瑞星卡卡安全论坛

本贴所有内容教程下载：
PS：附件
*注意看解压包里的教程说明*

附件: 4092652005122203633.rar

内容包含：路由器大全、交换网络的路由技术、cisco路由器基本命令配置、结合实例讲解广域网路由基本技术、配置IP路由协议、Cisco交换机设置点滴。

路由器大全
最简单的网络可以想象成单线的总线，各个计算机可以通过向总线发送分组以互相通信。但随着网络中的计算机数目增长，这就很不可行了，会产 生许多问题：

1、带宽资源耗尽。
2、每台计算机都浪费许多时间处理无关的广播数据。
3、网络变得无法管理，任何错误都可能导致整个网络瘫痪。
4、每台计算机都可以监听到其他计算机的通信。

　　把网络分段可以解决这些问题，但同时你必须提供一种机制使不同网段的计算机可以互相通信，这通常涉及到在一些ISO网络协议层选择性地在网段间传送数据，我们来看一下网络协议层和路由器的位置。

附件: 4092652005122201517.gif

我们可以看到，路由器位于网络层。本文假定网络层协议为IPv4，因为这是最流行的协议，其中涉及的概念与其他网络层协议是类似的。

　

一、路由与桥接


　　路由相对于2层的桥接/交换是高层的概念，不涉及网络的物理细节。在可路由的网络中，每台主机都有同样的网络层地址格式（如IP地址），而无论它是运行在以太网、令牌环、FDDI还是广域网。网络层地址通常由两部分构成：网络地址和主机地址。

　　网桥只能连接数据链路层相同（或类似）的网络，路由器则不同，它可以连接任意两种网络，只要主机使用的是相同的网络层协议。
二、连接网络层与数据链路层


　　网络层下面是数据链路层，为了它们可以互通，需要“粘合”协议。ARP（地址解析协议）用于把网络层(3层)地址映射到数据链路层(2层)地址，RARP(反向地址解析协议)则反之。

　　虽然ARP的定义与网络层协议无关，但它通常用于解析IP地址；最常见的数据链路层是以太网。因此下面的ARP和RARP的例子基于IP和以太网，但要注意这些概念对其他协议也是一样的。

1、地址解析协议


　　网络层地址是由网络管理员定义的抽象映射，它不去关心下层是哪种数据链路层协议。然而，网络接口只能根据2层地址来互相通信，2层地址通过ARP从3层地址得到。

　　并不是发送每个数据包都需要进行ARP请求，回应被缓存在本地的ARP表中，这样就减少了网络中的ARP包。ARP的维护比较容易，是一个比较简单的协议。

2、简介


　　如果接口A想给接口B发送数据，并且A只知道B的IP地址，它必须首先查找B的物理地址，它发送一个含有B的IP地址的ARP广播请求B的物理地址，接口B收到该广播后，向A回应其物理地址。

附件: 4092652005122201614.gif

注意，虽然所有接口都收到了信息，但只有B回应该请求，这保证了回应的正确且避免了过期的信息。要注意的是，当A和B不在同一网段时，A只向下一跳的路由器发送ARP请求，而不是直接向B发送。

附件: 4092652005122201831.gif

下图为接收到ARP分组后的处理，注意发送者的<IP address, hardware address>对被存到接收ARP请求的主机的本地ARP表中，一般A想与B通信时，B可能也需要与A通信。

附件: 4092652005122201902.bmp

3、IP地址冲突


　　ARP产生的问题中最常见的是IP地址的冲突，这是由于两个不同的主机IP地址相同产生的，在任何互联的网络中，IP地址必须是唯一的。这时会收到两个ARP回应，分别指出了不同的硬件地址，这是严重的错误，没有简单的解决办法。

　　为了避免出现这类错误，当接口A初试化时，它发送一个含有其IP地址的ARP请求，如果没有收到回应，A就假定该IP地址没有被使用。我们假定接口B已经使用了该IP地址，那么B就发送一个ARP回应，A就可以知道该IP地址已被使用，它就不能再使用该IP地址，而是返回错误信息。这样又产生一个问题，假设主机C含有该IP地址的映射，是映射到B的硬件地址的，它收到接口A的ARP广播后，更新其ARP表使之指向A的硬件地址。为了解决这个错误，B再次发送一个ARP请求广播，这样主机C又更新其ARP表再次指向B的硬件地址。这时网络的状态又回到先前的状态，有可能C已经向A发送了应该发送给B的IP分组，这很不幸，但是因为IP提供的是无保证的传输，所以不会产生大的问题。

4、管理ARP缓存表


　　ARP缓存表是<IP地址，硬件地址>对的列表，根据IP地址索引。该表可以用命令arp来管理，其语法包括：

向表中添加静态表项 -- arp -s <IP address> <hardware address>

从表中删除表项 -- arp -d <IP address>

显示表项 -- arp -a

　　ARP表中的动态表项(没有手动加入的表项)通常过一段时间自动删除，这段时间的长度由特定的TCP/IP实现决定。

5、静态ARP地址的使用


　　静态ARP地址的典型使用是设置独立的打印服务器，这些设备通常通过telnet来配置，但首先它们需要一个IP地址。没有明显的方法来把此信息告诉该设备，好象只能使用其串口来设置。但是，这需要找一个合适的终端和串行电缆，设置波特率、奇偶校验等，很不方便。

　　假设我们想给一个打印服务器设置IP地址P-IP，并且我们知道其硬件地址P-hard，在工作站A上创建一个静态ARP表项把P-IP映射到P-hard，这样，虽然打印服务器不知道自己的IP地址，但是所有指向P-IP的数据就将被送到P-hard。我们现在就可以telnet到P-IP并配置其IP地址了，然后再删除该静态ARP表项。

附件: 4092652005122201950.bmp

有时会在一个子网里配置打印服务器，而在另一个子网里使用它，方法与上面类似。假设其IP地址为P-IP，我们分配一个本网的临时IP地址T-IP给它，在工作站A上创建临时ARP表项把T-IP映射到P-hard，然后telnet到T-IP，给打印服务器配以IP地址P-IP。接下来就可以把它放到另一个子网里使用了，别忘了删除静态ARP表项。

附件: 4092652005122202015.bmp

6、代理ARP


　　可以通过使用代理ARP来避免在每台主机上配置路由表，在使用子网时这特别有用，但注意，不是所有的主机都能理解子网的。基本的思想是即使对于不在本子网的主机也发送ARP请求，ARP代理服务器（通常是网关）回应以网关的硬件地址，见下图，注意与上面的图比较一下。

　　代理ARP简化了主机的管理，但是增加了网络的通信量(不是很明显)，并且可能需要较大的ARP缓存，每个不在本网的IP地址都被创建一个表项，都映射到网关的硬件地址。在使用代理ARP的主机看来，世界就象一个大的没有路由器物理网络。


附件: 4092652005122202039.bmp

三、IP地址


　　在可路由的网络层协议中，协议地址必须含有两部分信息：网络地址和主机地址。存贮这种信息最明显的方法是用两个分离的域，这样我们必须考虑到两个域的最大长度，有些协议(如IPX)就是这样的，它在小型和中型的网络里可以工作的很好。

　　另一种方案是减少主机地址域的长度，如24位网络地址、8位主机地址，这样就有了较多的网段，但每个网段内的主机数目很少。这样一来，对于多于256个主机的网络，就必须分配多个网段，其问题是很多的网络给路由器造成了难以忍受的负担。

　　IP把网络地址和主机地址一起包装在一个32位的域里，有时主机地址部分很短，有时很长，这样可以有效利用地址空间，减少IP地址的长度，并且网络数目不算多。有两种将主机地址分离出来的方法：基于类的地址和无类别的地址。

1、主机和网关


　　主机和网关的区别常产生混淆，这是由于主机意义的转变。在RFC中(1122/3和1009)中定义为：

主机是连接到一个或多个网络的设备，它可以向任何一个网络发送和从其接收数据，但它从不把数据从一个网络传向另一个。

网关是连接到多于一个网络的设备，它选择性的把数据从一个网络转发到其它网络。

　　换句话说，过去主机和网关的概念被人工地区分开来，那时计算机没有足够的能力同时用作主机和网关。主机是用户工作的计算机，或是文件服务器等。现代的计算机的能力足以同时担当这两种角色，因此，现代的主机定义应该如此：

主机是连接到一个或多个网络的设备，它可以向任何一个网络发送和从其接收数据。它也可以作为网关，但这不是其唯一的目的。

　　路由器是专用的网关，其硬件经过特殊的设计使其能以极小的延迟转发大量的数据。然而，网关也可以是有多个网卡的标准的计算机，其操作系统的网络层有能力转发数据。由于专用的路由硬件较便宜，计算机用作网关已经很少见了，在只有一个拨号连接的小站点里，还可能使用计算机作为非专用的网关。

2、基于类的地址


　　最初设计IP时，地址根据第一个字节被分成几类：

0: 保留
1-126: A类(网络地址:1字节，主机地址:3字节)
127: 保留
128-191: B类(网络地址:2字节，主机地址:2字节)
192-223: C类(网络地址:3字节，主机地址:1字节)
224-255: 保留

3、子网划分


　　虽然基于类的地址系统对因特网服务提供商来说工作得很好，但它不能在一个网络内部做任何路由，其目的是使用第二层(桥接/交换)来导引网络中的数据。在大型的A类网络中，这就成了个特殊的问题，因为在大型网络中仅使用桥接/交换使其非常难以管理。在逻辑上其解决办法是把大网络分割成若干小的网络，但在基于类的地址系统中这是不可能的。为了解决这个问题，出现了一个新的域：子网掩码。子网掩码指出地址中哪些部分是网络地址，哪些是主机地址。在子网掩码中，二进制1表示网络地址位，二进制0表示主机地址位。传统的各类地址的子网掩码为：

A类：255.0.0.0

B类：255.255.0.0

C类：255.255.255.0

　　如果想把一个B类网络的地址用作C类大小的地址，可以使用掩码255.255.255.0。

　　用较长的子网掩码把一个网络分成多个网络就叫做划分子网。要注意的是，一些旧软件不支持子网，因为它们不理解子网掩码。例如UNIX的routed路由守护进程通常使用的路由协议是版本1的RIP，它是在子网掩码出现前设计的。

　　上面只介绍了三种子网掩码：255.0.0.0、255.255.0.0和255.255.255.0，它们是字节对齐的子网掩码。但是也可以在字节中间对其进行划分，这里不进行详细讲解，请参照相关的TCP/IP书籍。

　　子网使我们可以拥有新的规模的网络，包括很小的用于点到点连接的网络（如掩码255.255.255.252，30位的网络地址，2位的主机地址：两个主机的子网），或中型网络（如掩码255.255.240.0，20位网络地址，12位主机地址：4094个主机的子网）。

　　注意DNS被设计为只允许字节对齐的IP网络(在in-addr.arpa.域中)。

4、超网(supernetting)


　　超网是与子网类似的概念--IP地址根据子网掩码被分为独立的网络地址和主机地址。但是，与子网把大网络分成若干小网络相反，它是把一些小网络组合成一个大网络--超网。

　　假设现在有16个C类网络，从201.66.32.0到201.66.47.0，它们可以用子网掩码255.255.240.0统一表示为网络201.66.32.0。但是，并不是任意的地址组都可以这样做，例如16个C类网络201.66.71.0到201.66.86.0就不能形成一个统一的网络。不过这其实没关系，只要策略得当，总能找到合适的一组地址的。

5、可变长子网掩码(VLSM)


　　如果你想把你的网络分成多个不同大小的子网，可以使用可变长子网掩码，每个子网可以使用不同长度的子网掩码。例如：如果你按部门划分网络，一些网络的掩码可以为255.255.255.0(多数部门)，其它的可为255.255.252.0(较大的部门)。

6、无类别地址(CIDR)


　　因特网上的主机数量增长超出了原先的设想，虽然还远没达到232，但地址已经出现匮乏。1993年发表的RFC1519--无类别域间路由CIDR(Classless Inter-Domain Routing)--是一个尝试解决此问题的方法。CIDR试图延长IPv4的寿命，与128位地址的IPv6不同，它并不能最终解决地址空间的耗尽，但IPv6的实现是个庞大的任务，因特网目前还没有做好准备。CIDR给了我们缓冲的准备时间。

　　基于类的地址系统工作的不错，它在有效的地址使用和少量的网络数目间做出了较好的折衷。但是随着因特网意想不到的成长出现了两个主要的问题：

已分配的网络数目的增长使路由表大得难以管理，相当程度上降低了路由器的处理速度。

僵化的地址分配方案使很多地址被浪费，尤其是B类地址十分匮乏。

　　为了解决第二个问题，可以分配多个较小的网络，例如，用多个C类网络而不是一个B类网络。虽然这样能够很有效地分配地址，但是更加剧了路由表的膨胀（第一个问题）。

　　在CIDR中，地址根据网络拓扑来分配。连续的一组网络地址可以被分配给一个服务提供商，使整组地址作为一个网络地址（很可能使用超网技术）。例如：一个服务提供商被分配以256个C类地址，从213.79.0.0到213.79.255.0，服务提供商给每个用户分配一个C类地址，但服务提供商外部的路由表只通过一个表项--掩码为255.255.0.0的网络213.79.0.0--来分辨这些路由。

　　这种方法明显减少了路由表的增长，CIDR RFC的作者估计，如果90%的服务提供商使用了CIDR，路由表将以每3年54%的速度增长，而如果没有使用CIDR，则增长速度为776%。如果可以重新组织现有的地址，则因特网骨干上的路由器广播的路由数量将大大减少。但这实际是不可行的，因为将带来巨大的管理负担。

四、路由

1、路由表


　　如果一个主机有多个网络接口，当向一个特定的IP地址发送分组时，它怎样决定使用哪个接口呢？答案就在路由表中。来看下面的例子：

目的 子网掩码 网关 标志 接口
201.66.37.0 255.255.255.0 201.66.37.74 U eth0
201.66.39.0 255.255.255.0 201.66.39.21 U eth1

　　主机将所有目的地为网络201.66.37.0内主机(201.66.37.1-201.66.37.254)的数据通过接口eth0(IP地址为201.66.37.74)发送，所有目的地为网络201.66.39.0内主机的数据通过接口eth1(IP地址为201.66.39.21)发送。标志U表示该路由状态为“up”（即激活状态）。对于直接连接的网络，一些软件并不象上例中一样给出接口的IP地址，而只列出接口。

　　此例只涉及了直接连接的主机，那么目的主机在远程网络中如何呢？如果你通过IP地址为201.66.37.254的网关连接到网络73.0.0.0，那么你可以在路由表中增加这样一项：

　

目的
掩码
网关
标志
接口

73.0.0.0
255.0.0.0
201.66.37.254
UG
eth0


　　此项告诉主机所有目的地为网络73.0.0.0内主机的分组通过201.66.37.254路由过去。标志G(gateway)表示此项把分组导向外部网关。类似的，也可以定义通过网关到达特定主机的路由，增加标志H(host)：　

目的 掩码 网关 标志 接口
91.32.74.21 255.255.255.255 201.66.37.254 UGH eth0

　　下面是路由表的基础，除了特殊表项之外：

目的 掩码 网关 标志 接口
127.0.0.1 255.255.255.255 127.0.0.1 UH lo0
default 0.0.0.0 201.66.37.254 UG eth1

　第一项是loopback接口，用于主机给自己发送数据，通常用于测试和运行于IP之上但需要本地通信的应用。这是到特定地址127.0.0.1的主机路由(接口lo0是IP协议栈内部的“假”网卡)。第二项十分有意思，为了防止在主机上定义到因特网上每一个可能到达网络的路由，可以定义一个缺省路由，如果在路由表中没有与目的地址相匹配的项，该分组就被送到缺省网关。多数主机简单地通过一个网卡连接到网络，因此只有通过一个路由器到其它网络，这样在路由表中只有三项：loopback项、本地子网项和缺省项（指向路由器）。

2、重叠路由


　　假设在路由表中有下列重叠项：　

目的 掩码 网关 标志 接口
1.2.3.4 255.255.255.255 201.66.37.253 UGH eth0
1.2.3.0 255.255.255.0 201.66.37.254 UG eth0
1.2.0.0 255.255.0.0 201.66.37.253 UG eth1
default 0.0.0.0 201.66.39.254 UG eth1

　之所以说这些路由重叠是因为这四个路由都含有地址1.2.3.4，如果向1.2.3.4发送数据，会选择哪条路由呢？在这种情况下，会选择第一条路由，通过网关201.66.37.253。原则是选择具有最长(最精确)的子网掩码。类似的，发往1.2.3.5的数据选择第二条路由。

　　注意：这条原则只适用于间接路由(通过网关)。把两个接口定义在同一子网在很多软件实现上是非法的。例如下面的设置通常是非法的（不过有些软件将尝试在两个接口进行负载平衡）：

接口 IP地址 子网掩码
eth0 201.66.37.1 255.255.255.0
eth1 201.66.37.2 255.255.255.0

　　对于重叠路由的策略是十分有用的，它允许缺省路由作为目的为0.0.0.0、子网掩码为0.0.0.0的路由进行工作，而不需要作为路由软件的一个特殊情况来实现。

　　回头来看看CIDR，仍使用上面的例子：一个服务提供商被赋予256个C类网络，从213.79.0.0到213.79.255.0。该服务提供商外部的路由表只以一个表项就了解了所有这些路由：213.79.0.0，子网掩码为255.255.0.0。假设一个用户移到了另一个服务提供商，他拥有网络地址213.79.61.0，现在他是否必须从新的服务提供商处取得新的网络地址呢？如果是，意味着他必须重新配置每台主机的IP地址，改变DNS设置，等等。幸运的是，解决办法很简单，原来的服务提供商保持路由213.79.0.0(子网掩码为255.255.0.0)，新的服务提供商则广播路由213.79.61.0(子网掩码为255.255.255.0)，因为新路由的子网掩码较长，它将覆盖原来的路由。

3、静态路由


回头看看我们已建立的路由表，已有了六个表项：

目的 掩码 网关 标志 接口
127.0.0.1 255.255.255.255 127.0.0.1 UH lo0
201.66.37.0 255.255.255.0 201.66.37.74 U eth0
201.66.39.0 255.255.255.0 201.66.39.21 U eth1
default 0.0.0.0 201.66.39.254 UG eth1
73.0.0.0 255.0.0.0 201.66.37.254 UG eth0
91.32.74.21 255.255.255.255 201.66.37.254 UGH eth0
该网络图示如下：

附件: 4092652005122202203.gif

这些表项分别是怎么得到的呢？第一个是当路由表初始化时由路由软件加入的，第二、三个是当网卡绑定IP地址时自动创建的，其余三个必须手动加入，在UNIX系统中，这是通过命令route来做的，可以由用户手工执行，也可以通过rc脚本在启动时执行。上述方法涉及的是静态路由，通常在启动时创建，并且没有手工干预的话将不再改变。
4、路由协议


　　主机和网关都可以使用称作动态路由的技术，这使路由表可以动态改变。动态路由需要路由协议来增加和删除路由表项，路由表还是和静态路由一样地工作，只是其增添和删除是自动的。

　　有两种路由协议：内部的和外部的。内部协议在自制系统(AS)内部路由，而外部协议则在自制系统间路由。自制系统通常在统一的控制管理之下，例如大的公司或大学。小的站点常常是其因特网服务提供商自制系统的一部分。

　　这里只讨论内部协议，很少有人涉及到甚至听说外部协议。最常见的外部协议是外部网关协议EGP(External Gateway Protocol)和边缘网关协议BGP(Border Gateway Protocol)，BGP是较新的协议，在逐渐地取代EGP。

5、ICMP重定向


　　ICMP通常不被看作路由协议，但是ICMP重定向却与路由协议的工作方式很类似，所以将在这里讨论一下。假设现在有上面所给的六个表项的路由表，分组被送往201.66.43.33，看看路由表，除了缺省路由外，这并不能匹配任何路由。静态路由将其通过路由器201.66.39.254发送(trip 1)，但是，该路由器知道所有发向子网201.66.43.0的分组应该通过201.66.39.253，因此，它把分组转发到适当的路由器(trip 2)。但是如果主机直接把分组发到201.66.39.253就会提高效率(trip 3)。如下图：

附件: 4092652005122202303.gif

因为路由器把分组从同一接口发回了分组，所以它知道有更好的路由，路由器可以通过ICMP重定向指示主机使用新的路由。虽然路由器知道所有发向201.66.43.0子网的分组应该通过201.66.39.253，它通常只发送特定的主机的ICMP重定向（此例中是201.66.43.33）。主机将在路由表中创建一个新的表项：　

目的 掩码 网关 标志 接口
201.66.43.33 255.255.255.255 201.66.39.253 UGHD eth1

　　注意标志D，对所有由ICMP重定向创建的路由设置此标志。将来此类分组将通过新路由发送(trip 3)。

6、RIP


　　RIP是一种简单的内部路由协议，已经存在很久，被广泛地实现（UNIX的routed就使用RIP）。它使用距离向量算法，所以其路由选择只是基于两点间的“跳(hop)”数，穿过一个路由器认为是一跳。主机和网关都可以运行RIP，但是主机只是接收信息，而并不发送。路由信息可以从指定网关请求，但通常是每隔30秒广播一次以保持正确性。RIP使用UDP通过端口520在主机和网关间通信。网关间传送的信息用于建立路由表，由RIP选定的路由总是具有距离目的跳数最少的。RIP版本1在简单、较小的网络中工作得不错，但是在较大的网络中，就出现一些问题，有些问题在RIP版本2中已纠正，但有些是由于其设计产生的限制。在下面的讨论中，适用于两种版本时简单称为RIP，RIP v1和RIP v2则指特定的版本。

　　RIP并没有任何链接质量的概念，所有的链路都被认为是相同的，低速的串行链路被认为与高速的光纤链路是同样的。RIP以最小的跳数来选择路由，因此当在下面两个路由中选择时：

100Mbps的光纤链路，路由器，然后是10Mbps的以太网

9600bps的串行链路

　　RIP将选择后者。RIP也没有链路流量等级的概念。例如对于两条以太网链路，其中一个很繁忙，另一个根本没有数据流，RIP可能会选择繁忙的那条链路。

　　RIP中的最大hop数是15，大于15则认为不可到达。因此在很大的自制系统中，hop数很可能超过15，使用RIP是很不现实的。RIP v1不支持子网，交换的信息中不含子网掩码，对给定路由确定子网掩码的方法各不相同，RIP v2则弥补了此缺点。RIP每隔30秒才进行信息更新，因此在大网中断链信息可能要花些时间才能传播开来，路由信息的稳定时间可能更长，并且在这段时间内可能产生路由环路。对此有一些解决办法，但这里不进行讨论。

　　可以看出，RIP是一个简单的路由协议，有一些限制，尤其在版本1中。不过，它常常是某些操作系统的唯一选择。

交换网络的路由技术


　  交换是当前网络技术发展的方向。路由技术是交换网络的重要组成部分。交换网络中路由技术选用得正确与否，将直接影响到网络的整体性能的好坏。因此路由技术越来越受到生产厂家与网络设计人员的重视。

一、三种路由技术
　　目前交换网络中的路由技术有三种，其中第一种是最为保守的方法，即第三层的路由器与第二层交换机相结合的方法。第二层交换机严格限制于桥结构，用于同一虚拟网内的不同节点之间的数据交换，在OSI参考模型的第二层，即数据链路层实现虚拟LAN的功能，将第三层的功能留给路由器实现，由路由器完成虚拟网络之间的数据传输与建立LAN与企业主干网连接的工作。
　　第二种方法采用分布式路由技术。其特点是它使用多层交换机，将第二层的桥与第三层的路由结合在一起，有的文献也将多层交换机称之为第三层交换机。它本身所具有的路由功能支持虚拟LAN，并支持大多数同一虚拟网内或不同虚拟网之间节点的通信，减少了工作组与部门之间所使用的路由器的数目。但它仍然不能完全摆脱使用传统路由器，这是因为多层交换机只能提供高档路由器所能提供的协议、安全、交通管理及与WAN连接功能的子集。如CISCO公司7000系列路由器能够处理12种协议并支持点对点、电路交换与信元交换的广域网通信，而Alantec公司生产的Powerhub多层交换机却只能处理三种协议:DECnet、IP与IPX，并且没有WAN接口。因此，多层交换机网络中需要使用路由器作为广域网的网关，并完成较为复杂的路由功能。
　　交换网中的第三种路由技术则采用了一种全新的结构:路由服务器与边界交换机相结合。我们知道，传统的路由器完成信息包的转发与路由选择两项工作。而基于路由服务器的网络则由两个独立的设备分别完成上述两项功能:边界交换机完成信息包的转发，而路由信息的确定由价格较为昂贵的路由服务器完成。边界交换机只有在自己的地址表中找不到目标节点的地址时才访问路由服务器，此时路由器对之响应一个正确的地址，交换机再将该信息缓存备用。需要指出的是，目前路由服务器与交换机之间的通信协议还不统一，不同厂家的产品还不兼容。

二、比较与评价
　　上述三种路由技术各有特色，网络设计人员可根据实际情况加以选用。为使人们对它们有更好的了解，我们分以下四个方面对它们进行比较。
1.组网规模
　　网络的大小是选择何种路由技术组网的决定性因素。第二层交换机与传统路由器相结合的办法适用于较小规模的网络，其特点是经济实用。但当主干网扩展成比较大的网络时，第二层虚拟LAN的开销将明显增大。
　　随着主干网的扩展，多层交换机的智能优势得到充分发挥，由于它仅向那些属于某一特定子网的网段转发广播，因此减少了主干网上广播交通的数量。由于多层交换机组成的虚拟网络具有过滤功能，并能节省主干网的带宽与端站点的时钟，因此虚拟网络的安全性较好。另外，它与第一种方法相比，由于交换机可在工作组与部门范围内同时负责交换与路由选径工作，故节省了传统路由器使用的数目。分布式路由器法与路由服务器也比较适用于大型的分布式网络。
2.延迟
　　网络延迟的增加会导致网络性能的下降，网络延迟的大小一般与设备在转发交通之前所必须处理的作业的大小成正比。对于第二层的以太交换机来讲，由于第二层虚拟网本质上使用桥而不使用路由器，因此相对速度较快，当执行一个简单的MAC地址寻找时，一个信息包(64字节)的延迟小于100微秒。第三层路由器的使用增加了头标的寻找及某些算法的执行，因此大大增加了信息包的延迟，其延迟时间高达5毫秒。
　　可见，对于由第二层交换机与第三层路由器结合组成的网络，当交通经由交换机时具有相当好的性能;当交通从一个交换机经由路由器流向另一个交换机时性能较差。
　　几乎所有的第二层交换机与软件配合使用都能将节点组成虚拟网络(广播域)，并以此改善网络的性能。同一虚拟网内节点之间的交通在MAC层进行交换，延迟较小。不同虚拟网之间的节点交换信息时，信息包传递要经过路由器，此时网络延迟较大。
　　分布路由技术允许交换机在第三层协议子网ID虚拟网间传递信息，能克服上述路由器所形成的瓶颈。
　　路由服务器法使用边界交换机做出路径的选择。偶而在边界交换机不知道发送目标地址时，才向路由服务器发询问信息包，此时才会出现寻径的延迟。正常情况下，交换机可以直接在缓存地址表中查找地址，之后可直接转发信息包，此种情况下产生的延迟与MAC层交换机的延迟基本相同。

3.管理
　　路由信息存放于网络中各个路由器中，每种协议都有相应的表列。网管人员必须逐个对路由器进行配置，其中包括滤波器的设置，增加、修改路由表等。加之人机界面是基于文本的界面，因此当企业网扩展到较大规模时，路由器的管理与配置是相当费时的。
　　分布式路由技术不利的一面是其管理的开销与路由及交换表数目的增加呈指数增加趋势。为了克服这一缺点，生产商家拟采用以下措施:在中心控制台制定交通管制策略，并通过网络自动传播，从而避免对每个设备逐一配置，并增加图形人机界面。
　　路由服务器的特点是易于管理，只需对一个路由服务器的配置就可提供高质量的服务与虚拟网络的管理。如Cabletron公司的Securefast管理程序就能够允许网管人员利用屏幕，对不同组的用户分配访问权限，通过执行该软件将访问权限通知所有的交换机。
　　路由服务器方法的另一个优点是，允许网管人员透明地制定交通管理策略，不必关心端站用户的类型。例如，网管人员可将以太交换机上的节点与ATM上的服务器分配给同一个虚拟局域网，而不必输入以太节点的MAC或IP地址，也不必输入ATM节点的VPI/VCI。 4.价格
　　价格是人们组网考虑的另一个主要因素。以下作者给出几个公司生产的50、250、500个端口三种路由方式产品的平均每个端口价格的对比情况(见表1～2)。这里每个端口的价格是用端口的数目去除网络设备总价格所得的结果，网络设备包括以太交换机、ATM交换机、路由服务器与第三层路由器。
　　路由服务器组网方式只有Newbridge公司给出价格，其50、250、500个端口设备每个端口的平均价格分别为1920、1520与1435美元。
　　从上面给出的数据可以看出，基于第二层交换与路由器方式组网的方案价格最便宜，分布式路由技术组网价格最高，而路由服务器方式组网价格适中。从中我们还可发现，使用第二层交换机与第三层路由器组网时，随着网络规模的扩大，平均每个端口的价格越来越小，路由服务器组网的情况与之类似。但分布式路由器组网方式平均每个端口的价格受网络规模影响不大。

三、与ATM主干的连接
　　由于路由服务器与分布式路由方式组成的交换LAN与ATM主干相连目前还没有统一的标准，故各公司提供的连接方式也不尽相同。
　　常见的方法是将以太或令牌环局域网交换机的所有虚拟网的交通送往装有ATM接口卡的路由器，但这种作法的缺点是路由器将会成为整个网络的瓶颈，影响了网络的整体性能。
　　较好的方法是，以太LAN交换机都备有各自的ATM接口，从而允许LAN交换机与ATM交换机直接建立连接，不必经由路由器，这是一个明显的改进。但不同虚拟网之间的数据传输仍需经过路由器，瓶颈依然存在。
　　目前关于传统的交通在ATM上传输有两种标准:其一是ATM论坛制定
　　的LAN仿真，另一种标准是国际计算机互连网络工程任务组IETF制定的ATM上的传统IP标准(IPOverATM)。LAN仿真运行于介质访问控制MAC层，它的最大好处是，能确保以太及令牌环的交通在不需对应用程序及人机界面做任何改变的情况下在ATM网上正常运行。IPOverATM标准与LAN仿真具有相同的目的，与LAN仿真不同的是，它只允许ATM交通运行于IP网络。但是，它们都没有彻底地解决不同虚拟网之间交通的传输，仍需要在不同虚拟网之间设有路由器:路由器将信元装配成信息包，完成路由选择，并在发送前再将信息包恢复成信元，这样做效率明显要低得多。为了消除路由器形成的瓶颈，ATM论坛制定了ATM上的多协议传输标准(MPOA)，其目的是解决ATM上的多种协议的传输，这其中包括IP、IPX/SPX与Appletalk等。MPOA的不同虚拟网之间的路由交通是基于网络层的交通信息(如IP子网地址)，以达到避免使用外部路由器的目的。

四、结论
　　综上所述，三种路由器技术各有特点，各有所长，用户可根据自己的实际需要加以选择。需要强调的是，路由技术在当前，乃至于在可预见的未来，仍是交换网络的一个非常重要的组成部分，路由技术选择的正确与否会直接影响网络整体性能，必须予以足够的重视。

cisco路由器基本命令配置

一·CISCO路由器简介

1.1 CISCO IOS操作环境。
有三种：
ROM monitor > Failure of password recovery
BootROM router(boot) > Flash image upgrade
Cisco IOS router > Normal operation

1.2 Command Modes命令模式。
User EXEC Router> 普通级别
Privileged EXEC Router# 系统管理级别（超级用户）
Configuration mode Router(config)# 修改配置


二、 配置前的准备工作

2.1 用终端或仿真终端接入CONSOLE口 。

终端或仿真终端配置信息如下：

9600 baud 8 data bits no parity 2 stop bits (9600,8/N/2）

2.2 用TELNET命令在网上进行设置。

系统管理员可在网上用telnet address命令进行远程配置。

三、 配置IP地址

3.1 config命令行方式进行设置

3.1.1 首先启动ROUTER 进入router > 模式。

键入Enable 进入router # 模式

然后键入config 进入router(config)# 模式

3.1.2 选择要配置的路由器端口

Router(config) # interface端口号

进入端口设置状态 Router(config-if)

此时用命令IP address <IP地址> <掩码>

设定路由器端口IP地址

四、 配置ip路由协议 (RIP ,OSPF ,BGP ,STATICS)


有路由器A和B，广域网通过router A 的s0/0/0和router B的s2/0/0相连，IP如下：

router A:

E1:202.101.1.1/24

S0/0/0:202.101.3.1/30

router B:

E1:202.101.2.1/24

S2/0/0:202.101.3.2/30

当我们设置路由器协议时，可根据方案的规定设置一种或多种协议。以下动态协议都是按最简单设置，复杂的配置可参考具体手册。

4.1静态路由

IP route 目的网络地址 子网掩码 端口号

在router A上配router B的路由:

IP route 202.101.2.0 255.255.255.0 202.101.3.2

在router A上配router B的路由:

IP route 202.101.1.0 255.255.255.0 202.101.3.1

4.2 RIP2设置

router A进行如下设置:

router rip ;enable rip

version 2 ;选择版本2

network 202.101.1.0 ;相关子网地址

network 202.101.3.0

router B进行如下设置:

router rip ;enable rip

version 2 ;选择版本2

network 202.101.2.0 ;相关子网地址

network 202.101.3.0

　

4.3 OSPF设置

router A:

router ospf 200 ；enable ospf 进程号为200

network 202.101.1.0 0.0.0.255 area 0 ； 相关子网地址及区域号

network 202.101.3.0 0.0.0.3 area 0

router B:

router ospf 200 ；enable ospf 进程号为200

network 202.101.2.0 0.0.0.255 area 0 ； 相关子网地址及区域号

network 202.101.3.0 0.0.0.3 area 0

　

4.4 BGP设置

router A:

router bgp 100 ;enable bgp 设置自治域号

network 202.101.3.0 mask 255.255.255.252 ；相关子网地址及子网掩码

network 202.101.1.0 mask 255.255.255.0 ; 这些地址由bgp发到邻居路由器

neighbor 202.101.3.2 remote-as 200 ；设置远程相连自治域边界路由器端口

router B:

router bgp 100 ;enable bgp 设置自治域号

network 202.101.2.0 mask 255.255.255.252 ；相关子网地址及子网掩码

network 202.101.1.0 mask 255.255.255.0 ; 这些地址由bgp发到邻居路由器

neighbor 202.101.3.1 remote-as 200 ；设置远程相连自治域边界路由器端口

　

五、 radius认证的设置


5.1 radius的简述

RADIUS的全称为(Remote Access Dail-In User Service),它是对远程拨号用户访问进行认证的一种协议。主要进行Authentication Authorization Accounting (AAA) 三方面的工作。

5.2 radius的配置

具体配置如下：

aaa new-mode ;enable radius

radius-server host <address> ;指明radius server在网上的地址

radius-server key <string> ;建立一个网上传输密

aaa authentication login default radius local ;进行login认证，若radius server未找到从本地数据库内查找

aaa authentication ppp default radius local

aaa authorization network radius local ;授权检测

aaa accounting network start-stop radius ;计帐检测

六、 路由器软件升级方法

6.1 改变操作环境

在global config mode设置: config -reg 0x2101

reload 进入Boot Rom 模式：router(boot)>

6.2 运行tftp server

在网上运行tftp server，使升级文件可以传输。

6.3 升级版本

命令如下：

copy tftp flash ;将tftp server上的文件传入路由器的flash memoy中

copy flash tftp ; 将flash中的文件备份到tftp server中


七、 路由器配置的其它事项

7.1拨号用户的配置。

cisco 2509/2511的异步串行通讯口在配置modem时，modem需设置成自动应答方式。具体方法如下：

用超级终端进入modem AT 命令方式，键入ats0=1 设置自动应答方式，然后键入at&w 将设置写入寄存器。

7.2 RIP & BGP的设置

当一个运行RIP路由协议的子网，做为一个自治域，用BGP协议接入另一自治域时。此子网内所有路由器需添加参数： ip classless 。同时在与边界路由器直接相连的路由器上需添加一个缺省网关。

7.3 v.35电缆直连的设置

在相关的端口上设置时钟速率：clock rate < speed> .

7.4 loopback端口的设置

loopback端口是一个虚拟端口，端口状态始终处于UP。通过它可以使由BGP相连的AS之间始终保持连系，不会由于边界路由器端口状态的改变而发生变化。其具体配置如下：

interface loopback <number>

ip address IP地址 子网掩码

八、常见问题

8.1如何检测网络是否通畅？

在网络主机上采用命令ping <ip地址> 来逐端检测网端。

8.2如何查看路由器配置信息？

在EXEC模式下用show config命令。

8.3如何查看路由器路由信息？

在EXEC模式下用show ip route 命令。

8.4如何查看路由器端口信息？

EXEX模式下用show int <端口号> 命令。

8.5为什么端口协议已经配置，状态仍然是down?

在CONFIG模式下，选择该端口，执行no shutdwon命令。

8.6 config模式有几种状态，对应那些操作？

config模式有以下几种状态：

· globle config 全局配置操作 exec模式键入config t

· interface config 端口配置操作 config模式键入int <端口号>

· line config 线路配置操作 config模式键入line <线路号>

· router config 路由配置操作 config模式键入router<路由协议>

结合实例讲解广域网路由基本技术
　　　　　　　　　　　　　　　　　　　　　
我们假定读者对IP协议有一定程度的了解（不了解IP协议永远无法维护一个IP网络），比如至少懂得IP地址的结构、类别和子网、子网掩码的概念，并且具有一定的计算机基础知识。在配置路由器时，只要将计算机的串口通过路由器自带的专用电缆接到Console口，使用诸如超级终端或者Netterm之类的软件即可。


网络中的只有一块网卡（一个IP地址）任何一台主机只能直接访问本子网内的机器。而路由器相当于一台由多个网卡的主机，每一块网卡可以直接与一个子网通信。根据上图我们知道，两个网络相连主要是通过在其间建立一个广域网互联子网来进行。这个子网中只有两台机器，即两边的路由器，当然它的子网掩码就是255.255.255.252。只要路由器A、B的Seiral口在同一个子网，由于它们的Ethernet口分别属于A、B两网，我们就在A、B网之间建立了一条通道。网络A中的主机只要将网关设为路由器A，其信息即可通过路由器A、B转发到B网。

　　我们在例子中使用的是应用最广泛的Cisco 2501路由器，这种路由器物理结构简单，网络接口只有两个Serial口和一个Ethernet口，却支持完整的路由功能。采用的协议为TCP/IP，因为现在使用其他诸如IPX、Netbeui之类的协议已经是非常的不合时宜。

实例1：通过Cisco 2501连接A局域网与B局域网


--------------------------------------------------------------------------------

假设实验条件如下：

A网：202.96.199.0——202.96.199.255
B网：202.97.76.0——202.97.76.31
DNS Server：202.96.199.2(主),202.96.199.3(备)
所属域：xxx.com
广域网互联：需要一个包含4个IP地址(2个可用IP)的子网，
定为：202.98.0.0——202.98.0.3，其中202.98.0.1给A网，202.98.0.2给B网
互联专线速率：128kbps


具体网络参数分配表如下：

项目 A网 B网 
网络号  202.96.199.0  202.97.76.0 
子网掩码 255.255.255.0 255.255.255.224
所属域 xxx.com  yyy.com 
以太网地址 202.96.199.1 202.97.76.1 
互联地址 202.98.0.1  202.98.0.2 
专线速率 128kbps 同左 
域名服务器  主：202.96.199.2
备：202.96.199.3  同左

　首先进入路由器：将你的计算机串行口连接到路由器的Console口，使用Netterm或者超级终端之类的软件登录。


Router>en:

passwd:******(输入超级口令)


全局配置：（A、B网相同）


Router#conf terminal(切换到配置状态)

Router(config)#enable secret my-root-password(定义超级口令)

Router(config)#ip host Router-A（定义路由器名,B网为Router-B）

Router(config)#ip domain-name xxx.com（定义所属域名称，B网为yyy.com）

Router(config)#nameserver 202.96.199.2（定义主域名服务器）

Router(config)#nameserver 202.96.199.3（定义备域名服务器）

Router(config)#ip classless

Router(config)#line vty 0 4

（定义5个telnet虚终端，即可以同时有5个人登录本路由器）

Router(config-line)#password my-telnet-password（定义telnet口令）

Router(config-line)#exit

Router(config)#exit

地址和路由配置：

/******　A网路由器　******/

Router-A#conf t(切换到配置状态)

Router-A(config)#int e0(配置Ethernet 0口)

Router-A(config-if)#description the LAN port link to my local network（端口说明）

Router-A(config-if)#ip add 202.96.199.1 255.255.255.0

（定义以太网IP地址，子网掩码表示为C类网络）

Router-A(config-if)#no shutdown（激活端口）

Router-A(config-if)#exit

Router-A(config)#int s0(配置Serial 0口)

Router-A(config-if)#description the WAN port link to Router-B（端口说明）

Router-A(config-if)#ip add 202.98.0.1 255.255.255.252（定义互联广域网IP地址）

Router-A(config-if)#bandwidth 128（定义端口速率，单位：kbps）

Router-A(config-if)#no shutdown（激活端口）

Router-A(config-if)#exit

Router-A(config)#ip route 202.97.76.0 255.255.255.224 202.98.0.2

（定义静态路由，通过网关到达对端局域网络，IP为对端广域网IP地址）

Router-A(config)#exit

Router-A#wr m(保存配置)


/******　B网路由器　******/

Router-B#conf t

Router-B(config)#int e0

Router-B(config-if)#description the LAN port link to my local network（端口说明）

Router-B(config-if)#ip add 202.97.76.1 255.255.255.224

（定义以太网IP地址，子网掩码表示为拥有32个地址的子网）

Router-B(config-if)#no shutdown

Router-B(config-if)#exit

Router-B(config)#int s0

Router-B(config-if)#description the WAN port link to Router-A（端口说明）

Router-B(config-if)#ip add 202.98.0.2 255.255.255.252

Router-B(config-if)#bandwidth 128

Router-B(config-if)#no shutdown

Router-B(config-if)#exit

Router-B(config)#ip route 202.96.199.0 255.255.255.0 202.98.0.1

（定义静态路由，通过网关到达对端局域网络，IP为对端广域网IP地址）

Router-B(config)#exit

Router-B#wr m(保存配置)


　　配置完成。

这里是A网、B网路由器配置清单。
Router A:

Router-A#sh run

Building Configuration...
Current configuration
version 11.2
service udp-small-servers
service tcp-small-servers
hostname Router-A
enable secret test-a
ip subnet-zero
interface Ethernet0
description the LAN port link to my local network
ip address 202.96.199.1 255.255.255.0
interface Serial0
description the WAN port link to Router-B
ip address 202.98.0.1 255.255.255.252
bandwidth 128
interface Serial1
no ip address
shutdown
ip domain-name xxx.com
ip name-server 202.96.199.2
ip name-server 202.96.199.3
ip classless
ip route 202.97.76.0 255.255.255.224 202.98.0.2
line con 0
line aux 0
line vty 0 4
password telnet-a
login
end
Router-A#
Rouer B:
Router-B#sh run

Building Configuration...
Current configuration
version 11.2
service udp-small-servers
service tcp-small-servers
hostname Router-B
enable secret test-b
ip subnet-zero
interface Ethernet0
description the LAN port link to my local network
ip address 202.97.76.1 255.255.255.224
interface Serial0
description the WAN port link to Router-A
ip address 202.98.0.2 255.255.255.252
bandwidth 128
interface Serial1
no ip address
shutdown
ip domain-name yyy.com
ip name-server 202.96.199.2
ip name-server 202.96.199.3
ip classless
ip route 202.96.199.0 255.255.255.0 202.98.0.1
line con 0
line aux 0
line vty 0 4
password telnet-b
login
end
Router-B#


实例2：通过Cisco 2501将你的局域网接入Internet


--------------------------------------------------------------------------------

假设实验条件如下：

本网IP地址为：202.96.199.0——202.96.199.255
DNS Server：202.96.202.96(主)，202.96.96.202(备)
ISP分配的广域网互联IP地址为202.98.0.2


具体网络参数分配表如下：

项目 用户网络 ISP网络 
网络号 202.96.199.0   
子网掩码 255.255.255.0   
所属域 xxx.com 
以太网地址 202.96.199.1   
互联地址 202.98.0.2 202.98.0.1 
专线速率 128kbps 同左 
域名服务器  主：202.96.202.96
备：202.96.96.202 

我们已经有了上例的经验，则很容易根据相同的原理配置这个路由器。

首先进入路由器：

Router>en:

passwd:


全局配置：

Router#conf t

Router(config)#ip host Router

Router(config)#nameserver 202.96.202.96

Router(config)#nameserver 202.96.96.202

Router(config)#exit

其他项目同“例一”。


地址配置：

Router#conf t

Router(config)#int e0

Router(config-if)#description the LAN port link to my local network（端口说明）

Router(config-if)#ip add 202.96.199.1 255.255.255.0

Router(config-if)#no shutdown（激活端口）

Router(config-if)#exit

Router(config)#int s0

Router(config-if)#description the WAN port link to Internet（端口说明）

Router(config-if)#ip add 202.98.0.2 255.255.255.252

Router(config-if)#no shutdown（激活端口）

Router(config-if)#exit


路由配置：

Router(config)#ip route 0.0.0.0 0.0.0.0 202.98.0.1

（定义默认静态路由，所有的远程访问通过网关，IP为对端广域网IP地址）

Router(config)#exit

Router#wr m


　　配置完成。

这里是本网路由器配置清单。
Router#sh run
Building Configuration...
Current configuration
version 11.2
service udp-small-servers
service tcp-small-servers
hostname Router
enable secret test
ip subnet-zero
interface Ethernet0
description the LAN port link to my local network
ip address 202.96.199.1 255.255.255.0
interface Serial0
description the WAN port link to Internet
ip address 202.98.0.2 255.255.255.252
bandwidth 128
interface Serial1
no ip address
shutdown
ip domain-name xxx.com
ip name-server 202.96.202.96
ip name-server 202.96.96.202
ip classless
ip route 0.0.0.0 0.0.0.0 202.98.0.1
line con 0
line aux 0
line vty 0 4
password telnet
login
end
Router#

实例3：使用Cisco路由器对大型网络(例如ISP网络)进行扩容


--------------------------------------------------------------------------------

　　当然，设计管理大型网络的路由非常复杂，一般都是由经过高级培训的专业人士进行。而且，大型网络一般都采用像Cisco 7507这样的高档路由器。在这里顺便简单讲述，主要是让大家开阔一下视野，了解一下其他的路由协议。

　　这时，与例2唯一的不同就是路由配置，不能采用静态路由协议而应该相应地采用非常优秀的OSPF动态路由协议并结合RIP协议。

假设具体网络参数如下：

项目 本地网络 
网络号  202.96.199.0 
子网掩码 255.255.255.0
OSPF编号 100 
OSPF域 202.96.192.0——202.96.207.255，16个C 

那么应该这样配置：

Router(config)#router ospf 100(配置OSPF路由)

Router(config-router)#summary-address 202.96.199.0 255.255.255.0

Router(config-router)#redistribute connnected metric-type 1 subnets

Router(config-router)#redistribute static(通过OSPF协议广播静态路由)

Router(config-router)#network 202.96.192.0 0.0.15.255 area 0.0.0.0

Router(config-router)#area 0.0.0.0 authentiication message-digest

Router(config-router)#exit

Router(config)#router rip(配置RIP路由)

Router(config-router)#redistribute ospf 100 metric 1(通过RIP协议广播OSPF路由)

Router(config-router)#passive-interface Serial 0(不在Serial 0上使用)

Router(config-router)#network 202.101.199.0(定义本网络)

Router(config-router)#exit

Router(config)exit


同时，采用OSPF协议时应该在广域网端口上加入授权机制：

Router(config)#int s0

Router(config-if)#ip ospf message-digest-key keyword

Router(config-if)#exit

Router(config)#exit

Router#wr m

更大型的网络会采用BGP边缘路由协议，假设具体网络参数如下：


项目 本地网络 远程网络
AS(自治域) 20000 4000
本地BGP网络 202.96.192.0——202.96.207.255，16个C
202.97.0.0——202.97.15.255，16个C
202.98.128.0——202.98.159.255，32个C
　
互联地址 202.100.4.2 202.100.4.1

则本地路由器配置方法为：

Router(config)#router bgp 20000(定义本BGP管理的AS--自治域编号)

Router(config-router)#no synchronization

Router(config-router)#network 202.96.192.0 mask 255.255.240.0

(定义本AS--自治域包含的网络)

Router(config-router)#network 202.97.0.0 mask 255.255.240.0

Router(config-router)#network 202.98.128.0 mask 255.255.224.0

Router(config-router)#neighbor 202.100.4.1 remote-as 4000

(定义到远端AS--自治域的网关IP)

Router(config-router)#exit

Router(config)#exit

Router#wr m


　　配置完成。

用技术


--------------------------------------------------------------------------------

一、使用口令加密机制：

Router(config)#service password-encryption(路由器密码将以暗码显示)
二、配置http server，以便从浏览器访问路由器：

Router(config)#ip http server
三、访问控制：


Router(config)#access-list 101 permit ip 10.150.0.0 0.0.255.255 any
　　(允许10.150.0.0——10.150.255.255访问)


Router(config)#access-list 101 deny ip 10.151.0.0 0.0.255.255 any
　　(禁止10.151.0.0——10.150.255.255访问)


四、负载分担：


要实现负载分担必须使用动态路由协议，以OSPF为例，只要将两条路由的代价(cost)设为相等，即可自动实现。


默认的OSPF代价为广域网线路64，局域网线路30，设置路径代价的命令为：
　　Router(config-if)#ip ospf cost xx。


五、常用命令：

Router#help/?(获得帮助)
Router#sh run(显示路由器当前配置)
Router#sh int Xn(接口名称，例如Ethernet 0、Serial 1等，显示接口状态)
Router#sh ip route(显示当前路由)
Router#wr m(储存配置，以便下次重启时使用)
Router#reload(重启路由器)
Router#ping ip-address(测试与其他主机的连接)
Router#telnet host(登录其它主机)

配置IP路由协议
这一章我们主要介绍怎样配置各种各样的IP(Internet IP)路由协议.IP路由协议分成两大类:内部网关协议IGPs(Interior Gateway Protocols)和外部网关协议EGPs(Exterior Gateway Protocols).

选择路由协议的原则 配置IGRP Cisco's IGRP 的实现 IGRP的路由交换 IGRP的配置 配置Enhanced IGRP Cisco's Enhanced IGRP的实现 EIGRP的配置 IGRP到EIGRP的迁移
置RIP RIP的配置 RIP与IGRP,EIGRP的迁移 配置静态路由 IP路由协议的配置实例
Cisco IOS支持的协议有:

内部网关协议(它是在一个自治系统内部交换路由信息的路由协议)----- IGRP, EIGRP, OSPF, RIP 和 IS-IS等等.

外部网关协议(它是为连接两个或多个自治系统的路由协议)----- BGP 和 EGP等等.

选择路由协议的原则

选择一个路由协议是一个非常复杂的工作.当选择路由协议,参考以下几点:

网络的大小和复杂性
支持可变长掩码(VLSM).Enhanced IGRP,IS-IS,OSPF和静态路由支持可变长掩码
网络流量大小
安全需要
网络延迟特性
下面就分别介绍各种路由协议的特点和配置.

配置IGRP

内部网关路由协议(Interior Gateway Routing Protocol---- IGRP)是一个动态的,长跨度的路由协议,它是Cisco公司八十年代中期设计实现的,在一个自治系统内具有高跨度,适合复杂网络的特点.

Cisco's IGRP的实现

IGRP的网络延迟,带宽,可靠性和负载都是可由用户配置决定的.

IGRP广播三种类型的路由:内部的,系统的和外部的.如图所示.内部的路由是在一台路由器的端口上连接子网的路由.如果一台路由器连接的网络是非子网的,IGRP就不广播内部路由.