【答案解析】可将路由器R2连接LAN1的f0/0端口配置为被动接口其相应的配置过程示例如下： R2(config)#router rip R2(config-router)#passive-interface f0/0 [要点解析] 被动接口是指阻止路由更新报文通过的路由器接口，即被动接口只接收路由更新但不发送路由更新。在RIP路由配置模式下，使用命令passive-interface指定一个路由器接口为被动接口。passive-interface命令可用于所有IP内部网关协议(如RIP、IGRP、EIGRP、OSPF和IS-IS等)。本问题要求过滤进入LAN1的路由更新，可将路由器R2连接LAN1的f0/0端口配置为被动接口。其配置过程示例如下： R2 (config) #router rip R2 (config-router) #passive—interface f0/0

【答案解析】应在路由器R3上配置扩展访问控制列表(1分)，其相应的配置过程示例如下： R3(config)#access-list 110 deny ip 192.168.2.0 0.0.0.255 192.168.4.0 0.0.0.255 R3(config)#access-list 110 permit ip any any R3(config)#interface f0/0 R3(config-if)#ip access-group 110 in 或其他等价配置语句 [要点解析] 为了过滤不必要的通信流量，可以通过配置访问控制列表(ACL)来实现。IP访问控制列表是一种基于路由设备接口的控制列表，可根据事先制定的访问控制准则来控制接口对数据包的接收和拒绝。IP访问控制列表主要有标准访问控制列表和扩展访问控制列表两种类型。标准访问控制列表只能检查数据包的源地址，根据源网络、子网或主机的IP地址来决定对数据包的过滤，其表号范围是1～99、1300～1999。在全局配置模式下，使用命令access-listaccess-list-number{permit|deny}source wildcard-mask配置标准访问控制列表。访问控制列表通配符(Wildcard-Mask)的作用是，指出访问控制列表过滤的IP地址范围，即路由器在进行基于源IP地址、目的IP地址过滤时，通配符告诉路由器应检查哪些地址位，忽略哪些地址位。通配符为0，表示检查相应的地址位：通配符为1，表示忽略，即不检查相应的地址位。通配符与 IP地址总是成对出现的。通常，ACL通配符用32位二进制数表示，表示形式与IP地址、子网掩码相同。实际上，通配符就是子网掩码的反码。 扩展访问控制列表可以检查数据包的源IP地址、目的IP地址、指定的协议、端口号等来决定对数据包的过滤。其表号范围是100～199、2000～2699。在全局配置模式下，使用命令access-listaccess-list-number {permit|deny}protocol source wildcard-mask destination wildcard-mask[opemtor][operand]配置扩展访问控制列表。其中，operator(操作)有It(小于)、St(大于)、eq(等于)、neq(不等于)；operand(操作数)指的是端口号。本问题要求“阻止192.168.2.0/24网络中的主机访问192.168.4.0/24网络”中出现了源网段地址和目的网段地址，因此需要使用扩展访问控制列表才能完成这一配置需求。 配置ACL的具体步骤如下。 ①定义一个标准(或扩展)的访问控制列表。 ②为访问控制列表配置包过滤的准则。 ③配置访问控制列表的应用接口。 ACL通过过滤数据包并且丢弃不希望抵达目的地的数据包来控制通信流量。然而能否有效地减少网络中不必要的通信流量，还要取决于网络管理员将ACL部署在哪个具体地方。其部署原则是：标准ACL要尽量靠近目的端，扩展ACL则要尽量靠近源端。因此，本问题应在路由器R3上配置扩展访问控制列表，其相应的配置过程示例如下： R3(config)#access-list 110 deny ip 192.168.2.0 0.0.0.255 192.168.4.0 0.0.0.255 R3(config)#access—list 110 permit ip any any R3(config)#interface f0/0 R3(config-if)#ip access-group 110 in 或者： R3(config)#ip access-list extended denyLAN2 R3(config-ext-nac1)#deny ip 192.168.2.0 0.0.0.255 192.168.4.0 0.0.0.255 R3(config-ext-nac1)#permit ip any any R3(config-ext-nac1)#exit R3(config)#interface f0/0 R3(config-if)#ip access-group denyLAN2 in

【答案解析】可以在路由器刚正配置策略路由，其配置过程示例如 R1(config)#access-list1permit192.168.1.00.0.0.255 R1(config)#access-list2permit192.168.4.00.0.0.255 R1(config)#route-map ISP1 permit10 R1(config-route-map)#match ip address2 R1(config-route-map)#set interfaceserial 0/0 R1(config-route-map)#exit R1(config)#route-map ISP2 permit20 R1(config-route-map)#match ip address1 R1(config-route-map)#set interface serial0/1 R1(config-route-map)#exit R1(config)#intefface f0/1 R1(config-if)#ip policy route-map ISP2 R1(config-if)#interface f0/2 R1(config-if)#ip policyroute-map ISP2 R1(config-if)#interface f0/0 R1(config-if)#ip policy route-map ISP1 R1(config-if)# [要点解析] 为了保证网络的伸缩性、稳定性、安全性和快速收敛，必须对网络进行优化。路由过滤和策略路由是路由优化的常用方法。路由过滤是指在路由更新中抑制某些路由不被发送和接收。被动接口、分布控制列表和重分布结合路由策略等都可以实现路由过滤。策略路由能够根据网络管理者制定的规则进行数据包转发的一种机制。基于策略的路由比传统路由能力更强，使用更灵活，它使网络管理者不仅能够根据目的地址来选择转发路径，而且还能够根据协议类型、报文大小、应用或IP源地址来选择转发路径。尽管策略路由可以用寸：在AS中控制数据流，但它通常用于控制AS间的路由。 策略路由的策略由路由映射图(Route Map)来定义，其对应的配置语句是route-map＜map-tag＞ ＜permit|deny＞＜sequence-number＞。其中，map-tag是route-map的标识号，sequence-number是每一个routemap条件的标识号。 route-map命令可将路由器的模式改变为路由映射图配置模式(config-map-router)，在该模式下，可以为路由映射图配置条件。每个route-map命令中都有一组set和match命令。 match命令用于定义匹配的条件，匹配语句在路由器的输入端口对数据包进行检测。常用的匹配条件包括IP地址、接口、度量值及数据包长度等。其常用的配置语句是match中address＜access-list-number＞。 set命令用于定义对符合匹配条件的语句采取的一些动作。命令set中next-hop＜address＞设定数据包下一跳地址：命令set interface设定数据包输出接口：命令set ip default next-hop设定默认的下一跳地址：命令set default interface设定默认的输出接口：命令set中tos设定数据包的IPToS值：命令set中precedence设定IP数据包的优先级。路由映射图的运行机制和访问控制列表相似，都是逐行进行检查的，遇到匹配就立即进行处理。 在接口配置模式下，使用命令中policyroute-map＜map-tag＞应用相应的策略路由。在全局配置模式下，使用命令ip local policy route-map＜map-tag＞在本地应用相应的策略路由。 可以在路由器R1上配置以下策略路由解决本问题，其配置过程示例如下： R1(config)#access-list 1 permit 192.168.1.0.0.0.0.255 R1(config)#access-list 2 permit 192.168.4.0.0.0.255 R1config)#route-map ISP1 permit 10 R1(config-route-map)#match ip address 2 R1(config-route-map)#set interface Seria10/0 R1(config-route-map)#exit R1(config)#route-map ISP2 permit 20 R1(config-route-map)#match ip address 1 R1(config-route-map)%set interface serial0/1 R1(config-route-map)#exit R1(conftg)#interface f0/1 R1(config-if)#ip policy route-map ISP2 R1(config-if)#interface f0/2 R1(config-if)#ip poticy route-map ISP2 R1(config-if)#interface f0/0 R1(config-if)#ip policy route-map ISP1 R1(config*if)#

【答案解析】可在路由器R1上设置路由重发布，其配置思路(或步骤)示例如下： R1(config)#router ospf 101 R1(config-router)#no auto-summary //关闭自动汇总功能 R1(config-router)#network X.X.X.X wildcard area 0//根据所连接的网络配置多条 network命令 R1(config-router)#redistribute rip subnets //将RIP重分布到OSPF中 R1(config-router)#exit R1(config)#router rip R1(config-router)#networkX.X.X.X //根据所连接的网络配置多条network命令 R1(config-router)#redistribute ospf 101 match internal externa1 |external 2 //将OSPF分布到RIP中 R1(config-router)#default-metric 10 顺置默认种子度量值 [要点解析] 当许多运行多路由的网络要集成到一起时，必须在这些不同的路由选择协议之间共享路由信息。例如，从RIP路由进程所学习到的路由可能需要被注入到IGRP路由进程中。在路由选择协议之间交换路由信息的过程被称为路由重分布(Route Redistribution)。这种重发布可以是单向的也可以是双向的，单向是指一种路由协议从另一种路由协议那里接收路由，双向是指两种路由选择协议互相接收对方的路由。 执行路由重分布的路由器被称为边界路由器，因为它们位于两个或多个自治系统(AS)的边界上。路由重分布时计量单位和管理距离是必须要考虑的。种子度量值(Seed Metric)是定义在路由重分布里的，它是一条从外部重分布进来的路由的初始度量值。 在路由协议配置子模式下，使用命令redistribute配置路由协议重分布；使用命令default-metric配置默认种子度量值。在全局配置模式下，使用命令中prefix-list定义前缀列表。 可以在图2-19中的两个自治系统的边界路由器Rl上设置路由重发布，其配置思路(或步骤)示例如下： R1(config)#router ospf 101 R1(config-router)#no auto-summary //关闭自动汇总功能 R1(config-router)#network X.X.X.X wildcard area 0 //根据所连接的网络配置多条network命令 R1(config-router)#redistribute rip subnets //将RIP重分布到OSPF R1(config-router)#exit R1(config)#router rip R1(config-router)#network X.X.X.X //根据所连接的网络配置多条network命令 R1(config-router)# redistribute ospf 101 match intenal external 1 external 2 //将OSPF重分布到RIP中 R1(config-router)0 default-metric 10 //配置默认种子度量值