路由器的配置.ppt

第章路由器的配置,6.1 任务一：路由基本原理与应用6.2 任务二：协议的配置及应用6.3 任务三：协议的配置及应用6.4 任务四：服务的配置与应用6.5 任务五：的应用与配置6.6 任务六：的配置与应用6.7 任务七：远程管理网络设备6.8 任务八：协议的配置与应用6.9 任务九：协议的配置与应用,下一页,返回,6.1 任务一：路由基本原理与应用,6.1.1 预备知识.路由器定义以及转发原理路由器顾名思义，就是用来路由的机器，它是一种典型的网络连接设备，用来进行路由选择和报文转发。路由器可以根据收到报文的目的地址选择一条合适的路径（包含一个或多个路由器的网络），当路由器从一个端口收到一个报文后，去除链路层封装，交给网络层处理。网络层首先检查报文是否为送给本机的，若是，则去掉网络层封装，送给上层协议处理；若不是，则根据报文的目的地址查找路由表，若找到路由，将报文交给相应端口的数据链路层，封装端口所对应链路层协议后，将报文传送到下一个路由器，若找不到路由，将报文丢弃。路径终端的路由器负责将报文送交目的主机。,下一页,返回,6.1 任务一：路由基本原理与应用,.路由和路由表路由就是引导数据包如何到达目的网络的路径信息，而进行路由的设备我们称之为路由器，路由器可以根据接收的数据包网络层头部的目的地址选择一个合适的路径，将其传递下去，最终传递给目的主机。路由表是保存于路由器中的传输路径相关信息，路由器根据收到的报文中目的地址在路由表中进行最优路径的转发。打个比方，路由表就像我们平 时使用的地图，标识着各种路线。路由表存在于路由器的中，也就是说设备需要维护的路由信息越多，就越需要有足够的空间，而且一旦路由器断电重启，路由表就会消失，然后重新构建。路由表可以由网络管理员手工设置（静态路由），也可以根据网络情况自动调整（动态路由协议）,上一页,下一页,返回,6.1 任务一：路由基本原理与应用,.路由表的构成（）目的网络号：目的地址的逻辑网络的网络号。（）子网掩码：也叫网络掩码、地址掩码，用于指明一个地址哪些位表示所在子网，哪些位表示主机地址。子网掩码不能单独存在，必须和地址同时使用才有意义。（）下一跳地址：标明报文匹配此条路由发往的地址。（）出接口：包离开路由器去往目的网络经过的接口。（）路由信息来源：表示此路由信息是通过哪种方式构建而成的，可以是由管理员手工创建的静态路由，也可以是通过配置动态路由协议学习而来的动态路由。,上一页,下一页,返回,6.1 任务一：路由基本原理与应用,（）路由优先级：当相同路由信息从不同的路由协议学习时，则会比较路由的优先级，优先级越小，路由则越优。优先级如表所示。.路由的过程在介绍完路由表之后，下面通过一个实例加深对路由过程的了解。如图所示，左侧连接网络.，右侧连接网络.，当.网络有一个数据包要发送到.网络时，路由的过程如下：（）.网络的数据包被发送给与网络直接相连的的端口，端口收到数据包后查找自己的路由表，找到去往目的地址的下一跳为.，出接口为，于是数据包从,上一页,下一页,返回,6.1 任务一：路由基本原理与应用,接口发出，交给下一跳.。（）的.（）接口收到数据包后，同样根据数据包的目的地址查找自己的路由表，查找到去往目的地址的下一跳为.，出接口为，同样，数据包被从接口发出，交给下一跳.。（）的.（）接口收到数据后，依旧根据数据包的目的地址查找自己的路由表，查找目的地址是自己的直连网段，并且去往目的地址的下一跳为.，接口是。最后数据包从接口送出，交给目的地址。.路由的来源路由的来源主要有三种，分别是直连路由、静态路由和动态路由。,上一页,下一页,返回,6.1 任务一：路由基本原理与应用,.路由的选路规则路由表中有众多条目，当路由器准备转发数据时，将按照最长匹配原则查找出合适条目，再按照条目中指定路径发送。最长匹配原则应用过程如下：数据报文基于目的地址进行转发，当数据包文到达路 由器时，路由器首先提取出报文的目的地址，查找路由表，将报文的目的地址与路由表中的最长的掩码字段做“与”操作，“与”操作后的结果跟路由表该表项的目的地址比较，相同则匹配成功，否则就没有匹配成功；若未匹配成功，路由器将寻找出拥有第二长掩码字段的条目，并重复刚才的操作，依此类推。一旦匹配成功，路由器将立即按照条目指定路径转发数据包，若最终都未能匹配，则丢弃该数据包。,上一页,下一页,返回,6.1 任务一：路由基本原理与应用,6.1.2典型任务：静态路由的基本配置.任务描述通过配置静态路由，使与能够互通，如图所示。.任务分析（）通过配置的默认网关将目的地址为.的数据包发到。（）的路由表中，并没有直连到.网段的直连接口，所以需要配置静态路由将数据包发往。（）的路由表中，并没有直连到.网段的直连接口，所以需要配置静态路由将数据包发往。,上一页,下一页,返回,6.1 任务一：路由基本原理与应用,（）通过配置的默认网关将目的地址为.的数据包发到。（）的路由表中，并没有直连到.网段的直连接口，所以需要配置静态路由将数据包发往。（）的路由表中，并没有直连到.网段的直连接口，所以需要配置静态路由将数据包发往。.配置流程静态路由配置流程如图所示。,上一页,返回,.任务二：RIP协议的配置及应用,6.2.1预备知识.动态路由协议动态路由协议是路由器之间交互信息的一种语言。路由器之间通过该协议可以共享网络状态和网络中的一些可达路由的信息。只有使用同种语言的路由器才可以交互信息。路由协议定义了一套路由器之间通信时使用的规则，通信的双方共同遵守该规则。同时路由器也通过动态路由协议维护路由表，提供最佳转发路径。（）常见的路由协议如下：，路由信息协议。,下一页,返回,.任务二：RIP协议的配置及应用,：，开放式最短路径优先。：，中间系统到中间系统。：，边界网关协议。在以上路由协议中，路由协议配置简单，收敛速度慢，常用于中小型网络；协议由开发，协议原理本身比较复杂，使用非常广泛；设计思想简单，扩展性好，目前在大型的网络中被广泛配置；用于之间交换路由信息。,上一页,下一页,返回,.任务二：RIP协议的配置及应用,（）路由协议分类。根据作用的范围分类。首先，需要了解一下自治系统（，）的概念。自治系统的典型定义是指由同一个技术管理机构，使用统一选路策略的一些路由器的集合。而当前自治系统的概念发生了一些变化，指在一个自治系统下，可以使用多个技术管理机构，并可以使用多种选路策略的一些路由器的集合。根据路由算法分类。路由算法是指路由协议收集路由信息并对其进行分析，从而得到最佳路由的方式方法。根据路由算法，路由协议可分为距离矢量协议和链路状态协议两类。距离矢量（）,上一页,下一页,返回,.任务二：RIP协议的配置及应用,协议：包括和。其中，也被称为路径矢量（）协议。距离矢量路由协议基于贝尔曼福特算法，使用该算法的路由器通常以一定的时间间隔向相邻的路由器发送它们完整的路由表。根据目的地址类型分类。根据目的地址的类型，路由协议可分为单播路由协议和组播路由协议。.概述是（路由信息协议）的简称，它是一种较为简单的内部网关协议。是一种基于距离矢量算法的协议，它使用跳数（）作为度量来衡量到达目的网络的距离。通过报文进行路,上一页,下一页,返回,.任务二：RIP协议的配置及应用,由信息的交换，使用的端口号为。包括和两个版本，对进行了扩充，使其更具有优势。（）为有类别路由协议，不支持和。v2为无类别路由协议，支持VLSM，支持路由聚合与。（）使用广播发送报文；有两种发送方式广播方式和组播方式，缺省是组播方式。的组播地址为。组播发送报文的好处是在同一网络中那些没有运行的网段可以避免接收的广播报文；另外，组播发送报文还可以使运行的网段避免错误地接收和处理中带有子网掩码的路由。,上一页,下一页,返回,.任务二：RIP协议的配置及应用,（）不支持认证功能，支持明文认证和密文认证。由于的实现较为简单，在配置和维护管理方面也远比和容易，因此主要应用于规模较小的网络中，例如校园网以及结构较简单的地区性网络。对于更为复杂的环境和大型网络，一般不使用协议。.的工作过程启动时的初始路由表仅包含本设备的一些直连接口路由。通过相邻设备互相学习路由表项，才能实现各网段路由互通。路由形成的过程如图所示。（）RIP协议启动之后，会向相邻的路由器广播一个请求报文。,上一页,下一页,返回,.任务二：RIP协议的配置及应用,（）当从接口接收到发送的请求报文后，把自己的路由表封装在应答报文内，然后向该接口对应的网络广播。（）根据发送的应答报文，形成自己的路由表。.的更新与维护（）协议在更新和维护路由信息时，主要使用四个定时器：更新定时器（）：当此定时器超时时，立即发送更新报文。老化定时器（）：设备如果在老化时间内没有收到邻居发来的路由更新报文，则认为该路由不可达。,上一页,下一页,返回,.任务二：RIP协议的配置及应用,垃圾收集定时器（）：如果在垃圾收集时间内不可达路由没有收到来自同一邻居的更新，则该路由将被从路由表中彻底删除。抑制定时器（）：当设备收到对端的路由更新，且为，对应路由进入抑制状态，并启动抑制定时器。为了防止路由震荡，在抑制定时器超时之前，即使再收到对端路由小于的更新，也不接收。当抑制定时器超时后，就重新允许接收对端发送的路由更新报文。（）路由与定时器之间的关系。的更新信息发布是由更新定时器控制的，默认为每发送一次。每一条路由表项对应两个定时器：老化定时器和垃圾收集定时,上一页,下一页,返回,.任务二：RIP协议的配置及应用,器。当学到一条路由并添加到路由表中时，老化定时器启动。如果老化定时器超时，设备仍没有收到邻居发来的更新报文，则把该路由的度量值置为（表示路由不可达），并启动垃圾收集定时器。如果垃圾收集定时器超时，设备仍然没有收到更新报文，则在路由表中删除该路由。（）触发更新。触发更新是指当路由信息发生变化时，立即向邻居设备发送触发更新报文，而不用等待更新定时器超时，从而避免产生路由环路。如图所示，网络.不可达时，最先得到这一信息。如果设备不具有触发更新功能，发现网络故障之后，需要等待更,上一页,下一页,返回,.任务二：RIP协议的配置及应用,新定时器超时。在等待过程中，如果的更新报文传到了，就会学到的去往网络.的错误路由。这样和上去往网络.的路由都指向对方从而形成路由环路。如果设备具有触发更新功能，发现网络故障之后，不必等待更新定时器超时，立即发送路由更新信息给，这样就避免了路由环路的产生。6.2.2典型任务：协议的基本配置.任务描述通过，使得、三台路由器环回口地址实现互通，如图所示。,上一页,下一页,返回,.任务二：RIP协议的配置及应用,.任务分析（）创建进程，建议使用版本。（）确定哪些网络需要运行，将其通告进协议。（）检查路由表，验证配置。.配置流程配置流程如图所示。.关键配置（）配置。创建进程,上一页,下一页,返回,.任务二：RIP协议的配置及应用,设置使用版本的协议.通告主类网络.,上一页,下一页,返回,.任务二：RIP协议的配置及应用,（）配置。.（）配置。.,上一页,下一页,返回,.任务二：RIP协议的配置及应用,（）通过可以显示路由的信息。（）在、上查看进程的路由条目。：，-.,上一页,下一页,返回,.任务二：RIP协议的配置及应用,.：，-.,上一页,下一页,返回,.任务二：RIP协议的配置及应用,.,上一页,下一页,返回,.任务二：RIP协议的配置及应用,：，-.,上一页,返回,6.3任务三：OSPF协议的配置及应用,6.3.1预备知识（，开放式最短路径优先）路由协议是链路状态算法的路由协议，它作为现网三大路由协议之一，主要应用于大型企业网和中小型骨干网，本节将系统介绍基本特点、工作原理、基本配置。路由协议，由互联网工程任务组（）开发。的发展主要经过了三个版本：在中定义，该版本只处于试验阶段并未对外公布；现今在网络中主要应用，它最早在中定义，之后在中得到完善和补充；面对地址耗尽问题，对现有版本改进为，从而能很好地支持。,下一页,返回,6.3任务三：OSPF协议的配置及应用,1.的基本概念（）：中使用一个位的整数来唯一标识一台路由器，如果手工设置，则优先使用。如果没有手工设置，则选取设备上激活的接口地址最大的，如设备没有地址，则选取物理接口地址最大的。（）协议号：和前面不同的是，直接运行于协议之上，使用协议号。它的封装方式如图所示。（）和：在多路访问的网络中，设备会选取一个和来代表这个网络。,上一页,下一页,返回,6.3任务三：OSPF协议的配置及应用,（）邻接关系：能够相互交换链路状态信息的稳定邻居状态称作邻接关系。（）邻居关系：能够交互Hello报文的一组设备，称作邻居关系。（）邻居表：包含所有邻居路由器的集合。（）链路状态数据库：包含网络中所有链路状态信息的集合，代表了整张的网络拓扑，区域内所有路由器的数据库保持一致。（）路由表：链路状态数据库通过算法计算出的最优路径，作为报文的转发依据。,上一页,下一页,返回,6.3任务三：OSPF协议的配置及应用,2.的算法链路状态路由协议，并不是像协议那样直接交互路由信息，而是在区域内的相邻设备相互交互链路信息，形成链路状态数据库，为了保证可靠性，所有的路由器最终会得到一份完全相同的链路状态数据库。使用值，作为度量值，每个接口都会根据它的带宽值自动的计算出值，默认以为参考带宽，到达某个目的网段的开销，就是这台路由器到达目的网络中间所有链路的开销总和。并不会周期性的扩散路由信息，路由器通过使用报文来维持自己的邻居关系，特定时间内，如果没有收到邻,上一页,下一页,返回,6.3任务三：OSPF协议的配置及应用,居发来的报文，则认为邻居已经失效。的路由刷新时间是递增的，路由器通常只在拓扑结构发生改变时发出刷新消息，当的到达时，也会重新发送一个。3.的网络类型根据链路层协议，将网络类型分为如下四种类型：（）广播类型：当链路层协议是、时，缺省情况下，认为网络类型是。（）类型：当链路层协议是帧中继、时，缺省情况下，认为网络类型是。,上一页,下一页,返回,6.3任务三：OSPF协议的配置及应用,（）点到多点（）类型：没有一种链路层协议会被缺省的认为是点到多点类型。点到多点必须是由其他的网络类型强制更改的。常用做法是将非全连通的改为点到多点的网络。（）点到点（）类型：当链路层协议是、和时，缺省情况下，认为网络类型是。4.与每一个含有至少两个路由器的广播型网络和网络都有一个指定路由器（，）和备份指定路由器（，）。,上一页,下一页,返回,6.3任务三：OSPF协议的配置及应用,5.报文类型报文用于发现和维护邻居关系，在广播型网络和网络上报文也用来选举和。报文通过携带头部信息来描述链路状态摘要信息。报文用于发送下载的请求信息，这些被请求的是通过接收报文发现的，但是本路由器上没有的。报文通过发送详细的来同步链路状态数据库。报文通过泛洪确认信息确保路由信息的交换过程是可靠的。除了报文以外，其他所有报文只在建立了邻接关系的路由器之间发送。6.状态机邻居状态和邻接状态的建立分别如图和图所示。,上一页,下一页,返回,6.3任务三：OSPF协议的配置及应用,（）：这是邻居的初始状态，表示没有从邻居收到任何信息。在网络上，此状态下仍然可以向静态配置的邻居发送报文，发送间隔为，通常和间隔相同。（）：此状态只在网络上存在，表示没有收到邻居的任何信息，但是已经周期性的向邻居发送报文，发送间隔为。如果间隔内未收到邻居的报文，则转为Down状态。（）：在此状态下，路由器已经从邻居收到了报文，但是它不在所收到的报文的邻居列表中，表示尚未与邻居建立双向通信关系。在此状态下的邻居要被包含在自己所发,上一页,下一页,返回,6.3任务三：OSPF协议的配置及应用,送的报文的邻居列表中。（）：此事件表示路由器发现与邻居的双向通信已经开始（发现自己在邻居发送的报文的邻居列表中）。状态下产生此事件之后，如果需要和邻居建立邻接关系则进入状态，开始数据库同步过程，如果不能与邻居建立邻接关系则进入。（）：在此状态下，双向通信已经建立，但是没有与邻居建立邻接关系。这是建立邻接关系以前的最高级状态。（）：此事件表示路由器发现自己没有在邻居发送报文的邻居列表中，通常是由于对端邻居重启造成的。,上一页,下一页,返回,6.3任务三：OSPF协议的配置及应用,（）：这是形成邻接关系的第一个步骤，邻居状态变成此状态以后，路由器开始向邻居发送报文。主从关系是在此状态下形成的；初始序列号是在此状态下决定的。在此状态下发送的报文不包含链路状态描述。（）：此状态下路由器相互发送包含链路状态信息摘要的报文，描述本地的内容。（）：相互发送报文请求，发送通告。（）：两个路由器的已经同步。7.区域划分随着网络规模日益扩大，当一个大型网络中的路由器都运行,上一页,下一页,返回,6.3任务三：OSPF协议的配置及应用,路由协议时，路由器数量的增多会导致非常庞大，占用大量的存储空间，并使得运行算法的复杂度增加，导致负担很重。在网络规模增大之后，拓扑结构发生变化的概率也增大，网络会经常处于“动荡”之中，造成网络中会有大量的协议报文在传递，降低了网络的带宽利用率。更为严重的是，每一次变化都会导致网络中所有的路由器重新进行路由计算。协议通过将自治系统划分成不同的区域（）来解决上述问题。区域是从逻辑上将路由器划分为不同的组，每个组用区域号（）来标识，骨干区域用表示。支持将一组网段组合在一起，这样的一个组合称为一个区域，即区域是一组网段的集合。,上一页,下一页,返回,6.3任务三：OSPF协议的配置及应用,划分区域可以缩小规模，减少网络流量。协议将网络中流量类型分为三种：（）区域内流量在同一个区域的路由器间通信；（）区域间流量在不同区域间的路由器之间通信；（）外部流量OSPE区域路由器与外部协议域的路由器间通信。路由器可以分为以下四类：（）（）骨干路由器，它是指至少有一个端口（或者虚连接）连接到骨干区域的路由器。包括所有的和所有端口都在骨干区域的路由器。由于非骨干区域必须与骨干区域直接相连，因此骨干区域中路由器（即骨干路由器）往往会处理多个区域的路由信息。,上一页,下一页,返回,6.3任务三：OSPF协议的配置及应用,（）（）内部路由器，它是指所有连接的网段都在一个区域的路由器。属于同一个区域的维护相同的。（）区域边界路由器，它是指连接到多个区域的路由器，并且至少有一个接口在骨干区域。为每一个所连接的区域维护一个。区域之间的路由信息通过来交互。（）（自治系统）边界路由器，它是指和其他中的路由器交换路由信息的路由器，这种路由器负责向整个通告外部路由信息的。是内部路由器通过与外部通信。边界路由器可以是内部路由器，或者是，可以属于骨干区域也可以不属于骨干区域。,上一页,下一页,返回,6.3任务三：OSPF协议的配置及应用,6.3.2典型任务：协议的基本配置.任务描述（）五台路由器在同一个的中，使用环回口为的地址作为设备的；（）、在中；（）、在中；（）、在中；（）在、之间的网络中确保优先成为，优先成为；（）实现全网互通，如图所示。,上一页,下一页,返回,6.3任务三：OSPF协议的配置及应用,.任务分析（）通过配置基本的实现网络互通。（）、之间的选举通过调整接口优先级来实现。注意：的因为存在非抢占原则，所以建议先在接口配置优先级，后配置进程，防止被抢占。.配置流程配置流程如图所示。.关键配置（）调整、设备接口优先级。,上一页,下一页,返回,6.3任务三：OSPF协议的配置及应用,优先级越大，越有可能成为设备 优先级较低，优先成为设备,上一页,下一页,返回,6.3任务三：OSPF协议的配置及应用,优先级为，放弃参选,上一页,返回,6.4 任务四：DHCP服务的配置与应用,6.4.1 预备知识1.概述在常见的小型网络中（例如家庭网络和学校宿舍网络），网络管理员都是采用手工分配地址的方法，但是在大型网络中，手动分配地址的方法就不太合适了，而为我们提供了在网络中高效分配地址的方法。（）的定义。（，动态主机分配协议）是一种运行在客户端和服务器之间的协议，用来分配地址，是基于的应用，,上一页,下一页,返回,6.4 任务四：DHCP服务的配置与应用,客户端向服务器动态地请求网络配置信息，服务器根据策略返回相应的配置信息（地址、子网掩码、缺省网关等网络参数）。（）的特点。分配过程自动实现。所有配置信息（地址、子网掩码、缺省网关等）由服务器统一管理。基于架构。采用协议，主机发送消息到的端口，返回消息给主机到端口。的安全性较差，服务器容易受到攻击。,下一页,返回,6.4 任务四：DHCP服务的配置与应用,（）的报文。采用客户端服务器方式进行交互，由报文中“”字段的值来确定，后面括号中的值即为相应类型的值，具体含义如下：报文，是客户端开始过程的第一个报文。报文，是服务器对报文的响应。报文，是客户端开始过程中对服务器的报文的回应，或者是客户端续延地址租期时发出的报文。,上一页,下一页,返回,6.4 任务四：DHCP服务的配置与应用,报文，是服务器对客户端的报文的确认响应报文，客户端收到此报文后，才真正获得了地址和相关的配置信息。报文，是服务器对客户端的报文的拒绝响应报文，当服务器收到此报文后，一般会重新开始新的过程。报文，是客户端主动释放服务器分配给它的地址的报文，当服务器收到此报文后，就可以回收这个地址，然后分配给其他的客户端。（）的基本架构。基本协议架构中，主要包括以下三种角色：,上一页,下一页,返回,6.4 任务四：DHCP服务的配置与应用,客户端。客户端，通过与服务器进行报文交互，获取地址和其他网络配置信息，完成自身的地址配置。在设备接口上配置客户端功能，这样接口可以作为客户端，使用协议从服务器动态获得地址等参数，方便用户配置，也便于集中管理。中继。中继，负责转发来自客户端方向或服务器方向的报文，协助客户端和服务器完成地址配置功能。如果服务器和客户端不在同一个网段范围内，则需要通过中继来转发报文，这样可以避免在每个网段范围内都部署,上一页,下一页,返回,6.4 任务四：DHCP服务的配置与应用,服务器，既节省了成本，又便于进行集中管理。在基本协议架构中，中继不是必须的角色。只有当客户端和服务器不在同一网段内，才需要中继进行报文的转发。服务器。服务器，负责处理来自客户端或中继的地址分配、地址续租、地址释放等请求，为客户端分配地址和其他网络配置信息。的基本构架如图所示。.客户端与服务器的交互模式客户端为了获取合法的动态地址，在不同阶段与服务器之间交互不同的信息，通常存在以下三种模式：,上一页,下一页,返回,6.4 任务四：DHCP服务的配置与应用,（）客户端动态获取地址。如图所示，客户端首次登录网络时，主要通过四个阶段与服务器建立联系。发现阶段，即客户端寻找服务器的阶段。提供阶段，即服务器提供地址的阶段。选择阶段，即客户端选择地址的阶段。确认阶段，即服务器确认所提供地址的阶段。（）客户端重用曾经分配的地址。如图所示，客户端重新登录网络时，主要通过以下几个步骤与服务器建立联系：,上一页,下一页,返回,6.4 任务四：DHCP服务的配置与应用,重新登录网络是指客户端曾经分配到可用的地址，再次登录网络时地址还在相应的租期之内。客户端不需要再发送报文，而是直接发送包含前一次分配的地址的请求报文，即报文中的（请求的地址选项）字段填入曾经使用过的地址。服务器收到报文后，如果客户端申请的地址没有被分配，则返回确认报文，通知该客户端继续使用原来的地址。如果此地址无法再分配给该客户端使用（例如已分配给其他客户端），服务器将返回报文。客户端收到后，重新发送DHCPDiscover报文请求新的地址。,上一页,下一页,返回,6.4 任务四：DHCP服务的配置与应用,（）客户端更新租约。客户端向服务器申请地址是可以携带期望租期，服务器在分配租约时把客户端期望租期和地址池中租期配置比较，分配其中一个较短的租期给客户端。服务器分配给客户端的动态地址通常有一定的租借期限，期满后服务器会收回该地址。如果客户端希望继续使用该地址，需要更新地址的租约（如延长地址租约）。当客户端获得地址时，会进入到绑定状态，客户端会设置三个定时器，分别用来控制租期更新、重绑定和判断是否已经到达租期。服务器为客户分配地址时，可以为定时器指定确定的值。,上一页,下一页,返回,6.4 任务四：DHCP服务的配置与应用,若服务器没有设置定时器的值，客户端就使用缺省值。定时器的缺省值如表所示。（）客户端主动释放地址。客户端不再使用分配的地址时，会主动向服务器发送报文，通知服务器释放地址的租约。服务器会保留这个客户端的配置信息，以便该客户端重新申请地址时，重用这些参数。.中继工作过程即中继，它实现了不同网段间的服务器和客户端之间的报文交互。中继承担处于不同网段,上一页,下一页,返回,6.4 任务四：DHCP服务的配置与应用,间的客户端和服务器之间中继服务，将协议报文跨网段透传到目的服务器，最终使网络上的客户端可以共同使用一个服务器。.中继原理由于报文都采用广播方式，是无法穿越多个子网的，所以当要想报文穿越多个子网时，就要有中继的存在。中继可以是路由器，也可以是一台主机，总之，在具有中继功能的设备中，所有具有目的端口号是的局部传递的信息，都被认为是要经过特殊处理的，所以，中继要监听目的端口号是的所有报文。当中继收到目的端口号为的报文时，它必须检查“中继,上一页,下一页,返回,6.4 任务四：DHCP服务的配置与应用,代理地址”字段的值。如果这个字段的值为，则中继就会将接收到的请求报文的端口地址填入此字段，如果该端口有多个地址，中继会选其中的一个并持续用它传播全部的报文；如果这个字段的值不是，则这个字段的值不能被修改，也不能被填充为广播地址。在这两种情况下，报文都将被单播到新的目的地（或服务器），当然这个目的地（或服务器）是可以配置的，从而实现报文穿越多个子网的目的。当中继发现这是服务器的响应报文时，它也应当检查“中继代理地址”字段、“客户机硬件地址”字段等，这些字段给中继提供了足够的信息将响应报文传送给客户端。服务器收到请求报文后，首先会查看“”,上一页,下一页,返回,6.4 任务四：DHCP服务的配置与应用,字段是否为，若不为，则就会根据此地址所在网段从相应地址池中为客户端分配地址；若为，则服务器认为客户端与自己在同一子网中，将会根据自己的地址所在网段从相应地址池中为客户端分配地址。6.4.2典型任务：的配置.任务描述（）本任务中，网关设备作为服务器；（）为二层交换机，所有接口在同一内；（）两台通过得到与路由器同网段的地址；（）通过对服务器的参数调整，使获取地址.，租期，如图所示。,上一页,下一页,返回,6.4 任务四：DHCP服务的配置与应用,.任务分析（）在中需要配置地址池与所需的参数。（）交换机为二层交换机，所有互联接口均在同一下，为了简化此实验，保持默认配置。（）上获取方式选择，保证可以通过的方式获取地址。.配置流程配置流程如图所示。.关键配置（）开启服务。,上一页,下一页,返回,6.4 任务四：DHCP服务的配置与应用,（）配置地址以及接口池参数，接口池网关默认使用接口地址。.启用接口池（）设置租期为，并且指定服务器地址为.。,上一页,下一页,返回,6.4 任务四：DHCP服务的配置与应用,8.8.8.8（）使用方式获取地址，注意需要点击应用按钮。（）两台通过命令查看获取的地址。,上一页,下一页,返回,6.4 任务四：DHCP服务的配置与应用,.：.：.：.：.：.：.：,上一页,下一页,返回,6.4 任务四：DHCP服务的配置与应用,.：.：:.：.：.53.：.0.：.：.：.,上一页,下一页,返回,6.4 任务四：DHCP服务的配置与应用,（）在服务器上查看报文的发送状态。：,上一页,下一页,返回,6.4 任务四：DHCP服务的配置与应用,：:0（）查看接口池的配置命令。,上一页,下一页,返回,6.4 任务四：DHCP服务的配置与应用,0/0/0.68.1.1.e.8.8,上一页,返回,6.5任务五：的应用与配置,6.5.1预备知识.概述（）的定义。是一种可以对流经路由器流量进行判断、分类和过滤的方法。在日益增大的网络规模中，可以帮助网络人员保证合法的数据包能够通过，而非法的数据包被拒绝访问。这也就是让路由器在进行数据包转发的同时，对数据包进行区分，哪些报文是合法的，哪些报文是非法的，并且可以对区分出来的数据包进行过滤达到控制的目的。（）的作用。常见的可以调用在接口下，根据数据包三层和四层的头部信息,下一页,返回,6.5任务五：的应用与配置,特征来判断是否允许数据包被转发，如图所示。还可以在中使用对特殊流量进行控制，并且还可以和其他的技术配合使用，例如、防火墙、路由策略等。（）的分类。的类型根据不同的划分规则可以有不同的分类。按照创建时的命名方式分为数字型和命名型。创建时指定一个编号，称为数字型。创建时指定一个名称，称为命名型。（）的工作原理。报文到达设备时，查找引擎从报文中取出信息组成查找键值，键值与中的规则进行匹配，只要有一条规则和报文匹配，就停止查找，,上一页,下一页,返回,6.5任务五：的应用与配置,称为命中规则。查找完所有规则，如果没有符合条件的规则，称为未命中规则。的规则分为“（允许）”规则或者“（拒绝）”规则。因此，可以将报文分成以下三类：命中“”规则的报文。命中“”规则的报文。未命中规则的报文。（）的命名。用户在创建时，可以为指定一个名称。每个最多只能有一个名称。命名型的使用户可以通过名称唯一地确定一个，并对其进行相应的操作。在创建时，用户可以选择是否配置名称。创建后，不允许用户修改或者删除名称，,上一页,下一页,返回,6.5任务五：的应用与配置,也不允许为未命名的添加名称。在指定命名型时，也可以同时配置对应编号。如果没有配置对应编号，系统在记录此命名型时会自动为其分配一个数字型的编号。（）的规则管理。每个作为一个规则组，可以包含多个规则。规则通过规则（）来标识，规则可以由用户进行配置，也可以由系统自动根据步长生成。一个中所有规则均按照规则从小到大排序。规则之间会留下一定的间隔。如果不指定规则时，具体间隔大小由“的步长”来设定。例如步长设定为，规则分配是按照、来分配的。,上一页,下一页,返回,6.5任务五：的应用与配置,如果步长值是，自动生成的规则从开始。用户可以根据规则方便地把新规则插入到规则组的某一位置。.的步长设定（）步长的含义。步长是指设备自动为规则分配编号的时候，每个相邻规则编号之间的差值。例如，如果将步长设定为，规则编号分配是按照、这样的规律分配的。当步长改变后，中的规则编号会自动从步长值开始重新排列。（）步长的作用。通过设置步长，使规则之间留有一定的空间，用户可以在规则之间插入新的规则，以控,上一页,下一页,返回,6.5任务五：的应用与配置,制规则的匹配顺序。例如，配置好四个规则后，规则编号为、。此时如果用户希望能在第一条规则之后插入一条规则，则可以使用命令在和之间插入一条编号为的规则。另外，在定义一条规则的时候，用户可以不指定规则编号，这时，系统会从步长值开始，按照步长，自动为规则分配一个大于现有最大编号的最小编号。假设现有规则的最大编号是，步长是，那么系统分配给新定义的规则的编号将是。（）通配符掩码。通配符掩码（）是一个位的数，用在与一个地址联合，并将该地址与另一个地址相比时，决定该,上一页,下一页,返回,6.5任务五：的应用与配置,地址的某个位应不应该忽略。一个通配符掩码在设置接入列表时被指定。路由器使用的通配符掩码与源或目标地址一起来分辨匹配的地址范围，它跟子网掩码刚好相反。与子网掩码告诉路由器地址的哪一位属于网络号一样，通配符掩码告诉路由器为了判断出匹配，它需要检查地址中的多少位。这个地址掩码对使我们可以只使用两个位的号码来确定地址的范围，这是十分方便的，因为如果没有掩码的话，就不得不对每个匹配的客户地址加入一个单独的访问列表语句。这将造成很多额外的输入和路由器大量额外的处理过程。所以地址掩码对相当有用。在子网掩码中，将掩码的一位设成表示地址对应的位属于网络,上一页,下一页,返回,6.5任务五：的应用与配置,地址部分。而在访问列表中将通配符掩码中的一位设成表示地址中对应的位既可以是又可以是，有时，可将其称作“无关”位，因为路由器在判断是否匹配时并不关心它们。掩码位设成则表示地址中相对应的位必须精确匹配。（）的匹配顺序。一个可以由多条“”语句组成，每一条语句描述一条规则，这些规则可能存在重复或矛盾的地方（一条规则可以包含另一条规则，但两条规则不可能完全相同）。设备支持两种匹配顺序，即配置顺序（）和自动排序（）。当将一个数据包和访问控制列表的规则进行匹配的时候，由规则的匹配顺序决定规则的优先级，通过设置规则的优,上一页,下一页,返回,6.5任务五：的应用与配置,先级来处理规则之间重复或矛盾的情形。配置顺序：配置顺序按规则编号（）从小到大的顺序进行匹配。自动排序：自动排序使用“深度优先”的原则进行匹配。“深度优先”即根据规则的精确度排序，匹配条件（如协议类型、源和目的地址范围等）限制越严格越精确。例如可以比较地址的通配符，通配符越小，则指定的主机的范围就越小，限制就越严格。若“深度优先”的顺序相同，则匹配该规则时按从小到大排列。6.5.2典型任务：的配置,上一页,下一页,返回,6.5任务五：的应用与配置,.任务描述按照要求在拓扑中实现如下需求；（）使用标准的命名，保证服务器只能被所访问到；（）拒绝访问服务器；（）与之间互访不要受到影响，如图所示。.任务分析（）需求中要求使用命名的来对源进行控制，所以需要将调用在接口下。（）需求中要求与的访问不要受到影响，所以应该将调用在离服务器最近的接口下。,上一页,下一页,返回,6.5任务五：的应用与配置,（）配置流程标准的配置流程如图所示。.关键配置（）在上创建命名的标准。（）在中配置对指定源的动作。.,上一页,下一页,返回,6.5任务五：的应用与配置,（）设定对未匹配的流量的动作。（）进入链接的接口中，在出方向进行的调用。,上一页,下一页,返回,6.5任务五：的应用与配置,（）在上，可以通，在上无法通。证明配置生效。.：，.：.：.：,上一页,下一页,返回,6.5任务五：的应用与配置,.：.：（）（）.,上一页,下一页,返回,6.5任务五：的应用与配置,.：，！,上一页,下一页,返回,6.5任务五：的应用与配置,.（）（）.,上一页,返回,.任务六：的配置与应用,6.6.1预备知识.概述网络地址转换（，）是将数据包报头中的地址转换为另一个地址的过程。随着的发展和网络应用的增多，地址枯竭已成为制约网络发展的瓶颈。尽管可以从根本上解决地址空间不足问题，但目前众多网络设备和网络应用大多是基于的，因此在广泛应用之前，一些过渡技术（如、私网地址等）的使用是解决这个问题最主要的技术手段。主要用于实现内部网络（简称内网，使用私有地址）访问外部网络（简称外网，使用公有地址）的功能。当局,上一页,下一页,返回,.任务六：的配置与应用,域网内的主机要访问外部网络时，通过技术可以将其私网地址转换为公网地址，可以实现多个私网用户共用一个公网地址来访问外部网络，这样既可保证网络互通，又节省了公网地址。.的分类（）。方式属于一对一的地址转换，在这种方式下只转换地址，而不处理协议的端口号，一个公网地址不能同时被多个私网用户使用。图描述了的基本原理，实现过程如下：路由器收到内网侧主机发送的访问公网侧服务器的报文，其源地址为.。,上一页,下一页,返回,.任务六：的配置与应用,路由器从地址池中选取一个空闲的公网地址，建立与内网侧报文源地址间的转换表项（正反向），并依据查找正向表项的结果将报文转换后向公网侧发送，其源地址是.，目的地址是.。路由器收到公网侧的回应报文后，根据其目的地址查找反向表项，并依据查表结果将报文转换后向私网侧发送，其源地址是.目的地址是.。由于这种一对一的转换方式并未实现公网地址的复用，不能有效解决地址短缺的问题，因此在实际应用中并不常用。服务器拥有的公有地址数目要远少于内部网络的主机数目，,上一页,下一页,返回,.任务六：的配置与应用,这是因为所有内部主机并不会同时访问外部网络