国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

一、基本設(shè)置方式
一般來說，可以用5種方式來設(shè)置Cisco思科路由器：

• 1.Console口接終端或運行終端仿真軟件的微機；
  
• 2.AUX口接MODEM，通過電話線與遠方的終端或運行終端仿真軟件的微機相連；
  
• 3.通過Ethernet上的TFTP服務(wù)器；
  
• 4.通過Ethernet上的TELNET程序；
  
• 5.通過Ethernet上的SNMP網(wǎng)管工作站。

但Cisco思科路由器的第一次設(shè)置必須通過第一種方式進行,一般用超級終端通過com口進行控制。此時終端的硬件設(shè)置如下:
 波特率 ：9600
 數(shù)據(jù)位 ：8
 停止位 ：1
 奇偶校驗: 無

二、命令操作
Cisco思科路由器所用的操作系統(tǒng)是IOS.共有以下幾種狀態(tài)：
1、router>
在router>提示符下，Cisco思科路由器處于用戶命令狀態(tài)，這時用戶可以看Cisco思科路由器的連接狀態(tài)，訪問其它網(wǎng)絡(luò)和主機，但不能看到和更改Cisco思科路由器的設(shè)置內(nèi)容。此時輸入？并回車，可以查看到在此狀態(tài)下可以用的命令。（IOS允許你在任何時候用這種方式查看在某種狀態(tài)下可以用的命令）。在敲入enable并回車后，按照系統(tǒng)提示輸入密碼，（在新的Cisco思科路由器第一次進行調(diào)試的時候不需要輸入密碼，直接回車即可）進入#提示符，就可以對Cisco思科路由器進行各種操作了。
2、router#
Cisco思科路由器進入特權(quán)命令狀態(tài)router#后，不但可以執(zhí)行所有的用戶命令，還可以看到和更改Cisco思科路由器的設(shè)置內(nèi)容。此時就可以對Cisco思科路由器的名字、密碼等進行設(shè)置。
3、router(config)#
在router#提示符下鍵入configure terminal,出現(xiàn)提示符router(config)#，此時Cisco思科路由器處于全局設(shè)置狀態(tài)，這時可以設(shè)置Cisco思科路由器的全局參數(shù)。
4、router(config-if)#;
router(config-line)#;
router(config-router)#;…
Cisco思科路由器處于局部設(shè)置狀態(tài)，這時可以設(shè)置Cisco思科路由器某個局部的參數(shù)。
5、Cisco思科路由器處于RXBOOT狀態(tài)，在開機后60秒內(nèi)按ctrl-break可進入此狀態(tài)，這時Cisco思科路由器不能完成正常的功能，只能進行軟件升級和手工引導(dǎo)。在此狀態(tài)下，可以進行口令恢復(fù)。

三、常用命令
1.幫助
在IOS操作中，無論任何狀態(tài)和位置，都可以鍵入“？”得到系統(tǒng)的幫助。系統(tǒng)會顯示此時可以使用的命令。
2.改變命令狀態(tài)
任務(wù)命令
進入特權(quán)命令狀態(tài)enable
退出特權(quán)命令狀態(tài)disable
進入設(shè)置對話狀態(tài)Setup
進入全局設(shè)置狀態(tài)config terminal
退出全局設(shè)置狀態(tài)End
進入端口設(shè)置狀態(tài)interface type slot/number
進入子端口設(shè)置狀態(tài)interface type number.subinterface [point-to-point | multipoint]
進入線路設(shè)置狀態(tài)line type slot/number
進入路由設(shè)置狀態(tài)router protocol
退出局部設(shè)置狀態(tài)Exit
3.顯示命令
任務(wù)命令
查看版本及引導(dǎo)信息show version
查看運行設(shè)置show running-config
查看開機設(shè)置show startup-config
顯示端口信息show interface type slot/number
顯示路由信息show ip router
4.拷貝命令
用于IOS及CONFIG的備份和升級
5.網(wǎng)絡(luò)命令
任務(wù)命令
登錄遠程主機telnet hostname|IP address
網(wǎng)絡(luò)偵測ping hostname|IP address
路由跟蹤Trace hostname|IP address
6.基本設(shè)置命令
任務(wù)命令
全局設(shè)置config terminal
設(shè)置訪問用戶及密碼username username password password
設(shè)置特權(quán)密碼enable secret password
設(shè)置Cisco思科路由器名hostname name
設(shè)置靜態(tài)路由ip route destination subnet-mask next-hop
啟動IP路由ip routing
啟動IPX路由Ipx routing
端口設(shè)置interface type slot/number
設(shè)置IP地址ip address address subnet-mask
設(shè)置IPX網(wǎng)絡(luò)Ipx network network
激活端口no shutdown
物理線路設(shè)置line type number
啟動登錄進程login [local|tacacs server]
設(shè)置登錄密碼password password

四、總體設(shè)置
在router#特權(quán)命令狀態(tài)下，可以用setup對Cisco思科路由器進行總體設(shè)計，利用這個設(shè)計過程可以省略手工設(shè)置的煩瑣。但它還不能完全代替手工設(shè)置，一些特殊的設(shè)置還必須通過手工輸入的方式完成。
進入設(shè)置對話過程后，Cisco思科路由器首先會顯示一些提示信息：
--- System Configuration Dialog ---
At any point you may enter a question mark ‘?‘ for help.
Use ctrl-c to abort configuration dialog at any prompt.
Default settings are in square brackets ‘[]‘.
這是告訴你在設(shè)置對話過程中的任何地方都可以鍵入“？”得到系統(tǒng)的幫助，按ctrl-c可以退出設(shè)置過程，缺省設(shè)置將顯示在‘[]’中。然后Cisco思科路由器會問是否進入設(shè)置對話：
Would you like to enter the initial configuration dialog? [yes]:
如果按y或回車，Cisco思科路由器就會進入設(shè)置對話過程。首先你可以看到各端口當(dāng)前的狀況：
First, would you like to see the current interface summary? [yes]:
Any interface listed with OK? value "NO" does not have a valid configuration
InterfaceIP-AddressOK?MethodStatusProtocol
Ethernet0unassignedNOunsetupup
Serial0unassignedNOunsetupup
……………………………
然后，Cisco思科路由器就開始全局參數(shù)的設(shè)置：
Configuring global parameters:
1．設(shè)置Cisco思科路由器名：
Enter host name [Router]:
2．設(shè)置進入特權(quán)狀態(tài)的密文(secret)，此密文在設(shè)置以后不會以明文方式顯示：
The enable secret is a one-way cryptographic secret used
instead of the enable password when it exists.
Enter enable secret: cisco
3．設(shè)置進入特權(quán)狀態(tài)的密碼(password)，此密碼只在沒有密文時起作用，并且在設(shè)置以后會以明文方式顯示：
The enable password is used when there is no enable secret
and when using older software and some boot images.
Enter enable password: pass
4．設(shè)置虛擬終端訪問時的密碼：
Enter virtual terminal password: cisco
5．詢問是否要設(shè)置Cisco思科路由器支持的各種網(wǎng)絡(luò)協(xié)議：
Configure SNMP Network Management? [yes]:
Configure DECnet? [no]:
Configure AppleTalk? [no]:
Configure IPX? [no]:
Configure IP? [yes]:
Configure IGRP routing? [yes]:
Configure RIP routing? [no]:
………
6．如果配置的是撥號訪問服務(wù)器，系統(tǒng)還會設(shè)置異步口的參數(shù)：
Configure Async lines? [yes]:]
1)設(shè)置線路的最高速度：
Async line speed [9600]:
2)是否使用硬件流控：
Configure for HW flow control? [yes]:
3)是否設(shè)置modem：
Configure for modems? [yes/no]: yes
4)是否使用默認的modem命令：
Configure for default chat script? [yes]:
5)是否設(shè)置異步口的PPP參數(shù)：
Configure for Dial-in IP SLIP/PPP access? [no]: yes
6)是否使用動態(tài)IP地址：
Configure for Dynamic IP addresses? [yes]:
7)是否使用缺省IP地址：
Configure Default IP addresses? [no]: yes
是否使用TCP頭壓縮：
Configure for TCP Header Compression? [yes]:
9)是否在異步口上使用路由表更新：
Configure for routing updates on async links? [no]: y
10)是否設(shè)置異步口上的其它協(xié)議。接下來，系統(tǒng)會對每個接口進行參數(shù)的設(shè)置。
1．Configuring interface Ethernet0:
1)是否使用此接口：
Is this interface in use? [yes]:
2)是否設(shè)置此接口的IP參數(shù)：
Configure IP on this interface? [yes]:
3)設(shè)置接口的IP地址：
IP address for this interface: 192.168.162.2
4)設(shè)置接口的IP子網(wǎng)掩碼：
Number of bits in subnet field [0]:
Class C network is 192.168.162.0, 0 subnet bits; mask is /24
在設(shè)置完所有接口的參數(shù)后，系統(tǒng)會把整個設(shè)置對話過程的結(jié)果顯示出來：
The following configuration command script was created:
hostname Router
enable secret 5 $1$W5Oh$p6J7tIgRMBOIKVXVG53Uh1
enable password pass
…………
請注意在enable secret后面顯示的是亂碼，而enable password后面顯示的是設(shè)置的內(nèi)容。就是說，secret密碼的優(yōu)先級比較高，在兩個密碼都設(shè)了的情況下，secret密碼起作用。
顯示結(jié)束后，系統(tǒng)會問是否使用這個設(shè)置：
Use this configuration? [yes/no]: yes
如果回答yes，系統(tǒng)就會把設(shè)置的結(jié)果存入Cisco思科路由器的NVRAM中，然后結(jié)束設(shè)置對話過程，使Cisco思科路由器開始正常的工作。
廣域網(wǎng)協(xié)議設(shè)置
PPP
PPP(Point-to-Point Protocol)是SLIP(Serial Line IP protocol)的繼承者，它提供了跨過同步和異步電路實現(xiàn)Cisco思科路由器到Cisco思科路由器(router-to-router)和主機到網(wǎng)絡(luò)(host-to-network)的連接。
CHAP(Challenge Handshake Authentication Protocol)和PAP(Password Authentication Protocol) (PAP)通常被用于在PPP封裝的串行線路上提供安全性認證。使用CHAP和PAP認證,每個Cisco思科路由器通過名字來識別，可以防止未經(jīng)授權(quán)的訪問。
任務(wù)命令
設(shè)置PPP封裝encapsulation ppp1
設(shè)置認證方法ppp authentication {chap | chap pap | pap chap | pap} [if-needed] [list-name | default] [callin]
指定口令username name password secret
設(shè)置DCE端線路速度clockrate speed
舉例
Cisco思科路由器Router1和Router2的S0口均封裝PPP協(xié)議，采用CHAP做認證，在Router1中應(yīng)建立一個用戶，以對端Cisco思科路由器主機名作為用戶名，即用戶名應(yīng)為router2。同時在Router2中應(yīng)建立一個用戶，以對端Cisco思科路由器主機名作為用戶名，即用戶名應(yīng)為router1。所建的這兩用戶的password必須相同。
設(shè)置如下：
Router1:
hostname router1
username router2 password xxx
interface Serial0
ip address 192.200.10.1 255.255.255.0
clockrate 1000000
ppp authentication chap
!
Router2:
hostname router2
username router1 password xxx
interface Serial0
ip address 192.200.10.2 255.255.255.0
ppp authentication chap
!
ISDN
1.綜合數(shù)字業(yè)務(wù)網(wǎng)（ISDN）
綜合數(shù)字業(yè)務(wù)網(wǎng)（ISDN）由數(shù)字電話和數(shù)據(jù)傳輸服務(wù)兩部分組成，一般由電話局提供這種服務(wù)。ISDN的基本速率接口（BRI）服務(wù)提供2個B信道和1個D信道（2B+D）。BRI的B信道速率為64Kbps,用于傳輸用戶數(shù)據(jù)。D信道的速率為16Kbps，主要傳輸控制信號。在北美和日本，ISDN的主速率接口（PRI）提供23個B信道和1個D信道，總速率可達1.544Mbps，其中D信道速率為64Kbps。而在歐洲、澳大利亞等國家，ISDN的PRI提供30個B信道和1個64Kbps D信道，總速率可達2.048Mbps。我國電話局所提供ISDN PRI為30B+D。
2.基本命令
任務(wù)命令
設(shè)置ISDN交換類型isdn switch-type switch-type1
接口設(shè)置interface bri 0
設(shè)置PPP封裝encapsulation ppp
設(shè)置協(xié)議地址與電話號碼的映射dialer map protocol next-hop-address [name hostname] [broadcast] [dial-string]
啟動PPP多連接ppp multilink
設(shè)置啟動另一個B通道的閾值dialer load-threshold load
顯示ISDN有關(guān)信息show isdn {active | history | memory | services | status [dsl | interface-type number] | timers}
注：1.交換機類型如下表,國內(nèi)交換機一般為basic-net3。
按區(qū)域分關(guān)鍵字 交換機類型
Australia
basic-ts013 Australian TS013 switches
Europe
basic-1tr6 German 1TR6 ISDN switches
basic-nwnet3 Norway NET3 switches (phase 1)
basic-net3 NET3 ISDN switches (UK, Denmark, and other nations); covers the Euro-ISDN E-DSS1 signalling system
primary-net5 NET5 switches (UK and Europe)
vn2 French VN2 ISDN switches
vn3 French VN3 ISDN switches
Japan
ntt Japanese NTT ISDN switches
primary-ntt Japanese ISDN PRI switches
North America
basic-5ess AT&T basic rate switches
basic-dms100 NT DMS-100 basic rate switches
basic-ni1 National ISDN-1 switches
primary-4ess AT&T 4ESS switch type for the U.S. (ISDN PRI only)
primary-5ess AT&T 5ESS switch type for the U.S. (ISDN PRI only)
primary-dms100 NT DMS-100 switch type for the U.S. (ISDN PRI only)
New Zealand
basic-nznet3 New Zealand Net3 switches
3.ISDN實現(xiàn)DDR（dial-on-demand routing）實例:
設(shè)置如下：
Router1:
hostname router1
user router2 password cisco
!
isdn switch-type basic-net3
!
interface bri 0
ip address 192.200.10.1 255.255.255.0
encapsulation ppp
dialer map ip 192.200.10.2 name router2 572
dialer load-threshold 80
ppp multilink
dialer-group 1
ppp authentication chap
！
dialer-list 1 protocol ip permit
!
Router2:
hostname router2
user router1 password cisco
!
isdn switch-type basic-net3
!
interface bri 0
ip address 192.200.10.2 255.255.255.0
encapsulation ppp
dialer map ip 192.200.10.1 name router1 571
dialer load-threshold 80
ppp multilink
dialer-group 1
ppp authentication chap
！
dialer-list 1 protocol ip permit
!
CiscoCisco思科路由器同時支持回撥功能，我們將Cisco思科路由器Router1作為Callback Server,Router2作為Callback Client。
與回撥相關(guān)命令:
任務(wù)命令
映射協(xié)議地址和電話號碼，并在接口上使用在全局模式下定義的PPP回撥的映射類別。dialer map protocol address name hostname class classname dial-string
設(shè)置接口支持PPP回撥ppp callback accept
在全局模式下為PPP回撥設(shè)置映射類別map-class dialer classname
通過查找注冊在dialer map里的主機名來決定回撥. dialer callback-server [username]
設(shè)置接口要求PPP回撥ppp callback request
設(shè)置如下：
Router1:
hostname router1
user router2 password cisco
!
isdn switch-type basic-net3
!
interface bri 0
ip address 192.200.10.1 255.255.255.0
encapsulation ppp
dialer map ip 192.200.10.2 name router2 class s3 572
dialer load-threshold 80
ppp callback accept
ppp multilink
dialer-group 1
ppp authentication chap
！
map-class dialer s3
dialer callback-server username
dialer-list 1 protocol ip permit
!
Router2:
hostname router2
user router1 password cisco
!
isdn switch-type basic-net3
!
interface bri 0
ip address 192.200.10.2 255.255.255.0
encapsulation ppp
dialer map ip 192.200.10.1 name router1 571
dialer load-threshold 80
ppp callback request
ppp multilink
dialer-group 1
ppp authentication chap
！
dialer-list 1 protocol ip permit
!
相關(guān)調(diào)試命令：
debug dialer
debug isdn event
debug isdn q921
debug isdn q931
debug ppp authentication
debug ppp error
debug ppp negotiation
debug ppp packet
show dialer
show isdn status
舉例:
執(zhí)行debug dialer命令觀察router2呼叫router1,router1回撥router2的過程.
router1#debug dialer
router2#ping 192.200.10.1
router1#
00:03:50: %LINK-3-UPDOWN: Interface BRI0:1, changed state to up
00:03:50: BRI0:1PP callback Callback server starting to router2 572
00:03:50: BRI0:1: disconnecting call
00:03:50: %LINK-3-UPDOWN: Interface BRI0:1, changed state to down
00:03:50: BRI0:1: disconnecting call
00:03:50: BRI0:1: disconnecting call
00:03:51: %LINK-3-UPDOWN: Interface BRI0:2, changed state to up
00:03:52: callback to router2 already started
00:03:52: BRI0:2: disconnecting call
00:03:52: %LINK-3-UPDOWN: Interface BRI0:2, changed state to down
00:03:52: BRI0:2: disconnecting call
00:03:52: BRI0:2: disconnecting call
00:04:05: : Callback timer expired
00:04:05: BRI0:beginning callback to router2 572
00:04:05: BRI0: Attempting to dial 572
00:04:05: Freeing callback to router2 572
00:04:05: %LINK-3-UPDOWN: Interface BRI0:1, changed state to up
00:04:05: BRI0:1: No callback negotiated
00:04:05: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to up
00:04:05: dialer Protocol up for Vi1
00:04:06: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI0:1, changed state
to up
00:04:06: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access1, chang
ed state to up
00:04:11: %ISDN-6-CONNECT: Interface BRI0:1 is now connected to 572
#router1
4.ISDN訪問首都在線263網(wǎng)實例:
本地局部網(wǎng)地址為10.0.0.0/24,屬于保留地址，通過NAT地址翻譯功能，局域網(wǎng)用戶可以通過ISDN上263網(wǎng)訪問Internet。263的ISDN電話號碼為2633，用戶為263，口令為263，所涉及的命令如下表：
任務(wù)命令
指定接口通過PPP/IPCP地址協(xié)商獲得IP地址ip address negotiated
指定內(nèi)部和外部端口ip nat {inside | outside}
使用ppp/pap作認證ppp authentication pap callin
指定接口屬于撥號組1dialer-group 1
定義撥號組1允許所有IP協(xié)議dialer-list 1 protocol ip permit
設(shè)定撥號，號碼為2633dialer string 2633
設(shè)定登錄263的用戶名和口令ppp pap sent-username 263 password 263
設(shè)定默認路由ip route 0.0.0.0 0.0.0.0 bri 0
設(shè)定符合訪問列表2的所有源地址被翻譯為bri 0所擁有的地址ip nat inside source list 2 interface bri 0 overload
設(shè)定訪問列表2，允許所有協(xié)議access-list 2 permit any
具體配置如下：
hostname Cisco2503
!
isdn switch-type basic-net3
!
ip subnet-zero
no ip domain-lookup
ip routing
!
interface Ethernet 0
ip address 10.0.0.1 255.255.255.0
ip nat inside
no shutdown
!
interface Serial 0
shutdown
no description
no ip address
!
interface Serial 1
shutdown
no description
no ip address
!
interface bri 0
ip address negotiated
ip nat outside
encapsulation ppp
ppp authentication pap callin
ppp multilink
dialer-group 1
dialer hold-queue 10
dialer string 2633
dialer idle-timeout 120
ppp pap sent-username 263 password 263
no cdp enable
no ip split-horizon
no shutdown
!
ip classless
!
! Static Routes
!
ip route 0.0.0.0 0.0.0.0 bri 0
!
! Access Control List 2
!
access-list 2 permit any
!
dialer-list 1 protocol ip permit
!
! Dynamic NAT
!
ip nat inside source list 2 interface bri 0 overload
snmp-server community public ro
!
line console 0
exec-timeout 0 0
!
line vty 0 4
!
end

路由協(xié)議配置
RIP協(xié)議
RIP(Routing information Protocol)是應(yīng)用較早、使用較普遍的內(nèi)部網(wǎng)關(guān)協(xié)議(Interior Gateway Protocol,簡稱IGP)，適用于小型同類網(wǎng)絡(luò)，是典型的距離向量(distance-vector)協(xié)議。文檔見RFC1058、RFC1723。
RIP通過廣播UDP報文來交換路由信息，每30秒發(fā)送一次路由信息更新。RIP提供跳躍計數(shù)(hop count)作為尺度來衡量路由距離，跳躍計數(shù)是一個包到達目標(biāo)所必須經(jīng)過的Cisco思科路由器的數(shù)目。如果到相同目標(biāo)有二個不等速或不同帶寬的Cisco思科路由器，但跳躍計數(shù)相同，則RIP認為兩個路由是等距離的。RIP最多支持的跳數(shù)為15，即在源和目的網(wǎng)間所要經(jīng)過的最多Cisco思科路由器的數(shù)目為15，跳數(shù)16表示不可達。
1.有關(guān)命令
任務(wù)命令
指定使用RIP協(xié)議router rip
指定RIP版本version {1|2}1
指定與該Cisco思科路由器相連的網(wǎng)絡(luò)network network
注：1.Cisco的RIP版本2支持驗證、密鑰管理、路由匯總、無類域間路由(CIDR)和變長子網(wǎng)掩碼(VLSMs)
2.舉例
Router1:
router rip
version 2
network 192.200.10.0
network 192.20.10.0
！
相關(guān)調(diào)試命令：
show ip protocol
show ip route
IGRP協(xié)議
IGRP (Interior Gateway Routing Protocol)是一種動態(tài)距離向量路由協(xié)議，它由Cisco公司八十年代中期設(shè)計。使用組合用戶配置尺度，包括延遲、帶寬、可靠性和負載。
缺省情況下，IGRP每90秒發(fā)送一次路由更新廣播，在3個更新周期內(nèi)(即270秒)，沒有從路由中的第一個Cisco思科路由器接收到更新，則宣布路由不可訪問。在7個更新周期即630秒后，Cisco IOS 軟件從路由表中清除路由。
1.有關(guān)命令
任務(wù)命令
指定使用igrp協(xié)議router igrp autonomous-system1
指定與該Cisco思科路由器相連的網(wǎng)絡(luò)network network
指定與該Cisco思科路由器相鄰的節(jié)點地址neighbor ip-address
注：1、autonomous-system可以隨意建立，并非實際意義上的autonomous-system,但運行IGRP的Cisco思科路由器要想交換路由更新信息其autonomous-system需相同。
2．舉例
Router1:
router igrp 200
network 192.200.10.0
network 192.20.10.0
!
虛擬局域網(wǎng)(VLAN)
當(dāng)前在我們構(gòu)造企業(yè)網(wǎng)絡(luò)時所采用的主干網(wǎng)絡(luò)技術(shù)一般都是基于交換和虛擬網(wǎng)絡(luò)的。交換技術(shù)將共享介質(zhì)改為獨占介質(zhì),大大提高網(wǎng)絡(luò)速度。虛擬網(wǎng)絡(luò)技術(shù)打破了地理環(huán)境的制約,在不改動網(wǎng)絡(luò)物理連接的情況下可以任意將工作站在工作組或子網(wǎng)之間移動,工作站組成邏輯工作組或虛擬子網(wǎng),提高信息系統(tǒng)的運作性能,均衡網(wǎng)絡(luò)數(shù)據(jù)流量,合理利用硬件及信息資源。同時,利用虛擬網(wǎng)絡(luò)技術(shù),大大減輕了網(wǎng)絡(luò)管理和維護工作的負擔(dān),降低網(wǎng)絡(luò)維護費用。隨著虛擬網(wǎng)絡(luò)技術(shù)的應(yīng)用，隨之必然產(chǎn)生了在虛擬網(wǎng)間如何通訊的問題．
交換機間鏈路（ISL）協(xié)議
ISL(Interior Switching Link)協(xié)議用于實現(xiàn)交換機間的VLAN中繼。它是一個信息包標(biāo)記協(xié)議，在支持ISL接口上發(fā)送的幀由一個標(biāo)準以太網(wǎng)幀及相關(guān)的VLAN信息組成。如下圖所示，在支持ISL的接口上可以傳送來自不同VLAN的數(shù)據(jù)。
虛擬局域網(wǎng)（VLAN）路由實例
3.1. 例一：
設(shè)備選用Catalyst5500交換機1臺，安裝WS-X5530-E3管理引擎，多塊WS-X5225R及WS-X5302路由交換模塊,WS-X5302被直接插入交換機，通過二個通道與系統(tǒng)背板上的VLAN 相連，從用戶角度看認為它是1個1接口的模塊，此接口支持ISL。在交換機內(nèi)劃有3個虛擬網(wǎng)，分別名為default、qbw、rgw，通過WS-X5302實現(xiàn)虛擬網(wǎng)間路由。
以下加重下橫線部分，如set system name 5500C為需設(shè)置的命令。
設(shè)置如下：
Catalyst 5500配置：
begin
set password $1$FMFQ$HfZR5DUszVHIRhrz4h6V70
set enablepass $1$FMFQ$HfZR5DUszVHIRhrz4h6V70
set prompt Console>
set length 24 default
set logout 20
set banner motd ^C^C
!
#system
set system baud 9600
set system modem disable
set system name 5500C
set system location
set system contact
!
#ip
set interface sc0 1 10.230.4.240 255.255.255.0 10.230.4.255
set interface sc0 up
set interface sl0 0.0.0.0 0.0.0.0
set interface sl0 up
set arp agingtime 1200
set ip redirect enable
set ip unreachable enable
set ip fragmentation enable
set ip route 0.0.0.0 10.230.4.15 1
set ip alias default 0.0.0.0
!
#Command alias
!
#vtp
set vtp domain hne
set vtp mode server
set vtp v2 disable
set vtp pruning disable
set vtp pruneeligible 2-1000
clear vtp pruneeligible 1001-1005
set vlan 1 name default type ethernet mtu 1500 said 100001 state active
set vlan 777 name rgw type ethernet mtu 1500 said 100777 state active
set vlan 888 name qbw type ethernet mtu 1500 said 100888 state active
set vlan 1002 name fddi-default type fddi mtu 1500 said 101002 state active
set vlan 1004 name fddinet-default type fddinet mtu 1500 said 101004 state active bridge 0x0 stp ieee
set vlan 1005 name trnet-default type trbrf mtu 1500 said 101005 state active bridge 0x0 stp ibm
set vlan 1003 name token-ring-default type trcrf mtu 1500 said 101003 state active parent 0 ring 0x0 mode srb aremaxhop 7 stemaxhop 7
!
#set boot command
set boot config-register 0x102
set boot system flash bootflash:cat5000-sup3.4-3-1a.bin
!
#module 1 : 2-port 1000BaseLX Supervisor
set module name 1
set vlan 1 1/1-2
set port enable 1/1-2
!
#module 2 : empty
!
#module 3 : 24-port 10/100BaseTX Ethernet
set module name 3
set module enable 3
set vlan 1 3/1-22
set vlan 777 3/23
set vlan 888 3/24
set trunk 3/1 on isl 1-1005
#module 4 empty
!
#module 5 empty
!
#module 6 : 1-port Route Switch
set module name 6
set port level 6/1 normal
set port trap 6/1 disable
set port name 6/1
set cdp enable 6/1
set cdp interval 6/1 60
set trunk 6/1 on isl 1-1005
!
#module 7 : 24-port 10/100BaseTX Ethernet
set module name 7
set module enable 7
set vlan 1 7/1-22
set vlan 888 7/23-24
set trunk 7/1 on isl 1-1005
set trunk 7/2 on isl 1-1005
!
#module 8 empty
!
#module 9 empty
!
#module 10 : 12-port 100BaseFX MM Ethernet
set module name 10
set module enable 10
set vlan 1 10/1-12
set port channel 10/1-4 off
set port channel 10/5-8 off
set port channel 10/9-12 off
set port channel 10/1-2 on
set port channel 10/3-4 on
set port channel 10/5-6 on
set port channel 10/7-8 on
set port channel 10/9-10 on
set port channel 10/11-12 on
#module 11 empty
!
#module 12 empty
!
#module 13 empty
!
#switch port analyzer
!set span 1 1/1 both inpkts disable
set span disable
!
#cam
set cam agingtime 1-2,777,888,1003,1005 300
end
5500C> (enable)
WS-X5302路由模塊設(shè)置：
Router#wri t
Building configuration...
Current configuration:
!
version 11.2
no service password-encryption
no service udp-small-servers
no service tcp-small-servers
!
hostname Router
!
enable secret 5 $1$w1kK$AJK69fGOD7BqKhKcSNBf6.
!
ip subnet-zero
!
interface Vlan1
ip address 10.230.2.56 255.255.255.0
!
interface Vlan777
ip address 10.230.3.56 255.255.255.0
!
interface Vlan888
ip address 10.230.4.56 255.255.255.0
!
no ip classless
!
line con 0
line aux 0
line vty 0 4
password router
login
!
end
Router#
3.1. 例二：
交換設(shè)備仍選用Catalyst5500交換機1臺，安裝WS-X5530-E3管理引擎，多塊WS-X5225R在交換機內(nèi)劃有3個虛擬網(wǎng)，分別名為default、qbw、rgw，通過Cisco3640Cisco思科路由器實現(xiàn)虛擬網(wǎng)間路由。交換機設(shè)置與例一類似。
Cisco思科路由器Cisco3640，配有一塊NM-1FE-TX模塊，此模塊帶有一個快速以太網(wǎng)接口可以支持ISL。Cisco3640快速以太網(wǎng)接口與交換機上的某一支持ISL的端口實現(xiàn)連接，如交換機第3槽第1個接口（3/1口）。
Router#wri t
Building configuration...
Current configuration:
!
version 11.2
no service password-encryption
no service udp-small-servers
no service tcp-small-servers
!
hostname Router
!
enable secret 5 $1$w1kK$AJK69fGOD7BqKhKcSNBf6.
!
ip subnet-zero
!
interface FastEthernet1/0
!
interface FastEthernet1/0.1
encapsulation isl 1
ip address 10.230.2.56 255.255.255.0
!
interface FastEthernet1/0.2
encapsulation isl 777
ip address 10.230.3.56 255.255.255.0
!
interface FastEthernet1/0.3
encapsulation isl 888
ip address 10.230.4.56 255.255.255.0
!
no ip classless
!
line con 0
line aux 0
line vty 0 4
password router
login
!
end
Router#

安全性管理
對Cisco思科路由器的安全性管理主要包括：建立口令以保護訪問Cisco思科路由器的安全，使用正確的訪問表以管理通過Cisco思科路由器的可接受數(shù)據(jù)流等。
1、口令管理
下面顯示了設(shè)置控制從終端進行訪問的口令的命令。
命令 操作效果
Line console 0 為控制臺終端建立一個口令
Line vty 0 4 telnet連接建立一個口令
Enable-password 為特權(quán)exec模式建立一個口令
Enable-secret 使用MD5加密方法建立密碼口令
Service password-encryption 保護口令，避免其通過idsplay命令
將口令顯示出來
2、報文過濾
cisco的防火墻功能主要是通過報文的過濾實現(xiàn)的。
它可以實現(xiàn)對多種數(shù)據(jù)流的控制，如限制流入、以及流出等。通過對訪問列表的編寫，我們可以實現(xiàn)對特定網(wǎng)絡(luò)或主機的數(shù)據(jù)流限制。
Accsess-list 的編號有特定的范圍：
IP standard access list
IP extended access list
Extended 48-bit MAC address access list
Protocol type-code access list
48-bit MAC address access list
例如我們可以定義如下的訪問表來實現(xiàn)允許任何主機到主機160..10.2.101的報文：
Accsess-list 101 permit ip any host 160.10.2.101
而下面的語句允許使用客戶源端口（小于1024的端口留給服務(wù)器用）方式的主機發(fā)往160.10.2.100的udp報文通過，且報文的目的端口必須為dns端口（53）。其中g(shù)t為great than。
Accsess-list 101 permit udp any gt 1023 host 160.10.2.100 eq 53
建立好訪問列表以后，要想讓它進行報文過濾，必須將它應(yīng)用到端口上。在進入要控制的端口后，用如下的命令應(yīng)用此訪問表：
router(config-if)#ip access-group 101 in
其中的in表示對向里（針對此端口來說）的數(shù)據(jù)進行過濾。要注意的是，一個端口只能有一個向里和向外的列表，如果有幾個，則只有第一個起作用。
參考：
CiscoCisco思科路由器口令恢復(fù)
當(dāng)CiscoCisco思科路由器的口令被錯誤修改或忘記時，可以按如下步驟進行操作：
1.開機時按使進入ＲOM監(jiān)控狀態(tài)
2.按o 命令讀取配置寄存器的原始值
> o
3.作如下設(shè)置，使忽略NVRAM引導(dǎo)
>o/r0x**4*Cisco2500系列命令
rommon 1 >confreg 0x**4*Cisco2600、1600系列命令
一般正常值為0x2102
4.重新啟動Cisco思科路由器
>I
rommon 2 >reset
5.在“Setup”模式，對所有問題回答No
6.進入特權(quán)模式
Router>enable
7.下載NVRAM
Router>configure memory
8.恢復(fù)原始配置寄存器值并激活所有端口
“hostname”#configure terminal
“hostname”(config)#config-register 0x“value”
“hostname”(config)#interface xx
“hostname”(config)#no shutdown
9.查詢并記錄丟失的口令
“hostname”#show configuration (show startup-config)
10.修改口令
“hostname”#configure terminal
“hostname”(config)line console 0
“hostname”(config-line)#login
“hostname”(config-line)#password xxxxxxxxx
“hostname”(config-line)#
“hostname”(config-line)#write memory(copy running-config startup-config)

２、IP地址分配
地址類網(wǎng)絡(luò)主機網(wǎng)絡(luò)地址范圍標(biāo)準二進制掩碼
ＡN.H.H.H1-1261111 1111 0000 0000 0000 0000 0000 0000
ＢN.N.H.H128-1911111 1111 1111 1111 0000 0000 0000 0000
ＣN.N.N.H192-2231111 1111 1111 1111 1111 1111 0000 0000
子網(wǎng)位個數(shù)子網(wǎng)掩碼子網(wǎng)數(shù)主機數(shù)
B類地址
2255.255.192.0216382
3255.255.224.068198
4255.255.240.0144894
5255.255.248.0302846
6255.255.252.0621822
7255.255.254.0126518
8255.255.255.0254254
9255.255.255.128518126
10255.255.255.192182262
11255.255.255.224284630
12255.255.255.240489414
13255.255.255.24881986
14255.255.255.252163822
C類地址
2255.255.255.192262
3255.255.255.224630
4255.255.255.2401414
5255.255.255.248306
6255.255.255.252622

Cisco思科路由器
最簡單的網(wǎng)絡(luò)可以想象成單線的總線，各個計算機可以通過向總線發(fā)送分組以互相通信。但隨著網(wǎng)絡(luò)中的計算機數(shù)目增長，這就很不可行了，會產(chǎn)生許多問題：
1、帶寬資源耗盡。
2、每臺計算機都浪費許多時間處理無關(guān)的廣播數(shù)據(jù)。
3、網(wǎng)絡(luò)變得無法管理，任何錯誤都可能導(dǎo)致整個網(wǎng)絡(luò)癱瘓。
4、每臺計算機都可以監(jiān)聽到其他計算機的通信。
把網(wǎng)絡(luò)分段可以解決這些問題，但同時你必須提供一種機制使不同網(wǎng)段的計算機可以互相通信，這通常涉及到在一些ISO網(wǎng)絡(luò)協(xié)議層選擇性地在網(wǎng)段間傳送數(shù)據(jù)，我們來看一下網(wǎng)絡(luò)協(xié)議層和Cisco思科路由器的位置。
　
我們可以看到，Cisco思科路由器位于網(wǎng)絡(luò)層。本文假定網(wǎng)絡(luò)層協(xié)議為IPv4，因為這是最流行的協(xié)議，其中涉及的概念與其他網(wǎng)絡(luò)層協(xié)議是類似的。
一、路由與橋接
路由相對于2層的橋接/交換是高層的概念，不涉及網(wǎng)絡(luò)的物理細節(jié)。在可路由的網(wǎng)絡(luò)中，每臺主機都有同樣的網(wǎng)絡(luò)層地址格式（如IP地址），而無論它是運行在以太網(wǎng)、令牌環(huán)、FDDI還是廣域網(wǎng)。網(wǎng)絡(luò)層地址通常由兩部分構(gòu)成：網(wǎng)絡(luò)地址和主機地址。
網(wǎng)橋只能連接數(shù)據(jù)鏈路層相同（或類似）的網(wǎng)絡(luò)，Cisco思科路由器則不同，它可以連接任意兩種網(wǎng)絡(luò)，只要主機使用的是相同的網(wǎng)絡(luò)層協(xié)議。
二、連接網(wǎng)絡(luò)層與數(shù)據(jù)鏈路層
　
網(wǎng)絡(luò)層下面是數(shù)據(jù)鏈路層，為了它們可以互通，需要“粘合”協(xié)議。ARP（地址解析協(xié)議）用于把網(wǎng)絡(luò)層(3層)地址映射到數(shù)據(jù)鏈路層(2層)地址，RARP(反向地址解析協(xié)議)則反之。
雖然ARP的定義與網(wǎng)絡(luò)層協(xié)議無關(guān)，但它通常用于解析IP地址；最常見的數(shù)據(jù)鏈路層是以太網(wǎng)。因此下面的ARP和RARP的例子基于IP和以太網(wǎng)，但要注意這些概念對其他協(xié)議也是一樣的。
1、地址解析協(xié)議
網(wǎng)絡(luò)層地址是由網(wǎng)絡(luò)管理員定義的抽象映射，它不去關(guān)心下層是哪種數(shù)據(jù)鏈路層協(xié)議。然而，網(wǎng)絡(luò)接口只能根據(jù)2層地址來互相通信，2層地址通過ARP從3層地址得到。
并不是發(fā)送每個數(shù)據(jù)包都需要進行ARP請求，回應(yīng)被緩存在本地的ARP表中，這樣就減少了網(wǎng)絡(luò)中的ARP包。ARP的維護比較容易，是一個比較簡單的協(xié)議。
2、簡介
如果接口A想給接口B發(fā)送數(shù)據(jù)，并且A只知道B的IP地址，它必須首先查找B的物理地址，它發(fā)送一個含有B的IP地址的ARP廣播請求B的物理地址，接口B收到該廣播后，向A回應(yīng)其物理地址。
　

注意，雖然所有接口都收到了信息，但只有B回應(yīng)該請求，這保證了回應(yīng)的正確且避免了過期的信息。要注意的是，當(dāng)A和B不在同一網(wǎng)段時，A只向下一跳的Cisco思科路由器發(fā)送ARP請求，而不是直接向B發(fā)送。
　

下圖為接收到ARP分組后的處理，注意發(fā)送者的 對被存到接收ARP請求的主機的本地ARP表中，一般A想與B通信時，B可能也需要與A通信。
　
3、IP地址沖突
ARP產(chǎn)生的問題中最常見的是IP地址的沖突，這是由于兩個不同的主機IP地址相同產(chǎn)生的，在任何互聯(lián)的網(wǎng)絡(luò)中，IP地址必須是唯一的。這時會收到兩個ARP回應(yīng)，分別指出了不同的硬件地址，這是嚴重的錯誤，沒有簡單的解決辦法。
為了避免出現(xiàn)這類錯誤，當(dāng)接口A初試化時，它發(fā)送一個含有其IP地址的ARP請求，如果沒有收到回應(yīng)，A就假定該IP地址沒有被使用。我們假定接口B已經(jīng)使用了該IP地址，那么B就發(fā)送一個ARP回應(yīng)，A就可以知道該IP地址已被使用，它就不能再使用該IP地址，而是返回錯誤信息。這樣又產(chǎn)生一個問題，假設(shè)主機C含有該IP地址的映射，是映射到B的硬件地址的，它收到接口A的ARP廣播后，更新其ARP表使之指向A的硬件地址。為了解決這個錯誤，B再次發(fā)送一個ARP請求廣播，這樣主機C又更新其ARP表再次指向B的硬件地址。這時網(wǎng)絡(luò)的狀態(tài)又回到先前的狀態(tài)，有可能C已經(jīng)向A發(fā)送了應(yīng)該發(fā)送給B的IP分組，這很不幸，但是因為IP提供的是無保證的傳輸，所以不會產(chǎn)生大的問題。
4、管理ARP緩存表
ARP緩存表是 對的列表，根據(jù)IP地址索引。該表可以用命令arp來管理，其語法包括：
向表中添加靜態(tài)表項 -- arp -s
從表中刪除表項 -- arp -d
顯示表項 -- arp -a
ARP表中的動態(tài)表項(沒有手動加入的表項)通常過一段時間自動刪除，這段時間的長度由特定的TCP/IP實現(xiàn)決定。
5、靜態(tài)ARP地址的使用
靜態(tài)ARP地址的典型使用是設(shè)置獨立的打印服務(wù)器，這些設(shè)備通常通過telnet來配置，但首先它們需要一個IP地址。沒有明顯的方法來把此信息告訴該設(shè)備，好象只能使用其串口來設(shè)置。但是，這需要找一個合適的終端和串行電纜，設(shè)置波特率、奇偶校驗等，很不方便。
假設(shè)我們想給一個打印服務(wù)器設(shè)置IP地址P-IP，并且我們知道其硬件地址P-hard，在工作站A上創(chuàng)建一個靜態(tài)ARP表項把P-IP映射到P-hard，這樣，雖然打印服務(wù)器不知道自己的IP地址，但是所有指向P-IP的數(shù)據(jù)就將被送到P-hard。我們現(xiàn)在就可以telnet到P-IP并配置其IP地址了，然后再刪除該靜態(tài)ARP表項。
　

有時會在一個子網(wǎng)里配置打印服務(wù)器，而在另一個子網(wǎng)里使用它，方法與上面類似。假設(shè)其IP地址為P-IP，我們分配一個本網(wǎng)的臨時IP地址T-IP給它，在工作站A上創(chuàng)建臨時ARP表項把T-IP映射到P-hard，然后telnet到T-IP，給打印服務(wù)器配以IP地址P-IP。接下來就可以把它放到另一個子網(wǎng)里使用了，別忘了刪除靜態(tài)ARP表項。
　

6、代理ARP
可以通過使用代理ARP來避免在每臺主機上配置路由表，在使用子網(wǎng)時這特別有用，但注意，不是所有的主機都能理解子網(wǎng)的?；镜乃枷胧羌词箤τ诓辉诒咀泳W(wǎng)的主機也發(fā)送ARP請求，ARP代理服務(wù)器（通常是網(wǎng)關(guān)）回應(yīng)以網(wǎng)關(guān)的硬件地址，見下圖，注意與上面的圖比較一下。
代理ARP簡化了主機的管理，但是增加了網(wǎng)絡(luò)的通信量(不是很明顯)，并且可能需要較大的ARP緩存，每個不在本網(wǎng)的IP地址都被創(chuàng)建一個表項，都映射到網(wǎng)關(guān)的硬件地址。在使用代理ARP的主機看來，世界就象一個大的沒有Cisco思科路由器物理網(wǎng)絡(luò)。

三、IP地址
在可路由的網(wǎng)絡(luò)層協(xié)議中，協(xié)議地址必須含有兩部分信息：網(wǎng)絡(luò)地址和主機地址。存貯這種信息最明顯的方法是用兩個分離的域，這樣我們必須考慮到兩個域的最大長度，有些協(xié)議(如IPX)就是這樣的，它在小型和中型的網(wǎng)絡(luò)里可以工作的很好。
另一種方案是減少主機地址域的長度，如24位網(wǎng)絡(luò)地址、8位主機地址，這樣就有了較多的網(wǎng)段，但每個網(wǎng)段內(nèi)的主機數(shù)目很少。這樣一來，對于多于256個主機的網(wǎng)絡(luò)，就必須分配多個網(wǎng)段，其問題是很多的網(wǎng)絡(luò)給Cisco思科路由器造成了難以忍受的負擔(dān)。
IP把網(wǎng)絡(luò)地址和主機地址一起包裝在一個32位的域里，有時主機地址部分很短，有時很長，這樣可以有效利用地址空間，減少IP地址的長度，并且網(wǎng)絡(luò)數(shù)目不算多。有兩種將主機地址分離出來的方法：基于類的地址和無類別的地址。
1、主機和網(wǎng)關(guān)
主機和網(wǎng)關(guān)的區(qū)別常產(chǎn)生混淆，這是由于主機意義的轉(zhuǎn)變。在RFC中(1122/3和1009)中定義為：
主機是連接到一個或多個網(wǎng)絡(luò)的設(shè)備，它可以向任何一個網(wǎng)絡(luò)發(fā)送和從其接收數(shù)據(jù)，但它從不把數(shù)據(jù)從一個網(wǎng)絡(luò)傳向另一個。
網(wǎng)關(guān)是連接到多于一個網(wǎng)絡(luò)的設(shè)備，它選擇性的把數(shù)據(jù)從一個網(wǎng)絡(luò)轉(zhuǎn)發(fā)到其它網(wǎng)絡(luò)。
換句話說，過去主機和網(wǎng)關(guān)的概念被人工地區(qū)分開來，那時計算機沒有足夠的能力同時用作主機和網(wǎng)關(guān)。主機是用戶工作的計算機，或是文件服務(wù)器等?，F(xiàn)代的計算機的能力足以同時擔(dān)當(dāng)這兩種角色，因此，現(xiàn)代的主機定義應(yīng)該如此：
主機是連接到一個或多個網(wǎng)絡(luò)的設(shè)備，它可以向任何一個網(wǎng)絡(luò)發(fā)送和從其接收數(shù)據(jù)。它也可以作為網(wǎng)關(guān)，但這不是其唯一的目的。
Cisco思科路由器是專用的網(wǎng)關(guān)，其硬件經(jīng)過特殊的設(shè)計使其能以極小的延遲轉(zhuǎn)發(fā)大量的數(shù)據(jù)。然而，網(wǎng)關(guān)也可以是有多個網(wǎng)卡的標(biāo)準的計算機，其操作系統(tǒng)的網(wǎng)絡(luò)層有能力轉(zhuǎn)發(fā)數(shù)據(jù)。由于專用的路由硬件較便宜，計算機用作網(wǎng)關(guān)已經(jīng)很少見了，在只有一個撥號連接的小站點里，還可能使用計算機作為非專用的網(wǎng)關(guān)。
2、基于類的地址
最初設(shè)計IP時，地址根據(jù)第一個字節(jié)被分成幾類：
0: 保留
1-126: A類(網(wǎng)絡(luò)地址:1字節(jié)，主機地址:3字節(jié))
127: 保留
128-191: B類(網(wǎng)絡(luò)地址:2字節(jié)，主機地址:2字節(jié))
192-223: C類(網(wǎng)絡(luò)地址:3字節(jié)，主機地址:1字節(jié))
224-255: 保留
3、子網(wǎng)劃分
雖然基于類的地址系統(tǒng)對因特網(wǎng)服務(wù)提供商來說工作得很好，但它不能在一個網(wǎng)絡(luò)內(nèi)部做任何路由，其目的是使用第二層(橋接/交換)來導(dǎo)引網(wǎng)絡(luò)中的數(shù)據(jù)。在大型的A類網(wǎng)絡(luò)中，這就成了個特殊的問題，因為在大型網(wǎng)絡(luò)中僅使用橋接/交換使其非常難以管理。在邏輯上其解決辦法是把大網(wǎng)絡(luò)分割成若干小的網(wǎng)絡(luò)，但在基于類的地址系統(tǒng)中這是不可能的。為了解決這個問題，出現(xiàn)了一個新的域：子網(wǎng)掩碼。子網(wǎng)掩碼指出地址中哪些部分是網(wǎng)絡(luò)地址，哪些是主機地址。在子網(wǎng)掩碼中，二進制1表示網(wǎng)絡(luò)地址位，二進制0表示主機地址位。傳統(tǒng)的各類地址的子網(wǎng)掩碼為：
A類：255.0.0.0
B類：255.255.0.0
C類：255.255.255.0
如果想把一個B類網(wǎng)絡(luò)的地址用作C類大小的地址，可以使用掩碼255.255.255.0。
用較長的子網(wǎng)掩碼把一個網(wǎng)絡(luò)分成多個網(wǎng)絡(luò)就叫做劃分子網(wǎng)。要注意的是，一些舊軟件不支持子網(wǎng)，因為它們不理解子網(wǎng)掩碼。例如UNIX的routed路由守護進程通常使用的路由協(xié)議是版本1的RIP，它是在子網(wǎng)掩碼出現(xiàn)前設(shè)計的。
上面只介紹了三種子網(wǎng)掩碼：255.0.0.0、255.255.0.0和255.255.255.0，它們是字節(jié)對齊的子網(wǎng)掩碼。但是也可以在字節(jié)中間對其進行劃分，這里不進行詳細講解，請參照相關(guān)的TCP/IP書籍。
子網(wǎng)使我們可以擁有新的規(guī)模的網(wǎng)絡(luò)，包括很小的用于點到點連接的網(wǎng)絡(luò)（如掩碼255.255.255.252，30位的網(wǎng)絡(luò)地址，2位的主機地址：兩個主機的子網(wǎng)），或中型網(wǎng)絡(luò)（如掩碼255.255.240.0，20位網(wǎng)絡(luò)地址，12位主機地址：4094個主機的子網(wǎng)）。
注意DNS被設(shè)計為只允許字節(jié)對齊的IP網(wǎng)絡(luò)(在in-addr.arpa.域中)。
4、超網(wǎng)(supernetting)
超網(wǎng)是與子網(wǎng)類似的概念--IP地址根據(jù)子網(wǎng)掩碼被分為獨立的網(wǎng)絡(luò)地址和主機地址。但是，與子網(wǎng)把大網(wǎng)絡(luò)分成若干小網(wǎng)絡(luò)相反，它是把一些小網(wǎng)絡(luò)組合成一個大網(wǎng)絡(luò)--超網(wǎng)。
假設(shè)現(xiàn)在有16個C類網(wǎng)絡(luò)，從201.66.32.0到201.66.47.0，它們可以用子網(wǎng)掩碼255.255.240.0統(tǒng)一表示為網(wǎng)絡(luò)201.66.32.0。但是，并不是任意的地址組都可以這樣做，例如16個C類網(wǎng)絡(luò)201.66.71.0到201.66.86.0就不能形成一個統(tǒng)一的網(wǎng)絡(luò)。不過這其實沒關(guān)系，只要策略得當(dāng)，總能找到合適的一組地址的。
5、可變長子網(wǎng)掩碼(VLSM)
如果你想把你的網(wǎng)絡(luò)分成多個不同大小的子網(wǎng)，可以使用可變長子網(wǎng)掩碼，每個子網(wǎng)可以使用不同長度的子網(wǎng)掩碼。例如：如果你按部門劃分網(wǎng)絡(luò)，一些網(wǎng)絡(luò)的掩碼可以為255.255.255.0(多數(shù)部門)，其它的可為255.255.252.0(較大的部門)。
6、無類別地址(CIDR)
因特網(wǎng)上的主機數(shù)量增長超出了原先的設(shè)想，雖然還遠沒達到232，但地址已經(jīng)出現(xiàn)匱乏。1993年發(fā)表的RFC1519--無類別域間路由CIDR(Classless Inter-Domain Routing)--是一個嘗試解決此問題的方法。CIDR試圖延長IPv4的壽命，與128位地址的IPv6不同，它并不能最終解決地址空間的耗盡，但IPv6的實現(xiàn)是個龐大的任務(wù)，因特網(wǎng)目前還沒有做好準備。CIDR給了我們緩沖的準備時間。
基于類的地址系統(tǒng)工作的不錯，它在有效的地址使用和少量的網(wǎng)絡(luò)數(shù)目間做出了較好的折衷。但是隨著因特網(wǎng)意想不到的成長出現(xiàn)了兩個主要的問題：
已分配的網(wǎng)絡(luò)數(shù)目的增長使路由表大得難以管理，相當(dāng)程度上降低了Cisco思科路由器的處理速度。
僵化的地址分配方案使很多地址被浪費，尤其是B類地址十分匱乏。
為了解決第二個問題，可以分配多個較小的網(wǎng)絡(luò)，例如，用多個C類網(wǎng)絡(luò)而不是一個B類網(wǎng)絡(luò)。雖然這樣能夠很有效地分配地址，但是更加劇了路由表的膨脹（第一個問題）。
在CIDR中，地址根據(jù)網(wǎng)絡(luò)拓撲來分配。連續(xù)的一組網(wǎng)絡(luò)地址可以被分配給一個服務(wù)提供商，使整組地址作為一個網(wǎng)絡(luò)地址（很可能使用超網(wǎng)技術(shù)）。例如：一個服務(wù)提供商被分配以256個C類地址，從213.79.0.0到213.79.255.0，服務(wù)提供商給每個用戶分配一個C類地址，但服務(wù)提供商外部的路由表只通過一個表項--掩碼為255.255.0.0的網(wǎng)絡(luò)213.79.0.0--來分辨這些路由。
這種方法明顯減少了路由表的增長，CIDR RFC的作者估計，如果90%的服務(wù)提供商使用了CIDR，路由表將以每3年54%的速度增長，而如果沒有使用CIDR，則增長速度為776%。如果可以重新組織現(xiàn)有的地址，則因特網(wǎng)骨干上的Cisco思科路由器廣播的路由數(shù)量將大大減少。但這實際是不可行的，因為將帶來巨大的管理負擔(dān)。

四、路由
1、路由表
如果一個主機有多個網(wǎng)絡(luò)接口，當(dāng)向一個特定的IP地址發(fā)送分組時，它怎樣決定使用哪個接口呢？答案就在路由表中。來看下面的例子：
　
目的 子網(wǎng)掩碼 網(wǎng)關(guān) 標(biāo)志 接口
201.66.37.0 255.255.255.0 201.66.37.74 U eth0
201.66.39.0 255.255.255.0 201.66.39.21 U eth1
主機將所有目的地為網(wǎng)絡(luò)201.66.37.0內(nèi)主機(201.66.37.1-201.66.37.254)的數(shù)據(jù)通過接口eth0(IP地址為201.66.37.74)發(fā)送，所有目的地為網(wǎng)絡(luò)201.66.39.0內(nèi)主機的數(shù)據(jù)通過接口eth1(IP地址為201.66.39.21)發(fā)送。標(biāo)志U表示該路由狀態(tài)為“up”（即激活狀態(tài)）。對于直接連接的網(wǎng)絡(luò)，一些軟件并不象上例中一樣給出接口的IP地址，而只列出接口。
此例只涉及了直接連接的主機，那么目的主機在遠程網(wǎng)絡(luò)中如何呢？如果你通過IP地址為201.66.37.254的網(wǎng)關(guān)連接到網(wǎng)絡(luò)73.0.0.0，那么你可以在路由表中增加這樣一項：
　
目的 掩碼 網(wǎng)關(guān) 標(biāo)志 接口
73.0.0.0 255.0.0.0 201.66.37.254 UG eth0
此項告訴主機所有目的地為網(wǎng)絡(luò)73.0.0.0內(nèi)主機的分組通過201.66.37.254路由過去。標(biāo)志G(gateway)表示此項把分組導(dǎo)向外部網(wǎng)關(guān)。類似的，也可以定義通過網(wǎng)關(guān)到達特定主機的路由，增加標(biāo)志H(host)：
　
目的 掩碼 網(wǎng)關(guān) 標(biāo)志 接口
91.32.74.21 255.255.255.255 201.66.37.254 UGH eth0
下面是路由表的基礎(chǔ)，除了特殊表項之外：
　
目的 掩碼 網(wǎng)關(guān) 標(biāo)志 接口
127.0.0.1 255.255.255.255 127.0.0.1 UH lo0
default 0.0.0.0 201.66.37.254 UG eth1
第一項是loopback接口，用于主機給自己發(fā)送數(shù)據(jù)，通常用于測試和運行于IP之上但需要本地通信的應(yīng)用。這是到特定地址127.0.0.1的主機路由(接口lo0是IP協(xié)議棧內(nèi)部的“假”網(wǎng)卡)。第二項十分有意思，為了防止在主機上定義到因特網(wǎng)上每一個可能到達網(wǎng)絡(luò)的路由，可以定義一個缺省路由，如果在路由表中沒有與目的地址相匹配的項，該分組就被送到缺省網(wǎng)關(guān)。多數(shù)主機簡單地通過一個網(wǎng)卡連接到網(wǎng)絡(luò)，因此只有通過一個Cisco思科路由器到其它網(wǎng)絡(luò)，這樣在路由表中只有三項：loopback項、本地子網(wǎng)項和缺省項（指向Cisco思科路由器）。
2、重疊路由
假設(shè)在路由表中有下列重疊項：
　
目的 掩碼 網(wǎng)關(guān) 標(biāo)志 接口
1.2.3.4 255.255.255.255 201.66.37.253 UGH eth0
1.2.3.0 255.255.255.0 201.66.37.254 UG eth0
1.2.0.0 255.255.0.0 201.66.37.253 UG eth1
default 0.0.0.0 201.66.39.254 UG eth1
之所以說這些路由重疊是因為這四個路由都含有地址1.2.3.4，如果向1.2.3.4發(fā)送數(shù)據(jù)，會選擇哪條路由呢？在這種情況下，會選擇第一條路由，通過網(wǎng)關(guān)201.66.37.253。原則是選擇具有最長(最精確)的子網(wǎng)掩碼。類似的，發(fā)往1.2.3.5的數(shù)據(jù)選擇第二條路由。
注意：這條原則只適用于間接路由(通過網(wǎng)關(guān))。把兩個接口定義在同一子網(wǎng)在很多軟件實現(xiàn)上是非法的。例如下面的設(shè)置通常是非法的（不過有些軟件將嘗試在兩個接口進行負載平衡）：
　
接口 IP地址 子網(wǎng)掩碼
eth0 201.66.37.1 255.255.255.0
eth1 201.66.37.2 255.255.255.0
對于重疊路由的策略是十分有用的，它允許缺省路由作為目的為0.0.0.0、子網(wǎng)掩碼為0.0.0.0的路由進行工作，而不需要作為路由軟件的一個特殊情況來實現(xiàn)。
回頭來看看CIDR，仍使用上面的例子：一個服務(wù)提供商被賦予256個C類網(wǎng)絡(luò)，從213.79.0.0到213.79.255.0。該服務(wù)提供商外部的路由表只以一個表項就了解了所有這些路由：213.79.0.0，子網(wǎng)掩碼為255.255.0.0。假設(shè)一個用戶移到了另一個服務(wù)提供商，他擁有網(wǎng)絡(luò)地址213.79.61.0，現(xiàn)在他是否必須從新的服務(wù)提供商處取得新的網(wǎng)絡(luò)地址呢？如果是，意味著他必須重新配置每臺主機的IP地址，改變DNS設(shè)置，等等。幸運的是，解決辦法很簡單，原來的服務(wù)提供商保持路由213.79.0.0(子網(wǎng)掩碼為255.255.0.0)，新的服務(wù)提供商則廣播路由213.79.61.0(子網(wǎng)掩碼為255.255.255.0)，因為新路由的子網(wǎng)掩碼較長，它將覆蓋原來的路由。
3、靜態(tài)路由
回頭看看我們已建立的路由表，已有了六個表項：
目的 掩碼 網(wǎng)關(guān) 標(biāo)志 接口
127.0.0.1 255.255.255.255 127.0.0.1 UH lo0
201.66.37.0 255.255.255.0 201.66.37.74 U eth0
201.66.39.0 255.255.255.0 201.66.39.21 U eth1
default 0.0.0.0 201.66.39.254 UG eth1
73.0.0.0 255.0.0.0 201.66.37.254 UG eth0
91.32.74.21 255.255.255.255 201.66.37.254 UGH eth0
該網(wǎng)絡(luò)圖示如下：
　

這些表項分別是怎么得到的呢？第一個是當(dāng)路由表初始化時由路由軟件加入的，第二、三個是當(dāng)網(wǎng)卡綁定IP地址時自動創(chuàng)建的，其余三個必須手動加入，在UNIX系統(tǒng)中，這是通過命令route來做的，可以由用戶手工執(zhí)行，也可以通過rc腳本在啟動時執(zhí)行。上述方法涉及的是靜態(tài)路由，通常在啟動時創(chuàng)建，并且沒有手工干預(yù)的話將不再改變。
4、路由協(xié)議
主機和網(wǎng)關(guān)都可以使用稱作動態(tài)路由的技術(shù)，這使路由表可以動態(tài)改變。動態(tài)路由需要路由協(xié)議來增加和刪除路由表項，路由表還是和靜態(tài)路由一樣地工作，只是其增添和刪除是自動的。
有兩種路由協(xié)議：內(nèi)部的和外部的。內(nèi)部協(xié)議在自制系統(tǒng)(AS)內(nèi)部路由，而外部協(xié)議則在自制系統(tǒng)間路由。自制系統(tǒng)通常在統(tǒng)一的控制管理之下，例如大的公司或大學(xué)。小的站點常常是其因特網(wǎng)服務(wù)提供商自制系統(tǒng)的一部分。
這里只討論內(nèi)部協(xié)議，很少有人涉及到甚至聽說外部協(xié)議。最常見的外部協(xié)議是外部網(wǎng)關(guān)協(xié)議EGP(External Gateway Protocol)和邊緣網(wǎng)關(guān)協(xié)議BGP(Border Gateway Protocol)，BGP是較新的協(xié)議，在逐漸地取代EGP。
5、ICMP重定向
ICMP通常不被看作路由協(xié)議，但是ICMP重定向卻與路由協(xié)議的工作方式很類似，所以將在這里討論一下。假設(shè)現(xiàn)在有上面所給的六個表項的路由表，分組被送往201.66.43.33，看看路由表，除了缺省路由外，這并不能匹配任何路由。靜態(tài)路由將其通過Cisco思科路由器201.66.39.254發(fā)送(trip 1)，但是，該Cisco思科路由器知道所有發(fā)向子網(wǎng)201.66.43.0的分組應(yīng)該通過201.66.39.253，因此，它把分組轉(zhuǎn)發(fā)到適當(dāng)?shù)腃isco思科路由器(trip 2)。但是如果主機直接把分組發(fā)到201.66.39.253就會提高效率(trip 3)。如下圖：
　

因為Cisco思科路由器把分組從同一接口發(fā)回了分組，所以它知道有更好的路由，Cisco思科路由器可以通過ICMP重定向指示主機使用新的路由。雖然Cisco思科路由器知道所有發(fā)向201.66.43.0子網(wǎng)的分組應(yīng)該通過201.66.39.253，它通常只發(fā)送特定的主機的ICMP重定向（此例中是201.66.43.33）。主機將在路由表中創(chuàng)建一個新的表項：
　
目的 掩碼 網(wǎng)關(guān) 標(biāo)志 接口
201.66.43.33 255.255.255.255 201.66.39.253 UGHD eth1
注意標(biāo)志D，對所有由ICMP重定向創(chuàng)建的路由設(shè)置此標(biāo)志。將來此類分組將通過新路由發(fā)送(trip 3)。

6、RIP
RIP是一種簡單的內(nèi)部路由協(xié)議，已經(jīng)存在很久，被廣泛地實現(xiàn)（UNIX的routed就使用RIP）。它使用距離向量算法，所以其路由選擇只是基于兩點間的“跳(hop)”數(shù)，穿過一個Cisco思科路由器認為是一跳。主機和網(wǎng)關(guān)都可以運行RIP，但是主機只是接收信息，而并不發(fā)送。路由信息可以從指定網(wǎng)關(guān)請求，但通常是每隔30秒廣播一次以保持正確性。RIP使用UDP通過端口520在主機和網(wǎng)關(guān)間通信。網(wǎng)關(guān)間傳送的信息用于建立路由表，由RIP選定的路由總是具有距離目的跳數(shù)最少的。RIP版本1在簡單、較小的網(wǎng)絡(luò)中工作得不錯，但是在較大的網(wǎng)絡(luò)中，就出現(xiàn)一些問題，有些問題在RIP版本2中已糾正，但有些是由于其設(shè)計產(chǎn)生的限制。在下面的討論中，適用于兩種版本時簡單稱為RIP，RIP v1和RIP v2則指特定的版本。
RIP并沒有任何鏈接質(zhì)量的概念，所有的鏈路都被認為是相同的，低速的串行鏈路被認為與高速的光纖鏈路是同樣的。RIP以最小的跳數(shù)來選擇路由，因此當(dāng)在下面兩個路由中選擇時：
100Mbps的光纖鏈路，Cisco思科路由器，然后是10Mbps的以太網(wǎng)
9600bps的串行鏈路
RIP將選擇后者。RIP也沒有鏈路流量等級的概念。例如對于兩條以太網(wǎng)鏈路，其中一個很繁忙，另一個根本沒有數(shù)據(jù)流，RIP可能會選擇繁忙的那條鏈路。
RIP中的最大hop數(shù)是15，大于15則認為不可到達。因此在很大的自制系統(tǒng)中，hop數(shù)很可能超過15，使用RIP是很不現(xiàn)實的。RIP v1不支持子網(wǎng)，交換的信息中不含子網(wǎng)掩碼，對給定路由確定子網(wǎng)掩碼的方法各不相同，RIP v2則彌補了此缺點。RIP每隔30秒才進行信息更新，因此在大網(wǎng)中斷鏈信息可能要花些時間才能傳播開來，路由信息的穩(wěn)定時間可能更長，并且在這段時間內(nèi)可能產(chǎn)生路由環(huán)路。對此有一些解決辦法，但這里不進行討論。
可以看出，RIP是一個簡單的路由協(xié)議，有一些限制，尤其在版本1中。不過，它常常是某些操作系統(tǒng)的唯一選擇。