第7章 路由器配置及使用

选择题21-24，综合题第2题（80%）

考点1：路由器的结构

1.路由器的概念

路由器是工作在网络层的设备，负责将数据分组从源端主机经最佳路径传送到目的端主机，实现在网络层的互联。

路由器由硬件和软件组成，路由器软件主要由路由器的操作系统（互联网操作系统组成），用于控制和实现路由器的全部功能。
路由器硬件组成部分有：中央处理器（CPU）、内存（Memory）、存储器（Storage）、接口Interface)；

（1）中央处理器

CPU是路由器的心脏，是路由器的处理中心，负责实现路由协议、路径选择计算、交换路由信息、查找路由表、分发路由表和维护各种表格，以及转发数据包等功能。CPU的能力直接影响路由器的路由表查找时间、吞吐量和路由器的性能。

（2）内存

路由器内存用于保存路由器配置、路由器操作系统、路由协议软件等。主要的类型有：只读内存（ROM）、闪存（Flash ）、随机存储器（RAM）和非易失性随机存储器（NVRAM）。

只读内存（ROM）：用来永久保存路由器的开机诊断程序，引导程序和操作系统软件。
ROM的主要任务是完成路由器的初始化进程，具体包括路由器启动时硬件诊断、装入路由器操作系统IOS等。
ROM是只读存储器，不能修改其中保存的内容。

随机存储器（RAM）是可读可写存储器；

在路由器操作系统运行期间，RAM主要存储路由表、快速交换缓存、ARP缓存，数据分组缓冲区和缓冲队列、运行配置文件，以及正在执行的代码和一些临时数据信息等；

在关机和重启路由器之后，RAM里的数据会自动丢失；

非易失性随机存储器（NVRAM）也是一个可读可写存储器，主要用于存储启动配置文件（startup-config)或备份配置文件。
NVRAM容量较小，通常存储量只有32KB-128KB，但是存取速度非常快，而且保存的数据不会丢失；

闪存（Flash)是可擦写的ROM，主要用于存储路由器当前使用的操作系统映像文件和一些微代码；

闪存的容量比较大，可以用来保存备份的配置文件，也不会丢失保存数据；

考点2：路由器工作原理

1.路由选择

路由选择就是路由器根据目的P地址的网络地址部分，通过路由选择算法确定一条从源节点到目的节点的最佳路径。

2.分组转发

分组转发即沿找好的最佳路径传送信息分组。路由器在接收到一个数据分组时，首先查看数据分组头中的目的IP地址字段，根据目的IP地址的网络地址部分去查询路由表。
注意：在数据分组通过每一个路由器转发时，分组中的目的MAC地址是变化的，但是它的目的网络地址始终不变。

3.路由表

路由表中记录着所有路由信息，路由表的内容主要包括目的网络地址及其所对应的目的端口或下一跳路由器地址或缺省路由的信息。

C 202.112.38.16 is directly connected,POS3/0
O El 202.112.38.72[110/21]via 202.112.62.242,2w6d,vlan62
S 202.112.236.0/24[1/0] via 202.112.41.8
O E2 202.205.255.0/24[110/20] via 202.112.62.242,7w0d,vlan255162.105.0.0/16 is variably subnetted,209 subnets,4 masks
O 162.105.139.64/26[110/3]via 162.105.250.118,10:35:25,vlan250
B 168.160.0.0/16[200/70] via 202.112.63.254,1w0d
B 210.74.144.0/24[200/70] via 202.112.63.254,1w0d
S* 0.0.0.0/0[1/0] via 202.112.38.17

• 第1列表示路由表项的来源，标识这个路由表项是通过什么方式或者通过何种路由选择协议建立的。

  • “C“表示直连路由（conected)，表示目的网络直接与路由器端口相连；（0）
  • “s”表示为静态（static）路由；（1）
  • "I"表示使用IGRP内部网关路由协议学习到的路由信息；（100）
  • “O"表示使用OSPF开放最短路径优先协议学习到的路由信息；（110）

• 第2列表示的是目标网络的地址和掩码长度；

• 第3列表示目的端口或者下一跳路由器的地址；

• 第4列“[]”中的前半部分为管理距离，后半部分为权值；

【解题技巧】Gateway of last resort is 192.168.1.254 to network 0.0.0.0

​ C 192.168.2.0/24 is directly connected,FastEthernet 0/1（端口名）

​ 192.168.3.0/30 is subnetted,1subnets

​ S* 0.0.0.0/0 [1/0] via 192.168.1.254

​ S 210.202.60.0/20 [1/0] via 192.168.1.254

​ S 211.210.16.0/21 [1/6] via 192.168.2.254

​ S 202.76.0.0/20 [1/0] via 192.168.3.254

出题点：connected+端口名【如果是三层交换机，connected+虚拟局域网号】

​ via+目的网络（IP地址）

​ 管理距离值

考点3：路由器的工作模式

1.用户模式：Router>（User EXEC）

在该模式下，用户只能运行少数的命令（如ping、show version、telnet等），有限度地查看路由器的相关信息，但不能对路由器的配置做任何修改，也不能查看路由器的配置信息，只能对路由器做一些简单的操作，因而它是一个只读模式。
2.特权模式：Router#（Privileged EXEC)

在用户模式下，输入“enable”命令后按回车键，即可进入超级权限模式（如果设置了口令，还需要在回车后按提示输入口令）。该模式下，最常用的操作包括管理系统时钟、进行错误检测、查看和保存配置文件、清除闪存、处理并完成路由器的冷启动等操作。

3.全局配置模式：Router(config)#（Global Configuration)

在特权模式下，输入“config terminal”命令后回车，即可以进入全局配置模式。在全局配置模式下，可以配置子模式、接口配置子模式等其他配置模式。

4.RXBOOT模式：>

当密码丢失时，可以从该模式下恢复，因此该模式是路由器的维护模式。

5.设置（SETUP）模式

在任何时候，要进入设置模式，在特权模式下，输入setup即可。新路由器第一次进行配置时，系统会自动进入设置模式，并询问是否采用该方式进行配置。

考点4：路由器的基本配置及常用命令

1.路由器的配置方式

• 通过控制端口（Console）进行配置管理。
• 使用telnet远程登录配置，即使用telnet远程登录到路由器上进行配置管理。
• 使用TFTP服务，以复制配置文件、修改配置文件的形式配置路由器。
• 在AUX端口连接一台Modem，在远端拨号配置路由器。
• 使用网络管理协议SNMP修改路由器配置文件的方式，对路由器进行配置。

2.路由器的基本配置

路由器的基本配置一般都是通过使用Console端口配置方式完成，配置的内容主要包括配置路由器的主机名、超级用户口令和远程登录口令等，包括网络的基本检测命令和配置文件的保存命令。

（1）配置路由器的主机名

在全局配置模式下：
Router(config)#hostname Router-test

Router-test(config)#

（2）配置超级用户口令

Router-test# configure terminal

Router-test(config)#enable secret 111111 (设置超级用户明码密码）

Router-test(config)#enable password 7 111111 (设置超级用户加密密码）

Router-test(config)#

（3）设置系统时钟

命令格式：calendar set hh：mm：ss <1-31>MONTH<1993-2035>
Router-test# calendar set 20:26:00 3 may 2013

3.路由器常用命令

（1）退出命令

无论是从端口模式退出，返回全局配置模式，还是从全局配置模式退出返回特权用户模式，都可以使用exit命令一级一级地退出，也可以使用end命令，直接退回到特权用户模式；

Router-test(config-if) # exit

Router-test (config-if) #end

Routertest(config)# exit

Router-test#

Router-test#

（2）保存配置

当完成路由器配置，需要保存配置时，可以在特权用户模式下，使用write命令

Router-test>en （进入特权用户模式）

Router-test/write memory （保存路由器配置到NVRAM中）

Router-test #write network tftp (保存到TFTP服务器中）

若要删除路由器的全部配置，也可以在特权用户模式下，使用write命令。

Router-test #write erase （清除配置文件）

（3）网络的基本检测命令

• ping命令使用echo协议，通过向目标主机发送数据包，根据目标主机的应答情况，来了解路径的可靠性、链路的延迟时间和目的主机是否可以到达，从而判别到目标网络的连通情况。
• trace命令是一个实用的网络诊断工具，它不仅能诊断到目的网络的连通性，还能跟踪到目标网络转发路径上每一级路由器的工作状况、延迟时间（最多30跳，超过则视为不可达）等。
• telnet命令在进行网络诊断时，需要经常登录到不同路由器上进行查看。一般路由器可支持5个telnet同时连接。该命令可在用户模式或特权用户模式下使用。
• show命令可以查看到路由器的配置情况、接口的工作状态、路由表信息、路由器软硬件版本、路由器资源的利用情况和各种协议工作信息等。
• 该命令可以在用户模式下或特权用户模式下运行，但不同模式下可以查看的信息不同；
• 在用户模式下可以查看路由器系统的软硬件版本、系统时钟、flash的使用情况等；
• 在特权用户模式下，则能够查看路由器配置、路由表信息、IP的相关信息以及IP协议的统计信息等；

①查看lash存储器信息及存储器中的文件。
Router-test>show flash

System flash directory:

File Length Name/status

35571584c2600-i-mz.122-28.bin

228282sigdef-category.xml

1227537sigdef-default.xml

[5827403 bytes used,58188981 available,64016384 total]

63488K bytes of processor board System flash(Read/Write)

Router-test>

②查看系统时钟。
Router-test>show clock

*21:44:53.877 UTC Tue Sep 3 2013

Router-test>

③查看路由器配置文件。
Router-test#show configuration

Using 6079 out of 32762 bytes

！

version 12.2

service password-encryption

！

hostname Router-test!

enable password 7 0883F4057583956783456B52

！

④查看路由表。
Router-test #show ip route

Gateway of last resort is not set

C 192.168.1.0/24 is directly connected,FastEthemet0/0

Router-test#

⑤查看IP路由协议信息。
Router-test #show ip protocols

Routing Protocol is "rip"
Sending updates every 30 seconds,next due in 12 seconds

Invalid after 180 seconds,hold down 180,flushed after 240

Outgoing update filter list for all interfaces is not set

Incoming update filter list for all interfaces is not set

Redistributing:rip

Default version control:send version 2,receive 2

Interface Send Recv Triggered RIP Key-chain

考点5：路由器的基本配置

1.路由器接口的基本配置

（1）配置接口描述信息。

进入端口配置模式，使用description命令：
Router-test(config)#interface f0/1

Router-test(config-if)#description To-websever

Router-test(config-if)#

（2）配置接口带宽。

进入接口配置模式，使用bandwidth 命令设置接口带宽，带宽单位是kbit/s。
Router-test(config)#interface f0/1

Router-test(config-if)#bandwidth 100000

Router-test(config-if)#

（3）配置接口地址。

进入接口配置模式，使用ip address命令配置接口的IP地址。
命令格式：ip address <IP地址> <子网掩码>
Router-test(config)#interface f0/1

Router-test(config-if) #ip address 192.168.1.254 255.255.255.0

Router-test(config-if)#

（4）接口的开启与关闭。
进入接口配置模式，使用shutdown、no shutdown命令关闭和开启接口。
Router-test(config-if)#shutdown （关闭接口）

Router-test(config-if) #no shutdown (打开接口）

Router-test(config-if）#

2.配置POS接口

POS(Packet over SONET/SDH)是一种利用SONET/SDH提供的高速传输通道直接传送IP数据包的技术，同时它也是一种高速、先进的广域网连接技术。
POS使用的链路层协议主要有PPP和HDLC。目前POS可以提供155Mbit/s、622Mbit/s、2.5Gbit/s和10Gbit/s等多种传输速率的接口。

POS接口的配置任务包括：接口带宽、接口地址、接口的链路层协议、接口的帧格式、接口的CRC校验和flag(帧头中净负荷类型的标志位)等

POS可选的帧格式是sdh和sonet，sls0=00表示是sonet帧的数据，sls0=10（十进制2）表示是sdh帧的数据；

POS可选的crc校验位是16和32；

在全局配置模式下，配置的操作如下：

Router-test(config)#interface POS0/1

Router-test(config-if) #description To-lab5

Router-test(config-if) #bandwidth 10000000

Router-test(config-if) #ip address 192,168.5.1 255.255.255.252

Router-test(config-if) #crc16

Router-test(config-1f)#pos framing sonet

Router-test(config-if) #no ip directed-broadcast

Router-test(config-if) #pos flag sls0 0

Router-test(config-if)#no shutdown

Router-test(config-if) #exit

Router-test(config)# exit

Router-test #

3.Loopback接口的配置

环回(loopback)接口是一种应用最为广泛的虚接口，loopback接口号有效值为0-2147483647，主要用于网络管理。网络管理员为loopback接口分配一个IP地址作为管理地址，其掩码应为255.255.255.255。Loopback接口不会关闭，总是处于激活的状态。
loopback接口的参数配置比较简单，主要配置IP地址。

在全局配置模式下：
Router-test(config )#interface loopback 0

Router-test(config-if)#ip address 192.168.100.1 255.255.255.255 (配置接口IP地址和掩码，注意环回接口地址的掩码一般为4个255）

Router-test(config-if)#no ip route-cache (禁用route-cache功能）

Router-test(config-if)#no ip mroute-cache

Router-test(config-if) #exit

Router-test(config)#exit

Router#

考点6：路由器的静态路由配置

1.静态路由概念

静态路由是指由网络管理员手工配置的路由信息，使用静态路由协议时，路由器不能根据网络的实际情况动态地进行路由选择。当网络的拓扑结构或链路的状态发生变化时，也无法动态地更新路由表，必须由网络管理员手动去修改路由表中相关的静态路由信息。因此它适合规模较小，网络拓扑结构没有变化的局域网和采用点到点方式连接的较为简单的网络互连环境。

2.静态路由配置命令

静态路由由“ip route”命令在全局配置模式下配置，使用“no ip route”命令可删除静态路由配置。静态路由配置的命令格式如下：
命令格式：ip route <目的网络地址> <子网掩码> <下一跳路由器的IP地址>

Router-test(config)#ip route 10.0.0.0 255.0.0.0 192.168.1.1

其中，默认路由的静态配置方式为：

ip route 0.0.0.0 0.0.0.0 <下一跳路由器的IP地址>

考点7：动态路由协议配置

1.OSPF的基本配置

①Router ospf：该命令用来启动OSPF进程，命令格式为“Router ospf "，其中Process ID（PID)是OSPF的进程号，它的范围是1~65535，process ID可以在指定范围内随意设置，它只对本地路由器内部有意义，不同的路由器PID可以相同，也可以不同。

②network ip:该命令用来定义参与OSPF的子网地址，它的命令的格式为“network ip <子网号> <子网掩码的反码> area <区域号>”，在单个IP地址参与OSPF时也使用此命令。

其中，子网掩码的反码的计算方法为，将子网掩码表示成2进制，然后各位取反，再转换成10进制即可。如子网掩码255.0.0.0的反码为0.255.255.255。

③range：该命令用于定义某一特定范围子网的聚合，它的命令格式为“area <区域号> range <子网地址> <子网掩码>"。

①配置参与OSPF的网络地址。

Router-test(config)#router ospf 10

Router-test(config-router)# network 192.168.1.0 0.0.0.255 area 0

Router-test(config-router)#exit

Router-test(config)# exit

Router-test#

②配置单个IP地址参与OSPF。

Router-test(config )# router ospf 10

Router-test(config-router) #network 192.168.1.1 0.0.0.0 area 0

Router-test(config-router)#exit

Router-test(config)# exit

Router-test#

③使用area range命令定义参与OSPF的子网地址。

Router-test(config )# router ospf 10

Router-test(config-router)# area 0 range 212.37.123.0 255.255.255.0

Router-test(config-router)# exit

Router-test(config)# exit

Router-test#

考点8：交换机STP配置

1.配置生成树优先级

（1）Cisco IOS系统（35系列）

命令格式：spanning-tree vlan <vlans.> priority <0-61440>

Switch-3528-TEST(config)# spanning-tree vlan 3 priority 8192

Switch-3528-TEST(config)#

（2）Catalyst OS（65系列）

命令格式：set spantree priority <0-61440>

Switch-6509-TEST(enable)# set spantree priority 8192

Switch-6509-TEST(enable)#

2.配置生成树可选功能

• BackboneFast的功能就是是阻塞端口不再等待这段时间，而是直接将端口由侦听和学习状态转换为转发状态；
• UplinkFast的功能是当生成树拓扑结构发生变化和在使用上连链路组的冗余链路之间完成负载平衡时，提供快速收敛；
• PortFast用于在接入层交换机端口上跳过正常的生成树操作，加快终端工作站接入到网络中的速度。它的功能是使交换机的端口跳过侦听和学习状态，直接从阻塞状态进入到转发状态；
• BPDU Filtering会使交换机在指定的端口上停止发送BPDUs，对于进入这个端口的BPDUs也不做任何处理，同时立刻将端口状态转换为转发状态；

（1）BackboneFast配置

①Cisco lOS系统（35系列）。

命令格式：spanning-tree BackboneFast（开启生成树的BackboneFast功能）

Switch-3528-TEST(config)# spanning-tree backbonefast(允许BackboneFast功能）

②Catalyst OS(65系列）。

命令格式：set spantree backbonefast enable（开启生成树的BackboneFast功能）

​ set spantree backbonefast disable(关闭生成树的BackboneFast功能）

（2）UplinkFast配置

①Cisco IOS系统（35系列）

命令格式：spanning-tree uplinkfast

spanning-tree uplinkfast max-update-rate <0-32000>

其中，max-update-rate的值在0-32000之间，单位是packet/s（每秒更新的包数）。

②Catalyst OS（65系列）

命令格式：set spantree uplinkfast enable

set spantree uplinkfast enable rate

其中，<station_update_rate>的默认值是15 packets/100ms，单位是packet/ms

（3）PortFas配置

①Cisco lOS系统（35系列）

命令格式：spanning-tree portfast default

Switch-3528-TEST #configure terminal

Switch-3528-TEST(config)# spanning-tree portfast default

②Catalyst OS(65系列）

命令格式：set spantrse portfast <mod/port> enable（打开portfast）

​ set spantree portfast <mod/port> disable (关闭portfast)

​ set spantree portfast <mod/port> default （默认启用portfast)

（4）BPDU Filtering配置

①Cisco IOS系统（35系列）

命令格式：spanning-tree portfast bpdufilter default

Switch-3528-TEST(config)#spanning-tree porfast bpdufilter default

②Catalyst OS(65系列）

命令格式：set spantree portfast bpdu-filter enable（对所有端口启用bpdu-filter）

​ set spantree portfast bpdu-filter disable（关闭bpdu-filter)

​ set spantree portfast bpdu-filter <mod/port> enable （打开bpdu-filter)

​ set spantree portfast bpdu-filter <mod/port> disable （关闭bpdu-filter)

​ set spantree portfast bpdu-filter <mod/port> default (设置为缺省）

考点8：路由器DHCP的配置

1.DHCP服务器的配置

设置为DHCP服务器，在路由器上需要完成的配置任务主要是建立IP地址池（Pool）和配置IP地址池的相关参数。首先需要配置的是IP地址池的名称，再进入DHCP地址池配置模式，在该配置模式下对DHCP进行配置，主要任务包括：IP地址池的子网地址和子网掩码、默认网关、域名和域名服务器IP地址、IP地址租用时间等配置。

（1）IP地址池的建立

配置方法为在全局配置模式下使用“ip dhcp pool<name.>” 命令为地址池赋予一个名称，其中**<name.>是为所建的地址池提供的名称，可以是一组字符串或数字**。

Router-test(config)#ip dhcp pool 123（建立名为123的地址池）

Routertest(dhcp-config)#

（2）IP地址池的子网地址与子网掩码的配置

IP地址池建立后，便进入地址池配置模式，在该模式下可进行IP子网地址和子网掩码的配置，用于设定DHCP服务器可以分配的IP地址的范围。配置的方法是在IP地址池配置模式下，执行“network<网络地址> <子网掩码>”命令，其中，子网掩码可采用标准的子网掩码表示（如255.255.255.0）或使用掩码前缀长度表示（如/24）。

Router-test(dhcp-config)# network 192.168.1.0 255.255.255.0

Router-test(dhcp-config)#

上述命令也可以表示如下：

Router-test(dhcp-config)# network 192.168.1.0/24

Router-test(dhcp-config)#

（3）排除不用于动态分配的IP地址

配置方法为在全局配置模式下，使用"ip dhsp excluded-address low-address [ high-address]"命令，其中“low-address [high-address]"表示要排除的IP地址的范围。

①排除从192.168.1.1到192.168.1.10的一段IP地址。

router-test (config)#ip dhcp excluded-address 192.168.1.1 192.168.1.10

router-test(config)#

②排除单个IP地址192.168.1.11

router-test(config)#ip dhcp excluded-address 192.168.1.11

router-test(config)#

（5）配置IP地址池的域名系统

域名服务器的配置方法为在地址池配置模式下使用“dns-server address”命令，该命令允许最多配置8个域名服务器地址，但是在实际应用中，域名服务器一般只有两个或三个；

①配置DNS。

router-test(dhcp-config)#dns-server 202.102.192.68（在地址池配置模式下）

router-test（dhcp-config)#

IP地址池中客户端域名的配置方法为在DHCP地址池配置模式下，使用"domain-name <name.>”命令，其中**<name.>为指定的域名名称**。

②配置DHCP客户端域名

router-test(dhcp-config)#domain-name aaa.com.cn

router-test(dhcp-config)#

（6）IP地址租用时间。

在DHCP地址池配置模式下，使用“lease {day [hours] [minutes] |infinite}”命令，其中参数可以包含天数、小时数以及分秒数，还可以设置为永不过期（infinite）。

router-test(dhep-config)#lease 03（设置租用时间为3小时）

router-test(dhcp-config)#lease infinite

router-test(dhcp-config)#

考点9：路由器IP访问控制列表的功能及其配置

1.IP访问控制列表

功能访问控制列表（Access Control List，ACL）通过在路由器接口处控制路由数据包是被转发还是被阻塞来过滤网络通信流量。路由器根据ACL中指定的条件来检测通过路由器的每个数据包，从而决定是转发还是丢弃该数据包。

2.IP访问控制列表的分类

标准访问控制列表只能检查数据包的源地址，根据源网络、子网或者主机的IP地址来决定对数据包的过滤。

标准访问控制列表的表号范围是1-99。后来又进行扩展，扩展的表号是1300-1999。

扩展访问控制列表可以检查数据包的源地址和目的地址，根据源网络或者目的网络、子网、主机的IP地址决定数据包的过滤操作。

扩展访问控制列表除了检查源地址和目的地址外，还可以检查指定的协议，根据数据包头中的协议类型进行过滤，比如IP协议、ICMP协议、TCP协议和UDP协议等。

扩展访问控制列表的表号范围是100-199，后来又进行了扩展，扩展的表号是2000-2690。

3.配置IP访问控制列表

• IP访问控制列表是一个连续的列表，至少由一个“permit（允许）”语句和一个或多个“deny（拒绝）”语句组成。

• IP访问控制列表用名字（name）或表号（number）标识和引用；

• 在配置IP访问控制列表的首要任务就是使用“access-list”或“ip access-list”命令，定义一个访问控制列表；

• access-list命令要求只能使用表号标识列表，而ip access-list命令可以使用表号或者名字标识列表；

• 在配置过滤规则时，ACL语句顺序很重要；

• 路由器执行ACL是按照配置的访问控制列表中条件语句来决定的；

• 数据包只有在跟第一个判断条件不匹配时，才能被交给ACL中下一个条件语句进行比较；

• 若要允许“202.204.4.2”以外的所有源地址通过路由器，这时就需要先配置“deny 202.204.4.2”在配置"permit any any"

• 通配符掩码【子网掩码的反码】（访问控制列表掩码位配置过程）是一个32位的数字字符串，它被用点号分成4个8位组，每组包含8位。

• 在通配符掩码位中，0表示“检查数据包的IP地址相对应的比特位”，1表示“不检查（忽略）数据包的IP地址相对应的比特位”。

• 可以使用缩写字“any”代替0.0.0.0 255.255.255.255，代表所有主机。

• 通配符host

  • 例如：Router(config)#access-list 1 deny 172.33.160.29 0.0.0.0
  • 等于：Router(config)#access-list 1 deny host 172.33.160.29
  • 与整个IP主机地址的所有位相匹配，可以使用缩写字“host"

（1）使用access-list命令

①定义访问控制列表

命令格式：access-list<表号> {permit|deny} <协议类型> <IP源地址> <IP目的地址> <子网掩码的反码> [operator] | [operand]

其中，operator（操作）有lt（小于）、gt（大于）、eq（等于）、neq（不等于）几种；

operand指的是端口号。

例：拒绝转发所有IP地址进出的、端囗号为1433的UDP协议数据包。

在全局配置模式下：

Router (config) #access-list 130 deny udp any eq 1433

Router (config) #access-list 130 permit ip any any

Router(config)#

配置应用接口：

Router(config)#interface g0/1

Router (config-if)#ip access-group130 in

Router(config-if) #ip access-group 130 out

Router (config-if)#

（2）使用ipaccess-list命令

命令格式：ip access-list extended|standard access-list-number|name

其中，extended|standard分别表示访问控制列表的类别，access-list-number|name表示可以选择标号或名称方式对访问控制列表进行标识。

在扩展或标准访问控制模式下（如：Router(config-ext-nacl)#），配置过滤规则。

命令格式：pemmit|deny protocol <IP源地址> <IP目的地址> <子网掩码的反码> [operator] [operand]。

②应用到接口

命令格式：ip access-group <表号> {inlout}

其中access-list-number指出连接到这个接口的访问控制列表表号；in|out指示该ACL是应用到入站接口还是出站接口。

如果in和out都没有指定，那么默认地址为是out。

例：拒绝转发所有IP地址进与出方向的、端口号为1437的UDP协议数据包。

在全局配置模式下：

Router (config)#ip access-list extended 130（进入扩展访问控制列表配置模式）

Router (config-ext-nacl)#

Router (config-ext-nacl)#deny udp any any eg 1437

Router (config-ext-nacl)#permit ip any any

Router (config-ext-nacl)#

配置到应用接口：

Router (config)#interface g0/1

Router (config-if)#ip access-group 130 in

Router(config-if) #ip access-group 130 out

Router(config-if）#