二、路由器部分

1.静态路由的配置:

注意:在配置模式下。

普通静态路由的配置:

router(config)#ip route 目的地址 目的地址的掩码 下一跳地址

 
2.动态路由RIP-v1的配置:

注意:在配置模式下配置,RIP-v1是有类路由,不能携带子网掩码,因此如果被打断,需要使用辅助地址。

启动RIP进程:

router(config)#router rip

指定每一个需要运行rip协议的主网络:

router(config-router)#network 每一条直连地址
 
 3.配置Passive端口(指定一条链路不启用RIP协议):

router(config-router)#passive-interface-id
 
 

 4.RIP不同版本的配置:
注意:RIP-v2是无类路由,在传送过程中携带子网掩码,不存在被打断的问题,也不需要辅助地址,并且使用组播方式通告消息到目的地址224.0.0.9

RIP-v1的配置(缺省version 1):

router(config-)#router rip

RIP-v2的配置:

router(config-)#router rip

router(config-router)#version 2
 
 
 5.不连续的子网和无类路由如何使被通告的子网通过主网络边界(RIP-v1与RIP-v2一样,缺省行为要在主网络边界上进行路由汇总,因此要关闭路由汇总功能以便允许被通告的子网通过主网络边界):

router(config-router)#no auto-summary
 
 6.OSPF的配置:

注意:在配置模式下,注意配置的直连主网络段所在的area(区域)。

启动OSPF进程:

router(config)#router ospf 进程号

配置主网络和区域:

router(config)#network 主机地址 0.0.0.0 area area-id

router(config)#network 网段 反子网掩码 area area-id

查看OSPF配置DNS实现routerID到名称的映射:

router#show ip ospf neighbor
 
7.OSPF的辅助地址: 

 12.特殊的OSPF配置:

注意:由于各种特殊情况的出现,需要及时调整所受到影响的区域设备或者是边界设备配置。

配置STUB区域(一个区域内都要做配置):

router(config)#area area-id stub

修改ABR的代价值(只有当不止一个ABR并且一台ABR故障的时候才有意义):

router(config)#area area-id default-cost cost

配置TOTALLY STUB(直在ABR做配置,其他同区域设备只做STUB):

router(config)#area area-id stub no-summary
 
8.配置NSSA区域:

注意:连接外部AS的时候才会用到,也就是说连接一个不是OSPF的区域,那么需要配置静态路由或者RIP

重注入(在ASBR上操作):

router(config)#redistribute rip metric 10

配置NSSA区域(区域内都要配置):

router(config)#area area-id nssa

配置TOTALLY NSSA区域(只当一个设备同时成为ABRASBR的时候,才需要做这样的配置,只在该设备所配置即可,其它同区域设备为普通NSSA):

router(config)#area area-id nssa no-summary
 
9.HSRP(热备份路由)的配置:

注意:在接口模式下配置,HSRP需要产生一个虚拟路由,并且一个组内,只能产生一个虚拟路由。

将路由器配置为HSRP的成员(一个组内的路由要指定同一个虚拟路由地址):

router(config-if)#standby group-number 虚拟路由地址

配置HSRP的优先级(缺省100,取值范围:0-255):

router(config-if)#standby group-number priority 优先级

配置HSRP的占先权(当路由恢复工作的时候,依靠占先权重新得到活跃路由的身份):

router(config-if)#standby group-number preempt

配置HSRPHELLO消息的计时器(缺省3秒,取值范围1-255,hello-interval表示保持时间,holdtime表示老化时间):

router(config-if)#standby group-number times hello-interval holdtime

配置HSRP的端口跟踪(在入口跟踪出口,并需要配置一旦发现出口故障时需要降低的优先级,缺省降低10):

router(config-if)#standby group-number track 要跟踪的端口 interface-priority

关闭端口跟踪:

router(config-if)#no standby group-number track

查看HSRP的详细信息:

router#show standby

查看HSRP的状态(type-number指要显示的端口类型或者端口号,group指配置的HSRP组):

router#show standby type-number group brief
 
10.标准ACL(访问控制列表)的配置(越是要求严谨的越要放在前面,命令从上到下执行):

 注意:在配置模式下操作,配置结束后,一定要在出口或者入口执行ACL,标准访问控制列表的表号为1-99,只能根据源地址进行控制。

配置允许的标准ACL(source为源地址,可以是主机地址,也可以是一个网段):

router(config)#access-list access-list-number permit source

配置拒绝的标准ACL:

router(config)#access-list access-list-number deny source

查看ACL中的内容:

router#show access-list

在入口应用ACL(在接口模式):

router(config-if)#ip access-group group-number in

在出口应用ACL(在接口模式):

router(config-if)#ip access-group group-number out
 
11.扩展ACL的应用(扩展访问列表的表号为100-199,扩展访问列表可以根据源和目标以及协议和端口进行配置):

注意:在配置模式下操作(source & destination指源地址和目的地址,operator

port指大于或小于或等于或不等于一个端口号,log指生成日志)。

router(config)#access-list access-list-number [permit/deny] protocol [source

source-wildcard destination destination-wildcard] [operator port] [established]

[log]

应用扩展ACL:

在入口应用ACL(在接口模式):

router(config-if)#ip access-group group-number in

在出口应用ACL(在接口模式):

router(config-if)#ip access-group group-number out

命名ACL(standard标准;extended扩展):

router(config)#ip access-list [standard/extended] name

举例:创建拒绝来自172.16.4.0去往172.16.3.0FTP流量的ACL,并且应用到街口的出方向。

router(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0

0.0.0.255 eq 21

router(config)#access-list 101 permit ip any any

router(config)#ip access-group 101 out
 
12.T/PAT(网络地址转换)的配置:

静态NAT的配置(在配置模式下操作,在内部局部地址内部全局地址之间建立静态地址转换):

router(config)#ip nat inside source static 内部局部地址内部全局地址

在内部和外部端口上启用NAT(依据实际情况选择入口和出口):

router(config-if)#ip nat outside

router(config-if)#ip nat inside

查看NAT配置:

router#show ip nat translations
 
13.动态NAT配置(需要结合使用ACL,允许一个段访问地址池)
定义合法IP地址池:

router(config)#ip nat pool 地址池名称 起始地址 中止地址 netmask 子网掩码

实现网络地址转换(在配置模式中,将由access-list制定的内部局部地址与指定的内部全局地址池进行地址转换):

router(config)#ip nat inside source list 访问列表标号 pool 内部全局地址池名字

在内部和外部端口上启用NAT(依据实际情况选择入口和出口):

router(config-if)#ip nat outside

router(config-if)#ip nat inside
 
 
14.TCP负载均衡配置:
举例:

假定有3个服务器10.1.1.110.1.1.210.1.1.3,使用一个虚拟主机10.1.1.127来代表这个服务器组。要求利用NAT技术在三个服务器之间实现负载平衡。

设置外部端口的IP地址:

router(config-if)#ip address 172.20.7.1 255.255.255.224

设置内部端口:

router(config-if)#ip address 10.1.1.254 255.255.255.0

为虚拟主机定义一个标准的IP访问列表:

router(config)#access-list 2 permit 10.1.1.127

给真实主机定义一个NAT地址集:

router(config)#ip nat pool real-host 10.1.1.1 10.1.1.3 prefix-length 24 type

rotary

此命令表示:真实主机地址从10.1.1.110.1.1.3,网络前缀长度为24,且该地址集为循环型。

设置访问控制列表与NAT地址集之间的映射:

router(config)#ip nat inside destination list 2 pool real-host

在内部和外部端口上启用NAT:

router(config-if)#ip nat outside

router(config-if)#ip nat inside

该步骤完成后,对要求与虚拟主机连接的请求,NAT将让真实主机组中的主机轮流响应。