第4章路由器的基本配置和調(diào)試

第4章路由器的基本配置和調(diào)試4.1路由器的組成4.2IOS4.3路由選擇技術(shù)基礎(chǔ)4.4靜態(tài)路由4.5RIP協(xié)議的工作原理及配置4.6IGRP協(xié)議的工作原理及配置4.7EIGRP協(xié)議的工作原理及配置4.8OSPF協(xié)議的工作原理及配置4.9路由匯總4.10訪問控制列表4.1路由器的組成路由器或者說每臺IOS設備都有兩個主要組成部分：硬件和軟件。幾乎所有基于IOS的路由器都使用相同的硬件組件并在啟動過程中起協(xié)助作用。這些組件包括：處理器、內(nèi)存、接口和配置文件等等。其中內(nèi)存又分為：ROM（只讀存儲器）、RAM（隨機存取存儲器）、FLASHRAM（閃存）、NVRAM（非易失性RAM）、配置存儲器和物理接口。處理器和其他計算機一樣，運行著IOS的路由器也包含了一個“中央處理器”(CPU)。路由器的處理器負責執(zhí)行處理數(shù)據(jù)包所需的工作。路由器處理數(shù)據(jù)包的速度在很大程度上取決于處理器的類型。路由器內(nèi)部組件RAM配置寄存器ROMFlashNVRAM端口內(nèi)存ROM只讀內(nèi)存（ROM）在Cisco路由器中的功能與計算機中的ROM相似，主要用于系統(tǒng)初始化等功能。ROM是只讀存儲器，不能修改其中存放的代碼。RAMRAM是可讀可寫的存儲器，同普通的計算機一樣其存儲的內(nèi)容在系統(tǒng)重啟或關(guān)機后丟失。RAM的存取速度較快，優(yōu)于Cisco路由器的其它幾種存儲器的存取速度。NVRAM非易失性RAM(NonvolatileRAM)，存儲路由器的啟動配置文件。NVRAM是可擦寫的，在系統(tǒng)重新啟動或關(guān)機之后仍能保存數(shù)據(jù)。NVRAM的速度較快，成本較高。閃存閃存（FLASHRAM），是一種特殊的ROM，是可讀可寫的存儲器，在系統(tǒng)重新啟動或關(guān)機之后仍能保存數(shù)據(jù)，用于存儲CISCOIOS的各種版本，用于對路由器的IOS進行升級。接口路由器的接口用于和網(wǎng)絡中的各種設備進行鏈接，所有的路由器都有接口。每個接口都有自己的名字和編號，一般從0開始。對于接口固定的路由器，或采用模塊化的接口，只有關(guān)閉主機才可變動的路由器。若路由器支持“在線插入和刪除”，或具有動態(tài)更改物理接口配置的能力，則一個接口的全名至少應包含兩個數(shù)字，中間用一個正斜杠分隔(／)。其中，第一個數(shù)字代表插槽編號；第二個數(shù)字代表接口處理器的端口編號。控制臺端口路由器的背后一般都安裝有一個控制臺端口?？刂婆_端口提供了一個EIA／TIA-232(即RS-232)異步串行接口、能與路由器通信。通常，較小的路由器采用RJ45控制臺連接器，而較大路由器采用DB25控制臺連接器。輔助端口輔助端口，AuxiliaryPort，多數(shù)Cisco路由器都配備此接口。輔助端口通常用來連接Modem，以實現(xiàn)對路由器的遠程管理。配置文件IOS配置有兩類：運行配置和啟動配置。 運行配置運行配置也叫“活動配置”，包含了目前在路由器中“活動”的IOS配置命令，駐留于RAM中。啟動配置啟動配置也叫備份配置。啟動配置駐留在NVRAM中，包含了希望在路由器啟動時執(zhí)行的配置命令。啟動完成后，啟動配置中的命令就變成了“運行配置”。4.2IOSIOS是Cisco公司跨越主要路由和交換產(chǎn)品的軟件平臺，為不同需求的客戶提供統(tǒng)一的操作控制界面。Cisco互聯(lián)網(wǎng)絡操作系統(tǒng)（IOS）是Cisco路由器和大多數(shù)交換機的核心。CiscoIOS是被用來傳送網(wǎng)絡服務并啟用網(wǎng)絡應用程序的。CiscoIOS軟件提供多種網(wǎng)絡服務進而支持各種網(wǎng)絡應用.IOSCisco路由器的IOS具有以下功能： 控制和管理運行時的硬件組件。 根據(jù)需要加載網(wǎng)絡協(xié)議和加載所需功能。 控制并管理各設備之間傳輸?shù)牧髁俊?控制并管理網(wǎng)絡資源，以提供較強的網(wǎng)絡可靠性。 配置和管理訪問控制列表，以增強網(wǎng)絡的安全性。2500路由器—背板一覽4.2.1路由器的啟動 路由器加載并運行POST（開機自檢）。 執(zhí)行路由器ROM中的啟動程序Bootstrap。

裝入IOS后，IOS軟件在NVRAM中試圖查找并加載有效的配置文件（startup-config）。如果IOS不能找到配置文件，它將啟動系統(tǒng)配置會話。 如果查找到有效配置后就會進行加載，進入命令行界面（CLI界面）。4.2.2路由器的工作模式路由器的兩種主要工作模式是：用戶模式和特權(quán)模式。已經(jīng)進入的路由器控制臺，將在看見屏幕上看見如下內(nèi)容：Eastcon0isnowavailablePressRETURNtogetstarted.用戶模式對交換機和路由器的有限操作命令提示符為

主機名>主要有兩個命令模式提供命令鍵入.模式一:CiscoIOS的主要命令模式為了從控制臺開始使用路由器，需要登錄。登錄時的操作為：敲下Enter鍵，緊接著將會看到提示輸入密碼的信息。UserAccessVerificationPassword：Router>特權(quán)模式：用于進入這個模式的命令是Enable。當進入特權(quán)模式時，將在路由器控制臺上看見如下內(nèi)容：Router>Router>enEnterpassword：Router#特權(quán)(或enabled)模式對交換機和路由器更深入的操作有配置和監(jiān)視權(quán)力是進入其它配置模式的前提命令提示符為

主機名#模式二(也是最常用的模式):CiscoIOS的主要命令模式(續(xù))Consolewg_ro_c>wg_ro_c>enablewg_ro_c#wg_ro_c#disablewg_ro_c>wg_ro_c>logoutwg_ro_ccon0isnowavailablePressRETURNtogetstarted.用戶模式提示特權(quán)模式提示登入路由器只要所輸命令串在全部命令中是唯一的，可以將一個命令盡可能地簡寫，路由器在用戶模式下的命令清單wg_ro_c>?Execcommands:access-enableCreateatemporaryAccess-Listentry

atmsigExecuteAtm

SignallingCommands

cdChangecurrentdevice

clearResetfunctions

connectOpenaterminalconnection

dirListfilesongivendevice

disableTurnoffprivilegedcommands

disconnectDisconnectanexistingnetworkconnection

enableTurnonprivilegedcommands

exitExitfromtheEXEC

helpDescriptionoftheinteractivehelpsystem

latOpenalatconnection

lockLocktheterminal

loginLoginasaparticularuser

logoutExitfromtheEXEC

--More--wg_ro_c#?Execcommands:access-enableCreateatemporaryAccess-Listentryaccess-profileApplyuser-profiletointerfaceaccess-templateCreateatemporaryAccess-Listentry

bfeFormanualemergencymodessetting

cdChangecurrentdirectoryclearResetfunctionsclockManagethesystemclockconfigureEnterconfigurationmodeconnectOpenaterminalconnectioncopyCopyfromonefiletoanotherdebugDebuggingfunctions(seealso'undebug')deleteDeleteafiledirListfilesonafilesystemdisableTurnoffprivilegedcommandsdisconnectDisconnectanexistingnetworkconnectionenableTurnonprivilegedcommandseraseEraseafilesystemexitExitfromtheEXEChelpDescriptionoftheinteractivehelpsystem--More--路由器在特權(quán)模式下的命令清單只要輸入部分命令串(唯一表示某個命令)，緊接著按tab鍵就可以完整地輸入一個命令離開特權(quán)模式并回到用戶模式的命令為Disable。Router#disableRouter>從CLI上進行配置，需要通過鍵入configureterminal（可簡寫為configuret）來修改路由器的某些全局配置，Router#configConfiguringfromterminal,memory,ornetwork[terminal]?Enterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#CLI提示符常用的提示符有Router(config)#Router(config-if)#Router(config-subif)#Router(config-line)#子接口子接口允許用戶在路由器中創(chuàng)建邏輯接口，子接口下提示符變?yōu)镽oute(config-subif)#：Router(config)#intfastethernet0/0.?<0-4294967295>FastEthernetinterfacenumberRouter(config)#intfastethernet0/0.1Router(config-subif)#1）問號（？）Router#?configureEnterconfigurationmodeclearResetfunctionscopyCopyfromonefiletoanothereraseEraseafilesystemreloadHaltandperformacoldrestartwriteWriterunningconfigurationtomemory,network,orterminalclockManagethesystermclocktelnetOpenatelnetconnectionresumeResumeanactivenetworkconnectiondebugDebuggingfunctions(seealso’undebug’)undebugDisabledebuggingfunctions(seealso‘debug’)access-templateCreateatemporaryAccess-ListentryalpsALPSexeccommondsarchivemanagearchivefilesbfeFormanualemergencymodessettingcdChangecurrentdirectorydeleteDeleteafiledirListfilesonafilesystemelogEvent-loggingcontrolcommondsmoreDisplaythecontentsofafilemrmIPMulticastRoutingMonitorTestnciaStart?StopNCIAServerpwdDisplaycurrentworkingdirectory--MORE--使用某一個字母和一個問號（？），是查找以某個字母開頭命令的快捷方式。Router#c?ConfigureclearcopyclockcdRouter#c路由器的上下文相關(guān)聯(lián)幫助

Router#clokTranslating"CLOK"%Unknowncommandorcomputername,orunabletofindcomputeraddressRouter#cl?clearclockRouter#clock%Incompletecommand.Router#clock?setSetthetimeanddateRouter#clockset%Incompletecommand.Router#<Ctrl-P>clockset?hh:mm:ssCurrentTime符號解析命令提示調(diào)出最近用過的內(nèi)容路由器的上下文相關(guān)聯(lián)幫助(續(xù))Router#clokTranslating"CLOK"%Unknowncommandorcomputername,orunabletofindcomputeraddressRouter#clearclockRouter#%Incompletecommand.Router#setSetthetimeanddateRouter#%Incompletecommand.Router#hh:mm:ssCurrentTimeRouter#clockset19:56:00%Incompletecommand.Router#clockset19:56:00?<1-31>DayofthemonthMONTHMonthoftheyearRouter#clockset19:56:00048^%Invalidinputdetectedatthe'^'markerRouter#clockset19:56:0004August%Incompletecommand.Router#clockset19:56:0004August?<1993-2035>Year命令提示語法檢查命令提示先鍵入前面的命令然后輸入一個問號，可以在一個命令串中查找下一個命令。Router#clock?setSetthetimeanddaterouter#clockset?hh:mm:ssCurrentTimeRouter#clockset10:30:10?<1-31>DayoftheMonthRouter#clockset10:30:1025?MonthMonthoftheYear<cr>Router#clockset10:30:1025august?<1993-2035>YearRouter#clockset10:30:1025august2003?<cr>Router#2）上下鍵如果需要重新輸入上次輸入的命令，可以按向上箭頭得到。使用showhistory命令來查看路由器上最近輸入的10條命令，同樣可以用向上或向下的箭頭選擇。Router#showhistoryenconfigconfigclockset10:30:1025august2003clockset10:30:10config3）Tab鍵輸入一個命令的前面的一部分，然后按Tab鍵，該命令會自動的補全。這一操作減小了用戶重復輸入完整命令時的繁瑣，對于較長的較難記憶的命令，Tab鍵處理起來非常方便。4）錯誤提示符（^）如果輸入了一個錯誤的命令，將會得到一個錯誤提示符（^），這是一個非常有幫助的工具，它準確地標記出了輸入出錯的位置。Router(config)#cloakset^%Invalidinputdetectedat‘^’marker.Router(config)#5）增強的編輯命令Ctrl+A 移動光標到本行的開始處Ctrl+E 移動光標到本行的結(jié)尾處Esc+B 往回移動一個字Ctrl+B 向前移動一個字符Ctrl+F 向前移動一個字符Esc+F 向前移動一個字Ctrl+D 刪除某個單一字符Backspace 刪除某個單一字符Ctrl+R 重新顯示一行Ctrl+U 刪除一行Ctrl+W 刪除一個字Ctrl+Z 結(jié)束配置模式并返回執(zhí)行模式Tab 完成輸入一個命令寄存器的值是由4個十六進制數(shù)組成的，其長度是16比特。寄存器中的每個比特位都表明引導程序應該執(zhí)行的一項功能。4.2.4IOS的備份和恢復在升級或恢復CiscoIOS之前，應首先將已有文件復制到TFTP主機作為備份，以防止新的映象文件不能正常運行，此功能可以在任何TFTP主機上運行執(zhí)行。默認情況下，CiscoIOS文件一般存儲于閃存中。以下內(nèi)容將分別描述如何檢查閃存的容量、如何將CiscoIOS從閃存復制到TFTP主機，以及如何將IOS從TFTP主機復制回閃存等操作。在將IOS映像文件備份到網(wǎng)絡服務器之前，需要完成以下操作：確定是否可以訪問網(wǎng)絡服務器。確保網(wǎng)絡服務器具有足夠的存儲空間來存放映像文件。驗證所需的文件名以及路徑。映象文件備份的準備確認可以訪問到網(wǎng)絡服務確認服務器上有足夠的空間路由器網(wǎng)絡服務器映象文件備份的準備確認可以訪問到網(wǎng)絡服務確認服務器上有足夠的空間確認文件名路由器c2500-js-l_120-3.bin網(wǎng)絡服務器映象文件備份的準備路由器c2500-js-l_120-3.bin網(wǎng)絡服務器確認可以訪問到網(wǎng)絡服務確認服務器上有足夠的空間確認文件名需要時在服務器上創(chuàng)建文件4.2.5CDP工作原理CDP發(fā)現(xiàn)協(xié)議，是Cisco的一個專有的數(shù)據(jù)鏈路層協(xié)議，這個協(xié)議有助于管理員收集關(guān)于本地連接和遠程連接設備的相關(guān)信息。幾乎所有的Cisco設備都支持CDP，這些設備可以收集相鄰設備的硬件和協(xié)議信息，而且只能看到關(guān)于與這臺設備直接相連的其它設備的CDP信息。1.CDP信息CDP是運行在數(shù)據(jù)鏈路層的協(xié)議，CDP信息最小的長度只有80字節(jié)。因為CDP使用SNAP幀類型，所以CDP并不支持所有數(shù)據(jù)鏈路層類型，它所支持的介質(zhì)類型有：以太網(wǎng)、令牌環(huán)、FDDI、PPP、HDLC、ATM和幀中繼。2.CDP的配置默認情況下，所有能夠運行CDP協(xié)議的Cisco設備上的CDP都是啟用的。在Cisco路由器和2950系列交換機上，使用命令Router(config)#[no]cdprun可以全局地啟用或禁用CDP協(xié)議。3.CDP的驗證查看支持CDP協(xié)議的各Cisco設備的CDP的狀態(tài)時，可以使用下列命令：Router#showcdpGlobalCDPinformationSendingCDPpacketsevery60secondsSendingaholdtimevalueof180secondsRouter#4.3路由選擇技術(shù)基礎(chǔ)4.3.1路由選擇概述網(wǎng)絡中機器的能夠通信，就是數(shù)據(jù)包信息從一個網(wǎng)絡的主機傳送到另外一個網(wǎng)絡。路由器必須知道如何傳輸這些信息，這就需要路由器進行路由選擇。路由選擇就是確定一條消息如何從一個位置到達另外一個位置的過程。路由器需要知道目的地址，信息源，可能的路由，最佳的路徑等等。最后路由器還要負責維護路由信息，確認到達目的地的已知路徑是否有效以及是否是最新最好的一條路徑。路由過程包括兩項最基本的內(nèi)容尋址轉(zhuǎn)發(fā)數(shù)據(jù)包 尋址，指的是判定到達目的地的最佳路徑，由路由算法來實現(xiàn)。 在路由器判斷出最佳路徑后，通過路由表中的相應信息，將數(shù)據(jù)包從路由器的某個接口發(fā)送出去，這就是數(shù)據(jù)包的轉(zhuǎn)發(fā)。為了進行路由，路由器必須知道下面三項內(nèi)容：路由器必須確定它是否激活了對該協(xié)議組的支持。路由器必須知道目的地網(wǎng)絡。路由器必須知道哪個外出接口是到達目的地的最佳路。4.3.2路徑的確定由于網(wǎng)絡的復雜化，在Internet中確定一條遠程的路徑并非易事。由于路由器的存在，可以使大型的網(wǎng)絡進行子網(wǎng)化，保證子網(wǎng)內(nèi)流量的局域性，從而更好的利用帶寬。子網(wǎng)間的數(shù)據(jù)包轉(zhuǎn)發(fā)對路由器決定轉(zhuǎn)發(fā)的路徑來言就沒有那么困難了。4.3.3路由表選擇最佳路徑的策略，即路由算法是路由器的關(guān)鍵所在。為了完成這項工作，在路由器中保存著各種傳輸路徑的相關(guān)數(shù)據(jù)---路由表（RoutingTable），供路由選擇時使用。路由表可以是由系統(tǒng)管理員固定設置好的，也可以由系統(tǒng)動態(tài)修改，由路由器自動調(diào)整，也可以由主機控制。Network

ProtocolDestination

NetworkConnected

Learned

ExitInterfaceE0

S0靜態(tài)路由表由系統(tǒng)管理員事先設置好的固定的路由表稱之為靜態(tài)（Static）路由表。一般是在系統(tǒng)安裝時就根據(jù)網(wǎng)絡的拓撲結(jié)構(gòu)及配置情況預先設定的，它不會隨網(wǎng)絡結(jié)構(gòu)的變動而有所改變。路由器直連的網(wǎng)絡是可以直接到達的，到達這些網(wǎng)絡的數(shù)據(jù)包可以由路由器直接轉(zhuǎn)發(fā)；而與路由器并非直連的網(wǎng)絡，就需要進行相應的配置，使路由器掌握一條到達遠程網(wǎng)絡的可轉(zhuǎn)發(fā)路徑。動態(tài)路由表動態(tài)（Dynamic）路由表是路由器根據(jù)網(wǎng)絡系統(tǒng)的運行情況而自動調(diào)整的路由表。路由器根據(jù)路由選擇協(xié)議（RoutingProtocol）提供的功能，自動學習網(wǎng)絡運行的情況，在需要時自動計算數(shù)據(jù)傳輸?shù)淖罴崖窂?。IP路由表包含以下信息：目標：可以是目標主機、子網(wǎng)地址、網(wǎng)絡地址或默認路由。網(wǎng)絡掩碼：網(wǎng)絡掩碼與目標位置結(jié)合使用。網(wǎng)關(guān)：網(wǎng)關(guān)是數(shù)據(jù)包需要到達的下一個路由器的ip地址，確切的說是下一個接收這個數(shù)據(jù)包的路由器的接收接口的地址。接口：接口表明用于接通下一個路由器的LAN或請求撥號接口，也是數(shù)據(jù)包轉(zhuǎn)發(fā)和接收的端口。跳數(shù)：表明使用路由到達目標位置的相對成本，常指為到達目標位置所通過的路由器的數(shù)目。如果有多個相同目標位置的路由，則跳數(shù)最低的路由為最佳路由。協(xié)議：協(xié)議顯示路由器獲取路由的方式，獲取路由的決定策略，如RIP、IGRP、EIGRP、OSPF等。4.3.4路由協(xié)議概述路由協(xié)議有兩類：主動路由協(xié)議和被動路由協(xié)議。主動路由協(xié)議（即路由協(xié)議）可以在網(wǎng)絡中自動的學習，尋找目的網(wǎng)絡。只有主動路由協(xié)議才真正提供了維護路由表的機制，允許路由器進行通信，創(chuàng)建和維護路由表。著名的路由協(xié)議有：RIP、IGRP、EIGRP和OSPF協(xié)議等。被動路由協(xié)議，又叫被路由協(xié)議，用來決定數(shù)據(jù)包的傳送方式并在網(wǎng)絡中傳遞數(shù)據(jù)包。被路由協(xié)議的代表有：IP和IPX協(xié)議等。4.3.5管理距離管理距離（AD）劃分IP路由選擇協(xié)議的等級，給每種路由協(xié)議賦值。管理距離AD用以衡量接收來自相鄰路由器上路由選擇信息的可信度范圍是0～255，最可信距離為0，最差為255，AD值越高可信度越差。不同協(xié)議發(fā)現(xiàn)路由的選擇若某個路由器配置了RIP和IGRP兩種協(xié)議，兩種協(xié)議都學習到到達某一網(wǎng)絡。這時，因為RIP的管理距離為120，IGRP的管理距離為100，所以路由表中只會出現(xiàn)由IGRP學習到的路由。同一種協(xié)議發(fā)現(xiàn)路由的選擇若某路由器學習到到達一遠程網(wǎng)絡的兩條路由都采用同一種協(xié)議（如IGRP），即兩條路由具有相同的AD值，則路由協(xié)議的度量將作為判斷到達目的網(wǎng)絡的路由的優(yōu)劣的依據(jù)。度量可以是跳數(shù)、帶寬、延遲、負載、最大傳輸單元，或者是其中的幾種的組合度量，依不同協(xié)議而有所不同。路由類型管理距離直連0靜態(tài)路由1EIGRP90IGRP100OSPF110RIP120ExternalEIGRP170未知2554.3.6路由選擇協(xié)議分類路由選擇協(xié)議有三種類型：距離矢量鏈路狀態(tài)混合型路由協(xié)議的分類距離矢量混合路由鏈路狀態(tài)CBADCDBA距離矢量距離矢量協(xié)議種數(shù)據(jù)包每經(jīng)過一個路由器稱為一跳，這種協(xié)議將到達遠程網(wǎng)絡的跳計數(shù)作為判斷是否是最佳路由的依據(jù)。典型的距離矢量路由協(xié)議如RIP。距離矢量的路由協(xié)議定期將路由表復制給相鄰的路由器并且進行矢量堆加CDBACBADRoutingTableRoutingTableRoutingTableRoutingTableDistance—Howfar

Vector—Inwhichdirection路由器從收集到的源信息中選擇到達目標地址的最佳路徑ABCE0S0S0S1S0E0RoutingTable

00S0S1RoutingTableS00E00RoutingTable

E0S0

00距離矢量—源信息的獲得路由器從收集到的源信息中選擇到達目標地址的最佳路徑ABCE0S0S0S1S0E0RoutingTableRoutingTable0011S0S1S1S0RoutingTableS00E00S0

1E0S0S0100距離矢量—源信息的獲得距離矢量—源信息的獲得路由器從收集到的源信息中選擇到達目標地址的最佳路徑ABCE0S0S0S1S0E0RoutingTableRoutingTable0011S0S1S1S0RoutingTableS00E00S0S012E0S0S0S01200鏈路狀態(tài)鏈路狀態(tài)協(xié)議，也稱為最短路徑優(yōu)先協(xié)議。運行鏈路狀態(tài)協(xié)議的路由器比運行距離矢量協(xié)議的路由器能更好的掌握網(wǎng)絡的拓撲結(jié)構(gòu)變化和網(wǎng)絡運行的狀況。例如OSPF協(xié)議。鏈路狀態(tài)協(xié)議原理1：路由器找到自己鄰居2：每個路由器想鄰居發(fā)送LSAlinkstateadvertisement數(shù)據(jù)包，包含了自己的路徑成本3：LSA擴散，每個路由器都得到相同拓撲結(jié)構(gòu)的數(shù)據(jù)庫4：由SPF算法計算網(wǎng)絡可達性，建立SPF樹，以自己為樹根5：創(chuàng)建路由表，列出最優(yōu)路徑列表；維護其他拓撲結(jié)構(gòu)和狀態(tài)細節(jié)數(shù)據(jù)庫。鏈路狀態(tài)協(xié)議傳遞最佳的路徑信息給其它的路由器LSA（linkstateadvertisement)數(shù)據(jù)包鏈路狀態(tài)公告SPF運算拓補結(jié)構(gòu)數(shù)據(jù)最佳路由信息路由表CADB混合協(xié)議混合協(xié)議是一種結(jié)合了距離矢量協(xié)議和鏈路狀態(tài)協(xié)議兩者的優(yōu)點的協(xié)議。例如EIGRP協(xié)議。距離矢量和環(huán)狀路由的綜合應用混合路由選擇基于距離矢量的路徑Convergerapidlyusing通過傳遞變化的更新信息達到快速收斂平衡的路由針孔擁塞距離矢量路由協(xié)議的更新是定時更新，它發(fā)送完整的路由表給相鄰的路由器，相鄰路由器將接收到的路由表與自己原有的路由表進行組合，更新成完善的路由表。這一方式又被稱為傳言路由。4.3.7路由表匯聚路由器在第一次進行工作時，其路由表并非已經(jīng)具有了到達各遠程網(wǎng)絡的理想路由。理解距離矢量的路由協(xié)議在它啟動時所作的操作是非常重要的，這些操作展示了路由表的整個匯聚的過程。4.4靜態(tài)路由靜態(tài)路由的路由表基本上都是網(wǎng)絡管理員配置的路由，或由人為的相關(guān)設置自動生成的。靜態(tài)路由的路由表信息需要網(wǎng)絡管理員隨網(wǎng)絡的拓撲結(jié)構(gòu)或鏈路狀態(tài)的變化而及時調(diào)整修改。這種路由一般適用于比較簡單的網(wǎng)絡環(huán)境，在這樣的環(huán)境中，網(wǎng)絡管理員易于清楚地了解網(wǎng)絡的拓撲結(jié)構(gòu)，便于設置正確的路由信息。要實現(xiàn)路由路由器必須知道:目的地址源地址所有可能的路由路徑最佳路由路徑管理路由信息什么是路由什么是路由Network

ProtocolDestination

NetworkConnected

Learned

ExitInterfaceE0

S0可路由協(xié)議:IP

路由器必須知道未和其直接相連的目的地址E0S0SO靜態(tài)路由BNetworkA在小型網(wǎng)絡中適宜設置靜態(tài)路由。BStubNetwork靜態(tài)路由的特點如下：優(yōu)點：1）需要路由器CPU開銷。2）路由器之間不占用網(wǎng)絡帶寬資源。3）網(wǎng)絡安全保密性高，路由的選擇全部由網(wǎng)絡管理員指定。缺點：1）管理員操作較復雜，需要對網(wǎng)絡拓撲結(jié)構(gòu)有清晰和完整的了解，配置的路由信息必須正確。2）工作量較大，路由信息的維護較困難。例如，當有某個路由加入或退出當前網(wǎng)絡時，管理員須在所有路由器上進行相應的修改。SOBNetworkA在小型網(wǎng)絡中適宜設置靜態(tài)路由。BStubNetwork指定一條可以到達目標網(wǎng)絡的路徑Router(config)#iproutenetwork[mask]

{address|interface}[distance][permanent]

靜態(tài)路由的配置StubNetworkiproute

SOBNetworkAB這是一條單方向的路徑，必須配置一條相反的路徑。4.4.2默認路由默認路由，又稱為缺省路由，是沒有提供其它的已知路由時而使用一個網(wǎng)絡路由。默認路由的設置比較簡單，只需要將IP地址和子網(wǎng)掩碼均設置為即可。當前路由器在查找路由表失敗后，便會自動根據(jù)默認路由進行數(shù)據(jù)包的轉(zhuǎn)發(fā)。StubNetworkiproute

SOBNetworkAB使用缺省路由后，StubNetwork可以到達路由器A以外的網(wǎng)絡。4.5RIP協(xié)議的工作原理及配置RIP協(xié)議是應用較早、使用較普遍的內(nèi)部網(wǎng)關(guān)協(xié)議，適用于小型同類網(wǎng)絡，它是一個典型的真正的距離矢量協(xié)議。RIP以30秒的周期周期性的以廣播的形式發(fā)送完整的路由表到所有激活的接口進行路由信息的更新。RIP是一個開放的標準，但是它需要較多的帶寬。19.2kbpsT1T1T1Hop計算路由器每隔30秒更新最多支持相同hop數(shù)的6條路徑RIP概述RIP協(xié)議的度量RIP只使用跳計數(shù)作為來到達遠程網(wǎng)絡的度量的最佳方式。跳計數(shù)是一個包到達目標所必須經(jīng)過的路由器的數(shù)目。如果到相同目標有二個不等速或不同帶寬的路由器，但跳數(shù)相同，RIP在此兩條路上進行負載均衡。默認時RIP最多支持的跳數(shù)為15，跳數(shù)16表示不可達。RIP具有兩個版本RIP-1提出較早，只使用有類路由選擇（即在該網(wǎng)絡中的所有設備必須使用相同的子網(wǎng)掩碼）RIP-2是一個無類路由選擇協(xié)議，它可以隨更新一起發(fā)送子網(wǎng)掩碼信息，它支持可變長度子網(wǎng)掩碼（VLSM）RIP使用的定時器路由更新定時器路由時效定時器保持失效定時器路由刷新定時器路由環(huán)路每一個節(jié)點管理著與之相連的所有網(wǎng)絡ABCE0S0S0S1S0E0RoutingTableS0E0S0S01200RoutingTableE0S0S0S01200RoutingTableS0S1S1S01100緩慢的收斂容易造成路由信息的不一致ABCE0S0S0S1S0E0XRoutingTableS0E0S0S0120DownRoutingTableE0S0S0S01200RoutingTableS0S1S1S01100路由器C推斷到達

網(wǎng)絡的最好路徑是通過路由器BABCE0S0S0S1S0E0XRoutingTableS0S0S0S01202RoutingTableE0S0S0S01200RoutingTableS0S1S1S11100路由器A根據(jù)錯誤的信息升級它的路由表ABCE0S0S0S1S0E0XRoutingTableS0S0S0S01202RoutingTableE0S0S0S01400RoutingTableS0S1S1S03100路由環(huán)路問題可以簡單地描述為無窮大計數(shù)，主要是由于相互通告錯誤的更新信息所造成。環(huán)路形成以后，數(shù)據(jù)包將會在網(wǎng)絡中不停的被轉(zhuǎn)發(fā)，浪費資源且占用帶寬。解決此問題的一個簡易方法就是定義在網(wǎng)絡中所允許的最大跳計數(shù)。最大跳計數(shù)

網(wǎng)絡的數(shù)據(jù)將在路由器A,B,和

C之間循環(huán)

網(wǎng)絡的跳數(shù)將無限大ABCE0S0S0S1S0E0XRoutingTableS0S0S0S01204RoutingTableE0S0S0S01600RoutingTableS0S1S1S05100RIP協(xié)議所允許的最大跳計數(shù)為15，即所有需要經(jīng)過16跳到達遠程網(wǎng)絡的數(shù)據(jù)包都被認為是不可達的。也就是說，當?shù)竭_15跳后，數(shù)據(jù)包將被丟棄。最大跳計數(shù)方法雖是一個簡單有效的解決辦法，但它并沒有刪除網(wǎng)絡中的環(huán)路。水平分割水平分割適用于小的路由環(huán)路。水平分割規(guī)定：若相鄰路由器向路由器發(fā)送路由，接收路由器不會在相同接口將該路由傳遞回通告路由器。路由中毒路由中毒是從水平分割派生的。當路由器檢測到它所連接的路由有不可到達時，它將給此路由分配一個無窮大的度量值，此操作就叫做路由中毒。保持關(guān)閉定時器保持關(guān)閉設置允許定時器以阻止對路由的頻繁的修改。當某路由器收到一個來自相鄰路由器的更新信息時（表明一個原來可達網(wǎng)絡變?yōu)椴豢蛇_），保持關(guān)閉定時器將被啟動。如果接收到的此信息是一個比原度量值更好的路由更新時，保持關(guān)閉將被撤銷，4.5.3RIP路由的配置RIP的配置命令為routerrip，通知RIP路由選擇協(xié)議要通告哪些網(wǎng)絡用network命令宣告與本路由器直連的網(wǎng)絡的主類網(wǎng)絡號。第1步啟動RIP，并指定RIP版本號第2步配置網(wǎng)絡地址激活RIP協(xié)議Router(config)#routerripRouter(config-router)#networknetwork-number選擇所能到達的網(wǎng)絡必須是有效的網(wǎng)絡RIP配置routerripnetworknetworkRIP配置舉例routerripnetworkrouterripnetworknetworkS2E0S3S2S3ABC

E0查看RIP信息RouterA#shipprotocolsRoutingProtocolis"rip"Sendingupdatesevery30seconds,nextduein0secondsInvalidafter180seconds,holddown180,flushedafter240OutgoingupdatefilterlistforallinterfacesisIncomingupdatefilterlistforallinterfacesisRedistributing:ripDefaultversioncontrol:sendversion1,receiveanyversionInterfaceSendRecvKey-chainEthernet0112Serial2112RoutingforNetworks:

RoutingInformationSources:GatewayDistanceLastUpdate12000:00:10Distance:(defaultis120)S2E0S3S2S3ABC

E0查看路由表RouterA#shiprouteCodes:C-connected,S-static,I-IGRP,R-RIP,M-mobile,B-BGPD-EIGRP,EX-EIGRPexternal,O-OSPF,IA-OSPFinterareaN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexternaltype2,E-EGPi-IS-IS,L1-IS-ISlevel-1,L2-IS-ISlevel-2,*-candidatedefaultU-per-userstaticroute,o-ODRT-trafficengineeredrouteGatewayoflastresortisnotset/24issubnetted,1subnetsCisdirectlyconnected,Ethernet0/24issubnetted,2subnetsR[120/1]via,00:00:07,Serial2Cisdirectlyconnected,Serial2R/24[120/2]via,00:00:07,Serial2S2E0S3S2S3ABC

E0debugiprip

命令RouterA#debugipripRIPprotocoldebuggingisonRouterA#00:06:24:RIP:receivedv1updatefromonSerial200:06:24:in1hops00:06:24:in2hops00:06:33:RIP:sendingv1updateto55viaEthernet0()00:06:34:network,metric100:06:34:network,metric300:06:34:RIP:sendingv1updateto55viaSerial2()00:06:34:network,metric1S2E0S3S2S3ABC

E04.6IGRP協(xié)議的工作原理及配置IGRP是一種在自治系統(tǒng)（AS）中提供路由選擇功能的路由協(xié)議它是一個Cisco專用的距離矢量內(nèi)部網(wǎng)關(guān)協(xié)議。IGRP也和RIP一樣通過廣播的方式周期性的廣播完整的路由表。使用IGRP的網(wǎng)絡較大缺省100hops，最大255hops支持多路徑IGRP介紹IGRPIGRP的最大跳數(shù)為255，默認時為100其默認的管理距離為100。IGRP支持多路徑路由選擇，可以實現(xiàn)多達6條鏈路的負載均衡。IGRP比較適合在大型網(wǎng)絡中應用。帶寬延遲時間可靠性負載最大傳輸單元19.2kbps19.2kbpsIGRP路徑選擇SourceDestinationIGRP的度量IGRP使用帶寬和線路延遲作為它判斷到某網(wǎng)絡的最佳路由的度量。可靠性、負載和最大傳輸單元（MTU）也可以用作度量，但在默認時只使用帶寬和延遲。最多六條路徑下一次所要到達的路由器必須接近目的網(wǎng)絡在允許的參數(shù)內(nèi)選擇路徑NewRouteInitial

RouteSourceDestinationIGRP的不平衡路徑IGRP定時器更新定時器失效定時器保持關(guān)閉定時器刷新定時器配置IGRPRouter(config-router)#networknetwork-number指定可以到達的網(wǎng)絡Router(config)#routerigrp

autonomous-system指定IGRP為IP路由協(xié)議配置IGRP(續(xù))Router(config-router)#traffic-share

{balanced|min}控制負載平衡數(shù)據(jù)的分布Router(config-router)#variancemultiplier控制IGRP的負載平衡routerigrp100networknetworkIGRP配置舉例routerigrp100networkrouterigrp100networknetworkAutonomousSystem=100S2E0S3S2S3ABC

E0查看IGRP信息RouterA#shipprotocolsRoutingProtocolis"igrp100"Sendingupdatesevery90seconds,nextduein21secondsInvalidafter270seconds,holddown280,flushedafter630OutgoingupdatefilterlistforallinterfacesisIncomingupdatefilterlistforallinterfacesisDefaultnetworksflaggedinoutgoingupdatesDefaultnetworksacceptedfromincomingupdatesIGRPmetricweightK1=1,K2=0,K3=1,K4=0,K5=0IGRPmaximumhopcount100IGRPmaximummetricvariance1Redistributing:igrp100RoutingforNetworks:

RoutingInformationSources:GatewayDistanceLastUpdate10000:01:01Distance:(defaultis100)S2E0S3S2S3ABC

E04.7EIGRP協(xié)議的工作原理及配置EIGRP的是加強型的IGRP，是Cisco的專用協(xié)議。EIGRP也是一個距離矢量的協(xié)議，又有傳統(tǒng)的鏈路狀態(tài)路由協(xié)議的特點。該協(xié)議采用彌散更新算法DUAL。EIGRP不周期性地傳送變動信息，傳送變動的部分而不是整個路徑表其收斂迅速，適用于中大型網(wǎng)絡。EIGRP主要功能：1.通過協(xié)議相關(guān)模塊支持IP、IPX和AppleTalk2.有效的鄰居發(fā)現(xiàn)3.給予可靠傳輸協(xié)議（RTP）的通信4.給予彌散更新算法（DUAL）的最佳路徑選擇彌散更新算法（DUAL）的作用1.如果可用則備份路由2.支持可變長子網(wǎng)掩碼（VLSM）3.動態(tài)的路由恢復4.如果沒有路由被發(fā)現(xiàn)則發(fā)送替換路由查詢EIGRP的概念和術(shù)語1.EIGRP的五種類型的數(shù)據(jù)包：Hello更新（Update）查詢（Query）答復（Reply）確認（ACK）2.可行距離：是一個沿所有路徑到達遠程網(wǎng)絡的最佳度量，并包含有正在與該遠程網(wǎng)絡通告的鄰居的度量。3.被報告距離：這是相鄰路由器為特定路由器報告的距離4.后繼：通過它可以獲得到達目的網(wǎng)絡的最佳路由，它的備份就是存儲在拓撲表中的可行后繼。5.可行后繼：再拓撲表中到達遠程目的網(wǎng)絡的最佳備份路徑，當只存在一個可行的后繼時，目的地項才會從拓撲表移動到路由表中。6.鄰居表：用于存儲了解到的新鄰居的地址、接口等狀態(tài)信息。7.拓撲表：記錄所有由鄰近的路由器報告的目的地及保持中的每個目的地地址，及通告這些目的地鄰居的列表。8.活躍狀態(tài)：當路由器失去了到達一個目的網(wǎng)絡的路由，并且沒有可行后繼可利用時，該路由進入活躍狀態(tài)。9.被動狀態(tài)：當路由器失去了一條路由的后繼但有一個可行后繼，或者再找到一個后繼時，該路由進入被動狀態(tài)，是一條可用的路由。EIGRP的度量EIGRP的度量是四個要素的組合：帶寬延遲負載可靠性默認時，EIGRP只使用帶寬和線路的延遲來判定到達遠程網(wǎng)絡的最佳路徑。EIGRP的工作過程1.建立相鄰關(guān)系2.發(fā)現(xiàn)網(wǎng)絡拓撲，選擇最短路由3.路由查詢、更新EIGRP路由的配置根據(jù)EIGRP命令的輸入不同有兩種模式：路由器配置模式和接口配置模式。4.8OSPF協(xié)議的工作原理及配置OSPF是一個開放標準的路由選擇協(xié)議，它被各種網(wǎng)絡開發(fā)商所廣泛使用。OSPF是一個內(nèi)部網(wǎng)關(guān)協(xié)議，用于屬于單個自治體系（AS）的路由器之間的路由選擇，它采用鏈路狀態(tài)技術(shù)，路由器互相發(fā)送直接相連的鏈路信息和它所擁有的到其它路由器的鏈路信息。OSPF支持下列功能由地區(qū)和自治系統(tǒng)組成跳計數(shù)不受限制路由更新流量最小化允許可量測性支持VLSM/CIDR允許各種網(wǎng)絡開發(fā)商使用OSPF的術(shù)語和概念1.鏈路2.鏈路狀態(tài)通告3.路由器ID4.鄰居5.鄰居關(guān)系數(shù)據(jù)庫6.拓撲數(shù)據(jù)庫7.指定路由器8.備用指定路由器9.OSPF區(qū)域10.廣播OSPF路由信息的共享過程1.DR和BDR與網(wǎng)段上其他OSPF路由器形成鄰接關(guān)系。2.主路由器開始與從路由器進行鏈路狀態(tài)信息交換。3.當主路由器和從路由器達到同步以后，它們都處于full狀態(tài)。OSPF路由的配置OSPF的配置語法為：Router(config)#routerospfp_idRouter(config-router)#networkaddressmaskareaarea_no通配符通配符可以和IP地址或訪問列表組合用來指定一臺主機，一個網(wǎng)絡、幾個網(wǎng)絡內(nèi)的某范圍。通配符是從塊(通常指地址范圍)開始的，有效的塊大小可以是64、32、16、8和4。使用塊大小可以很方便的指定子網(wǎng)的一個小范圍，但是塊的大小并不能任意劃定，即不能選擇指定的20個網(wǎng)絡，但可以指定一個精確數(shù)作為塊大小值，如16、32或64。每個塊大小必須從0或一個塊大小的倍數(shù)開始。例如，塊大小是8，必須是0～7、8～15、16～32，等等。塊大小是32，必須是0～31，32～63、64～95，等等。any命令和通配符55的意義是一樣的。環(huán)回接口路由器默認情況下是沒有任何環(huán)回接口的。環(huán)回接口是路由器上的邏輯、虛擬接口。用戶經(jīng)常會具有以下需求時創(chuàng)建環(huán)回接口：1.用以給OSPF路由器分配路由器ID。2.由于測試需求而設置環(huán)回接口，因為環(huán)回接口總是啟用的。3.停止某些特殊的連接，例如IPSec連接或GRE隧道，因為環(huán)回接口總是啟用的。4.9路由匯總路由匯總是指在路由表中將連續(xù)的網(wǎng)絡號作為一條單一的路由進行通告的能力。VLSM支持子網(wǎng)化的路由匯總到有類網(wǎng)絡的邊界。執(zhí)行路由匯總將得到更多的好處：縮小路由表的大小，降低內(nèi)存等資源的開銷縮小路由更新信息的大小，節(jié)省帶寬容納更多的網(wǎng)絡故障4.10訪問控制列表訪問列表為網(wǎng)絡的正常運行和提高網(wǎng)絡功效做出了很大的貢獻，給予了網(wǎng)絡管理員更加強大的檢測能力和操控能力。管理網(wǎng)絡中逐步增長的IP數(shù)據(jù)為什么要使用訪問列表Internet管理網(wǎng)絡中逐步增長的IP數(shù)據(jù)當數(shù)據(jù)通過路由器時進行過濾為什么要使用訪問列表訪問列表的應用允許、拒絕數(shù)據(jù)包通過路由器允許、拒絕Telnet會話的建立沒有設置訪問列表時，所有的數(shù)據(jù)包都會在網(wǎng)絡上傳輸虛擬會話(IP)端口上的數(shù)據(jù)傳輸Queue

List優(yōu)先級判斷訪問列表的其它應用基于數(shù)據(jù)包檢測的特殊數(shù)據(jù)通訊應用Queue

List優(yōu)先級判斷訪問列表的其它應用按需撥號基于數(shù)據(jù)包檢測的特殊數(shù)據(jù)通訊應用訪問列表的其它應用路由表過濾Routing

TableQueue

List優(yōu)先級判斷按需撥號基于數(shù)據(jù)包檢測的特殊數(shù)據(jù)通訊應用訪問列表的主要功能有：允許或拒絕包通過路由器允許或拒絕Telnet（VTY）訪問路由器允許或拒絕來自路由器的Telnet訪問創(chuàng)建可以觸發(fā)撥號到遠程站點的流量設置訪問列表，如果滿足給定的條件則執(zhí)行相應操作，否則，不做任何操作，繼續(xù)測試下一個語句，直到測試完所有的語句。測試的順序通常是按照順序比較訪問列表的第一行，若不匹配便轉(zhuǎn)到第二行、第三行，一直到比較到匹配的一行為止。當數(shù)據(jù)包與訪問列表的某一行完全匹配時就按照設定的操作遵照執(zhí)行，不再進行后續(xù)比較。需要注意的是，在每個訪問列表的最后一行有一條隱含的“deny（拒絕）”語句，這意味著如果數(shù)據(jù)包與訪問列表中的所有行都不匹配，將被丟棄。標準的訪問列表標準的訪問列表僅測試IP數(shù)據(jù)包的源IP地址，它的所有決定都是基于源IP地址的。標準的訪問列表號可以是1～99或1300~1999范圍內(nèi)的任意整數(shù)值。

標準檢查源地址通常允許、拒絕的是完整的協(xié)議

OutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?Source什么是訪問列表--標準Router(config)#access-list?<1-99> IPstandardaccesslist<100-199> IPextendedaccesslist<1000-1099> IPXSAPaccesslist<1100-1199> Extended48-bitMACaddressaccesslist<1200-1299> IPXsummaryaddressaccesslist<200-299> Protocoltype-codeaccesslist<300-399> DECnetaccesslist<600-699> Appletalkaccesslist<700-799> 48-bitMACaddressaccesslist<800-899> IPXstandardaccesslist<900-999> IPXextendedaccesslist創(chuàng)建標準的訪問控制列表的語法結(jié)構(gòu)為：RA(config)#access-list10?Deny SpecifypacketstorejectPermit Specifypacketstoforward擴展的訪問列表可以使用的擴展范圍列表的號碼范圍是從100到199，2000～2699。擴展的訪問列表不僅可以測試源IP地址還可以測試目的IP地址、位于傳輸層報頭中的端口號、網(wǎng)絡層報頭中的協(xié)議字段等。使用這種列表，可以有效的允許用戶訪問某個網(wǎng)絡的同時拒絕某些特定的主機或網(wǎng)絡。

標準檢查源地址通常允許、拒絕的是完整的協(xié)議擴展檢查源地址和目的地址通常允許、拒絕的是某個特定的協(xié)議OutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?Sourceand

DestinationProtocol什么是訪問列表--擴展下面顯示IP訪問列表編號的情況。Lab_A(config)#access-list?<1-99>IPstandardaccesslist<100-199>IPextendedaccesslist<1000-1999>IPXSAPaccesslist<1100-1199>Extended48-bitMACaddressaccesslist<1200-1299>IPXsummaryaddressaccesslist<1300-1999>IPstandardaccesslist(expandedrange)<200-299>protocoltype-codeaccesslist<2000-2699>IPextendedaccesslist(expandedrange)<300-399>DECnetaccesslist<600-699>Appletalkaccesslist<700-799>48-bitMACaddressaccesslist<800-899>IPXstandardaccesslist<900-999>IPXextendedaccesslist命令作用Showaccess-list顯示在路由器上配置的所有訪問列表及其參數(shù)。這個命令不顯示哪些接口設置了訪問列表。Showaccess-list110只顯示訪問列表110的參數(shù)，這個命令不顯示哪些接口設置了訪問列表Showipaccess-list只顯示路由器上配置的IP訪問列表Showipinterface顯示哪些接口設置了訪問列表Showrunning-config顯示訪問列表和哪些接口設置了訪問列表

標準檢查源地址通常允許、拒絕的是完整的協(xié)議擴展檢查源地址和目的地址通常允許、拒絕的是某個特定的協(xié)議進方向和出方向

OutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?Sourceand

DestinationProtocol什么是訪問列表Inbound

InterfacePacketsNYPacketDiscardBucketChooseInterface

NAccessList

?RoutingTable

Entry

?YOutbound

InterfacesPacketS0出端口方向上的訪問列表Outbound

InterfacesPacketNYPacketDiscardBucketChooseInterface

RoutingTable

Entry

?NPacketTestAccessListStatementsPermit

?Y出端口方向上的訪問列表AccessList

?YS0E0Inbound

InterfacePacketsNotifySender出端口方向上的訪問列表IfnoaccessliststatementmatchesthendiscardthepacketNYPacketDiscardBucketChooseInterface

RoutingTable

Entry

?NYTestAccessListStatementsPermit

?YAccessList

?DiscardPacketNOutbound

InterfacesPacketPacketS0E0Inbound

InterfacePackets訪問列表的測試：允許和拒絕PacketstointerfacesintheaccessgroupPacket

DiscardBucketYInterface(s)DestinationDenyDenyYMatchFirstTest?Permit訪問列表的測試：允許和拒絕PacketstoInterface(s)intheAccessGroupPacket

DiscardBucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?YY訪問列表的測試：允許和拒絕PacketstoInterface(s)intheAccessGroupPacket

DiscardBucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTest

?YYNYYPermit訪問列表的測試：允許和拒絕PacketstoInterface(s)intheAccessGroupPacket

DiscardBucketYInterface(s)DestinationDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTest

?YYNYYPermitImplicitDenyIfnomatchdenyallDenyN訪問列表配置指南訪問列表的編號指明了使用何種協(xié)議的訪問列表每個端口、每個方向、每條協(xié)議只能對應于一條訪問列表訪問列表的內(nèi)容決定了數(shù)據(jù)的控制順序具有嚴格限制條件的語句應放在訪問列表所有語句的最上面在訪問列表的最后有一條隱含聲明：denyany－每一條正確的訪問列表都至少應該有一條允許語句先創(chuàng)建訪問列表，然后應用到端口上訪問列表不能過濾由路由器自己產(chǎn)生的數(shù)據(jù)訪問列表設置命令Step1:設置訪問列表測試語句的參數(shù)access-listaccess-list-number{permit|deny}{testconditions}Router(config)#Step1:設置訪問列表測試語句的參數(shù)Router(config)#Step2:在端口上應用訪問列表{protocol}access-groupaccess-list-number{in|out}Router(config-if)#訪問列表設置命令I(lǐng)P訪問列表的標號為1-99和100-199access-listaccess-list-number{permit|deny}{testconditions}0表示檢查與之對應的地址位的值1表示忽略與之對應的地址位的值donotcheckaddress

(ignorebitsinoctet)=001111111286432168421=00000000=00001111=11111100=111111