Cisco路由器的安全配置簡易方案

一.路由器訪問控制的安全配置

1.嚴格控制可以訪問路由器的管理員。任何?次維護都需要記錄立案。

2.提議不要遠程訪問路由器。雖然需要遠程訪問路由器，提議使用訪問控制列表和高強度H勺

密碼控制。

3.嚴格控制CON端口的訪問。詳細的措施有：

A.假如可以開機箱的，則可以切斷與CON口互聯(lián)的物理線路。

B.可以變化默認的連接屬性，例如修改波特率(默認是96000,可以改為其他的)。

C.配合使用訪問控制列表左制對CON口的J訪問。

如：Router(Config)#Access-listIpermit

Router(Config)#linecon0

Router(Config-line)#Transportinputnone

Router(Config-line)#Loginlocal

Router(Config-line)#Exec-timeoute50

Router(Config-line)#access-class1in

Router(Config-Iine)#end

D.給CON口設置高強度的密碼。

4.假如不使用AUX端口，則嚴禁這個端口。默認是未被啟用。嚴禁如：

Router(Config)#lineaux0

Router(Config-line)#transportinputnone

Router(Config-line)#noexec

5.提議采用權限分級方略。如：

Router(Config)#usernameBluShinprivilege10G00dPa55w0rd

Rouler(Config)#privilegeEXEClevel10telnet

Routcr(Config)#privilcgcEXEClevel10showipacccss-list

/pre>

6.為特權模式的進入設置強健的密碼。不要采用enablepassword設置密碼。而要采用enable

secret命令設置。并且要啟用Service

password-encryption。

7.控制對VTY日勺訪問。假如不需要遠程訪問則嚴禁它。假如需要則一定要設置強健的密碼。

由于VTY在網(wǎng)絡的傳播過程中為加密，因此需要對其進行嚴格的控制。如：設置強健口勺密

碼；控制連接時并發(fā)數(shù)目；采用訪問列表嚴格控制訪問的地址：可以采用AAA設置顧客日勺

訪問控制等。

8.IOSH勺升級和備份，以及配置文獻的備份提議使用FTP替代TFTP。如：

Router(Config)#ipftpusernameBluShin

Router(Config)#ipftppassword4tppa55w0rd

Router#copystartup-configftp:

/pre>

9.及時的升級和修補IOS軟件。

二.路由器網(wǎng)絡服務安全配置

1.嚴禁CDP(CiscoDiscoveryProtocol)o如:

Router(Config)#nocdprun

Routcr(Config-if)#nocdpenable

/pre>

2.嚴禁其他的TCP、UDPSmall服務。

Routcr(Config)#noservicetcp-sniall-scrvcrs

Router(Config)#nosen-iceudp-samll-servers

/pre>

3.嚴禁Finger服務。

Routcr(Config)#noipfinger

Router(Config)#noservicefinger

/pre>

4.提議嚴禁HTTP服務。

Router(Config)#noiphttpserver

假如啟用了HTTP服務則需要對其進行安全配置.：設置顧客名和密碼；采用訪問列表進行控

制。如：

Router(Config)#usernameBluShinprivilege1()G0()dPa55w()rd

Router(Config)#iphttpauthlocal

Router(Config)#noaccess-list10

Rouler(Config)#access-list10permit

9.嚴禁IPClasslesso

Routcr(Config)#noipclassless

10.嚴禁ICMP協(xié)議的IPCnreachables,Redirects,MaskReplies(,

Rouler(Config-if)#noipunreacheables

Routcr(Config-if)#noipredirects

Router(Config-if)#noipmask-reply

11.提議嚴禁SNMP協(xié)議服務。在嚴禁時必須刪除某些SNMP服務日勺默認配置?；蛘咝枰L

問列表來過濾。如：

Router(Config)#nosnmp-servercommunitypublicRo

Routcr(Config)#nosnmp-servercommunityadminRW

Router(Config)#noaccess-list70

Router(Config)#access-list70denyany

Router(Config)#snmp-serv^rcommunityMoreHardPublicRo70

Routcr(Config)#nosmnp-scrvcrenabletraps

Router(Config)#nosnmp-serversystem-shutdown

Rouler(Config)#nosnmp-servertrap-anth

Router(Config)#nosnmp-server

Routcr(Config)#end

12.假如沒必要則嚴禁WINS和DNS服務。

Rouler(Config)#noipdomain-lookup

假如需要則需要配冒.:

Router(Config)#hostnameRouter

Routcr(Config)#ipnamc-scrvcr6

13.明確嚴禁不使用的端口。

Router(Config)#interfacecth()/3

Router(Config)#shutdown

三.路由器路由協(xié)議安全配置

1.首先嚴禁默認啟用U勺ARP-Proxy,它輕易引起路由表U勺混亂。

Router(Config)#noipproxy-arp或者

Router(Config-if)#noipproxy-arp

2.啟用OSPF路由協(xié)議時認證。默認日勺OSPF認證密碼是明文傳播的，提議啟用MD5認證。

并設置一定強度密鑰(key,相對口勺路由器必須有相似W、JKey)。

Router(Config)#routerospf100

Router(Config-router)#network55area100

!啟用MD5認證。

!areaarea-idauthentication啟用認證，是明文密碼認證。

!areaarea-idauthenticationmessage-digest

Router(Config-router)#area100authenticationmessage-digest

Rouler(Config)#exit

Routcr(Config)#interfacecthO/1

!啟用MD5密鑰Key為routcrospfkcyo

!ipospfauthentication-keykey啟用認證密鑰，但會是明文傳播。

!ipospfmessage-digest-keykey-id(1-255)md5key

Routcr(Config-if)#ipospfmessage-digest-key1md5routcrospfkcy

3.RIP協(xié)議的認證。只有RIP-V2支持，RIP-1不支持。提議啟用RIP-V2。并且采用MD5認

證。一?般認證同樣是明文傳播的I。

Rouler(Config)#configterminal

!啟用設置密鑰鏈

Routcr(Config)#keychainmykcychainnamc

Router(Config-keychain)#keyI

!設置密鑰字串

Router(Config-leychain-key)#key-stringMyFirstKcyString

Router(Config-kcyschain)#key2

Router(Config-keychain-key)#key-stringMySecondKeyString

!啟用RIP-V2

Router(Config)#routerrip

Routcr(Config-routcr)#version2

Router(Config-router)#network

Rouler(Config)#interfaceethO/1

!采用MD5模式認證，并選擇已配置的密鑰鏈

Router(Config-if)#ipripauthenticationmodemd5

Router(Config-if)#ipripanthenticationkey-chainmykeychainname

4.啟用passive-intargee命令可以禁用某些不需要接受和烤發(fā)路由信息日勺端口.提議對「?不需

要路由的端口，啟用passive-interface。不過，在RIP協(xié)議是只是嚴禁轉(zhuǎn)發(fā)路由信息，并沒有

嚴禁接受。在OSPF協(xié)議中是嚴禁轉(zhuǎn)發(fā)和接受路由信息。

!Rip中，嚴禁端口0/3轉(zhuǎn)發(fā)路由信息

Router(Config)#routerRip

Routcr(Config-routcr)#passive-interfacecth()/3

!OSPF中，嚴禁端口0/3接受和轉(zhuǎn)發(fā)路由信息

Rouler(Config)#routerospf100

Router(Config-router)#passive-interfaceeth()/3

5.啟用訪問列表過濾某些垃圾和惡意路山信息，控制網(wǎng)絡H勺垃圾信息流。

Router(Config)#access-list10deny0.0.0,255

Rouler(Config)#access-list10permitany

!嚴禁路由器接受更新192.I68.L0網(wǎng)絡的路由信息

Router(Config)#routerospf100

Router(Config-router)#distribute-list10in

!嚴禁路由器轉(zhuǎn)發(fā)傳播網(wǎng)絡口勺路由信息

Routcr(Config)#routerospf1(X)

Router(Config-router)#distribute-list10out

6.提議啟用IPUnicastReverse-PathVerificationo它可以檢查源IP地址『力精確性，從而可以防

止一定的IP

Spoolingo不過它只能在啟用CEF(CiscoExpressForwarding)及J路由器上

基本的JCISCO路由器安全配置.txt

路由器是網(wǎng)絡中口勺神經(jīng)中樞，廣域網(wǎng)就是靠一種個路由器連接起來構成的，局域網(wǎng)中也已經(jīng)普

片的應用到了路由器，在諸多企事業(yè)單位，已經(jīng)用到路由器來接入網(wǎng)絡進行數(shù)據(jù)通訊「可以

說，曾經(jīng)神秘H勺路由器，目前已經(jīng)飛入尋常百姓家了.

伴隨路由器的增多,路由器H勺安全性也逐漸成為大家探討歐I一種熱門話題了，巖冰今天也講一

講網(wǎng)絡安全中路由器的安全配置吧.如下文章是本人在工作過程中所記錄的學習筆記,今天整

頓出來，跟大家共享，也算是拋磚引玉吧.

I.配置訪問控制列表：

使用訪問控制列表H勺目的就是為了保護路由器FI勺安全和優(yōu)化網(wǎng)絡的流量.訪問列表的作用就

是在數(shù)據(jù)包通過路由器某一種端口時,該數(shù)據(jù)包與否容許轉(zhuǎn)發(fā)通過，必須先在訪問控制列表里

邊查找，假如容許，則通過.因此，保護路由器的前提，還是先考慮配置訪問捽制列表吧.

訪問列表有多種形式,最常用口勺有原則訪問列表和擴展訪問列表.

創(chuàng)立一種原則訪問控制列表的I基本配置語法:access-lislaccess-list-number{denylpermit)

source

[source-wildcard]

注釋:access-list-number是定義訪問列表編號日勺?種值，范圍從1-99.參數(shù)deny或permit指定

了容許還是拒絕數(shù)據(jù)包.參數(shù)source是發(fā)送數(shù)據(jù)包的主機地址.source-wildcard則是發(fā)送數(shù)據(jù)

包的主機H勺通配符.在實際應用中，假如數(shù)據(jù)包的源地址在訪問列表中未能找到，或者是找到

了未被容許轉(zhuǎn)發(fā)，則該包將會被拒絕.為了能詳細解釋一下，卜面是一種簡樸訪問列表達例簡

介：

1)access-list3permit55

為指明一種列表號為3的訪問控制列表,并容許這個網(wǎng)段的數(shù)據(jù)通過.55是通

配符.

2)access-list3permit55

為容許所有源地址為從10.1.0.。到5511勺數(shù)據(jù)包通過應用J'該訪問列表的路由器接口.

3)access-list3deny55

*/拒絕源IP地址為177.311.0到17231.1.255的I數(shù)據(jù)包通過該訪問列表.

配置了訪問列表后，就要啟用訪問控制列表，我們可以在接口配置模式下使用access-group或

ip

acccss-class命令來指定訪問列表應用于某個接口.使用關鍵字in(out)來定義該接口是出站數(shù)

據(jù)包還是入站數(shù)據(jù)包.

示例:ipaccess-group3in定義該端口入站數(shù)據(jù)包必須按照訪問列表3上的原則.

由于原則訪問控制列表對使用的端口不進行區(qū)別，因此，引入了擴展訪問控制列表(列表號從

I00--I99).擴展訪問列表可以對數(shù)據(jù)包的源地址,目口勺地址和端口等項目進行檢查，這其扎任

何一種項目都可以導致某個數(shù)據(jù)包不被容許通過路由器接II.簡樸的配置示例：

I)ipaccess-list101permittepanyhostestablishedlog

2)ipaccess-list101permittepanyhosteqwwwlog

3)ipaccess-list101permittepanyhosteqftplog

4)ipaccess-list101permitlepanyhostlog

注釋:

第一行容許通過TCP協(xié)議訪問主機,假如沒個連接已經(jīng)在主機和某個要訪問

的遠程主機之間建出,則該行不會容許任何數(shù)據(jù)包通過路由器接U,除非回話是從內(nèi)部企業(yè)網(wǎng)

內(nèi)部發(fā)起町第二行容許任何連接到主機來祈求www服務，而所有其他類型的連接

將被拒絕，這是由于在訪問列表自動默認的在列表尾部,有一種deny

anyany語句來限制其他類型連接.第三行是拒絕任何FTP連接來訪問主機.第四行

是容許所有類型打勺訪問連接到主機.

2.保護路由器的密碼

1)禁用enablepassword命令,改密碼加密機制已經(jīng)很古老，存在極大安全漏洞，必須禁用、做法

是:noenablepassword

2)運用enablesecret命令設置密碼，該加密機制是IOS采用了MD5散列算法進行加密,詳細語

法是:enablesecret[level

level]{password|enciyptior-typeencrypted-password}

舉例：

Ro(config-if)#enablesecretlevel9~@~!79#A&A089A

*/設置一種級別為9級的~@~!79#八&人089A密碼

Ro(config-if)#servicerouter-encryption啟動服務密碼加密過程

enablesecret命令容許管理員通過數(shù)字0-15,來指定密碼加密級別.其默認級別為15.

3.控制⑹net訪問控制

為了保護路由器訪問控制權限，必須限制登陸訪問路由器口勺主機，針對VTY(telnct)端II訪問

控制的措施，詳細配置要先建立一種訪問控制列表，如下示例，建立一種原則的訪問控制列表

(編號從1-99任意選擇)：

access-list90permit5

acccss-list90permit3

該訪問列表僅容許以上兩個IP地址之一H勺主機對路由器進行telnet訪問,注意:創(chuàng)立該列表后

必須指定到路由器端口某個端口上,詳細指定措施如下：

linevtyEO4

acccss-class90in

以上配置是入站到E0端口型Jlelnet示例,出站配置采用out.在這里將不再詳細贅述.為了保護

路由器的安全設置也可以限制其telnet訪問H勺權限，例如:通過度派管理密碼來限制一種管理

員只能有使用show命令時配置如下：

enablesecretlevel6

privilegeexec6show

給其分派密碼為,telnet進入路由器后，只能用show命令，其他任何設置權限所有被限制.此外,

也可以通過訪問時間來限制所有端口的登陸訪問狀況,在超時U勺狀況下，將自動斷開，下面是

一種配置所有端口訪問活動3分30秒的設置示例：

exec-timeout330

4嚴禁CDP

CDP(CiscoDiscovery

Protocol)CISCO查找協(xié)議，該協(xié)議存在CISCO11.0后來的IOS版本中，都是默認啟動町他有一

種缺陷就是:對所有發(fā)出的設備祈求都做出應答.這樣將威脅到路由器日勺泄密狀況，因此,必須

嚴禁其運行，措施如下：

nocdprun

管理員也可以指定嚴禁某端口的CDP,例如:為了讓路由器內(nèi)部網(wǎng)絡使用CDP,而嚴禁路由器

對?外網(wǎng)的CDP應答，可以輸入如下接口命令：

nocdpenable

5.HTTP服務的配置

目前許多CISCO設備，都容許使用WEB界面來進行控制配置了，這樣可認為初學者■提供以便

的管理，不過，在這以便的背后,卻隱藏了很大H勺危機，為了可以配置好HTTP服務，本文也提一

下怎樣配置吧.

使用iphttpserver命令可以打開HTTP服務，使用noiphup

server命令可以關閉HTTP服務.為了安全考慮,假如需要使用HTTP服務來管理路由器的話,

最佳是配合訪問控制列表和AAA認證來做，也可以使用enable

password命令來控制登陸路由器的密碼.詳細的配置是在全局模式下來完畢的，下面是我們創(chuàng)

立一種簡樸的原則訪問控制列表配合使用HTTP服務的示例：

iphttpserver*/打開HTTP服務

iphttpport10248刃定義10248端口為HTTP服務訪問端口

access-list80permithost*/創(chuàng)立原則訪問列表80,只容許主機通過

iphttpacccss-class80*/定義了列表號為80B勺原則訪問列表為HTTP服務容許訪問日勺

iphttpauthenticationaaatacacs匆增長AAA認證服務來驗證HTTP控制"勺主機

6.寫在最終歐I話

保護路由器并不是這樣簡樸的事情，在諸多實際應用中，還需要諸多輔助配置.為了保護路由

器，多種各樣的安全產(chǎn)品都相繼出現(xiàn)，例如給路由器添加硬件防火墻，配置AAA服務認證、設置

IDS入侵檢測等等吧.為了維護路由器日勺安全穩(wěn)定工作，我要告訴大家最重要的還是配置最小

化I0S,沒有服務U勺設備，肯定沒有人可以入侵，最小化的服務就是我們最大化的安全

路由器基礎知識問答篇

1.什么時候使用多路由協(xié)議？

當兩種不一樣H勺路由協(xié)議要互換路由信息時，就要用到多路由協(xié)議。當然，路由再分派也可

以互換路由信息。下列狀況不必使用多路由協(xié)議：

從老版本的內(nèi)部網(wǎng)關協(xié)議(InteriorGatewayProtocolIGP)升級到新版本的I

GR

你想使用另一種路由協(xié)議但又必須保留本來的協(xié)議。

你想終止內(nèi)部路由，以免受到其他沒有嚴格過濾監(jiān)管功能的路由器的干擾。

你在一種由多種廠家的路由器構成H勺環(huán)境下。

什么是距離向量路由協(xié)議？

距離向量路由協(xié)議是為小型網(wǎng)絡環(huán)境設計的。在大型網(wǎng)絡環(huán)境下，此類協(xié)議在學習路由及保

持路由將產(chǎn)生較大日勺流量.占用過多口勺帶寬。假如在9

0秒內(nèi)沒有收到相鄰站點發(fā)送的路由選擇表更新，它才認為相鄰站點不可達。每隔30秒，距

離向量路由協(xié)議就要向相鄰站點發(fā)送整個路由選擇表，使相鄰站點的路由選擇表得到更新。

這樣，它就能從別日勺站點（直接相連時或其他方式連接時）搜集?種網(wǎng)絡的列表，以便進行

路由選擇。距離向量路由協(xié)議使用跳數(shù)作為度量值，來計算抵達目的地要通過的路由器數(shù)。

例如,RIP使用Bellman-For

d算法確定最短途徑，即只要通過最小的跳數(shù)就可抵達住附地的線路。最大容許的跳數(shù)一般

定為15.那些必須通過I

5個以上的路由器日勺終端被認為是不可抵達口勺。

距離向量路由協(xié)議有如下幾種：IPRIP、IPXRIP、AppleTalkRTMP和I

GRP.

什么是鏈接狀態(tài)路由協(xié)議？

鏈接狀態(tài)路由協(xié)議更適合大型網(wǎng)絡，但由于它的更雜性，使得路由器需要更多的）CP

U資源。它可以在更短U勺時間內(nèi)發(fā)現(xiàn)已經(jīng)斷了的鏈路或新連接的路由器，使得協(xié)議的會聚時

間比距離向量路由協(xié)議更短。一般，在1

0秒鐘之內(nèi)沒有收到鄰站小JHEL

LO報文，它就認為鄰站已不可達。一種鏈接狀態(tài)路由器向它的鄰站發(fā)送更新報文，告知它

所懂得的所有鏈路。它確定最優(yōu)途徑的度量值是一種數(shù)值代價，這個代價時值一般由鏈路的

帶寬決定。具有最小代價H勺鏈路被認為是最優(yōu)日勺。在最短途徑優(yōu)先算法中，最大也許代價的

值幾乎可以是無限的。

假如網(wǎng)絡沒有發(fā)生任何變化，路由器只要周期性地將沒有更新的路由選擇表進行刷新就可

以了（周期R勺長短可以從3

0分鐘到2個小時）。

鏈接狀態(tài)路由協(xié)議有如卜幾種：1POSPF、IPXNLSPIS-1S.

一種路由器可以既使用距離向量路由協(xié)議，又使用鏈接狀態(tài)路由協(xié)議嗎?

可以。每一種接口都可以配置為使用不一樣的路由協(xié)議；不過它們必須可以通過再分派路由

來互換路由信息。（路由的再分派將在本章的背面進行討論。）

2.什么是訪問表？

訪問表是管理者加入的一系列控制數(shù)據(jù)包在路由器中輸入、輸出的規(guī)則。它不是由路由器自

己產(chǎn)生的。訪問表可以容許或嚴禁數(shù)據(jù)包進入或輸出到目的地。訪問表的表項是次序執(zhí)行日勺,

即數(shù)據(jù)包到來時，首先看它與否是受第一條表項約束的，若不是，再次序向下執(zhí)行；假如它

與第一條表項匹配，無論是被容許還是被嚴禁，都不必再執(zhí)行下面表項的檢查了。

每一種接口的每一種協(xié)議只能有一種訪問表。

支持哪些類型日勺訪問表？

一種訪問表可以由它的編號來確定。詳細的協(xié)議及其對應的訪問表編號如下：

◎IP原則訪問表編號：1?99

◎IP擴展訪問表編號：100799

?IPX原則訪問表編號:800?899

◎IPX擴展訪問表編號：1000-1099

?AppleTa1k訪問表編號:600~699

提醒在CiscoIOSRelease11.2或以上版本中，可以用有名訪問表確定編號在1?199的訪問

表。

怎樣創(chuàng)立IP原則訪問表？

一種IP原則訪問表的創(chuàng)立可以由如下命令來完畢:Access-listaccesslist

number{permit|deny}source[source-mask]

在這條命令中:

?accesslistnumber:確定這個入口屬于哪個訪問表。它是從1到99日勺數(shù)字。

?permit|deny:表明這個入口是容許還是阻塞從特定地址來日勺信息流量。

?source:確定源IP地址。

?source-mas

k:確定地加中的哪叱比特是用來進行兀配的。假如某個比特是“1”，表明地處中該位比特不

用管，假如是”(T的話，表明地址中該位比特將被用來進行匹配?？梢允褂猛ㄅ浞?。

如下是一種路由器配置文獻中I付訪問表例子：

Router#showaccess-lists

StandardIPaccesslistI

deny,wildcardbits55

permitany

3.什么時候使用路由再分派？

路由再分派一般在那些負責從一種自治系統(tǒng)學習路由，然后向另一種自治系統(tǒng)廣播H勺路由

器上進行配置。假如你在使用I

GRP或EIGRP.路由再分派一般是自動執(zhí)行歐U

4.什么是管理距離？

管理距離是指一種路由協(xié)議的路由可信度。每一種路由協(xié)議按可靠性從高到低，依次分派一

種信任等級，這個信任等級就叫管理距離.對于兩種不一樣的路由協(xié)議到一種目的地的路由

信息，路由器首先根據(jù)管理距離決定相信哪一種協(xié)議。

5.怎樣配置再分派？

在進行路由再分派之前，你必須首先：

I)決定在哪兒添加新的協(xié)議。

2）確定自治系統(tǒng)邊界路由器（ASBR）。

3）決定哪個協(xié)議在關鍵.哪個在邊界。

4）決定進行路由再分派的方向。

可以使用如下命令再分派路由更新（這個例子是針對OSPF的）:

router（config-routcr）Redistributeprotocollprocess-id]

Imetricmetric-value][melric-typetype-value]

[subnets]

在這個命令中：

◎protocol:指明路由器要進行路由再分派的源路由協(xié)議,

重要時值有：bgp^eqp、igrp、isis^ospf>static[ip

]、connected和rip.

Oprocess-id:指明OSPF內(nèi)進程ID.

?metric:是一種可選H勺參數(shù)，用來指明再分派口勺路由的度量值。缺省H勺度量值是（）.

6.為何確定毗鄰路由器很重要？

在一種小型網(wǎng)絡中確定毗鄰路由器并不是一種重要問題。由于當一種路由器發(fā)生故障時，別

的路由器可以在?種可接受的時間內(nèi)收斂。但在大型網(wǎng)絡中，發(fā)現(xiàn)?種故障路由器日勺時延也

許很大。懂得毗鄰路由器可以加速收斂，由于路由器可以更快地懂得故障路由器，由于26110

報文的間隔比路由器互換信息的間隔時間短。

使用距離向量路由協(xié)議的路由器在毗鄰路由器沒有發(fā)送路由更新信息時，才能發(fā)現(xiàn)毗鄰路

由器已不可達，這個時間一般為1（）?90秒。而使用鏈接狀態(tài)路由協(xié)議的路由器沒有收到

hell。報文就可發(fā)現(xiàn)毗鄰路由器不可達，這個間隔時間一股為10秒鐘。

距離向量路由協(xié)議和鏈接伏態(tài)路由協(xié)議怎樣發(fā)現(xiàn)毗鄰路由器？

使用距離向量路由協(xié)議的路由器要創(chuàng)立一種路由表(其中包括與它直接相連的網(wǎng)絡)，同步

它會將這個路由表發(fā)送到與它直接相連的路由器。毗鄰路由器將收到口勺路由表合并入它自己

的路由表，同步它也要將自己的路由表發(fā)送到它的毗鄰路由器。使用鏈接狀態(tài)路由協(xié)議“勺路

由器要創(chuàng)立--種鏈接狀態(tài)表，包括整個網(wǎng)絡目的站H勺列表。在更新報文中，每個路由器發(fā)送

它的整個列表。當毗鄰路由器收到這個更新報文，它就拷貝其中H勺內(nèi)容，同步將信息發(fā)向它

的鄰站。在轉(zhuǎn)發(fā)路由表內(nèi)容時沒有必要進行重新計算。

注意使用IGRP和EIGRP的路由器廣播hello報文來發(fā)現(xiàn)鄰站，同步像OSPF同樣互換路由

更新信息。E1GRP為每一種網(wǎng)絡層協(xié)議保留一張鄰站表，它包括鄰站日勺地址、在隊列中等待

發(fā)送的報文H勺數(shù)量、從鄰拈接受或向鄰站發(fā)送報文需要的平均時間，以及在確定鏈接斷開之

前沒有從鄰站收到任何報文的時間。

7、什么是自治系統(tǒng)？

一種自治系統(tǒng)就是處在一種管理機構控制之下的路由器和網(wǎng)絡群組。它可以是一種路由器直

接連接到一種LAN上，同步也連到Inlernei±；它可以是一種由企業(yè)骨干網(wǎng)互連的多種局域

網(wǎng)。在一種自治系統(tǒng)中的所有路由器必須互相連接，運行相似B勺路由協(xié)議，同步分派同一種

自治系統(tǒng)編號。自治系統(tǒng)之間的鏈接使用外部路由協(xié)議，例如B

GP.

8、什么是BGP?

BGP(Border

GatewayProtocol)是一種在自治系統(tǒng)之間動態(tài)互換路由信息的路由協(xié)議。一種自治系統(tǒng)的經(jīng)

典定義是在一種管理機構控制之下H勺一組路由器，它使用IGP和一般度量值向其他自治系

統(tǒng)轉(zhuǎn)發(fā)報文。

在BGP中使用自治系統(tǒng)這個術語是為了強調(diào)這樣一種事實：一種自治系統(tǒng)的管理對于其他

自治系統(tǒng)而言是提供一種統(tǒng)一的內(nèi)部選路計劃，它為那些通過它可以抵達的網(wǎng)絡提供了一

種一致的描述。

9、BGP支持R勺會話種類？

BGP相鄰路由器之間的會話是建立在TCP協(xié)議之上的UTCP協(xié)議提供一種可靠的傳播機制,

支持兩種類型H勺會話：

o

外部BGP(EBGP):是在屬于兩個不一樣的自治系統(tǒng)的路由器之間H勺會話。這些路由器是

毗鄰的，共享相似日勺介質(zhì)和子網(wǎng)。

內(nèi)部BGP(IBGP):是在一種自治系統(tǒng)內(nèi)部的路由器之間H勺會話。它被用來在自治系統(tǒng)內(nèi)

部協(xié)調(diào)和同步尋找路由的進程。BGP路由器可以在自治系統(tǒng)的任何位置，甚至中間可以相隔

數(shù)個路由器。

注意”初始的數(shù)據(jù)流的內(nèi)容是整個BGP路由表。但后來路由表發(fā)生變化時，路由器只傳送變

化的部分。BGP不需要周期性地更新整個路由表。因此，在連接已建立的期間，一種BGP

發(fā)送者必須保留有目前所有同級路由器共有的I整個BGP路由表。BGP路由器周期性地發(fā)送

Keep

Alive消息來確認連接是激活的當發(fā)生錯誤或特殊狀況時，路由器就發(fā)送Notification消息、。

當一條連接發(fā)生錯誤時，會產(chǎn)生一種notification消息并斷開連接。"-來自RFCI1654、BGP*

作。

10、BGP容許路由再分派嗎？

容許。由于BGP重要用來在自治系統(tǒng)之間進行路由選擇，因此它必須支持RIP、OSPF和

IGRPH勺路由選擇表H勺綜合，以便將它們的路由表轉(zhuǎn)入一種自治系統(tǒng)。BGP是一種外部路由

協(xié)議，因此它的*作與一種內(nèi)部路由協(xié)議不一樣。在BGP中，只有當一條路由已經(jīng)存在于IP

路由表中時，才能用NETWORK命令在BGP路由表中創(chuàng)立一條路由。

11.怎樣顯示在數(shù)據(jù)庫中H勺所有BGP路由？

要顯示數(shù)據(jù)庫中日勺所有BGP路由，只需在EXEC命令行下輸入：

showipbgppaths

這個命令時輸出也許是：

AddressHashRefcountMetriePath

0x297A9C020i

12.什么是水平分割？

水平分割是一種防止路由環(huán)的出現(xiàn)和加緊路由匯聚的技術。由于路由器也許收到它自己發(fā)送

的路由信息，而這種信息是無用歐J,水平分割技術不反向通告任何從終端收到的路由更新信

息，而只通告那叱不會由干計數(shù)到無窮而清除的路由0

13.路由環(huán)是怎樣產(chǎn)生的？

由于網(wǎng)絡日勺路由匯聚時間的存在，路由表中新臥J路由或更改的路由不可以很快在全網(wǎng)中穩(wěn)

定，使得有不一致H勺路由存在，于是會產(chǎn)生路由環(huán)。

14.什么是度量值？

度量值代表距離。它們用來在尋找路由時確定最優(yōu)路由。每一種路由算法在產(chǎn)生路由表時,

會為每一條通過網(wǎng)絡的途徑產(chǎn)生一種數(shù)值（度量值），最小II勺值表達最優(yōu)途徑。度量值U勺計

算可以只考慮途徑口勺一種特性，但更復雜口勺度量值是綜合了途徑日勺多種特性產(chǎn)生的。某些常

用的度量值有：

◎跳步數(shù)：報文要通過的路由器輸出端口的個數(shù)。

?Ticks:數(shù)據(jù)鏈路時延時（大概1/18每秒）。

◎代價：可以是一種任意的I值，是根據(jù)帶寬，費用或其池網(wǎng)絡管理者定義的“算措施得到

嘰

◎帶寬：數(shù)據(jù)鏈路的容量。

◎時延：報文從源端傳到目的地H勺時間長短。

◎負載：網(wǎng)絡資源或鏈路已被使用口勺部分的大小。

◎可靠性：網(wǎng)絡鏈路的錯誤比特的比率。

◎最大傳播單元（MTU）:在一條途徑上所有鏈接可接受的最大消息長度（單位為字節(jié)）。

IGRP使用什么類型日勺路由度量值？這個度量值由什么構成？

IGRP使用多種路由度量值。它包括如下部分：

◎帶寬：源到目的之間最小H勺帶寬值。

◎時延：途徑中積累的接口延時。

◎可靠性：源到目的之間最差口勺也許可靠性，基于鏈路保持的狀態(tài)。

◎負載：源到目的之間的鏈路在最壞狀況下的負載，用比特每秒表達。

?MTU:途徑中最小依JMTU值。

15.度量值可以修改或調(diào)整嗎？

加一種正的偏移量。這個命令的完整構造如下：可以使月OFFSET-LIST

ROUTER子命令為訪問表中的網(wǎng)絡輸入和輸出度最值添加一種正口勺偏移量。

offset-list{in|out}offset[access-list]nooffset-list

{in|out}offset[acccss-list]

假如參數(shù)LIST時值是0,那么OFFSET參數(shù)將添加到所有的度量值。假如OFFSET的值是

0,那么就沒有任何作用。對于IGRP來說，偏移量日勺值只加屆時延上。這個子命令也合用于

RIP和hello路由協(xié)議。

使用帶合適參數(shù)H勺NOOFFSET-LIST命令可以清除這個偏移量。

在如下的例子中，一種使用IGRP日勺路由器在所有輸出度量值的時延上加上偏移量1():

offset-list

out10

下面是一種將相似口勺偏移吊添加到訪問表1