6.3.2.4 添加动态路由

    随着公司网络中子网数的增加，采用静态路由已不能满足网络管理的需求。公司决定在路由器上启用动态路由协议RIP。为了使路由器之间能够通过动态路由协议RIP动态地学习路由信息，你需要各个路由器上配置RIP。

    在配置动态路由协议的时候，要注意首先要添加协议，然后再为协议添加接口，这样才能完成RIP协议的配置。

    配置步骤如下：

    1、 登录到R上，打开“路由和远程访问”，在其控制台树中，双击计算机名，再展开“IP路由”点击“常规”，然后 “新建路由协议”。

    2、 从路由协议的列表中，我们可以看到“DHCP中继代理”、“网络地址转换”以及动态路由协议RIP和OSPF选项了。

    3、 在这里，我们将选择“用于Internet协议的RIP版2”（注意：我们在这第二章讲述的在路由环境中的“DHCP中继代理”的添加便在这里进行。在配置DHCP中断代理时，注意要添加上DHCP服务器的IP地址），点击“确定”按钮。

   

    4、 在控制台树中，双击计算机名，再展开“IP路由选择”，我们可以看到已经添加的RIP协议和DHCP中继代理协议。

    5、 右击RIP，然后单击“新的接口”。在弹出的对话框中单击想添加的接口，然后单击“确定”。

   

    6、 在弹出的接口属性页中，将要求我们进行RIP协议的配置。在“操作模式”中选择“周期性的更新模式”，这样，在缺省的情况下每隔30秒此路由器会向自己的邻居广播自己的路由表以进行路由信息的交换和更新。

    7、 在“传出数据包协议”中选择“RIP版本2广播”。这样可以使网络中其它运行RIP版本1和版本2的邻居路由器都可以接受此路由器广播的路由表。

    8、 在“传入数据包协议”中选择“RIP1和 2 版”。这样可以使网络中其它运行RIP版本1和版本2的邻居路由器都可以向此路由器广播的路由表。

    9、 在路由的“附加开销”中输入到达目标网络所经过的数由器的数目。

    10、 为了保护路由器之间安全的通信，可以为路由器配置身份验证。在这里我们选中“激活身份验证（Active authentication）”复选框，然后在“密码”框中键入一个密码。（其它路由器也要作此配置，并且所配置的密码应相同）。

   

    11、 点击“确定”完成动态路由的配置。

    12、 在网络中的其它的路由器上也启用RIP协议。启用成功后，我们可以看到在“RIP”的详细窗格中显示配置了RIP协议的路由器之间正在周期性的更新路由信息。

   

6.3.2.5 配置数据包筛选

    IP路由器可以提供允许或者不允许转发某些特定类型的IP数据流的能力。这种能力称为IP数据包筛选（IP packet filtering）。IP数据包筛选为网络管理员提供了一种方法，可以用来准确定义允许什么样的IP数据流通过路由器。特别是当你的公司的Intranet连接到公用网络（比如Internet）时，这项功能就显得尤其重要了。

    下面以阻止ICMP流量为例进行数据包筛选的配置：

    1、 以管理员身份登录到R，打开“路由和远程访问”，在其控制台树中，双击计算机名，再展开“IP路由”，点击“常规”，在详细资料窗体中，右击想配置的路由接口，然后单击“属性”。

    2、 在弹出的“属性” 对话框中，单击“输出过滤器”。在弹出的“输出过滤器” 对话框中，单击“添加”。

    3、 在弹出的“添加IP过滤器” 对话框中，选中“目标网络”复选框，输入网络ID为10.0.0.0，在掩码框中输入255.0.0.0，在“协议”项中选择“ICMP”，在“ICMP类型”项中输入“8”，在“ICMP代码”项中输入“0”，然后单击“确定”。

   

    4、 接下来将会要求你指定一个筛选动作。当需要高等级别的安全时，应该允许少数流量通过，同时拒绝大多数流量，在这种情况下应选择“除了满足下面的准则的数据报外，丢弃所有的数据包”项。而在不需要高等级的安全时，这个时候应允许大部分的流量通过，而只拒绝少部分流量。在本例中，只需阻止ICMP流量，故安全性要求不是很高，应选择“除了满足下面的准则的数据报外，接收所有的数据包”项，然后依次单击“确定”，完成数据包筛选的配置。

    5、 为了测试数据包筛选配置成功没有，我们先登录到Client B，在命令提示符下输入Ping 10.0.0.5命令，可以看到ICMP流量被拒绝。而当登录在Client A，在命令提示符下输入Ping 20.0.0.6命令，可以看到ICMP流量被允许。由此可见，数据包筛选配置成功。

上一页  [1] [2]