第11章 锐捷NBR路由器应用详解前 言此PPT主要介绍了锐捷NBR系列路由器在实际组网中的各种典型应用以及故障排除的思路与步骤.课程目标通过本次课程的学习，您可以掌握以下知识点q NBR路由器的基本性能指标 q NBR路由器的典型应用模式 q NBR路由器各项功能的使用与配置 q NBR路由器故障排除的思路与步骤 q NBR路由器安全功能的应用场合与配置提纲q NBR路由器简介q NBR路由器典型应用篇q NBR路由器故障排除篇NBR路由器简介NBR2000NBR1000ENBR2003个10/100M WAN口 4个10/100M LAN口 1个10/100M WAN口 1个10/100/1000M WAN口 1个10/100M/1000M LAN口推荐带机规模100台以下 推荐带机规模100200台推荐带机规模800台以下1个10/100M WAN口 4个10/100M LAN口提纲q NBR路由器简介q NBR路由器典型应用篇q NBR路由器故障排除篇NBR路由器典型应用篇q 虚拟服务器 q DDNS q DNS中继q 端口监控 q 限速 q 上网时段控制 q 上网地址段控制 q 多出口 q VRRPNBR路由器典型应用篇虚拟服务器NBRInternet内网服务器内网用户内部架设了服务器，现在想 让公网的用户也可以访问， 这个有办法实现吗？没问题，NBR可以实现q NBR路由器可以通过NAT端口映射的功能也就是常说 的虚拟服务器功能，让公网上的网络用户可以访问内 网架设的服务器（WWW、FTP、E-MAIL等），同时 内网的PC也可以直接通过公网IP访问内部服务器。 q 配置方式：WEB、CLINBR路由器典型应用篇虚拟服务器q WEB方式配置q CLI方式配置ip nat inside source static tcp 192.168.0.80 80 202.101.11.38 80 permit-insideNBR路由器典型应用篇虚拟服务器NBR路由器典型应用篇q 虚拟服务器 q DDNS q DNS中继q 端口监控 q 限速 q 上网时段控制 q 上网地址段控制 q 多出口 q VRRPNBR路由器典型应用篇DDNSNBRInternet内网服务器内网用户内部架设了服务器，现在想 让公网的用户也可以访问， 但线路是PPPOE拨号的，这 个能实现吗？没问题，NBR可以实现PPPOENBR路由器典型应用篇DDNSq NBR路由器通过动态DNS也就是DDNS功能，实现固 定域名到动态IP地址之间的解析，每次上网得到新的 IP地址之后，NBR路由器就会把这个IP 地址发送到动 态域名解析服务器，更新域名解析数据库。Internet 上 的其他人要访问这个域名的时候，动态域名解析服务 器会返回正确的IP 地址给他，这样就顺利圆满的解决 了PPPOE情况下无法对外发布内部服务器的问题。 q 配置方式：WEB、CLINBR路由器典型应用篇DDNSq WEB方式配置q CLI方式配置 ddns 88ip ruijie password ruijie bind FastEthernet 1/0 startNBR路由器典型应用篇q 虚拟服务器 q DDNS q DNS中继q 端口监控 q 限速 q 上网时段控制 q 上网地址段控制 q 多出口 q VRRPNBR路由器典型应用篇DNS中继NBRInternet内网用户公网的DNS难记又经 常变动，能否把DNS 直接指向网关？这个 有办法实现吗?没问题，NBR可以实现q NBR路由器提供DNS-RELAY也就是DNS中继功能可以 解决该问题，内网的用户可以直接将DNS服务器指向 NBR路由器的内网口v配置方式：CLI假设内网口的IP地址是192.168.1.1，DNS服务器的IP是202.101.98.55 则DNS relay功能配置如下： ip nat application source list 1 destination udp 192.168.1.1 53 dest-change 202.101.98.55 53 其中ACL号1，与动态NAT中使用的ACL号一致 如：access-list 1 permit anyNBR路由器典型应用篇DNS中继NBR路由器典型应用篇q 虚拟服务器 q DDNS q DNS中继q 端口监控 q 限速 q 上网时段控制 q 上网地址段控制 q 多出口 q VRRPNBR路由器典型应用篇端口监控NBRInternet内网用户基于安全的要求，内部上 网的数据流必须进行监控 ，路由器上可以实现吗?没问题，NBR可以实现NBR路由器硬件实现端口镜像监控的功能，可以对内网 任意方向的数据包进行监控，且不会影响网络性能 q 配置方式：WEB、CLINBR路由器典型应用篇端口监控q WEB方式配置q CLI方式配置 mirror master lan 0 slave lan 1 tx mirror master lan 0 slave lan 2 rx mirror master lan 0 slave lan 3 allNBR路由器典型应用篇端口监控NBR路由器典型应用篇q 虚拟服务器 q DDNS q DNS中继q 端口监控 q 限速 q 上网时段控制 q 上网地址段控制 q 多出口 q VRRPNBR路由器典型应用篇限速NBRInternet内网用户没问题，NBR可以实现上网速度慢，打 开网页老半天、 玩游戏卡P2P软件下载、在线视频等 正常应用唉，内部BT、电驴、迅雷 、FTP、在线视频等占用了 大量的出口带宽，实在头 疼，有没办法对内部流量 进行限速呢？q NBR路由器提供基于IP地址限速的功能，可以给整个 网络内部的所有PC进行速度限制，可以分别限制上传 和下载速度，NBR路由器既可以统一限制内部所有PC 的速度，也可以分别设置内部某台指定PC的速度 q 配置方式：WEB、CLINBR路由器典型应用篇限速q WEB方式配置q CLI方式配置ip nat translation rate-limit iprange 192.168.0.1 192.168.0.100 inbound 512 outbound 1024NBR路由器典型应用篇限速NBR路由器典型应用篇q 虚拟服务器 q DDNS q DNS中继q 端口监控 q 限速 q 上网时段控制 q 上网地址段控制 q 多出口 q VRRPNBR路由器典型应用篇上网时段控制NBRInternet内网用户在上班时间内部的用 户可以收发邮件，但 不能上网，这个有办 法实现吗？没问题，NBR可以实现q NBR路由器支持基于时间的ACL功能，可以控制任意 时段内的网络应用 v配置方式：CLI clock set 15:30:30 25 august 2006 calendar set 15:30:30 25 august 2006 show clock clock: 2006-8-25 15:30:36 time-range 1 periodic Daily 8:00 to 18:00 access-list 100 permit tcp any any eq 53 time-range 1 access-list 100 permit tcp any any eq 25 time-range 1 access-list 100 permit tcp any any eq 110 time-range 1 access-list 100 deny ip any any time-range 1 access-list 100 permit ip any any interface FastEthernet 0/0 ip access-group 100 inNBR路由器典型应用篇上网时段控制NBR路由器典型应用篇q 虚拟服务器 q DDNS q DNS中继q 端口监控 q 限速 q 上网时段控制 q 上网地址段控制 q 多出口 q VRRPNBR路由器典型应用篇上网地址段控制NBRInternet内网用户A部分的用户可以上 网，而B部分的用户 只能访问内网，这个 有办法实现吗？没问题，NBR可以实现A:192.168.0.1-192.168.0.100B:192.168.0.101-192.168.0.200q NBR路由器支持基于起始和结束地址的ACL(3000- 3199)，其中30003099是IP标准访问列表，3100 3199是IP扩展访问列表，通过这种ACL可以实现对内 部上网地址段的灵活管理 v配置方式：CLIaccess-list 3001 permit 192.168.0.1 192.168.0.100interface FastEthernet 0/0ip access-group 3001 inNBR路由器典型应用篇上网地址段控制NBR路由器典型应用篇q 虚拟服务器 q DDNS q DNS中继q 端口监控 q 限速 q 上网时段控制 q 上网地址段控制 q 多出口 q VRRPNBR路由器典型应用篇多出口1NBR网通内网用户没问题，NBR可以实现电信电信与网通资源 互访速度慢，有 些还无法访问能否按访问的 目的资源优先 选取对应的线 路呢？q NBR路由器通过路由表的优化设置，可以实现访问电 信的资源优先走电信的线路，访问网通的资源优先走 网通的线路，且两条线路互为备份 q 配置方式：可以通过WEB配置，也可以通过CLI配置NBR路由器典型应用篇多出口1q WEB方式配置q CLI方式配置 ip route 61.153.0.0 255.255.0.0 FastEthernet 1/0 61.153.22.87 ip route 202.106.135.0 255.255.255.0 FastEthernet 1/1 218.62.0.24NBR路由器典型应用篇多出口1NBR路由器典型应用篇多出口2NBR电信内网用户没问题，NBR可以实现部分用户上网走线路1， 部分用户上网走线路2， 有办法可以实现吗？线路1线路2ABq NBR路由器支持两种基于源地址的路由，一种是最常 用的策略路由，另一种就是NBR路由器特有的根据指 定源地址优先选取指定WAN口的功能，两种都可以实 现上述的需求 q 配置方式：通过CLI配置 access-list 3001 permit 192.168.0.1 192.168.0.100 access-list 3002 permit 192.168.0.101 192.168.0.200 ip default-route list 3001 out-interface FastEthernet 1/0 ip default-route list 3002 out-interface FastEthernet 1/1NBR路由器典型应用篇多出口2NBR路由器典型应用篇q 虚拟服务器 q DDNS q DNS中继q 端口监控 q 限速 q 上网时段控制 q 上网地址段控制 q 多出口 q VRRPNBR路由器典型应用篇VRRPNBR-AInternet内网用户有两个出口，想使用两 台出口设备，它们要能 够互为备份，最好还能 负载均衡，能实现吗？没问题，NBR可以实现NBR-BABq NBR路由器支持VRRP(Virtual Router Redundancy Protocol)协议，通过设置不同的VRRP组实现负载均衡 和冗余备份的功能 v配置方式：CLI配置 NBR-A： interface FastEthernet 0/0 ip address 192.168.1.1 255.255.255.0 vrrp 1 priority 120 vrrp 1 ip 192.168.1.254 vrrp 1 track FastEthernet 1/