交换机与路由器.ppt

计算机网络技术河南职业技术教育研究室 编河南中等职业技术教育规划教材第第4 4章章 交换机与路由器交换机与路由器【学习要点】o交换机的工作方式及相关知识o交换机的启动和常规配置oVLAN的基本概念及配置方法o路由器的工作方式及相关知识o静态路由协议及配置方法o动态路由协议及配置方法o访问控制列表及配置方法 第第4 4章章 交换机与路由器交换机与路由器任务一 交换机基本配置管理任务二 交换机的VLAN的划分任务三 路由器的初始配置任务四 路由器协议配置任务五 实现访问列表控制IP通信任务一 交换机基本配置管理【学习内容】o交换机配置线的连接o交换机配置的基本操作o配置交换机支持Telnet一 启动过程与配置的基本操作二 远程登录Telnet配置一 启动过程与配置的基本操作【任务描述】 启动交换机电源，观察交换机的自检过程，观察交换机的LED指示灯工作状态，对交换机进行初始配置任务分析】 对交换机进行初始配置，要准备好一台PC机、一根反转线和一台有控制台端口的交换机一 启动过程与配置的基本操作【操作步骤】1．连接配置线2．设置超级终端（1）单击“开始”→“程序”→“附件”→“通讯”→“超级终端”，如果是第一次运行，会出现“位置信息”对话框，在“您的区号（或城市号）是什么”栏下输入“010” 。

一 启动过程与配置的基本操作（2）单击“确定”按钮，出现“和调制解调器选项”对话框，单击“确定”按钮3）出现“连接描述”对话框，在“名称”栏下输入“”，图标栏选择所需图标 一 启动过程与配置的基本操作（4）单击“确定”按钮，出现“连接到”对话框，在“连接时使用”栏选择“COM1” （5）单击“确定”按钮，出现“COM1属性”对话框，配置相关参数，如图所示，选择还原默认值，此时终端的硬件设置为：波特率：9600、数据位：8、奇偶校验:无、停止位：1、流控：无一 启动过程与配置的基本操作（6）单击“确定”按钮，出现“超级终端”界面 一 启动过程与配置的基本操作3．交换机配置的基本操作 作为一项安全功能，交换机IOS软件将命令分为用户模式、特权模式和配置模式分别是：（1）用户模式该模式只允许有限数量的基本监视命令Switch>（2）特权模式 该模式提供了对交换机所有命令的访问，可以通过输入用户ID和口令来保护Switch#从用户模式进入特权模式：Switch>enable返回用户模式命令：Switch#exit或【Ctrl+C】键一 启动过程与配置的基本操作（3）配置模式 配置模式又分为全局配置模式和接口配置模式、线路配置模式等子模式。

全局配置模式和所有其他的特定配置模式都只能从特权模式到达①全局配置模式用于配置交换机的整体参数全局配置模式提示符为：Switch（config）#从特权模式进入全局配置模式：Switch#configure terminal返回特权用户模式命令：Switch（config）#exitSwitch#一 启动过程与配置的基本操作②接口配置模式 接口配置模式用于配置交换机的接口参数若要进入各种配置模式，首先必须进入全局配置模式从全局配置模式出发，可以进入各种配置子模式，如：接口配置子模式：Switch（config-if）#VLAN配置子模式：Switch（config-vlan）#从全局配置模式进入接口配置子模式的命令为：Switch（config）#interface FastEthernet 0/1返回全局配置模式的命令：Switch（config-if）#exitSwitch（config）#从子模式下直接返回特权模式的命令：Switch（config-if）#endSwitch#4．帮助命令通过键入一个问号（？）可以执行帮助命令 二 配置交换机支持Telnet 【任务描述】 假设某学校的网络管理员第一次在设备机房对交换机进行了初次配置后，他希望以后在办公室或出差时也可以对设备进行远程管理，现要在交换机上做适当配置，使他可以实现这一愿望。

任务分析】 本实验以Cisco2950交换机为例，交换机命名为SwitchA如图所示，一台PC机通过串口（Com）连接到交换机的控制（Console）端口，通过网卡（NIC）连接到交换机的F0/1端口假设PC机的IP地址和子网掩码分别为，，配置交换机的管理IP地址和子网掩码分别为，二 配置交换机支持Telnet【操作步骤】1．在PC机上进行设置设置PC机的IP地址和子网掩码分别为，2．在交换机上配置管理IP地址3．配置交换机远程登录密码4．配置交换机特权模式密码 5．保存在交换机上所做的配置【注意事项】 交换机的管理接口缺省一般是关闭的（交换机的管理接口缺省一般是关闭的（shutdown），），因此在配置管理接口interface vlan 1的IP地址后须用命令“no shutdown”开启该接口任务一 交换机基本配置管理【知识链接】1．交换机简介 交换机是目前局域网中使用最广的网络设备，主要是作为工作站、服务器、路由器、集线器和其他交换机集中点 交换机拥有一条很高带宽的内部总线和内部交换机构交换机的所有端口都挂接在这条内部总线上，如图所示，A向B发送数据，控制电路收到数据包以后，端口处理程序会查找内存中的地址对照表以确定目的MAC地址的NIC（网卡）挂接在哪个端口上，通过内部交换机构迅速的将数据包传送到目的端口。

 交换机是一台专用的特殊的计算机，它包括中央处理器（CPU）、随机存储器（RAM）、接口、flash和操作系统等任务一 交换机基本配置管理 分层网络设计把以太网交换机在网络中的应用分为三个层次：核心层、汇聚层和接入层 任务一 交换机基本配置管理（（1））核心层核心层 核心层是网络的高速交换的骨干，对协调通信至关重要在该层中的设备不再承担访问列表检查、数据加密、地址翻译或者其他影响最快速率交换分组的任务核心层有以下特征：① 提供高可靠性② 提供冗余链路③ 模块化的设计，接口类型广泛④ 提供故障隔离⑤ 交换设备功能最强大任务一 交换机基本配置管理（2）汇聚层 汇聚层位于接入层和核心层之间，它把核心层网络的其他部分区分开来汇聚层具有以下功能：① 策略（处理某些类型通信的一种方法，这些类型通信包括路由选择更新、路由汇总、VLAN通信以及地址聚合等）② 安全③ 部门或工作组级访问④ 广播/多播域的定义⑤ VLAN之间的路由选择；⑥ 介质翻译（例如，在Ethernet和令牌环之间）⑦ 在路由选择之间重分布（例如，在两个不同路由选择协议之间）；⑧ 在静态和动态路由选择协议之间的划分。

任务一 交换机基本配置管理（3）接入层 接入层是用户工作站和服务器连接到网络的入口接入层交换机的主要目的是允许最终用户连接到网络接入层交换机应该以低成本和高端口密度提供这种功能接入层具有以下特点：① 对汇聚层的访问控制和策略进行支持② 建立独立的冲突域③ 建立工作组与汇聚层的连接任务一 交换机基本配置管理任务二 交换机的VLAN的划分【学习内容】o交换机的VLAN配置o同一交换机上的VLAN内通信o多个交换机上的VLAN内通信一 同一交换机上的VLAN内通信二 多个交换机上的VLAN内通信一 同一交换机上的VLAN内通信【任务描述】 假设此交换机是宽带小区城域网中的一台楼道交换机，住户PC1连接在交换机的0/5口；住户PC2连接在交换机的0/12口现要实现各家各户的端口隔离任务分析】 以Cisco 2950交换机构建实现环境，如图所示，先配置PC1、PC2的IP地址和子网掩码，使PC1和PC2在同一子网内，两台PC可以互相Ping通，然后创建划分VLAN，实现交换机端口的隔离，在同一交换机上的同一个VLAN内的PC机才能相互通信一 同一交换机上的VLAN内通信【操作步骤】1．配置计算机PC1和PC2设置计算机PC1的IP地址和子网掩码分别为，。

设置计算机PC2的IP地址和子网掩码分别为，在未划VLAN前两台PC可以互相ping通2．创建VLAN3．将接口分配到VLAN4．两台PC互相ping不通【注意事项】清空交换机原有vlan配置的命令：delete 删除交换机配置的命令：erase startup-config重启交换机的命令：reload二 多个交换机上的VLAN内通信【任务描述】 假设某企业有2个主要部门：销售部和技术部，其中销售部门的个人计算机系统分散连接在两台交换机上，如图所示，他们之间需要相互进行通信，但为了数据安全起见，销售部和技术部需要进行相互隔离任务分析】 在Cisco2950交换机上做适当配置来实现这一目标先配置PC1、PC2、PC3的IP地址和子网掩码，使他们在同一子网内，三台PC可以互相Ping通，然后创建划分VLAN，PC1和PC3在同一VLAN内，PC2在另一VLAN内，从而实现多个交换机上的VLAN内通信【操作步骤】1．配置计算机PC1、PC2和PC3设置计算机PC1的IP地址和子网掩码分别为，设置计算机PC2的IP地址和子网掩码分别为，设置计算机PC2的IP地址和子网掩码分别为，。

在未划VLAN前三台PC互相ping可以通2．在交换机SwitchA上创建Vlan10，并将0/5端口划分到Vlan 10中3．在交换机SwitchA上创建Vlan 20，并将0/9端口划分到Vlan 20中4．在交换机SwitchA设置VTP模式5．在交换机SwitchA上将与SwitchB相连的端口（假设为0/12端口）定义为干道链路（trunk link）模式 二 多个交换机上的VLAN内通信6．在交换机SwitchB上创建Vlan10，并将0/5端口划分到Vlan 10中7．在交换机SwitchB设置VTP模式8．在交换机SwitchB上将与SwitchA相连的端口（假设为0/12端口）定义为干道链路（trunk link）模式9．验证PC1和PC3能互相通信，但PC2和PC3不能相互通信【注意事项】两台交换机之间相连的端口应该设置为干道链路（trunk link）模式 二 多个交换机上的VLAN内通信任务二 交换机的VLAN的划分【知识链接】1．VLAN产生的原因 虚拟网（VLAN）技术就是将一个交换网络逻辑地划分成若干子网，每一个子网就是一个广播域逻辑上划分的子网在功能上与传统物理上划分的子网相同，划分可以根据交换机的端口、MAC地址、IP地址来进行。

2．VLAN标准的体系结构 使用4字节标签头定义TAG（标签）标签头包含了2个字节的标签协议标识（TPID）和2个字节的标签控制信息（TCI）TPID（（Tag Protocol Indentilfier）：）：TPID包含了一个固定的值0x8100TCI：：包含的是帧的控制信息，它包含下面的一些元素：（（1））Priority：：这3位指明帧的优先级（（2））Canonical Format Indicator（（CFI）：）：CFI值为0说明是规范格式，1为非规范格式3））VLAN Identified（（VLAN ID）：）：这是一个12位的域，指明VLAN 的ID，一共4096个，每个支持协议的交换机发送出来的数据包都会包含这个域，以指明自己属于哪一个VLAN其中VLAN1是不可删除的默认VLAN二 多个交换机上的VLAN内通信3．VLAN的类型（1）基于端口的VLAN（2）基于MAC地址的VLAN（3）基于协议的VLAN二 多个交换机上的VLAN内通信4．VLAN的端口VLAN的端口可以分为access和trunk两种1）接入链路（access link） 接入链路是用于连接主机和交换机的链路。

通常情况下主机并不需要知道自己属于哪些VLAN，主机的硬件也不一定支持带有VLAN标记的帧主机要求发送和接收的帧都是没有打上标记的帧2）干道链路（trunk link））干道链路是可以承载多个不同VLAN数据的链路干道链路通常用于交换机间的互连，或者用于交换机和路由器之间的连接3）帧在网络通信中的变化二 多个交换机上的VLAN内通信5．VLAN的路由 VLAN之间的通信的解决方法是，一种是在VLAN之间配置路由器 另一种方法是利用三层交换机实现VLAN间通信三层交换机使用硬件技术，采用巧妙的处理方式把二层交换机和路由器在网络的功能集成到一个盒子里，提高了网络的集成度，增强了转发性能 二 多个交换机上的VLAN内通信 如图所示，在交换机上分别划分VLAN10和VLAN20，VLAN10的工作站IP地址为；VLAN20的工作站IP地址为利用三层交换机的路由功能实现VLAN间互访在三层交换机上创建各个VLAN的虚拟接口（SVI），并设置IP地址和子网掩码然后将所有VLAN连接工作站的网关指向该SVI的IP地址，VLAN10里的工作站的网关比如都设为，VLAN20里的工作站的网关比如都设为。

二 多个交换机上的VLAN内通信任务三 路由器的初始配置【学习内容】o路由器配置线的连接o路由器配置的基本操作o配置路由器支持Telnet【任务描述】 假设某企业的网络管理员第一次在设备机房对路由器进行了初次配置后，他希望以后在办公室或出差时也可以对设备进行远程管理，现要在路由器上做适当配置，使他可以实现这一愿望任务分析】 以一台Cisco2621路由器为例，一台PC机通过串口（Com）连接到交换机的控制（Console）端口，通过网卡（NIC）连接到路由器的fastethernet0/1端口，如图所示假设PC机的IP地址和子网掩码分别为，，配置路由器的fastethernet0/1端口的IP和网络掩码分别为， 任务三 路由器的初始配置【操作步骤】1．在PC机上进行设置设置PC机的IP地址和子网掩码分别为，2．在路由器上配置fastEthernet 0/1端口的IP地址 3．配置路由器运程登录密码 4．配置路由器特权模式密码 5．保存在路由器上所做的配置 【注意事项】执行命令RouterA#show running-config，可显示RouterA的全部配置。

任务三 路由器的初始配置任务三 路由器的初始配置-【知识链接】【知识链接】 1．识别网络设备及其控制线 Cisco网络设备包含硬件和软件两部分，其软件部分为网络操作系统IOS （（1）） 识别识别Cisco2621路由器路由器 Cisco2621路由器的前面板如图所示路由器前面板的左下角是3个指示灯，其中“POWER”指示灯为电源指示灯，“RPS”指示灯为冗余电源指示灯，“ACTIVITY”指示灯为负荷情况指示灯，如果该指示灯闪烁得很快，则说明路由器负荷较重路由器常用的端口如下：（1）高速同步串口（2）以太网端口（3）Console口（控制口）（4）AUX端口（辅助口）（5）ISDN端口（BRI端口）（6）高密度异步端口还有一些端口可以通过购买相应的网络模块而获得任务三 路由器的初始配置 （2）） 识别路由器线缆识别路由器线缆 在实际工作环境中，路由器必须通过CSU/DSU设备（也称DTU）接入广域网 路由器与DTU之间的连接有几种标准，常见的就是使用标准的接口和线缆路由器线缆又分DTE线缆和DCE线缆两种，线缆接口处为针状，线缆接口处为孔状 。

任务三 路由器的初始配置 Cisco路由器和交换机提供了一条控制线（两头均为RJ-45头的反转线）及RJ-45转换头， 任务三 路由器的初始配置 Cisco路由器的软件部分即网络操作系统IOS软件是需要内存的，Cisco路由器的内存体系结构如图所示1））ROMCisco路由器运行时首先运行ROM中的程序2））FLASHFLASH包含IOS及微代码3））DRAMDRAM中主要包含路由表、ARP缓存、数据包缓存等，还包含有正在执行的路由器配置文件4））NVRAMNVRAM是一种非易失性的内存NVRAM中包含有路由器配置文件，NVRAM中的内容在系统掉电时不会丢失任务三 路由器的初始配置3．配置方法（1）控制台方式（2）远程登录（Telnet）方式 （3）网管工作站方式（4）TFTP服务器方式4．路由器的命令状态 与交换机的配置类似，路由器的配置操作有三种模式，即用户模式、特权模式和配置模式 （（1）用户模式）用户模式如果设置了路由器的名字，则提示符为:路由器的名字>（（2）特权模式）特权模式Router>enableRouter#（（3）配置模式）配置模式①全局配置模式在Router#提示符下键入configure terminal，路由器进入全局配置模式，即：Router#configure terminalRouter(config)#任务三 路由器的初始配置② setup模式 这是一台新路由器开机时自动进入的状态，系统会自动进入SETUP模式，并询问是否用SETUP模式进行配置。

在任何时候，要进入SETUP模式，在特权模式下，可键入setup③ RXBOOT 模式 在路由器加电60秒内，在Windows 系统下的超级终端下，同时按ctrl+break键3-5秒左右就进入RXBOOT 模式，这时路由器不能完成正常的功能，只能进行软件升级和手工引导；或者进行路由器口令恢复时进入该状态④ 其他配置模式 在全局配置模式下，键入相应命令，便可进入Router(config-if)#，Router(config-line)#，Router(config-router)#等子模式，这时可以设置路由器的某个局部的参数任务三 路由器的初始配置任务四 路由器协议配置【学习内容】o静态路由协议及配置方法o动态路由协议RIP的配置o动态路由协议OSPF的配置一 静态路由的配置二 动态路由协议RIP的配置三 动态路由协议OSPF的配置一 静态路由的配置【任务描述】 假设校园网通过一台路由器连接到另一台路由器上，现在要在路由器上做适当配置，实现校园网内部主机与校园网外部主机的相互通信，如图所示两台路由器用1根V.35 DTE线缆和1根V.35 DCE线缆直接连起来。

任务分析】 Cisco路由器可配置的3种路由为：静态路由、动态路由和缺省路由 路由器路由协议配置的基本步骤是：第一，选择路由协议；第二，指定网络或端口 通过配置静态路由，用户可以人为地指定某一网络访问时所要经过的路径，在网络结构比较简单，且一般到达某一网络所经过的路径唯一的情况下可采用静态路由一 静态路由的配置静态路由器的相关命令如下： （1）ip address <本端口IP地址> <子网掩码>：为端口设置一个IP地址在同一端口中可以设置两个以上的不同网段的IP地址，这样可以实现连接在同一局域网上不同的网段之间的通信如果一个网段对于用户来说不够用，可以采用这种办法 在端口配置模式下输入以下命令即可在同一端口中设置另一个不同网段的IP地址 ip address <本端口IP地址> <子网掩码> secondary （2）ip route <目的子网地址> <子网掩码> <相邻路由器相邻端口地址或者本地物理端口号>：设置静态路由 ip route 0.0.0.0 <相邻路由器相邻端口地址或者本地物理端口号>：设置缺省路由3）show ip route：显示IP路由表（4）ping:测试网络连通性。

【操作步骤】1．配置计算机PC1和PC2设置计算机PC1的IP地址、子网掩码和网关分别为、和设置计算机PC2的IP地址、子网掩码和网关分别为，和2．在路由器RouterA上配置接口的IP地址和串口上的时钟频率3．在路由器RouterA上配置静态路由4．在路由器RouterB上配置接口的IP地址和串口上的时钟频率 5．在路由器RouterB上配置静态路由 6．测试网络的互连互通性，PC1与PC2可以互相ping通 【注意事项】如果两台路由器通过串口直接互连，则必须在其中一端设置时钟频率（DCE）二 动态路由协议RIP的配置【任务描述】 假设在校园网中通过三台路由器分别连接不同校区的局域网，现要在路由器上做适当配置，实现校园网中不同校区内的主机相互通信，如图所示【任务分析】1．RIP简介 RIP（Routing Information Protocol）是应用较早、使用较普遍的内部网关协议（Interior Gateway Protocol，简称IGP），适用于小型同类网络，是典型的距离矢量路由选择协议 RIP通过广播UDP报文来交换路由信息，每30秒发送一次路由信息更新。

RIP提供跳数作为尺度来衡量路由距离，跳数是一个包到达目标所必须经过的路由器的数目如果到相同目标有2个不等速或不同带宽的路由器，但跳数相同，则RIP认为两个路由是等距离的RIP最多支持的跳数为15，即在源和目的网间所要经过的最多路由器的数目为15，跳数16表示不可达 RIP版本2还支持无类域间路由和可变长子网掩码和不连续子网，并且使用组播地址发送路由信息二 动态路由协议RIP的配置2. RIP配置步骤在全局配置模式下的步骤：（1）启动RIP路由，输入命令：router rip（2）设置RIP的版本（可选）RIP路由协议有两个版本，在与其他厂商路由器相连时注意版本要一致默认状态下，Cisco路由器接收RIP版本1和版本2的路由信息，但只发送版本1的信息可用命令“version<1或2>”设置RIP的版本3）设置本路由器参加动态路由的网络，其格式为：network <与本路由器直连的网络号》注意：注意：network命令中的<与本路由器直连的网络号>不能包含子网号，而应是主类网络号4）允许在非广播型网络中进行RIP路由广播（可选），其格式为neighbor<相邻路由器相邻端口的IP地址>二 动态路由协议RIP的配置【操作步骤】1．配置计算机PC1、PC2和PC3。

设置计算机PC1的IP地址、子网掩码和网关分别为、和设置计算机PC2的IP地址、子网掩码和网关分别为、和设置计算机PC2的IP地址、子网掩码和网关分别为、和2．在路由器上配置接口的IP地址和串口上的时钟频率（以R1为例） 3．在路由器R1上配置RIP V2路由协议 4．在路由器R3上配置RIP V2路由协议 二 动态路由协议RIP的配置路由表中的项目R 192.168.1.0 [120/1] via 192.168.78.1, 00:02:30, Serial0解释如下：（1）R表示此项路由是由RIP协议获取的，C代表直接相连的网段；（2）表示目标网段；（3）[120/1]中的120表示RIP协议的管理距离默认为120，1是该路由的度量值，即跳数；（4）via表示经由的意思；（5）表示从当前路由器出发到达目标网的下一跳点的IP地址；（6）00:02:30表示该条路由产生的时间；（7）Serial0表示该条路由使用的接口注意事项】① 在串口上配置时钟频率时，一定要在电缆DCE端的路由器上配置，否则链路不通，为了查明串行接口所连的电缆类型，从而正确配置串行接口，可以使用show controllers serial命令来查看相应的控制器。

② 定义关联网络时，命令network后面必须是与该路由器直连的主类网络地址二 动态路由协议RIP的配置三 动态路由协议OSPF的配置【任务描述】 假设你是某集成商的高级技术支持工程师，现在为某企业设计一个网络，你选择了使用OSPF路由协议来构建骨干区域网络，如图所示任务分析】简介 OSPF（Open Shortest Path First）是一个内部网关协议，用在单一自治系统内决策路由与RIP相比，OSPF是链路状态路由协议，而RIP距离矢量路由协议 链路是路由器接口的另一种说法，因此OSPF也称为接口状态路由协议OSPF通过路由器之间通告网络接口的状态来建立链路状态数据库，生成最短路径树，每个OSPF路由器使用这些最短路径构造路由表配置步骤（1）启用OSPF动态路由协议，其格式为Router ospf <进程号> 进程号在1~65535范围内可以随意设置，只用于标识OSPF为本路由器内一个进程2）定义参与OSPF的子网该子网属于哪一个OSPF路由信息交换区域，其格式为network <本路由器直连的IP子网号> <通配符> area <区域号> 路由器将限制只能在相同区域（即自治系统内）内交换子网信息，不同区域间不交换路由信息。

区域号取值范围为0~4294967295，区域0为主干OSPF区域不同区域交换路由信息必须经过区域0某一区域要接入OSPF路由区域0，该区域必须至少有一台路由器为区域边缘路由器，即它参与本区域路由又参与区域0路由 说明：说明：该命令中可以包括子网号，其中的<通配符>就是该子网的反掩码反掩码是用广播地址（）减去掩码地址所得到的地址比如掩码为，则反掩码为三 动态路由协议OSPF的配置【操作步骤】1．配置计算机PC1和PC2设置计算机PC1的IP地址、子网掩码和网关分别为、和设置计算机PC2的IP地址、子网掩码和网关分别为、和2．对两台路由器进行基本配置3．启动OSPF路由协议 【注意事项】① 在广域网口DCE端要配置时钟速率；② OSPF进程号要相同③ 声明网段后，掩码用反掩码三 动态路由协议OSPF的配置任务四 路由器协议配置- 【知识链接】【知识链接】1．路由协议 路由协议(Routing Protocol)用于路由器动态寻找网络最佳路径，保证所有路由器拥有相同的路由表，一般路由协议决定数据包在网络上的行走路径 可被路由的协议（Routed Protocol）由路由协议(Routing Protocol)传输，前者亦称为网络协议。

可被路由的协议和路由协议经常被混淆可被路由的协议（Routed Protocol）在网络中被路由，例如IP、DECnet、AppleTalk、Novell NetWare、OSI而路由协议是实现路由算法的协议，简单地说，它给网络协议做导向路由协议如：RIP、IGRP、EIGRP、OSPF、IS-IS、EGP、BGP等 2．静态路由 静态路由是在指由网络管理员手工配置的路由信息当网络的拓扑结构或链路的状态发生变化时，网络管理员需要手工去修改路由表中相关的静态路由信息 3．动态路由 动态路由是指路由器能够自动地建立自己的路由表，并且能够根据实际情况的变化适时地进行调整动态路由机制的运作依赖路由器的两个基本功能：对路由表的维护，路由器之间适时地路由信息交换路由器之间的路由信息交换是基于路由协议实现的如图所示，可以直观地看到路由信息交换的过程 任务四 路由器协议配置- 【知识链接】 大多数算法使用一个量化的参数来衡量路径的优劣，一般来说，参数值越小，路径越好该参数可以通过路径的某一特性进行计算，也可以在综合多个特性的基础上进行计算几个比较常用的特征是：路经所包含的路由器跳数（hop count）、网络传输费用（cost）、带宽（bandwidth）、延迟（delay）、负载（load）、可靠性（reliability）和最大传输单元MTU（maximum transmission unit）。

任务四 路由器协议配置- 【知识链接】4．动态路由协议的分类 根据是否在一个自治系统内部使用，路由协议分为内部网关协议（IGP）和外部网关协议（EGP），如图所示所示这里的自治系统指一个在同一公共路由选择策略和公共管理下的网络集合，具有统一管理机构、统一路由策略的网络例如大的公司或学校小的站点常常是其因特网服务提供商自治系统的一部分 （1）外部网关协议：在自治系统之间交换路由选择信息的互联网络协议，如BGP 在一般企业或学校较少涉及外部网关协议最常见的外部网关协议是边界网关协议BGP（Border Gateway Protocol） （2）内部网关协议：在自治系统内交换路由选择信息的路由协议，常用的因特网内部网关协议有RIP、OSPF任务五 实现访问列表控制IP通信 【学习内容】o标准IP访问列表规则及配置o扩展IP访问列表规则及配置一 标准ACL的配置二 扩展ACL的配置 一 标准ACL的配置【任务描述】 你是一个公司的网络管理员，公司的经理部、财务部门和销售部门分属不同的三个网段，三部门之间用路由器进行信息传递，为了安全起见，公司领导要求销售部门不能对财务部门进行访问，但经理部可以对财务部门进行访问，如图所示。

任务分析】 对路由器需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃而实现包过滤的核心技术是访问控制列表ACL（Access Control List）访问控制列表（ACL）是一系列运用到网络地址或者上层协议上的允许或拒绝指令的集合1．ACL的类型 ACL的类型主要分为IP标准访问控制列表（Stand IP ACL）和IP扩展访问控制列表（Extended IP ACL）：主要的动作为允许（Permit）和拒绝（Deny），如图所示，主要的应用方法是入栈（In）应用和出栈（out）应用一 标准ACL的配置2．IP标准访问控制列表（Standard IP ACL）标准访问控制列表是基本IP数据包中的IP地址进行控制，如图所示 所有的访问控制列表都是在全局配置模式下生成的IP标准访问控制列表的格式如下： Access-list listnumber {permit |deny } address {wildcard-mask}其中：listnumber是规则序号，标准访问控制列表（Standard IP ACL）的规则序号范围是1~99；permit和deny表示允许或禁止满足该规则的数据包通过；address是源地址IP；wildcard-mask是源地址IP的通配比较位，也称反掩码。

例如:(config)#access(config)#access一 标准ACL的配置①使用通配符any 使用二进制通配掩码很不方便，某些通配掩码可以使用缩写形式替代这些缩写形式，减少了在配置地址检查条件时候的键入量 假如想允许任何目标地址都被允许，为了检查任何地址，需要输入要使ACL忽略任意值，反掩码为：可以使用如下缩写形式，来指定相同的测试条件 (config等价于 (config)# access-list 1 permit any②使用通配符host 当想要与整个IP主机地址的所有位相匹配时，相应的反掩码位全为零（也就是）可以使用如下缩写形式，来指定相同的测试条件config等价于(config一 标准ACL的配置1．配置三个不同网段的主机设置网段一主机的IP地址、子网掩码和网关分别为、和设置网段一主机的IP地址、子网掩码和网关分别为、和设置网段一主机的IP地址、子网掩码和网关分别为、和2．路由器的基本配置3．配置标准IP访问控制列表 4．把访问控制列表在接口下应用 【注意事项】① 注意在访问控制列表的网络掩码是反掩码② 标准控制列表要应用在尽量靠近目的地址的接口。

③ 注意标准访问控制列表的编号是从1—99④ 执行R1#show running-config命令，可查看路由器的配置一 标准ACL的配置二 扩展ACL的配置【任务描述】 某学校规定教师（在教工宿舍）可以访问教工之家的WWW服务器，（在学生宿舍）的学生不能访问教工之家的WWW服务器，学校规定学生所在网段是，学校服务器所在网段是，教师所在的网段是，如图所示【任务分析】 扩展访问控制列表既可检查分组的源地址和目的地址，也可检查协议类型和TCP或UDP的端口号，如图所示 端口号IPTCP/UDP数据协议源地址目的地址Access-list listnumber {permit |deny } protocol source source-wildcard-mask destination destination-wildcard-mask [operator operand] 其中：扩展访问控制列表（Standard IP ACL）的规则序号范围是100~199；protocol是指定的协议，如IP、TCP 、UDP等；destination是目的地址；destination-wildcard-mask是目的地址的反掩码；operator operand用于指定端口的范围，默认为全部端口号0~65535，只有TCP和UDP协议需要指定的端口范围。

IP扩展访问控制列表也都是在全局配置模式下生成的IP扩展访问控制列表的格式如下：二 扩展ACL的配置表9-1 扩展访问控制列表支持的操作符及其语法操作符及其语法意义eq portnumber等于端口号 portnumbergt portnumber大于端口号 portnumberlt portnumber小于端口号 portnumberneq portnumber不等于端口号 portnumberrange portnumber1 portnumber2介于端口号 portnumber1和portnumber2之间二 扩展ACL的配置【操作步骤】1．配置三个不同网段的主机设置网段一主机的IP地址、子网掩码和网关分别为、和设置WWW服务器的IP地址、子网掩码和网关分别为、和设置网段一主机的IP地址、子网掩码和网关分别为、和2．路由器的基本设置3．配置扩展IP访问控制列表 4．把访问控制列表在接口下应用 【注意事项】① 访问控制列表要在接口下应用② 扩展访问控制列表尽量放在靠近源地址的端口上③ 在所有的访问控制列表最后，有一条隐含规则—拒绝所有，所以要注意deny某个网段后用permit其他网段。

④ 在编号访问控制列表里要特别注意，删除其中的一个条目，其他的条目也一并删除二 扩展ACL的配置任务五 实现访问列表控制IP通信-【知识链接】【知识链接】1．命名访问控制列表Cisco IOS软件版本中引入了命名ACL，命名ACL允许在标准和扩展中，使用名字代替数字来表示ACL编号使用命名ACL有以下好处：第一，通过一个字母数字串组成的名字直观地表示特定的ACL；第二，不受99条标准ACL和100条扩展ACL的限制；第三，使得网络管理员可以方便地对ACL进行修改而无需删除ACL之后再对其进行重新配置 使用ip access-list命令可创建命名ACL，语法格式如下：ip access-list{extend|standard} name这将用户置于ACL配置模式下Router(config-std-nacl)#或Router（config-ext-nacl）# 在ACL配置模式下，通过指一个或多个允许及拒绝条件，来决定一个分组是允许通过还是被丢弃语法格式如下：Router(config-ext-acl)# {permit |deny } protocol source source-wildcard-mask [operator [port]] destination destination-wildcard-mask [operator [port]] ACL配置命令中，permit或deny操作符用于通知路由器当一个分组满足某一ACL语句时应执行转发操作还是丢弃操作。

2．实例 演示应用一个命名ACL3．实例 删除或新增命名ACL语句 任务五 实现访问列表控制IP通信-【知识链接】总结与回顾 本章主要介绍交换机与路由器在网络中的配置方法重点掌握交换机的基本使用和配置方法、体系结构配置方法、VLAN技术路由器的静态路由和缺省路由的配置方法比较简单，但还要重视它们的应用动态路由协议有不同的分类方法，重点掌握RIP路由协议基本配置和OSPF路由协议基本配置，掌握标准、扩展访问控制列表的应用，应注意它们不同的命令格式及不同点 对交换机与路由器的使用关键在于根据网络组建的实际需要，熟练应用在不同情况下的配置方法。