文章目录
配置静态路由
ip route [目的地址] [子网掩码] [下一跳地址]
配置RIP动态路由
距离矢量路由协议,RIP的15跳限制,超过15跳的路由被认为不可达
router rip
version 2
no auto-summary #取消自动汇总功能
network [主网络号](他知道的直连网段)
ospf动态路由
链路状态路由协议没有跳数的限制
router ospf 进程号
network 直连的网段号 反掩码 area 区域号
多区域ospf
提高了网络的扩展性,有利于组建更大规模的网络
分区域后,各区域管各自的区域,效率更高,收敛速度更快
为了适应大型的网络,OSPF在AS内划分多个区域,每个OSPF路由器只维护所在区域的完整链路状态信息。
动态路由 area不一样,
必须有骨干区域area0和非骨区域area任何数字
area 0 有且只有一个,并且要连续,非骨干区域必须要和骨干区域直接相连
路由重发布
rip和ospf重发布
router rip
redistribute ospf [此路由器的进程号] metric [路由器数,不超过15]
router ospf [此路由器的进程号] (中间交界路由器的ospf进程号是多少,进程号就是多少)
redistribute(重发布) rip subnets
静态路由和rip,ospf重发布
进行路由再发布,动态路由再发布是互相引入。而静态、直连引入动态路由是单方向引入,只被动态路由引入就好。动态引入静态和直连,静态路由只管发布就好
rip引入直连,静态
1.在router 1 中配置静态路由R1路由器要把所有网段都配置一下静态路由
2.进入router 3配置rip
3.进入router 2配置静态路由只配置左边静态路由区域的网段
因为是路由器的路由重发布,这个路由器有多个路由所以要互相引入,而R1路由器不用路由重发布,所以要配置网络上所有的网段。
4.配置rip
`router rip`
`version 2`
`no auto-summary`
`network 192.168.5.0`
5.在router 2进入rip将直连网段和静态路由添加进去
`router rip`
`redistribute connected `(添加直连网段)
`redistribute static `(添加静态路由)
进入router 3,将直连网段添加进去我感觉这步可以没有,我实验不加这个就不通,好离谱。
`router rip`
`redistribute connected `
ospf引入直连,静态
1.在router 1 中配置静态路由也是要配置所有网段的静态路由
2.进入router 3配置ospf
`router ospf 1`
`network 192.168.5.0 0.0.0.255 area 0`
3.进入router 2配置静态路由就配置静态路由那一侧的就行,和R1不一样,不用全配
4.配置ospf
`router ospf`
`network 192.168.5.0 0.0.0.255 area 0`
在router 2进入ospf将直连网段和静态路由添加进去
`router ospf 1`
`redistribute connected subnets `(添加直连网段)
`redistribute static subnets `(添加静态路由)
进入router 3,将直连网段添加进去这个应该可以没有,如果不通就加上
`router ospf 1`
`redistribute connected subnets `
(相比rip。ospf宣布直连网段和静态路由后面多了subnets,(子网))
单臂路由
1.进入交换机和两台主机对应的端口设置两个vlan,左边的是vlan 1,右边的是vlan 2,选择一个端口与路由器相连作为 trunk 口,
//设置vlan
Switch(config)#vlan
Switch(config)#vlan 10
Switch(config-vlan)#exit
Switch(config)#vlan 20
Switch(config-vlan)#exit
//将与主机相连的端口设置vlan
Switch(config)#int f0/1
Switch(config-if)#switchport access vlan 10
Switch(config-if)#exit
Switch(config)#int f0/10
Switch(config-if)#switchport access vlan 20
Switch(config-if)#exit
//与路由器相连的trunk口
Switch(config)#int f0/24
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk allow vlan all
Switch(config-if)#exit
2.进入路由器与交换机相连的端口,设置此端口的子端口号为1和2,1为192.168.1.0网段主机的网关,2为192.168.2.0网段主机的网关。进行封装命令为encapsulation dot1Q 允许通过的vlan号
,
//进入端口1的子网号1
Router(config)#interface f0/1.1
Router(config-subif)#
%LINK-5-CHANGED: Interface FastEthernet0/1.1, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1.1, changed state to up
//子网1通过的vlan号为10
Router(config-subif)#encapsulation dot1Q 10 //这个是允许通过的vlan号
Router(config-subif)#ip add 192.168.1.1 255.255.255.0
Router(config-subif)#no shutdown
Router(config-subif)#exit
//进入端口1的子网2
Router(config)#interface f0/1.2
Router(config-subif)#
%LINK-5-CHANGED: Interface FastEthernet0/1.2, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1.2, changed state to up
//允许通过的vlan号为2
Router(config-subif)#encapsulation dot1Q 20 //这个是允许通过的vlan号
Router(config-subif)#ip add 192.168.2.1 255.255.255.0
Router(config-subif)#no shutdown
Router(config-subif)#exit
Router(config)#
%LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0/0/0, changed state to up
默认路由
默认路由是一种特殊的静态路由,指的是当路由表中与包的目的地址之间没有匹配的表项时路由器能够做出的选择。如果没有默认路由,那么目的 地址在路由表中没有匹配表项的包将被丢弃· 默认路由在某些时候非常有>效,当存在末梢网络时,默认路由会大大简化路由器的配置,减轻管理员的工作负担,提高网络性能。
适用于只有一条网络出口的末端网路,且数据只能按着下一跳的方向传递,不能反向传递,并且一个路由器只能配置一个默认路由,
我认为可以简单理解为从路由器起点跳向下一个地址,然后顺着一条线,一直查找目的路由器,一直到末端路由。
配置完默认路由,有其他分叉的网段要用静态路由配齐
浮动路由
路由协议的类型 | 默认距离值(优先级) |
---|---|
直连路由(Direct) | 0 |
静态路由(Static) | 1 |
增强型内部网关路由协议 (EIGRP) 汇总路由 | 5 |
外部边界网关协议 (BGP) | 20 |
内部 EIGR | 90 |
IGRP | 100 |
OSPF | 110 |
IS-IS(中间系统到中间系统) | 115 |
路由信息协议 (RIP) | 120 |
Exterior Gateway Protocol (EGP) | 140 |
按需路由 (ODR) | 160 |
外部 EIGRP | 170 |
内部 BGP | 200 |
未知* | 255 |
浮动路由其实是在静态路由下一跳模式基础上面延伸出来的,和普通下一跳相比,多配了一个下一跳和优先级而已,当然,优先级可以进行省略不写是不影响实验最后的结果的
浮动路由用于实现多出口环境下的路径选择,当主路径出现故障后,流量能够自动切换到备用路径。
//主线路
ip route 目的地址 掩码 下一跳地址
//备用线路
ip route 目的地址 掩码 下一跳地址 100(这个是管理距离,随便写)
当主线路断开时,备用线路连接
标准访问控制列表控制(ACL)
主机0能访问主机4,主机1能访问主机3,主机2不能访问主机3
- 标准访问控制列表:一般应用在out数据流出接口。建议配置在离目标端最近的路由上
- 扩展访问控制列表:一般应用在数据流入in方向 ,配置在离源端最近的路由上,
- 命名访问控制列表:允许在标准和扩展访问列表中使用名称代替表号
首先配置路由协议,几个路由协议的一种,让主机之间连通
deny (不允许) permit(允许)
//允许这个网段的所有主机通过,必须要配置反掩码
Router(config)#access-list 1 Permit 192.168.1.0 0.0.0.255 //访问控制列表号,标准ACL的号码范围是1-99
//允许这台主机通过(host 只允许单台设备通过),不用配置反掩码
Router(config)#access-list 1 permit host 192.168.2.101
//不允许这个主机通过
Router(config)#access-list 1 deny host 192.168.2.102
//允许源地址任意的IP地址的数据包通过
//这段代码必须加在最后,允许没有配置的任意数据通行,加上这一句代码,程序就跳出访问控制列表了,所以要加在最后一句
//这句必须加上
Router(config)#access-list 1 Permit any //标准的一个any,拓展的两个any.
//进入相应接口,输出(out)端
Router(config)#int f0/0
//在接口上应用ACL
Router(config-if)#ip access-group 1 out (1 是前面的访问控制列表号)
access-list 1 Permit any //允许源地址任意的IP地址的数据包通过
等价于access-list 1 Permit 0.0.0.0 255.255.255.255
拓展访问控制列表
语法;access-list 访问控制列表号 {deny|permit} 协议类型 源网络地址 [掩码] 目的网络地址 [掩码] [运算符 端口号]
运算符有it,gt,eq,neq,分别表示小于,大于,等于,不等于
首先要弄清楚一件事:
我感觉 icmp 写的时候不应该省略,老师也没说请,擦,真傻逼,我也不知道啊,没法说
每台主机都要配置DNS地址,就是网络服务器的地址
配置前一定要规划好有次序
拓展访问控制列表编号范围是100-199
//禁止主机0所在的网络的所有主机ping服务器
//icmp协议就是测试网络是否畅通,ping操作通不通
//前面是源地址后面是目的地址,地址是一个网段时必须后面加上掩码,是主机host地址时就不用加掩码
//echo是请求,echo-reply是回应,什么都不写 any 是请求和回应都允许
Router(config)#access-list 100 deny icmp 192.168.1.0 0.0.0.255 host 192.168.4.101 echo
//禁止主机0访问ftp
//eq是等于,至于别的符号和这个为啥我也不懂
//eq等于后面加上要禁止或者通过的协议,ftp也可以换成端口号数字例如:
Router(config)#access-list 100 deny tcp host 192.168.1.101 host 192.168.4.101 eq ?
<0-65535> Port number
ftp File Transfer Protocol (21)
pop3 Post Office Protocol v3 (110)
smtp Simple Mail Transport Protocol (25)
telnet Telnet (23)
www World Wide Web (HTTP, 80)
// ftp可以换成端口号21,www可以换成端口号80
Router(config)#access-list 100 deny tcp host 192.168.1.101 host 192.168.4.101 eq ftp
//禁止主机一访问web服务器
Router(config)#access-list 100 deny tcp host 192.168.2.101 host 192.168.4.101 eq www
//禁止主机二访问DNS服务器
//UDP协议是DNS,除了icmp,例如tcp和udp 后面都要加 eq和选择的协议
Router(config)#access-list 100 deny udp host 192.168.2.102 host 192.168.4.101 eq domain
//主机二可以访问web
Router(config)#access-list 100 permit tcp host 192.168.2.102 host 192.168.4.101 eq www
//主机二可以Pingtong服务器
Router(config)#access-list 100 permit icmp host 192.168.2.102 host 192.168.4.101 echo-reply
//允许所有的ip地址通过
//第一个any任何源主机,第二个any是任何目的主机
//这句必须加上,而且是两个any,标准的只有一个any
Router(config)#access-list 100 permit ip any any //这句必须最后一句执行,不然就跳出去了
//进入想要配置的端口,将配置的链表应用到这个接口上
Router(config)#int s0/1/0
Router(config-if)#ip access-group 100 out
//查看一下访问控制列表的配置情况
outer#show access-lists
Extended IP access list 100
10 deny icmp 192.168.1.0 0.0.0.255 host 192.168.4.101 echo
20 deny tcp host 192.168.1.101 host 192.168.4.101 eq ftp
30 deny tcp host 192.168.2.101 host 192.168.4.101 eq www
40 deny udp host 192.168.2.102 host 192.168.4.101 eq domain
50 permit tcp host 192.168.2.102 host 192.168.4.101 eq www
60 permit icmp host 192.168.2.102 host 192.168.4.101 echo-reply
70 permit ip any any
Router#
- 拓展访问控制列表必须有一个允许的语句,permit
- 创建列表时语句的前后顺序不能颠倒,因为列表的匹配顺序是从上往下的,最有限制性的语句应该放在首行,如果找到一条匹配,就执行操作并不再往下继续查找。如果两条语句放在前或后都不影响结果,一般把使用较多的那条放在前面,这样可以减少路由器的查找时间,提高路由器的工作效率。也就是说先写禁止的语句。
- 删除访问控制列表只能一次都删除整张列表
- 可用于好几个端口
验证是否能访问ftp,在命令行打:ftp加服务器的地址
协议 | 端口号 |
---|---|
Telnet | 23 |
ftp | 20/21 |
SMTP | 25 |
POP3 | 110 |
DNS | 53 |
http | 80 |
TFTP | 69 |
PSTN与以太网互连
添加端口
LT1(config)#username liutao password 113419 ##连接的用户名和密码
拨号号码
在主机上拨号,号码填写近路由器的一端,出去的那个端口
路由器DHCP配置
//交换机划分vlan,将连接路由器的口划分为trunk口
Switch(config)#vlan 2
Switch(config-vlan)#exit
Switch(config)#vlan 3
Switch(config-vlan)#exit
Switch(config)#int f0/2
Switch(config-if)#switchport access vlan 2
Switch(config-if)#exit
Switch(config)#int f0/3
Switch(config-if)#switchport access vlan 3
Switch(config-if)#exit
Switch(config)#int f0/1
Switch(config-if)#switchport mode trunk
Switch(config-if)#
//设置单臂路由子接口
Router(config)#int f0/1.1
Router(config-subif)#encapsulation dot1Q 2 ##2是vlan号
Router(config-subif)#ip add 192.168.1.1 255.255.255.0
Router(config-subif)#exit
Router(config)#int f0/1.2
Router(config-subif)#encapsulation dot1Q 3
Router(config-subif)#ip address 192.168.2.1 255.255.255.0
Router(config-subif)#exit
Router(config)#
//配置DHCP地址池
Router(config)#ip dhcp pool vlan2
Router(dhcp-config)#network 192.168.1.0 255.255.255.0
Router(dhcp-config)#default-router 192.168.1.1
Router(dhcp-config)#dns-server 192.168.5.101
Router(dhcp-config)#exit
Router(config)#ip dhcp pool vlan3
Router(dhcp-config)#network 192.168.2.0 255.255.255.0
Router(dhcp-config)#default-router 192.168.2.1
Router(dhcp-config)#dns-server 192.168.5.101
Router(dhcp-config)#
//这个网段这些地址不能分配
Router(config)#ip dhcp excluded-address 192.168.1.1 192.168.1.100
##意思就是1.1到1.100中间这些网址不会被分配
然后就完事了
网络地址转换静态NAT配置
在R0和R1上配置两条默认路由
R0
R1
//设置内网口和外网口
Router(config)#int f0/0
Router(config-if)#ip nat inside
Router(config-if)#exit
Router(config)#int f0/1
Router(config-if)#ip nat outside
Router(config-if)#exit
//来自内网的静态地址转换成的地址,后面是要转换的地址
Router(config)#ip nat inside source static 192.168.1.101 211.84.144.1
//查看一下静态NAT转换,ping 一下主机就会显示转换结果
Router#show ip nat translations
Pro Inside global Inside local Outside local Outside global
--- 211.84.144.1 192.168.1.101 --- ---
从外网ping内部网址,显示的是转换网址
网络端口地址转换NAPT
Router(config)#int f0/1
Router(config-if)#ip nat inside
Router(config-if)#exit
Router(config)#int f0/0
Router(config-if)#ip nat outside
Router(config-if)#exit
Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
Router(config)#ip nat pool LT 200.1.1.3 200.1.1.4 netmask 255.255.255.0
Router(config)#ip nat inside source list 1 pool LT overload //不加overload是nat,加上是napt
Router(config)#