[这个贴子最后由慕容豪情在 2004/07/22 04:49pm 第 1 次编辑]
转载请注明出处
——本文章原创作者来自 中国黑色海岸线 慕容豪情
——Be powered by www.thysea.net&www.hackersky.net
**************************************************************
2. ddr(dial-on-demand routing)实例
此例通过cisco 2500系列路由器的aux端口实现异步拨号ddr连接。router1拨号连接到router2。其中采用ppp/chap做安全认证,在router1中应建立一个用户,以对端路由器主机名作为用户名,即用户名应为router2。同时在router2中应建立一个用户,以对端路由器主机名作为用户名,即用户名应为router1。所建的这两用户的password必须相同。
相关命令如下:
任务 命令
设置路由器与modem的接口指令 chat-script script-name expect send expect send (etc.)
设置端口在挂断前的等待时间 dialer idle-timeout seconds
设置协议地址与电话号码的映射 dialer map protocol next-hop-address [name hostname] [broadcast] [modem-script modem-regexp] [system-script system-regexp] [dial-string]
设置电话号码 dialer string dial-string
指定在特定线路下路由器默认 使用的chat-script script {dialer|reset} script-name
router1:
hostname router1
!
enable secret 5 $1$qki7$wxjpfqc74vdaykbumallw/
!
username router2 password cisco
chat-script cisco-default "" "at" timeout 30 ok "atdt \t" timeout 30 connect \c
!
interface ethernet0
ip address 10.0.0.1 255.255.255.0
!
interface async1
ip address 192.200.10.1 255.255.255.0
encapsulation ppp
async default routing
async mode dedicated
dialer in-band
dialer idle-timeout 60
dialer map ip 192.200.10.2 name router2 modem-script cisco-default 573
dialer-group 1
ppp authentication chap
!
ip route 10.0.1.0 255.255.255.0 192.200.10.2
dialer-list 1 protocol ip permit
!
line con 0
line aux 0
modem inout
modem autoconfigure discovery
flowcontrol hardware
router2:
hostname router2
!
enable secret 5 $1$f6ev$5u8puznt2/o9g.t56pxho.
!
username router1 password cisco
!
interface ethernet0
ip address 10.0.1.1 255.255.255.0
!
interface async1
ip address 192.200.10.2 255.255.255.0
encapsulation ppp
async default routing
async mode dedicated
dialer in-band
dialer idle-timeout 60
dialer map ip 192.200.10.1 name router1
dialer-group 1
ppp authentication chap
!
ip route 10.0.0.0 255.255.255.0 192.200.10.1
dialer-list 1 protocol ip permit
!
line con 0
line aux 0
modem inout
modem autoconfigure discovery
flowcontrol hardware
!
相关调试命令:
debug dialer
debug ppp authentication
debug ppp error
debug ppp negotiation
debug ppp packet
show dialer
3. 异步拨号备份ddn专线:
此例主连接采用ddn专线,备份线路为电话拨号。当ddn专线连接正常时,主端口s0状态为up,line protocol亦为up,则备份线路状态为standby,line protocol为down,此时所有通信均通过主接口进行。 当主接口连接发生故障时,端口状态为down,则激活备份接口,完成数据通信。此方法不适合为x.25做备份。因为,配置封装为x.25的接口只要和x.25交换机之间的连接正常其接口及line protocol的状态亦为 up,它并不考虑其它地方需与之通信的路由器的状态如何,所以若本地路由器状态正常,而对方路由器连接即使发生故障,本地也不会激活备份线路。例4将会描述如何为x.25做拨号备份。
以下是相关命令:
任务 命令
指定主线路改变后,次线路状态发生改变的延迟时间 backup delay {enable-delay | never} {disable-delay | never}
指定一个接口作为备份接口 backup interface type number
hostname c2522rb
!
enable secret 5 $1$j5vn$ceyde2fwphrzi6qsiiz6g0
enable password cisco
!
username c4700 password 0 cisco
ip subnet-zero
chat-script cisco-default "" "at" timeout 30 ok "atdt \t" timeout 30 connect \c
chat-script reset atz
!
interface ethernet0
ip address 16.122.51.254 255.255.255.0
no ip mroute-cache
!
interface serial0
backup delay 10 10
backup interface serial2
ip address 16.250.123.18 255.255.255.252
no ip mroute-cache
no fair-queue
!
interface serial1
no ip address
no ip mroute-cache
shutdown
!
interface serial2
physical-layer async
ip address 16.249.123.18 255.255.255.252
encapsulation ppp
async mode dedicated
dialer in-band
dialer idle-timeout 60
dialer map ip 16.249.123.17 name c4700 6825179
dialer-group 1
ppp authentication chap
!
interface serial3
no ip address
shutdown
no cdp enable
!
interface serial4
no ip address
shutdown
no cdp enable
!
interface serial5
no ip address
no ip mroute-cache
shutdown
!
interface serial6
no ip address
no ip mroute-cache
shutdown
!
interface serial7
no ip address
no ip mroute-cache
shutdown
!
interface serial8
no ip address
no ip mroute-cache
shutdown
!
interface serial9
no ip address
no ip mroute-cache
shutdown
!
interface bri0
no ip address
no ip mroute-cache
shutdown
!
router eigrp 200
network 16.0.0.0
!
ip classless
!
dialer-list 1 protocol ip permit
!
line con 0
line 2
script dialer cisco-default
script reset reset
modem inout
modem autoconfigure discovery
rxspeed 38400
txspeed 38400
flowcontrol hardware
line aux 0
line vty 0 4
password cisco
login
!
end
c2522rb#
4. 异步拨号备份x.25:
设置x.25的拨号备份,首先x.25连接的端口必须运行动态路由协议,异步拨号口必须使用静态路由.本例选择eigrp作为路由选择协议,将静态路由的metric的值设置为200,由于eigrp的默认metric为90,所以当同时有两条路径通往同一网段时,其中metric值小的路径生效,而当x.25连接出现问题时,路由器无法通过路由协议学习到路由表,则此时静态路由生效,访问通过拨号端口实现。当x.25连接恢复正常时,路由器又可以学习到路由表,则由于 metric值的不同,静态路由自动被动态路由所代替,这样就实现了备份的功能。
路由器router1配置如下:
hostname router1
!
enable secret 5 $1$utvd$99yiy2xsrmxhudcyehn.y.
enable password cisco
!
username router2 password cisco
ip subnet-zero
chat-script cisco-default "" "at" timeout 30 ok "atdt \t" timeout 30 connect \c
chat-script reset atz
interface ethernet0
ip address 202.96.38.100 255.255.255.0
!
interface serial0
ip address 202.96.0.1 255.255.255.0
encapsulation x25
x25 address 10112227
x25 htc 16
x25 map ip 202.96.0.2 10112225 broadcast
!
interface serial1
no ip address
shutdown
!
!
interface async 1
ip address 202.96.1.1 255.255.255.252
encapsulation ppp
dialer in-band
dialer idle-timeout 60
dialer map ip 202.96.1.2 name router2 modem-script cisco-default 2113470
dialer-group 1
ppp authentication chap
!
router eigrp 200
redistribute connected
network 202.96.0.0
!
ip route 202.96.37.0 255.255.255.0 202.96.1.2 200
dialer-list 1 protocol ip permit
line con 0
line aux 0
script dialer cisco-default
script reset reset
modem inout
modem autoconfigure discovery
transport input all
rxspeed 38400
txspeed 38400
flowcontrol hardware
line vty 0 4
password cisco
login
!
end
路由器router2配置如下:
hostname router2
!
enable secret 5 $1$t4iu$2ciqak8f/e4ug6dlt0k.j0
enable password cisco
!
username router1 password cisco
ip subnet-zero
chat-script cisco-default "" "at" timeout 30 ok "atdt \t" timeout 30 connect \c
chat-script reset atz
!
interface ethernet0
ip address 202.96.37.100 255.255.255.0
!
interface serial0
ip address 202.96.0.2 255.255.255.0
no ip mroute-cache
encapsulation x25
x25 address 10112225
x25 htc 16
x25 map ip 202.96.0.1 10112227 broadcast
!
interface serial1
no ip address
shutdown
!
interface async1
ip address 202.96.1.2 255.255.255.252
encapsulation ppp
keepalive 30
async default routing
async mode dedicated
dialer in-band
dialer idle-timeout 60
dialer wait-for-carrier-time 120
dialer map ip 202.96.1.1 name router1 modem-script cisco-default 2113469
dialer-group 1
ppp authentication chap
!
router eigrp 200
redistribute static
network 202.96.0.0
!
no ip classless
ip route 202.96.38.0 255.255.255.0 202.96.1.1 200
dialer-list 1 protocol ip permit
!
line con 0
exec-timeout 0 0
line aux 0
script reset reset
modem inout
modem autoconfigure discovery
transport input all
rxspeed 38400
txspeed 38400
flowcontrol hardware
line vty 0 4
password cisco
login
!
end
第三章 路由协议设置
一、rip协议
rip(routing information protocol)是应用较早、使用较普遍的内部网关协议(interior gateway protocol,简称igp),适用于小型同类网络,是典型的距离向量(distance-vector)协议。文档见rfc1058、rfc1723。
rip通过广播udp报文来交换路由信息,每30秒发送一次路由信息更新。rip提供跳跃计数(hop count)作为尺度来衡量路由距离,跳跃计数是一个包到达目标所必须经过的路由器的数目。如果到相同目标有二个不等速或不同带宽的路由器,但跳跃计数相同,则rip认为两个路由是等距离的。rip最多支持的跳数为15,即在源和目的网间所要经过的最多路由器的数目为15,跳数16表示不可达。
1. 有关命令
任务 命令
指定使用rip协议 router rip
指定rip版本 version {1|2}1
指定与该路由器相连的网络 network network
注:1.cisco的rip版本2支持验证、密钥管理、路由汇总、无类域间路由(cidr)和变长子网掩码(vlsms)
2. 举例
router1:
router rip
version 2
network 192.200.10.0
network 192.20.10.0
!
相关调试命令:
show ip protocol
show ip route
二、igrp协议
igrp (interior gateway routing protocol)是一种动态距离向量路由协议,它由cisco公司八十年代中期设计。使用组合用户配置尺度,包括延迟、带宽、可靠性和负载。
缺省情况下,igrp每90秒发送一次路由更新广播,在3个更新周期内(即270秒),没有从路由中的第一个路由器接收到更新,则宣布路由不可访问。在7个更新周期即630秒后,cisco ios 软件从路由表中清除路由。
1. 有关命令
任务 命令
指定使用rip协议 router igrp autonomous-system1
指定与该路由器相连的网络 network network
指定与该路由器相邻的节点地址 neighbor ip-address
注:1、autonomous-system可以随意建立,并非实际意义上的autonomous-system,但运行igrp的路由器要想交换路由更新信息其autonomous-system需相同。
2.举例
router1:
router igrp 200
network 192.200.10.0
network 192.20.10.0
!
三、ospf协议
ospf(open shortest path first)是一个内部网关协议(interior gateway protocol,简称igp),用于在单一自治系统(autonomous system,as)内决策路由。与rip相对,ospf是链路状态路有协议,而rip是距离向量路由协议。
链路是路由器接口的另一种说法,因此ospf也称为接口状态路由协议。ospf通过路由器之间通告网络接口的状态来建立链路状态数据库,生成最短路径树,每个ospf路由器使用这些最短路径构造路由表。
文档见rfc2178。
1.有关命令
全局设置
任务 命令
指定使用ospf协议 router ospf process-id1
指定与该路由器相连的网络 network address wildcard-mask area area-id2
指定与该路由器相邻的节点地址 neighbor ip-address
注:1、ospf路由进程process-id必须指定范围在1-65535,多个ospf进程可以在同一个路由器上配置,但最好不这样做。多个ospf进程需要多个ospf数据库的副本,必须运行多个最短路径算法的副本。process-id只在路由器内部起作用,不同路由器的process-id可以不同。
2、wildcard-mask 是子网掩码的反码, 网络区域id area-id在0-4294967295内的十进制数,也可以是带有ip地址格式的x.x.x.x。当网络区域id为0或0.0.0.0时为主干域。不同网络区域的路由器通过主干域学习路由信息。
2.基本配置举例:
router1:
interface ethernet 0
ip address 192.1.0.129 255.255.255.192
!
interface serial 0
ip address 192.200.10.5 255.255.255.252
!
router ospf 100
network 192.200.10.4 0.0.0.3 area 0
network 192.1.0.128 0.0.0.63 area 1
!
router2:
interface ethernet 0
ip address 192.1.0.65 255.255.255.192
!
interface serial 0
ip address 192.200.10.6 255.255.255.252
!
router ospf 200
network 192.200.10.4 0.0.0.3 area 0
network 192.1.0.64 0.0.0.63 area 2
!
router3:
interface ethernet 0
ip address 192.1.0.130 255.255.255.192
!
router ospf 300
network 192.1.0.128 0.0.0.63 area 1
!
router4:
interface ethernet 0
ip address 192.1.0.66 255.255.255.192
!
router ospf 400
network 192.1.0.64 0.0.0.63 area 1
!
相关调试命令:
debug ip ospf events
debug ip ospf packet
show ip ospf
show ip ospf database
show ip ospf interface
show ip ospf neighbor
show ip route
3. 使用身份验证
为了安全的原因,我们可以在相同ospf区域的路由器上启用身份验证的功能,只有经过身份验证的同一区域的路由器才能互相通告路由信息。
在默认情况下ospf不使用区域验证。通过两种方法可启用身份验证功能,纯文本身份验证和消息摘要(md5)身份验证。纯文本身份验证传送的身份验证口令为纯文本,它会被网络探测器确定,所以不安全,不建议使用。而消息摘要(md5)身份验证在传输身份验证口令前,要对口令进行加密,所以一般建议使用此种方法进行身份验证。
使用身份验证时,区域内所有的路由器接口必须使用相同的身份验证方法。为起用身份验证,必须在路由器接口配置模式下,为区域的每个路由器接口配置口令。
任务 命令
指定身份验证 area area-id authentication [message-digest]
使用纯文本身份验证 ip ospf authentication-key password
使用消息摘要(md5)身份验证 ip ospf message-digest-key keyid md5 key
以下列举两种验证设置的示例,示例的网络分布及地址分配环境与以上基本配置举例相同,只是在router1和router2的区域0上使用了身份验证的功能。:
例1.使用纯文本身份验证
router1:
interface ethernet 0
ip address 192.1.0.129 255.255.255.192
!
interface serial 0
ip address 192.200.10.5 255.255.255.252
ip ospf authentication-key cisco
!
router ospf 100
network 192.200.10.4 0.0.0.3 area 0
network 192.1.0.128 0.0.0.63 area 1
area 0 authentication
!
router2:
interface ethernet 0
ip address 192.1.0.65 255.255.255.192
!
interface serial 0
ip address 192.200.10.6 255.255.255.252
ip ospf authentication-key cisco
!
router ospf 200
network 192.200.10.4 0.0.0.3 area 0
network 192.1.0.64 0.0.0.63 area 2
area 0 authentication
!
例2.消息摘要(md5)身份验证:
router1:
interface ethernet 0
ip address 192.1.0.129 255.255.255.192
!
interface serial 0
ip address 192.200.10.5 255.255.255.252
ip ospf message-digest-key 1 md5 cisco
!
router ospf 100
network 192.200.10.4 0.0.0.3 area 0
network 192.1.0.128 0.0.0.63 area 1
area 0 authentication message-digest
!
router2:
interface ethernet 0
ip address 192.1.0.65 255.255.255.192
!
interface serial 0
ip address 192.200.10.6 255.255.255.252
ip ospf message-digest-key 1 md5 cisco
!
router ospf 200
network 192.200.10.4 0.0.0.3 area 0
network 192.1.0.64 0.0.0.63 area 2
area 0 authentication message-digest
!
相关调试命令:
debug ip ospf adj
debug ip ospf events
四、重新分配路由
在实际工作中,我们会遇到使用多个ip路由协议的网络。为了使整个网络正常地工作,必须在多个路由协议之间进行成功的路由再分配。
以下列举了ospf与rip之间重新分配路由的设置范例:
router1的serial 0端口和router2的serial 0端口运行ospf,在router1的ethernet 0端口运行rip 2,router3运行rip2,router2有指向router4的192.168.2.0/24网的静态路由,router4使用默认静态路由。需要在router1和router3之间重新分配ospf和rip路由,在router2上重新分配静态路由和直连的路由。
范例所涉及的命令
任务 命令
重新分配直连的路由 redistribute connected
重新分配静态路由 redistribute static
重新分配ospf路由 redistribute ospf process-id metric metric-value
重新分配rip路由 redistribute rip metric metric-value
router1:
interface ethernet 0
ip address 192.168.1.1 255.255.255.0
!
interface serial 0
ip address 192.200.10.5 255.255.255.252
!
router ospf 100
redistribute rip metric 10
network 192.200.10.4 0.0.0.3 area 0
!
router rip
version 2
redistribute ospf 100 metric 1
network 192.168.1.0
!
router2:
interface loopback 1
ip address 192.168.3.2 255.255.255.0
!
interface ethernet 0
ip address 192.168.0.2 255.255.255.0
!
interface serial 0
ip address 192.200.10.6 255.255.255.252
!
router ospf 200
redistribute connected subnet
redistribute static subnet
network 192.200.10.4 0.0.0.3 area 0
!
ip route 192.168.2.0 255.255.255.0 192.168.0.1
!
router3:
interface ethernet 0
ip address 192.168.1.2 255.255.255.0
!
router rip
version 2
network 192.168.1.0
!
router4:
interface ethernet 0
ip address 192.168.0.1 255.255.255.0
!
interface ethernet 1
ip address 192.168.2.1 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 192.168.0.2
!
|
