实用网络设计与配置 北京市高等教育精品教材立项项目 教学课件 作者 孙建华 第9章Cisco路由器的配置实例.ppt

第 9 章 Cisco路由器的配置 实 例 9.1 Cisco路由器基础 路由器是连接多个网络或网段的网络设备。路由器主要完成两项工作，即“寻径”和“转发”。“寻径”是指建立和维护路由表的过程，主要由软件实现；“转发”是指把数据包从一个接口转到另一接口的过程，主要由硬件完成。 路由器就是一台特殊功能的计算机，它的主要功能就是用来进行路由计算和数据包的转发，它有相应的操作系统（IOS）。 9.2 路由器配置 路由器的配置有4种方式，具体如下。 （1）Console （2）Telnet （3）TFTP （4）SNMP 9.2.1 IOS命令状态 图9.3所示为IOS命令状态和模式的关系。 9.2.2 IOS文件管理 9.2.3 IOS常用命令 9.2.4 路由器基本配置模板 9.3 路由协议设置 1．静态路由 router(config)# ip route <network> [mask] {address|interface} [distance] [permanent] network 是目的网络的网络地址；mask 是目的网络子网掩码；address是下一跳IP地址；interface是本端接口号码；distance管理距离，默认为1；permanent表明这个路径是永远存在。 2．动态路由 内部网关路由协议主要有RIP和OSPF。RIP路由协议的配置比较简单。 9.4 访 问 控 制 访问控制列表（Access Control List，ACL) 的实质是一种数据包过滤的手段。应用在路由器接口上的访问控制列表用来控制端口进出的数据包。 访问列表（access-list）就是一系列允许和拒绝条件的集合，通过访问列表可以过滤进入和送出的数据包的请求，实现对路由器和网络的安全控制。 访问控制列表具有区分数据包的功能，具体如下。 （1）ACL可以限制特定用户（网段或主机）或特定类型的网络流量，从而提高网络性能。 （2）ACL可以在路由器接口处决定哪种类型（如HTTP、DNS）的通信流量被转发或被阻塞。 （3）ACL可用于QoS中，提供对通信流量的控制手段，使得不同的数据流具有不同的优先级， （4）ACL可用于DDR中，来定义哪些数据包可以触发拨号。 （5）ACL可用于地址转换（NAT）中，来定义哪些数据包需要进行地址转换。 （6）ACL还广泛的应用在路由策略中，用于路由信息的过滤。 在路由器配置中，标准ACL和扩展ACL的区别是由ACL的序号来体现的，标准ACL的序列号范围是1～99，扩展ACL的序列号范围是100～199。ACL的配置分为两个步骤。 （1）在全局配置模式下，使用下列命令创建ACL。 （2）在接口配置模式下，使用access-group命令将第一步中创建的ACL应用到某一接口上。 9.5 地 址 转 换 网络地址转换（NAT）用于将一个地址段映射到另一个地址段的标准方法。NAT允许一个机构的内部网络通过Internet上注册的合法地址接入Internet网络。 9.5.1 NAT的概念 NAT的翻译可以采取静态地址翻译或动态地址翻译。静态地址翻译将内部地址和外部地址一一对应。 动态IP地址翻译则采用地址池的概念，在NAT路由器设置一批地址，即地址池。当NAT需要对某个地址翻译时，就从地址池中选择一个地址进行翻译。使用NAT的几种情况如下。 （1）连接到Internet，但却没有足够的合法地址分配给内部主机。 （2）更改到一个需要重新分配地址的ISP。 （3）有相同的IP地址的两个网络。 （4）支持负载均衡。 9.5.2 访问控制和NAT NAT技术的原理是在一个网络内部，不需要申请，用户即可随意分配IP地址（建议采用RFC1918指定的私有IP地址）。 在网络内部，各计算机间通过内部的IP地址进行通信。 当内部的计算机需要访问外部Internet时，具有NAT功能的设备（如路由器）负责将其内部的IP地址转换为合法的IP地址（即经过申请的IP地址），从而使得一个私有网络可以通过少量的Internet注册的IP连接到外部世界。NAT的几个地址概念如下。 （1）内部本地地址 （2）内部全局地址 （3）外部本地地址 （4）外部全局地址 （1）access-list 1 permit 55 （2）ip nat inside source static 01 31 （3）ip nat inside source static 02 32 （4）ip nat pool