分配到,需要配置接口的成员模式对VLAN配置了接口后,路由器可以自动在间路由流量VLAN VLAN于接入端口(单个)4VLAN Routerconfig#interface例如,的主机可以通过路由器与的主VLAN10VLAN203GigabitEthernet0/1Routerconfig-if#switchport机通信可以使用访问控制列表控制间通信VLANmode access Routerconfig-if#switchport accessRouterconfig#access-list101deny ip对于中继端口(多个)vlan10VLAN
192.
168.
10.
00.
0.
0.
255192.
168.
20.
00.
0.
0.255Routerconfig#interface GigabitEthernet0/2Routerconfig#interface Vlan10Routerconfig-Routerconfig-if#switchport modetrunkif#ip access-group101outRouterconfig-if#switchport trunkallowed vlan10,20,30环回接口配置创建环回接口配置地址应用场景IP环回接口是一种虚拟接口,不关联物理硬件,始为环回接口分配地址与为物理接口分配地址类环回接口有多种重要应用作为路由器IP
1.ID-终处于状态(除非手动关闭)在全局配置似许多路由协议(如和)使用最高的环up Routerconfig-if#ip address
10.
1.
1.1OSPF BGP模式下,使用以下命令创建环回接口环回接口通常使用位掩回接口作为路由器标识管理访问提供一
255.
255.
255.25532IP
2.-数字可码(单主机网络),但也可以使用其他掩码注个始终可访问的地址用于管理测试和诊断Routerconfig#interface Loopback0IP
3.-以是之间的任何值,通常从意环回接口地址应该是唯一的,不与网络中其用于测试网络连接而不依赖物理接口和0-21474836470IP
4.NAT开始编号可以根据需要创建多个环回接口,每他接口的地址冲突环回接口创建后默认为启其他服务作为网络地址转换或其他服务的参考IP-个接口用于不同的目的环回接口不受硬件故障用状态,不需要命令点no shutdown影响,提供持久的网络端点第七部分路由配置路由配置是路由器最核心的功能之一,决定了数据包如何从源网络到达目的网络本部分将详细介绍各种路由配置方法,从简单的静态路由到复杂的动态路由协议您将学习如何配置静态路由、默认路由以及常见的动态路由协议,如、、和RIP OSPFEIGRPBGP每种路由方法都有其适用场景、优势和限制静态路由简单直接但缺乏自动适应网络变化的能力;动态路由协议则能够自动发现网络拓扑和适应变化,但配置较为复杂且消耗更多资源了解不同路由方法的特点和配置技巧,将帮助您为网络选择最合适的路由解决方案,并实现高效、可靠的网络互连静态路由配置基本语法默认路由浮动静态路由静态路由是网络管理员手动配置的固定路默认路由是目的地为任何地方的路由,浮动静态路由是具有非默认管理距离的静由基本配置语法为当没有更具体的路由匹配时使用它通常态路由,用作主路由的备份路径当主路Routerconfig#指向互联网连接配置默认路由语法为由(通常由动态路由协议提供)失效时,ip route[destination_network]浮动静态路由会接管流量配置浮动静[subnet_mask][next_hop_address|Routerconfig#ip route
0.
0.
0.0态路由exit_interface]
0.
0.
0.0[next_hop_ip|exit_interface]Routerconfig#ip route例如[administrative_distance]Routerconfig#ip route
192.
168.
2.
0255.
255.
255.0例如,配置到默认路最后的数字[permanent]
0.
0.
0.
00.
0.
0.
0203.
0.
113.
1192.
168.
3.2200200网络的静态路由由在边缘路由器和小型网络中特别有用,是管理距离,需要高于主路由的管理距离
192.
168.
2.0/24可以减少路由表大小并简化配置静态路由默认管理距离为,为Routerconfig#ip route1OSPF,为
192.
168.
2.
0255.
255.
255.0110EIGRP90或指定出口接口
192.
168.
1.2Routerconfig#iproute
192.
168.
2.
0255.
255.
255.0GigabitEthernet0/1动态路由协议概述混合协议结合距离矢量和链路状态特性的协议1链路状态协议2基于完整拓扑图计算最短路径距离矢量协议3基于相邻路由器的路由信息动态路由协议使路由器能够自动发现网络拓扑并适应网络变化最基本的是距离矢量协议,如这类协议通过相邻路由器交换路由信息,使用简单RIP度量(如跳数)决定最佳路径它们易于配置但收敛慢,适合小型网络距离矢量协议的主要缺点是可能产生路由环路,需要使用水平分割、路由毒化等技术防止链路状态协议(如)更加复杂,每个路由器都构建完整的网络拓扑图,然后使用算法计算到每个目的地的最短路径它们收敛快、支持OSPF Dijkstra大型网络,但需要更多的和内存资源混合协议(如)结合了两种类型的优点,使用高级度量和有界更新,提供快速收敛、高效资源利用CPU EIGRP和良好的可扩展性,但通常为特定厂商专有不同类型的协议适合不同规模和需求的网络协议配置RIP启用宣告网络1RIP2路由信息协议是最简单的动态路由在配置模式下,使用命令RIP RIP network协议之一,基于跳数作为度量值,最大指定要参与路由的网络RIP支持跳要启用路由,首先在全15RIP Routerconfig-router#network局配置模式下进入路由进程RIP
192.
168.
1.0Routerconfig-这个命令注意Routerconfig#router riprouter#network
10.
0.
0.0RIP创建进程并进入配置模式命令只需要指定主网络地址,RIP RIPRIPnetwork使用广播(版本)或多播(版本)更不需要子网掩码会自动包含指定网12RIP新网络信息,默认每秒发送一次完整络的所有子网这些命令让路由器在对30路由表应接口上发送和接收更新,同时将这RIP些网络宣告给其他路由器RIP版本选择3有两个主要版本,版本提供更多功能RIP2Routerconfig-router#version2RIPv2支持和,使用多播地址发送更新,并支持路由认证可以配置接口CIDR VLSM
224.
0.
0.9级别的版本Routerconfig-router#interface GigabitEthernet0/0Routerconfig-if#ip ripsend version2Routerconfig-if#ip ripreceive version其他有用的配置包括被动接口、默认路由分发和汇总2RIP Routerconfig-router#passive-interface GigabitEthernet0/1协议配置OSPF启用进程OSPF开放最短路径优先是一种链路状态路由协议,广泛用于中大型网络启用需OSPF OSPF要指定进程(本地有效)进程是之ID Routerconfig#router ospf1ID1-65535间的数字,在同一路由器上可以运行多个进程与不同,使用链路状态数OSPF RIP OSPF据库和算法计算最佳路径,支持快速收敛和大型网络SPF配置Router ID是路由器的唯一标识符,格式类似地址可以明确配置Router IDOSPF IP Router ID如果不手动配置,会使用Routerconfig-router#router-id
10.
1.
1.1OSPF以下顺序选择使用明确配置的命令值使用最高的环回Router ID
1.router-id
2.接口地址使用最高的活动物理接口地址固定的有助于网络稳定性IP
3.IPRouterID和故障排除宣告网络在中宣告网络需要指定网络地址、通配符掩码和区域OSPF IDRouterconfig-router#network
192.
168.
1.
00.
0.
0.255area0Routerconfig-通配符掩码类似反向子网掩码,router#network
10.
1.
1.
10.
0.
0.0area0表示必须匹配,表示可以是任何值第二个例子使用精确匹配仅宣告特定接口01使用区域概念分层组织网络,是骨干区域,必须与所有其他区域相OSPF area0连协议配置EIGRP启用EIGRP增强型内部网关路由协议是思科开发的高级距离矢量协议启用需要指EIGRP EIGRP定自治系统号号是本地网络的标识符AS Routerconfig#router eigrp100AS,必须在所有参与路由的路由器上保持一致结合了距离矢量和链路状态EIGRP EIGRP协议的优点,使用算法计算无环路径,支持快速收敛和高效带宽使用DUAL配置号AS的自治系统号是一个之间的数字,定义了一个路由域EIGRP1-65535所有在同一域中的路由器必须使用相同的Routerconfig#router eigrp100EIGRP号才能交换路由信息不同的进程被视为完全独立的路由过程,即使在同AS ASEIGRP一物理网络中也不会交换路由信息这允许在网络中运行多个独立的域EIGRP宣告网络在中宣告网络使用命令,类似EIGRP networkRIP Routerconfig-router#network
192.
168.
1.
00.
0.
0.255Routerconfig-router#network
10.
0.
0.0通配符掩码是可选的,如果省略,会使用主类网络这些命
0.
255.
255.255EIGRP令使路由器在匹配接口上发送和接收更新,同时宣告这些网络支持多种EIGRP EIGRP高级功能,如不等成本负载均衡、汇总和认证协议基础配置BGP启用配置邻居关系BGP边界网关协议是互联网的核心路由协议与其他路由协议不同,需要明确定义对BGP BGP,用于自治系统之间的路由启用等体关系AS BGPpeer Routerconfig-router#需要指定本地号AS Routerconfig#neighbor
192.
168.
1.2remote-as号在全球范围内应这个命令与地址、router bgp65001AS65002IP
192.
168.
1.2唯一,传统上是位数字,现号的路由器建立对等关系161-65535AS65002BGP代支持位号是一种路径矢邻居不需要直接连接(除了多跳BGP32AS BGPBGP EBGP量协议,使用多种属性(而非简单的度量值配置)可以配置多种邻居参数)来选择最佳路径它设计用于处理大型路Routerconfig-router#neighbor由表和复杂的路由策略
192.
168.
1.2password cisco123Routerconfig-router#neighbor
192.
168.
1.2timers3090宣告网络在中宣告网络BGP Routerconfig-router#network
203.
0.
113.0mask注意使用关键字而非通配符掩码,且只宣告精确匹配的网络通常
255.
255.
255.0BGP mask需要确保宣告的网络存在于路由表中(通过静态路由或连接接口)对于更复杂的部署,可以使用路由策略控制路由宣告和选择Routerconfig#ip prefix-list ALLOWEDpermit
203.
0.
113.0/24Routerconfig-router#neighbor
192.
168.
1.2prefix-list ALLOWEDout路由重分布不同协议间重分布静态路由重分布路由重分布允许不同路由协议之间交换路由信息,对于混合网络将静态路由重分布到动态路由协议中,可以让静态配置的网络通环境至关重要例如,将路由重分布到RIP EIGRP过动态协议传播例如,将静态路由重分布到OSPFRouterconfig#router eigrp100Routerconfig-Routerconfig#router ospf1Routerconfig-router#router#redistribute ripmetric100001002551关键字确保子网路由也redistribute staticsubnets subnets将路由重分布到1500OSPF RIPRouterconfig#router被重分布没有此关键字,只会重分布主类网络的静态路12OSPFrip Routerconfig-router#redistribute ospf1metric3由重分布静态路由时要小心防止路由环路重分布应谨慎配置,因为不同协议使用不同的度量标准和操作机制使用路由映射配置度量值路由映射提供了重分布过程的精细控制,允许基于多种条件过滤重分布路由时,必须指定目标协议理解的度量值每种协议要求和修改路由Routerconfig#route-map OSPF-TO-不同的度量参数需要跳数(通常为)需-RIP1-15-OSPF43EIGRP permit10Routerconfig-route-map#match ip要度量值、度量类型和可选的标签需要带宽、延迟、-EIGRPaddress prefix-list ALLOWEDRouterconfig-route-可靠性、负载和例如,配置重分布时的度量MTU EIGRPOSPFmap#set metric1000010025511500值Routerconfig-router#redistribute ospf1metricRouterconfig#router eigrp100Routerconfig-对应带宽、延迟微秒1000010025511500Kbps10router#redistribute ospf1route-map OSPF-TO-、可靠性、负载和字节MTU路由映射可以基于前缀、路由标签、路由类型等条件进EIGRP行匹配和设置操作第八部分安全配置路由器安全配置是保护网络基础设施和数据的关键组成部分本部分将介绍各种安全机制和配置方法,帮助您建立安全可靠的网络环境我们将从基本的用户认证开始,包括本地用户配置和远程认证服务器集成,确保只有授权人员能够访问和管理路由器RADIUS/TACACS+接下来,我们将深入探讨访问控制列表的配置,这是网络安全的基础工具,用于控制数据流和防止未授权访问随后,我们将学习远程管理的安全配置,取代不安全的服务ACL SSHTelnet最后,我们将介绍端口安全功能,帮助防止未授权设备连接到网络通过实施这些安全措施,您将能够显著提高网络的安全性和可靠性防御外部威胁路由器作为网络边界设备,是抵御外部攻击的第一道防线正确的安全配置可以阻止未授权访问和各种网络攻击保护管理访问确保管理接口安全是防止配置被篡改的关键强密码、加密管理会话和严格的访问控制是基本措施控制内部访问内部安全控制同样重要,可以限制不同网段间的通信,防止内部威胁和减少安全事件影响范围用户认证本地用户配置配置配置RADIUS TACACS+本地用户认证是最基本的认证方法,直接在路(远程认证拨入用户服务)是一种集(终端访问控制器访问控制系统加RADIUS TACACS+由器上配置用户名和密码中式认证协议强版)是思科开发的协议,提供更细粒度的控Routerconfig#Routerconfig#radius制username adminprivilege15secret serverMAIN-SERVER Routerconfig-Routerconfig#tacacs server此命令创建一个特权级别为(Cisco@12315radius-server#address ipv4TACSERVER Routerconfig-server-最高级别)的用户,密码为admin
192.
168.
10.5Routerconfig-radius-tacacs#address ipv
4192.
168.
10.6关键字使用强加密存Cisco@123secret server#key RadiusSecret123Routerconfig-server-tacacs#key储密码,优于使用关键字要启password Routerconfig-radius-server#exit TacacsSecret123Routerconfig-server-用本地用户认证,需要配置登录方法Routerconfig#aaa new-model tacacs#exit Routerconfig#aaa new-Routerconfig#linevty04Routerconfig#aaa authentication login modelRouterconfig#aaa这些命令配置Routerconfig-line#login localdefault groupradius localauthenticationlogindefault group服务器并设置认证顺序首先尝试Routerconfig-line#transport inputssh RADIUStacacs+local Routerconfig#aaa这些命令配置线路使用本地用户数据库进,如果不可用则使用本地认vty RADIUSRADIUS authorizationcommands15default行认证,并只允许连接证启用高级功能,最后一行配置命令授权SSH aaanew-model AAAgroup tacacs+local这是使用或的前提,要求用户必须有执行特权命令的权限RADIUS TACACS+与的主要区别是完全加密TACACS+RADIUS通信和命令级别授权访问控制列表()ACL标准ACL1标准基于源地址过滤流量,编号范围为和ACL IP1-991300-1999Routerconfig#access-list10permit
192.
168.
1.
00.
0.
0.255扩展2ACLRouterconfig#access-list10deny any Routerconfig#interface这些GigabitEthernet0/0Routerconfig-if#ip access-group10in扩展提供更精细的控制,可以基于源、目的、协议类型和端口号过ACL IP IP命令创建一个允许网络并拒绝所有其他流量的,然
192.
168.
1.0/24ACL滤流量,编号范围为和100-1992000-2699Routerconfig#后应用到接口的入站方向标准应该尽量靠近目GigabitEthernet0/0ACLaccess-list101permit tcp
192.
168.
1.
00.
0.
0.255any eq80的地应用,因为它们不能基于目的地址过滤Routerconfig#access-list101permit tcp
192.
168.
1.
00.
0.
0.255any eq443Routerconfig#access-list101deny ipany anyRouterconfig#interface GigabitEthernet0/0命名ACL3这些命令允许Routerconfig-if#ip access-group101out网络访问任何目的地的和服务,拒绝所有命名使用描述性名称而非数字,使配置更易读,并支持编辑特定行
192.
168.
1.0/24HTTP HTTPSACL其他流量扩展应该尽量靠近源应用,以尽早过滤流量ACLRouterconfig#ip access-list extendedALLOW-WEBRouterconfig-ext-nacl#permit tcpany anyeq80Routerconfig-ext-nacl#permit tcpany anyeq443Routerconfig-ext-nacl#exit Routerconfig#interfaceGigabitEthernet0/1Routerconfig-if#ip access-group ALLOW-命名可以是标准的或扩展的,与数字具有相同的功能,WEB inACL ACL但更易于管理,特别是在大型配置中可以使用序列号编辑特定条目Routerconfig#ip access-list extendedALLOW-WEBRouterconfig-ext-nacl#15permit tcpanyanyeq22远程管理SSH配置客户端认证SSH配置服务器SSH配置访问控制以限制谁可以通过连接SSH生成密钥对RSA配置服务器参数以增强安全性SSH Routerconfig#username admin安全外壳提供加密的远程访问,比SSHRouterconfig#ip sshversion2privilege15secret StrongP@ss更安全配置的第一步是生成加Telnet SSHRouterconfig#ip sshauthentication-Routerconfig#linevty04密密钥Routerconfig#hostname retries3Routerconfig#ip sshtime-Routerconfig-line#login localRouter1Routerconfig#ip domain-out60Routerconfig#ip sshRouterconfig-line#transport input这些命令限制使用更name example.com Routerconfig#maxstartups5SSH sshRouterconfig-line#access-class安全的版本(不使用有漏洞的版本),设crypto keygenerate rsaHow many2110in Routerconfig#access-list10bits inthe modulus
[512]:2048这些置认证重试次数为3,超时为60秒,最大并permit
192.
168.
1.
00.
0.
0.255这些命命令设置主机名和域名(RSA密钥生成需要发连接数为5还可以配置日志记录和其他令创建用于SSH认证的本地用户,配置vty),然后创建2048位RSA密钥对密钥长安全增强措施线路使用本地用户数据库认证,只允许SSH度至少应为位,推荐位或更高10242048连接(禁用),并使用限制只有Telnet ACL以增强安全性完成后,路由器自动启用网络可以发起连接
192.
168.
1.0/24SSH服务SSH端口安全配置端口安全地址绑定违规处理监控与管理MAC端口安全功能允许控制哪些设备可以连可以静态配置允许的地址,或让交当检测到安全违规(如未授权地址使用以下命令监控端口安全状态MAC MAC接到交换机端口,基于地址限制访换机动态学习静态配置地址尝试访问端口)时,可以配置不同的响MAC MACRouter#show port-security问在支持二层交换功能的路由器上配应措施Routerconfig-if#switchport port-Routerconfig-if#Router#show port-security置端口安全Routerconfig#security mac-address switchport port-security violationinterface GigabitEthernet0/1interface GigabitEthernet0/
10050.56BE.7CAD Routerconfig-protect Routerconfig-if#Router#show port-security如果端口因违规而关闭,使用Routerconfig-if#switchport modeif#switchport port-security mac-switchport port-security violationaddress动态学习以下命令恢复accessRouterconfig-if#address
0060.5C
45.1212restrict Routerconfig-if#Routerconfig#地址switchport port-security MACRouterconfig-if#switchport port-security violationinterface GigabitEthernet0/1模式静默丢弃来自Routerconfig-if#switchport port-switchport port-security shutdownprotect Routerconfig-if#shutdown这些命令在接口未知地址的帧;模式丢弃也security maximum2Routerconfig-if#switchportport-MAC restrictRouterconfig-if#no shutdown上启用端口安全,并将最大允许的帧并生成陷阱和日志消息;可以配置自动恢复功能MAC securitymac-address stickysticky SNMP地址数量设置为(默认为)端口安关键字使交换机将学习到的地址添模式(默认)将端口置于21MAC shutdownRouterconfig#errdisable recovery全仅在配置为接入或中继模式的交换端加到运行配置,重启后仍然保留可以状态,需要手动恢复选err-disabled causepsecure-violation口上可用结合使用静态配置和动态学习方法择合适的违规处理模式取决于安全需求Routerconfig#errdisable recovery和运维考虑interval300第九部分高级功能配置网络地址转换地址分配服务允许私有网络使用公共地址连接互联网NAT IP服务简化网络管理,自动为客户端分配DHCP,解决地址短缺问题并提供额外安全层我IP地址和其他网络设置您将学习如何配置IP们将学习静态、动态和端口地址转换NAT NAT12服务器、排除地址和中继代理DHCP DHCP的配置方法PAT可用性提升服务质量管理高可用性协议如、和提机制确保关键应用获得所需带宽和优先HSRP VRRPGLBP63QoS供网关冗余,确保网络连续性本节将介绍级本节介绍流量分类、策略映射和服务策这些协议的基本配置略应用的基础配置步骤网络监控虚拟专用网络54允许集中监控和管理网络设备您将学技术通过公共网络建立安全连接,保护敏SNMP VPN习配置团体字、陷阱和的高级感数据我们将探讨、隧道和SNMP SNMPv3IPsec VPNGRE安全设置的基本配置方法DMVPN配置NAT静态动态(端口地址转换)NAT NATPAT静态建立内部地址和外部地址之间的一对一动态使用地址池为内部地址动态分配外部地(也称为重载)允许多个内部地址共享NAT NATPAT NAT永久映射,通常用于需要从外部访问的内部服务器址,但仍然是一对一映射一个或少量外部地址,通过利用端口号区分不同连Routerconfig#ip接Routerconfig#ip nat inside sourcenat pool PUBLIC-POOL
203.
0.
113.10Routerconfig#access-list1permit然后在相static
192.
168.
1.
10203.
0.
113.
5203.
0.
113.20netmask
255.
255.
255.
0192.
168.
1.
00.
0.
0.255Routerconfig#ip应接口上应用NAT Routerconfig#Routerconfig#access-list1permit natinside sourcelist1interfaceinterface GigabitEthernet0/
0192.
168.
1.
00.
0.
0.255Routerconfig#ip GigabitEthernet0/1overloadRouterconfig-if#ip natinside natinside sourcelist1pool PUBLIC-POOL Routerconfig#interface然后在接口上应用标记Routerconfig#interface NATRouterconfig#GigabitEthernet0/0Routerconfig-if#ipGigabitEthernet0/1Routerconfig-if#ip interface GigabitEthernet0/0natinsideRouterconfig#interface这种配置将内部地址nat outsideRouterconfig-if#ip natinside GigabitEthernet0/1Routerconfig-if#ip永久映射到外部地址关键字启用功能
192.
168.
1.10Routerconfig#interface natoutside overloadPAT,适用于服务器、邮件服务器这是最常用的形式,允许整个私有网络共享
203.
0.
113.5Web GigabitEthernet0/1Routerconfig-if#ip NAT等需要固定公网的情况动态允许指定的内部网络使用一个公网地址,非常适合家庭和小型办公网络IP natoutside NATIP地址池中的公网地址,但同时连接数受限于池中也可以结合地址池使用IP PATRouterconfig#地址数量ip natpool PUBLIC-POOL
203.
0.
113.
10203.
0.
113.10netmask
255.
255.
255.0Routerconfig#ip natinside sourcelist1poolPUBLIC-POOL overload服务配置DHCP创建池排除地址中继代理DHCP DHCP动态主机配置协议自动为客户端分配通常需要排除某些地址不被分配,如当客户端和服务器不在同一广播域时DHCP DHCP DHCP地址和其他网络参数配置服务器已静态分配的服务器地址,需要配置中继代理IP DHCPDHCP的基本步骤是创建地址池Routerconfig#ip dhcpexcluded-Routerconfig#interface这Routerconfig#ip dhcppool address
192.
168.
1.
1192.
168.
1.20GigabitEthernet0/0Routerconfig-if#个命令防止服务器分配从这个命令将接EMPLOYEE-POOL Routerconfig-DHCP ip helper-address
10.
1.
1.5到范围内的地收到的广播转发到指定的服务dhcp#network
192.
168.
1.
0192.
168.
1.
1192.
168.
1.20DHCPDHCP址排除地址应在创建池之前配置,器地址也转
255.
255.
255.0Routerconfig-dhcp#DHCP
10.
1.
1.5iphelper-address通常包括网络设备自身地址和需要固定的发其他广播,包括、、default-router
192.
168.
1.1IP UDPTFTP DNS设备地址可以配置多个排除范围等服务可以通过全局配置限制只Routerconfig-dhcp#dns-server NetBIOS转发
8.
8.
8.
88.
8.
4.4Routerconfig-dhcp#Routerconfig#ip dhcpexcluded-DHCP Routerconfig#no ip这些命令创建一个池,定义可lease7DHCP address
192.
168.
1.200forward-protocol udp69分配的网络范围、默认网关、服务器和DNS
192.
168.
1.254Routerconfig#no ip forward-protocol租约时间(天)还可以配置其他参数,如或者指定只转发7udp53DHCP服务器、域名和服务器WINS NTPRouterconfig#ip forward-protocolRouterconfig-dhcp#domain-name udp67Routerconfig#ipforward-example.com Routerconfig-dhcp#protocol udp68option42ip
192.
168.
1.5基础配置QoS流量分类1配置首先需要识别和分类不同类型的流量使用类映射定义流量匹配条件QoS策略映射2将操作应用到已分类的流量,如带宽分配、优先级和队列QoS服务策略3将定义好的策略应用到接口上,控制实际流量处理服务质量机制用于控制网络流量优先级,确保关键应用获得所需资源配置通常遵循模块化框架,包括三个主要步骤首先是流量分类QoS QoSQoS CLIMQC,使用类映射根据各种条件识别流量Routerconfig#class-map match-any VOICE-TRAFFIC Routerconfig-cmap#match protocolrtp audioRouterconfig-cmap#match dscp其次是策略映射,定义如何处理已分类的流量ef Routerconfig#policy-map QOS-POLICY Routerconfig-pmap#class VOICE-TRAFFIC最后应用服务策略到接口Routerconfig-pmap-c#priority512Routerconfig-pmap-c#class class-default Routerconfig-pmap-c#fair-queue这种模块化方法使配置更加灵活和可维护,能够根Routerconfig#interface Serial0/0Routerconfig-if#service-policy outputQOS-POLICY QoS据网络需求精细调整流量处理基础配置VPN123隧道IPsec VPNGRE DMVPN提供网络层加密和认证,是最常用的通用路由封装隧道提供简单的点对点隧道动态多点结合了多种技术(IPsec VPNGRE VPNDMVPN技术配置包括定义感兴趣流量、,可以传输多种协议,但不提供加密、、和路由协议),支持灵活IPsec VPNGRE NHRPIPsec策略(第一阶段)和转换集(第的和连接ISAKMP IPsecRouterconfig#interface Tunnel0hub-and-spoke spoke-to-spoke二阶段)基本配置步骤包括配置
1.Routerconfig-if#ip address
10.
0.
0.1Routerconfig#interface Tunnel0()策略ISAKMP IKERouterconfig#
255.
255.
255.0Routerconfig-if#tunnel Routerconfig-if#ip address
10.
0.
0.1crypto isakmppolicy10Routerconfig-source GigabitEthernet0/
1255.
255.
255.0Routerconfig-if#tunnelisakmp#authentication pre-share Routerconfig-if#tunnel destinationsource GigabitEthernet0/1隧道常与结合使用,Routerconfig-isakmp#encryption aes
203.
0.
113.2GRE IPsecRouterconfig-if#tunnel modegre提供加密多协议隧道解决方256Routerconfig-isakmp#hash shaGRE overIPsec multipointRouterconfig-if#tunnel key配置案允许路由协议通过隧道运行,同时保护数据安Routerconfig-isakmp#group
52.12345Routerconfig-if#ip nhrp预共享密钥全要在隧道上配置动态路由Routerconfig#crypto GREnetwork-id100Routerconfig-if#ip特isakmp keyStrongKey123addressRouterconfig#router ospf1nhrp authenticationNHRPauth DMVPN别适合有多个分支机构的企业,可以减少路
203.
0.
113.2Routerconfig-router#network
10.
0.
0.0hub由器上的配置复杂性,并允许分支机构间直接通
0.
0.
0.255area0信配置SNMP配置团体字配置陷阱安全设置1SNMP2SNMP3SNMPv3简单网络管理协议使管理站能够陷阱允许设备主动发送通知给管提供加密和认证,解决早期SNMP SNMP SNMPv3监控和配置网络设备配置读取理站,报告重要事件版本的安全弱点SNMPSNMP访问(操作)GET Routerconfig#Routerconfig#snmp-server hostRouterconfig#snmp-server groupsnmp-server communitypublic RO
192.
168.
10.5traps version2c ADMINv3priv Routerconfig#配置写入访问(操作)SNMP SETNotifyKey Routerconfig#snmp-snmp-server userAdmin ADMIN可以配置特定类型Routerconfig#snmp-server server enable trapsv3auth shaAuth@123priv aes上述命令中的陷阱这些命令创建一个使community privateRW Routerconfig#snmp-128Priv@123,和是团体字(类似用认证和加密的组和用户public privateserverenable traps configSNMPv3密码),表示只读,提供三种安全级别RO Read-Only Routerconfig#snmp-server SNMPv3-表示读写为提高安无认证无加密RW Read-Write enabletraps cputhreshold noAuthNoPriv-全性,应使用非默认团体字和访问控制有认证无加密Routerconfig#snmp-server authNoPriv-陷阱通知对于有认证有加密生产环境应优Routerconfig#access-list10enabletrapsinterface authPriv及时发现网络问题至关重要通先使用以及最高安全级别permit
192.
168.
10.
00.
0.
0.255SNMP SNMPv3知有两种类型陷阱和通知,特别是在公共或不受信任Routerconfig#snmp-server trapsauthPriv通知需要接收方确认,更可的网络上community SecretKeyRO10informs靠但消耗更多资源高可用性配置HSRP VRRPGLBP高可用性协议允许多个路由器共同提供冗余默认网关服务热备份路由器协议是思科专有协议,允许两台或多台路由器共同提供单一虚拟路由器HSRP Routerconfig#interface GigabitEthernet0/0Routerconfig-if#ip address
192.
168.
1.
2255.
255.
255.0Routerconfig-if#standby1ip
192.
168.
1.1Routerconfig-if#standby1priority110Routerconfig-if#standby1preempt虚拟路由器冗余协议是的开放标准替代品,功能类似但与多厂商设备兼容VRRP HSRPRouterconfig#interface GigabitEthernet0/0Routerconfig-if#ip address
192.
168.
1.
2255.
255.
255.0网关负载均衡协议除了提供冗余外,还能在多个路由器间分配流量Routerconfig-if#vrrp1ip
192.
168.
1.1Routerconfig-if#vrrp1priority110Routerconfig-if#vrrp1preempt GLBPRouterconfig#interface GigabitEthernet0/0Routerconfig-if#ip address
192.
168.
1.
2255.
255.
255.0Routerconfig-if#glbp1ip
192.
168.
1.1Routerconfig-if#glbp1priority110Routerconfig-if#glbp1preempt Routerconfig-if#glbp1load-balancing round-robin基础配置IPv6启用配置地址路由IPv6IPv6IPv6要在路由器上启用功能,首先需要在全局为接口配置地址有多种方法静态配置静态路由配置与类似,但使用地IPv6IPv6IPv6IPv4IPv6配置模式下开启单播路由址格式IPv6Routerconfig#interface Routerconfig#ipv6route此命配置Routerconfig#ipv6unicast-routing GigabitEthernet0/0Routerconfig-if#2001:db8:2:2::/642001:db8:1:1::2令激活路由功能,允许路由器转发数链路本默认路由IPv6IPv6ipv6address2001:db8:1:1::1/64IPv6Routerconfig#ipv6route据包如果只需要地址配置而不需要路由地地址还支持多种动态IPv6Routerconfig-if#ipv6address::/02001:db8:1:1::2IPv6功能(如作为主机使用),可以不执行此命令自动配置路由协议配置fe80::1link-local RIPngRouterconfig#某些情况下,可能还需要启用其他相关功IPv6Routerconfig-if#ipv6address ipv6router rip PROCESS1能此命令启用也可以使用格式从接口Routerconfig#ipv6cef autoconfigEUI-64Routerconfig-rtr#exit Routerconfig#的快速转发,提高数据包的转发地址生成接口IPv6Cisco IPv6MAC IDRouterconfig-if#interfaceGigabitEthernet0/0性能ipv6address2001:db8:1:1::/64eui-64Routerconfig-if#ipv6ripPROCESS1多个地址可以同时配置在一个接口上,这是配置enable OSPFv3Routerconfig#的常见用法IPv6ipv6router ospf1Routerconfig-rtr#router-id
1.
1.
1.1Routerconfig-rtr#exit Routerconfig#interfaceGigabitEthernet0/0Routerconfig-if#ipv6ospf1area0第十部分故障排除故障排除方法论故障排除工具常见问题类型预防性维护网络故障排除是系统化解决网络问路由器提供多种内置工具辅助故障网络问题通常可分为连接性问题、预防胜于治疗,良好的网络维护实题的过程有效的故障排除遵循结排除和测试基本性能问题和间歇性问题连接性问践能减少故障发生这包括定期备ping traceroute构化方法首先收集信息和症状;连通性和路径;命令提供实题可能由物理故障、配置错误或安份配置、监控设备健康状况和性能debug其次隔离问题域;然后确定可能的时协议操作视图;命令显示全限制导致;性能问题可能源于带指标、实施变更控制流程、定期更show原因;接着测试可能的解决方案;配置和状态信息;日志记录捕获系宽限制、硬件资源不足或协议效率新软件和固件、以及文档记录网络最后实施解决方案并验证结果统事件;(某些平低下;间歇性问题最难诊断,可能设计和配置建立基线性能指标特packet-tracer七层模型为故障排除提供了自台上)模拟数据包如何通过设备涉及负载相关故障、定时问题或环别重要,它为识别异常提供参考点OSI底向上的框架,从物理层开始检查这些工具结合使用,能够识别大多境因素识别问题类型有助于选择,使问题能够在影响用户前被发现电缆和硬件,逐步上升到应用层数网络问题的根本原因合适的排障策略常见故障类型数据链路层故障物理层故障数据链路层故障涉及第二层协议和设备间帧交换问题物理层故障是最基本的网络问题,通常与硬件组件或物常见症状包括接口物理状态为但协议状态为up down理连接有关常见症状包括接口显示状态、链路down;高错误计数;地址表问题典型故障包括二层MAC灯不亮或闪烁异常典型的物理层故障包括电缆损坏环路导致的广播风暴;配置错误;配置不匹STP VLAN或连接松动;接口故障或硬件错误;电源问题;冷却系配;自动协商问题导致的双工不匹配数据链路层故障统故障导致的过热物理层故障的诊断通常从视觉检查1诊断工具包括检查错误计数、show interfacesshow开始,检查线缆连接、电源状态和指示灯2和命令spanning-tree showvlan高层协议故障网络层故障高层协议故障(传输层和以上)可能更复杂,涉及专用网络层故障与寻址和路由相关常见症状包括无法IP4应用服务症状包括基本连接正常但特定应用失败;性通远程设备;可以通但应用程序不工作;间ping pingIP3能下降;间歇性应用错误常见问题包括歇性连接问题典型故障包括地址配置错误或冲突TCP/UDP IP端口阻塞;配置错误;服务质量问题;应用;子网掩码不正确;默认网关配置错误;路由表问题;NAT QoS层网关或检测功能配置错误高层故障诊断通常需要更错误阻止了合法流量排除网络层故障的命令包括ACL专业的工具如和协议分析器、、debug ippacket detailshow ipinterface briefshow iproute show,同时也需要对应用本身有更深入的了解和ip protocolsshow ip access-lists故障排除工具命令Ping Traceroute Debug是最基本的连通性测试工具,使用显示数据包到达目的地的路径,命令是强大的实时监控工具,显示协议Ping ICMPTracerouteDebug回显请求和回显应答包确认主机可达性基本帮助识别路由问题和网络瓶颈操作和网络事件的详细信息Router#Router#用法扩展扩展Router#ping
192.
168.
1.1traceroute
192.
168.
2.1traceroute debug ip ospfevents Router#debug ip提供更多选项,如数据包大小、重复次数选项允许更详细控制命令消耗大量系统资源,在生ping Router#traceroute packetDebug和超时时间产环境中应谨慎使用,特别是在高流量路由器Router#ping Protocol[ip]:Protocol[ip]:Target IPaddress:上始终使用尽可能具体的命令,并使Target IPaddress:
192.
168.
1.1Repeat
192.
168.
2.1Source address:debug用访问列表限制监控的流量count
[5]:100Datagram size
[100]:
192.
168.
1.1Numeric display[n]:Router#通过系1500Timeout inseconds
[2]:1Timeout inseconds
[3]:Probe countdebugippacket101detail Router#统地测试不同跳点,可以确定网络中断的位置
[3]:Minimum Timeto Live
[1]:access-list101permit iphost还可测试大小和路径中的分段问使用完毕Ping MTUMaximum Timeto Live
[30]:Port
192.
168.
1.1host
192.
168.
2.1题后,务必使用或Number
[33434]:Loose,Strict,Record,no debugall undebug关闭所有调试Timestamp,Verbose[none]:Traceroute all结果中的星号表示探测超时,可能指示路径*中断或封包过滤日志管理配置系统日志查看日志信息系统日志记录设备事件和错误,是故障排查看内存缓冲区中的日志消息Syslog Router#show除的重要资源配置基本日志记录可以使用过滤选项查看特定消息logging启用日志记录Routerconfig#logging on#Router#show logging|include OSPF时间Routerconfig#logging buffered16384Router#show logging|begin Jun10内存缓冲区日志戳对于关联事件和排序至关重要debugging#Routerconfig#控制台日志logging consoleinformational#Routerconfig#service timestampslog级别各Routerconfig#no loggingconsole#datetime mseclocaltime show-timezone关闭控制台日志高流量环境日志级别从到,类事件(接口状态变化、路由协议邻居变化、系07最严重,最详细统重启等)都会生成日志消息理解这些消息对0emergencies7debugging在生产环境中,通常将控制台和监视终端日志级迅速识别问题原因至关重要别设置为或更高,避免日志消息干扰warning4操作远程日志服务器配置远程服务器允许集中存储和分析多设备日志Syslog Routerconfig#logging host
192.
168.
10.50Routerconfig#logging trapwarning Routerconfig#logging facilitylocal6这些命令配置路由器将及以上级别的Routerconfig#logging source-interface Loopback0warning日志发送到的服务器,使用设施代码,源地址为接口集中式
192.
168.
10.50Syslog local6Loopback0日志管理的优势包括长期存储超出设备缓冲区容量的日志;跨多个设备的事件关联;高级搜索和分析功能;以及生成趋势报告和警报端口镜像配置SPAN交换端口分析器允许复制端口流量并发送到监控设备,用于流量分析和故障SPAN应用场景排除本地配置仅监控同一交换机上的流量SPAN Routerconfig#monitor端口镜像有多种重要应用网络故障排除使用协议分析器捕获和分析实际网络session1source interfaceGigabitEthernet0/1Routerconfig#monitor
1.-这些命令配置会话将流量,识别异常通信模式和协议错误安全监控连接入侵检测系统或入侵session1destination interfaceGigabitEthernet0/
212.-IDS上的所有流量复制到也可以监控多个防御系统监控网络流量,发现可疑活动应用性能监控分析应用流量以识GigabitEthernet0/1GigabitEthernet0/2IPS
3.-源接口或整个别性能瓶颈和优化机会合规监控满足某些行业监管要求,保留网络通信记录VLAN Routerconfig#monitor session1source interface
4.-使用端口镜像时应注意,镜像所有高流量端口可能导致目标端口过载,产生丢包GigabitEthernet0/1-3Routerconfig#monitor session1source vlan10,20123配置RSPAN远程扩展了功能,允许监控跨越多个交换机的流量SPANRSPAN SPANRSPAN使用专用传输监控流量在源交换机上VLAN Routerconfig#vlan100Routerconfig-vlan#remote-span Routerconfig#monitor session1source interfaceGigabitEthernet0/1Routerconfig#monitor session1在目的交换机上destination remotevlan100Routerconfig#vlan100Routerconfig-vlan#remote-span Routerconfig#monitor session1source remotevlan100Routerconfig#monitor session1destinationinterface GigabitEthernet0/2网络性能优化调整配置压缩1MTU2最大传输单元是数据包在不分片的情况在带宽受限的链路上,可以配置压缩减少传输MTU下可传输的最大大小默认以太网为数据量链路压缩应用于点对点链路,MTU
1.-字节,但可以根据需要调整如串行接口1500Routerconfig#interfaceRouterconfig#interface Serial0/0Routerconfig-if#compress有效负载压缩使用头压缩减少GigabitEthernet0/0Routerconfig-if#stac
2.-RTP增大(如使用巨型帧)可以流量mtu9000MTU VoIPRouterconfig#interface提高大文件传输的性能,减少分片和重组的开Serial0/0Routerconfig-if#ip rtp销,尤其适合存储网络、备份和视频传输然压缩可以显著提高低带header-compression而,路径中的所有设备必须支持相同的值宽链路的性能,但会增加负载在高带宽MTU CPU,否则可能导致分片或黑洞路由使用链路或处理能力有限的路由器上应谨慎使用ping命令的(不分片)选项可以测试路径某些高端路由器支持硬件加速的压缩,减轻DF MTU负担CPU使用缓存3各种缓存和优化技术可以提高网络性能(思科快速转发)优化路由表查找和数据包转发
1.CEF-路由缓存提高路由查找性能网Routerconfig#ip cef
2.-Routerconfig#iproute-cache
3.络地址转换优化Routerconfig#ip nattranslation timeout300Routerconfig#ip nat另外,某些高级平台支持内容缓存和优化功能,如(translation max-entries10000WAN WCCP缓存通信协议)和(性能路由)这些可以显著提高终端用户体验,特别是在访问频繁使用的Web PfR网站和应用程序时常见配置错误地址冲突路由环路配置不当配置错误IP ACL NAT地址冲突是常见配置错误,发生在两个或路由环路使数据包在网络中不断循环,直到访问控制列表配置错误可能导致意外阻断合网络地址转换配置错误会导致内部网络无法IP多个设备使用相同地址时症状包括间歇过期症状包括连接缓慢、间歇性连接法流量或允许恶意流量症状包括特定服务访问外部资源或外部无法访问内部服务常IP TTL性连接、设备离线或生成丢失或消息常或应用无法访问;某些用户可以访问而其他见症状包括单向连接;部分服务工作而其他duplicate IPTTL expiredin transit日志消息常见原因包括手动配见原因包括路由协议配置错误;路由重分用户不能;间歇性连接问题常见错误包括不工作;特定内部主机不能访问互联网常address置重复地址;配置错误导致重叠地址布不当;静态路由配置错误;汇总路由与更顺序错误(从上到下处理,顺序至关见错误包括池地址不足导致地址耗尽DHCP ACL NAT池;静态地址与范围重叠;多个具体路由相互冲突;默认路由指向内部网络重要);遗漏语句导致隐式;;内部和外部接口定义反转;配置与路DHCP permitdeny NAT服务器分配相同范围;虚拟化环境中;备份链路在主链路故障时未激活检测和通配符掩码配置错误;未考虑返回流量;应由策略冲突;重叠地址空间导致混淆;DHCP NAT克隆设备未更改检测和解决冲突使解决路由环路使用命令查看用到错误接口或方向;未测试新对项超时设置不当;特殊协议(如、IPIPtraceroute ACLACLNATSIP用、和特定网络扫描工具;查异常路径;检查输出查找现有服务的影响解决问题使用)的(应用层网关)配置不正确arp-a pingshow iproute ACLFTP ALG看服务器租约表;使用地址管理系统不一致;确保正确配置管理距离;使用和排除故障使用DHCP showaccess-lists showipaccess-NAT showip nat跟踪地址分配;实施地址预分配检查查看路由变化;仔细审查看配置;使用确查看活动转换表;IPAM debugip routinglists showipinterfacetranslations debugip流程;建立明确的地址分配策略查静态路由配置;实施路由过滤和路由策略认应用于正确接口和方向;测试匹追踪操作;检查以确定哪些流IP ACLACL natNAT ACL;利用不同路由协议的环路预防机制配条件;审查序列和逻辑;考虑使用命量被转换;验证接口方向标记;检查池ACLNAT名以便于编辑;实施变更控制和测试程用量和超时设置;考虑特殊协议的要求和应ACL序用层网关的需要实验综合配置案例应用和验证测试并确认网络服务正常运行,包括连接性、路由和安全策略1安全配置2实施访问控制列表、远程管理和用户认证SSH路由配置3配置静态路由和动态路由协议如OSPF接口配置4设置地址、子网掩码和激活接口IP基本设置5配置主机名、密码和基本系统参数本实验将综合应用我们学习的路由器配置技能,构建一个小型企业网络假设有一个总部和一个分支机构,通过广域网连接我们需要配置总部路由器和分支路由器,包括基本设置、接口配置、路由R1R2配置和安全策略总部有两个本地网络(用户网络)和(服务器网络);分支机构有一个本地网络
192.
168.
10.0/
24192.
168.
20.0/
24192.
168.
30.0/24首先,我们将配置基本设置,包括主机名、启用密码和远程访问限制然后,配置各个接口的地址并启用接口接下来,设置路由协议建立网络连通性为了保障网络安全,我们将配置限制对IPOSPFACL服务器网络的访问,并设置远程管理最后,我们将验证配置并排除潜在的连接问题通过这个实验,您将学会如何综合应用多种路由器配置技术解决实际网络需求SSH总结路由器配置要点回顾最佳实践建议进阶学习方向通过本课程,我们学习了路由器的基本概念、硬配置路由器时,应遵循一些最佳实践始终保持随着网络技术的快速发展,路由器配置知识也在件组成以及主要操作系统我们掌握了路由器基配置文件备份;实施变更控制流程,记录所有配不断更新进阶学习可以关注软件定义网络本配置方法,包括系统设置、接口配置和路由设置更改;使用标准化命名约定;优先选择安全性、网络自动化、云网络集成、网络安全高SDN置同时,我们还探索了安全配置、、更高的协议(如而非);实施最小权级主题、迁移策略等方向通过参加认证培NAT SSHTelnet IPv6等高级功能,以及常见故障排除技术这限原则;保持软件更新以修复漏洞;定期审核配训、实验室练习和跟踪行业最新发展,可以持续DHCP些知识为网络工程师日常工作奠定了坚实基础置以移除过时或不必要的设置提升网络技术能力,应对日益复杂的网络环境问答环节基本配置问题路由协议问题安全配置问题故障排除问题高级功能问题感谢参加本次路由器配置入门教程!问答环节是巩固知识和解决疑问的重要机会根据以往经验,学员常见问题主要集中在基本配置、路由协议和安全配置等方面例如,很多学员关心如何选择最合适的路由协议,如何有效排除连接故障,以及如何实施分层安全策略等我们鼓励大家积极提问,无论是关于课程内容的疑惑,还是实际工作中遇到的具体问题对于复杂或特定环境的问题,我们可能需要了解更多背景信息才能提供准确建议此外,我们也欢迎有经验的学员分享自己的经验和见解,促进相互学习请记住,在网络配置领域,理论知识与实践经验同样重要,多动手操作是掌握技能的最佳途径。
个人认证
优秀文档
获得点赞 0
