资源预览内容
第1页 / 共67页
第2页 / 共67页
第3页 / 共67页
第4页 / 共67页
第5页 / 共67页
第6页 / 共67页
第7页 / 共67页
第8页 / 共67页
第9页 / 共67页
第10页 / 共67页
亲,该文档总共67页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
交换机、路由器以及防火墙交换机、路由器以及防火墙1 路由器的配置2 交换机的配置3 防火墙的配置lcalca路 由 器 配 置 简 介lcalca什么是路由器路由器是一种连接多个网络的网络设备,用于连路由器是一种连接多个网络的网络设备,用于连接多个逻辑上分开的网络(所谓逻辑网络是代表接多个逻辑上分开的网络(所谓逻辑网络是代表一个单独的网络或者一个子网)的网络设备。它一个单独的网络或者一个子网)的网络设备。它具有判断网络地址和选择路径的功能,能在多个具有判断网络地址和选择路径的功能,能在多个网络互联环境中,建立灵活的连接;可用完全不网络互联环境中,建立灵活的连接;可用完全不同的数据分组和介质访问方法连接各种子网;同的数据分组和介质访问方法连接各种子网;路由器是网络层的一种互联设备,它不关心各子路由器是网络层的一种互联设备,它不关心各子网使用的硬件设备,但要求运行与网络层协议相网使用的硬件设备,但要求运行与网络层协议相一致的软件。一般说来,异种网络互联与多个子一致的软件。一般说来,异种网络互联与多个子网互联都应采用路由器来完成。网互联都应采用路由器来完成。 lcalca路由器的主要功能连接多个独立的网络或子网实现网间最佳寻径和数据报传送流量管理:包过滤、负载分流、负载均衡、优先冗余和容错数据压缩、加密lcalca网络互联路由器可以支持多种局域网和广域网端口,并且实现多种局域网数据帧之间的转换,使不同的局域网之间能够通信园区网内的多个子网之间也需要路由器进行互联lcalca网间寻径和数据传送寻径的依据是经过每个路由器中的路由表。路由表指明了从源站点到目的站点的一条路径。路由协议是生成路由表的方法,分为静态路由协议和动态路由协议。lcalca网间寻径和数据传送静态路由协议:手工为每台路由器编写一张固定不变的静态路由表;动态路由协议:为每台路由器配置一个动态路由寻径协议,让该路由协议自动形成和刷新路由表。动态路由协议有:RIP、RIP、IGRP 、EIGRP、OSPF、ISIS、BGP、EGP等。lcalca流量管理包过滤:过滤某些用户不需要的信息流,减少网络流量,缓解网络阻塞。包括对特定的工作站、某些网络或子网、某些协议。优先权:对特定服务的包给予特别的优先权,使某些对延时敏感的包快速通过。排队:对某几类服务进行排队通过lcalca冗余和容错负载分流(Load Sharing)负载均衡(Load Balancing)双路由热备份(Hot-Stand-By)lcalca路由器配置基础简单了解路由器的组成结构了解路由器的启动和工作方式了解路由器的配置方法和常用命令学会使用帮助学会查看路由器状态和判断网络故障lcalca路由器内存体系结构RAM NVRAM Flash ROMlcalca ROM RAM相当于PC的BIOS。存放引导程序和IOS的一个最小子集。为只读存储器,系统掉电,程序不会丢失。动态内存,系统掉电,内容丢失。运行路由器的操作系统,运行配置存放路由表和转发表lcalca Flash NVRAM 包含压缩的操作系统和微代码是一种可擦写,可编程的ROM,系统掉电,程序不会丢失。存放路由器的配置文件。系统掉电,程序不会丢失。lcalca路由器的网络接口局域网接口,双绞线、光纤,一般是以太网接口广域网口,高速串口控制台端口,连接计算机的串口,路由器的初始配置必须通过控制台端口lcalca连接路由器的计算机设置使用WINDOWS自带的超级终端,或者其它的终端软件,如SecureCRT,CTERM等串口设置必须正确lcalca路由器的启动过程首先运行ROM的程序,进行系统自检和引导,然后读Flash内的IOS,装入RAM中,并从NVRAM中读入路由器的配置,计算并生成路由表。在ROM读取过程中,Ctrl+Break可以进入ROM配置模式中lcalca路由器产品系列部门级:1600、2500多媒体:2600、3600企业级:4000、7200骨干级:7500,7600电信运营级:12000访问服务:5200、5300、5800lcalca思科路由器的配置三种工作模式各端口地址连入WAN包封装路由协议lcalca三种工作模式 1 1、用户模式、用户模式 Router Router 2 2、特权模式特权模式 RouterenableRouterenable Password: Password: Router# Router# 3 3、全局模式全局模式 Router#configRouter#config term term Enter configuration commands, one per line. End with CNTL/Z. Enter configuration commands, one per line. End with CNTL/Z. Router(configRouter(config)#)#lcalca配置命令简化输入方法配置命令可以简化输入,只要系统可以找到唯一匹配的一个命令使用Tab键使用命令头几个字母+“?”可以获得可以使用的所有命令lcalca帮助 HELP!在任何模式、任何情况下均可键入 “ ?”来得到帮助。Router ?Router# ?Router(config)# ?lcalca两个配置文件Start-config 和running-config命令改动的是running-configWrite 保存配置文件running-config 到Start-configWrite erase 清除配置文件Reload 重新启动lcalca配置主机名按照一定的原则命名主机名配置主机名是为了便于管理主机名对应用没有影响配置方法 router(config)#hostname XXXXlcalca使用CDP协议CDP-Cisco Discovery Protocol思科产品用于发现互联设备的协议CDP不依赖于IP地址的设置,端口连通即可使用router#sh cdp neighborlcalca路由器的口令配置routerenable routerenable ;进入特权模式进入特权模式router#configrouter#config terminal terminal ;进入全局配置模式进入全局配置模式router(config)#enablerouter(config)#enable secret xxx secret xxx ;设置特权加设置特权加密口令密口令router(config)#enablerouter(config)#enable password password xxbxxb ;设置特权设置特权非密口令非密口令lcalca路由器的口令配置router(config)#linerouter(config)#line console 0 console 0 ;进入控制台口进入控制台口router(config-line)#passwordrouter(config-line)#password xx xx ;设置控制台口设置控制台口令令xxxxrouter(config-line)#linerouter(config-line)#line vtyvty 0 4 0 4 ;进入虚拟终端进入虚拟终端router(config-line)#loginrouter(config-line)#login ;要求口令验证要求口令验证router(config-line)#passwordrouter(config-line)#password xx xx ;设置登录口令设置登录口令xxxxrouter(config)#(Ctrl+zrouter(config)#(Ctrl+z) ) ; 返回特权模式返回特权模式lcalca配置局域网端口Router(config)# interface e0Router(config-if)# description wangtong Router(config-if)# ip address 200.61.17.253 255.255.255.0Router(config-if)#no shutdownRouter(config-if)# exitlcalca配置广域口并封装协议Router(configRouter(config)# )# intint s0 s0Router(config-if)#ipRouter(config-if)#ip address 200.61.16.252 address 200.61.16.252 255.255.255.0255.255.255.0Router(configRouter(config-if)# -if)# encapencap frame-relay frame-relayRouter(config-if)#frame-relayRouter(config-if)#frame-relay lmilmi-type -type ansiansiRouter(config-if)#frRouter(config-if)#fr map map ipip 200.61.16.251 104 200.61.16.251 104 brobrolcalca查看端口状态Router#shRouter#sh intint s0/0 s0/0 端口状态正常:端口状态正常: Serial0/0 is up, line protocol is upSerial0/0 is up, line protocol is up 端口启动,协议没有正常工作,数据链路层故障:端口启动,协议没有正常工作,数据链路层故障: Serial0/0 is up, line protocol is downSerial0/0 is up, line protocol is down 端口没有启动,协议没有正常工作,物理层故障:端口没有启动,协议没有正常工作,物理层故障: Serial0/0 is down, line protocol is downSerial0/0 is down, line protocol is down 端口被手工关掉端口被手工关掉 Serial0/0 is administratively down, line protocol Serial0/0 is administratively down, line protocol is downis downlcalca路由设置路由是路由器主要的工作之一路由器根据数据报目的IP地址决定下一跳转发地址路由器通过路由实现不同子网之间的通信lcalca路由表每个路由器启动后生成并维护一张路由表,路由表的每一条记录表示某一个网络地址需要向那个地址转发 219.226.128.0/24 1/0 via 10.254.1.1路由器根据路由表决定数据报从哪个端口转发lcalca路由表查询Router#shRouter#sh ipip route routeS 10.0.0.0/12 1/0 via 10.254.1.1S 10.0.0.0/12 1/0 via 10.254.1.1C 10.100.1.0/30 is directly connected, Serial0/0C 10.100.1.0/30 is directly connected, Serial0/0C 10.1.120.0/24 is directly connected, FastEthernet0/0C 10.1.120.0/24 is directly connected, FastEthernet0/0C 10.254.1.0/24 is directly connected, FastEthernet0/1C 10.254.1.0/24 is directly connected, FastEthernet0/1S 219.226.128.0/24 1/0 via 10.254.1.1S 219.226.128.0/24 1/0 via 10.254.1.1S* 0.0.0.0/0 1/0 via 10.100.1.2S* 0.0.0.0/0 1/0 via 10.100.1.2S 211.82.224.0/20 1/0 via 10.254.1.1S 211.82.224.0/20 1/0 via 10.254.1.1S 202.206.208.0/20 1/0 via 10.254.1.1S 202.206.208.0/20 1/0 via 10.254.1.1lcalca路由表配置方法自动生成直连网络的路由:C静态路由:S动态路由:RIP,OSPF默认路由:“ * ”lcalca静态路由和动态路由静态路由:手工配置的路由,效率高,故障容易查找,网络变化需要手动更改路由动态路由:使用路由协议,路由器通过交换路由协议数据报动态生成路由表,网络变化不需要手动更改,但是路由表收敛需要时间,出现问题相对不易查找lcalca静态路由配置Router(config)#ip route 0.0.0.0 0.0.0.0 x.x.x.x (默认路由)Router(config)#ip route 10.10.0.0 255.255.0.0 10.20.1.1lcalca路由协议配置启动RIP路由协议router(config)#router rip ;。设置发布路由router(config-router)#network XXXX;其它路由协议配置方法类似lcalca路由表查询 Router#shRouter#sh ipip route route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGPCodes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, iaia - IS-IS inter area - IS-IS inter area * - candidate default, U - per-user static route, o - ODR * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route P - periodic downloaded static route Gateway of last resort is 10.100.1.2 to network 0.0.0.0Gateway of last resort is 10.100.1.2 to network 0.0.0.0 10.0.0.0/8 is variably 10.0.0.0/8 is variably subnettedsubnetted, 4 subnets, 3 masks, 4 subnets, 3 masks S 10.0.0.0/12 1/0 via 10.254.1.1S 10.0.0.0/12 1/0 via 10.254.1.1 C 10.100.1.0/30 is directly connected, Serial0/0C 10.100.1.0/30 is directly connected, Serial0/0 C 10.1.120.0/24 is directly connected, FastEthernet0/0C 10.1.120.0/24 is directly connected, FastEthernet0/0 C 10.254.1.0/24 is directly connected, FastEthernet0/1C 10.254.1.0/24 is directly connected, FastEthernet0/1 S 219.226.128.0/24 1/0 via 10.254.1.1S 219.226.128.0/24 1/0 via 10.254.1.1 S* 0.0.0.0/0 1/0 via 10.100.1.2S* 0.0.0.0/0 1/0 via 10.100.1.2 S 211.82.224.0/20 1/0 via 10.254.1.1S 211.82.224.0/20 1/0 via 10.254.1.1 S 202.206.208.0/20 1/0 via 10.254.1.1S 202.206.208.0/20 1/0 via 10.254.1.1lcalca查看路由器信息 Router# Router# shsh version version Cisco Internetwork Operating System Software Cisco Internetwork Operating System Software IOS (tm) C2600 Software (C2600-I-M), IOS (tm) C2600 Software (C2600-I-M), Version 12.0(7)TVersion 12.0(7)T, RELEASE SOFTWARE (fc2), RELEASE SOFTWARE (fc2) Copyright (c) 1986-1999 by Copyright (c) 1986-1999 by ciscocisco Systems, Inc. Systems, Inc. Compiled Tue 07-Dec-99 02:12 by Compiled Tue 07-Dec-99 02:12 by phanguyephanguye Image text-base: 0x80008088, data-base: 0x807AAF70Image text-base: 0x80008088, data-base: 0x807AAF70 ROM: System Bootstrap, Version 11.3(2)XA4, RELEASE SOFTWARE (fc1)ROM: System Bootstrap, Version 11.3(2)XA4, RELEASE SOFTWARE (fc1) Router uptime is 2 weeks, 1 day, 19 hours, 10 minutesRouter uptime is 2 weeks, 1 day, 19 hours, 10 minutes System returned to ROM by power-onSystem returned to ROM by power-on System image file is flash:c2600-i-mz.120-7.TSystem image file is flash:c2600-i-mz.120-7.T ciscocisco 2621 (MPC860) processor (revision 0x102) with 26624K/6144K bytes of memory. 2621 (MPC860) processor (revision 0x102) with 26624K/6144K bytes of memory. Processor board ID JAD04510B3P (3883478776)Processor board ID JAD04510B3P (3883478776) M860 processor: part number 0, mask 49M860 processor: part number 0, mask 49 Bridging software.Bridging software. X.25 software, Version 3.0.0.X.25 software, Version 3.0.0. 2 2 FastEthernetFastEthernet/IEEE 802.3 interface(s)/IEEE 802.3 interface(s) 1 Serial network interface(s)1 Serial network interface(s) 32K bytes of non-volatile configuration memory.32K bytes of non-volatile configuration memory. 8192K bytes of processor board System flash (Read/Write)8192K bytes of processor board System flash (Read/Write) Configuration register is 0x2102Configuration register is 0x2102lcalca建议的配置步骤配置主机名配置两个口令配置端口地址和端口描述配置默认路由配置路由查看状态lcalca交换机的配置简介lcalca以太网技术和交换机以太网是应用最广的局域网技术IEEE 802.3 标准MAC地址交换机根据目的MAC地址进行帧的转发lcalca路由器和交换机路由器工作在网络层,管理功能更强交换机工作在数据链路层,管理功能较弱路由器的每一个端口连接一个子网,能够实现不同子网之间的通信交换机通常只能连接一个子网,无法实现不同子网之间的通信lcalca传统的网络拓扑lcalca虚拟局域网VLAN可以跨越物理位置划分子网lcalca虚拟局域网每个交换机上可以划分多个VLAN,不同交换机上同一VLAN内的主机可以通信只有同一VLAN的主机才能直接通信,不同VLAN之间的主机必须通过路由器才能通信VLAN对用户是透明的可以以多种标准划分VLAN,最常用、最通用的是以交换机端口划分VLANlcalca支持VLAN的交换机交换机端口配置分为两类: VLAN端口和TRUNK端口VLAN端口一般同时只能允许一个VLAN的数据报通过TRUNK端口可以允许多个VLAN的数据报同时通过TRUNK协议:ISL和802.1Qlcalca交换机的基本配置交换机配置方法各个品牌的产品产别比较大,但原理类似思科交换机主机名、口令等基本配置和路由器类似管理IP配置方法 Switch(config)#int vlan 1 Switch(config-int)#ip address XXXX XXXXSwitch(config-int)#no shut Switch(config)#ip default-gateway XXXXlcalcaVTP协议思科用于管理VLAN和TRUNK的协议可以将整个园区网分成多个管理域用于在VTP域里广播VLAN信息,只要在一台设备上设置了VLAN,域内其它设备能够自动学习到一般一个园区网设置一个域lcalca交换机的VLAN配置创建VLANVLAN1、1002、1003、1004、1005是系统默认创建好的同一个VTP域的VLAN号必须一致使用命令switch# vlan database switch(vlan)# vlan vlan-num name vlan switch(vlan)# exitlcalcaVLAN端口的配置将交换机端口设置为将交换机端口设置为VLANVLAN模式模式将交换机端口划分到某一将交换机端口划分到某一VLANVLAN使用命令:使用命令:switch(configswitch(config)# interface interface f0/1 )# interface interface f0/1 switch(configswitch(config-if)# -if)# switchportswitchport mode access mode access switch(configswitch(config-if)# -if)# switchportswitchport access access vlanvlan vlanvlan- -numnumswitch(configswitch(config-if)# end-if)# endlcalcaTRUNK端口配置将端口设为将端口设为TRUNKTRUNK模式模式配置配置TRUNKTRUNK端口使用的协议端口使用的协议互联的互联的TRUNKTRUNK端口必须使用相同的协议端口必须使用相同的协议使用命令:使用命令:switch(configswitch(config)# interface interface f0/1 )# interface interface f0/1 switch(configswitch(config-if)# -if)# switchportswitchport mode trunk mode trunk switch(configswitch(config-if)# -if)# switchportswitchport trunk trunk encapencap islisl | | dot1qdot1qswitch(configswitch(config-if)# end-if)# endlcalca查看交换机配置Show vlanShow runShow interfaceShwo modulelcalca路由交换机部分路由器的功能和交换机的功能合二为一路由器的端口是虚拟端口,可以进行多VLAN之间的路由能够设置路由表和访问控制列表lcalca路由交换机的设置路由交换机的端口设置 switch(config)# interface vlan 2 switch(config-if)# ip address XXXX XXXX switch(config-if)# no shut路由设置和路由器一样lcalca常用的网络命令Ping 检查网络通断情况Trace 检查路由情况telnet登录设备lcalca防火墙配置简介lcalca防火墙的简介拥有多个网络接口,每个接口可以定义为不同的安全级别,每一个接口是一个区域,标准的防火墙一般有三个区域:inside,outside,DMZ防火墙会对经过它的数据流进行扫描,并根据访问策略决定是否允许通过可以防止一些攻击,保护服务器和内网免受攻击lcalca防火墙和路由器的区别防火墙默认阻止所有数据流路由器默认允许所有数据流基本配置和路由配置和路由器基本相同lcalca防火墙的外网端口配置Pix525(config)#Pix525(config)#interface GigabitEthernet0interface GigabitEthernet0Pix525(config-interface)#Pix525(config-interface)#nameif outside nameif outside ;命名命名接口和级别接口和级别Pix525(config-interface)#Pix525(config-interface)#security-level 0 security-level 0 ;命名命名安全级别安全级别Pix525(config-interface)# Pix525(config-interface)# ipip address address 221.192.236.66 255.255.255.192 221.192.236.66 255.255.255.192 Pix525(config-interface)#no shutdownPix525(config-interface)#no shutdownlcalca防火墙的内网端口配置Pix525(config)#interface GigabitEthernet1Pix525(config-interface)#nameif inside ;命名接口和级别Pix525(config-interface)#security-level 100 ;命名安全级别Pix525(config-interface)# ip address 10.10.10.1 255.255.255.0 Pix525(config-interface)#no shutdownlcalca防火墙路由配置route outside 0.0.0.0 0.0.0.0 221.192.236.65 1 ;默认路由route inside 202.206.208.0 255.255.240.0 10.254.1.1 1lcalcaNAT配置global (outside) 3 221.192.236.67 netmask 255.255.255.255 ;全局地址nat (inside) 3 access-list listNOlcalcaNAT配置global (outside) 5 221.192.236.68 netmask 255.255.255.255nat (inside) 5 access-list wt2internet tcp 20 5 udp 10lcalca地址映射将外网地址映射成内网地址,使外网用户能够通过外网口地址访问内网地址static (inside,outside) 221.192.236.100 202.206.223.100 netmask 255.255.255.255 lcalca安全配置telnet 10.11.0.15 255.255.255.255 inside ;允许内网IP地址telnethttp 10.11.0.15 255.255.255.255 inside;允许内网IP地址使用浏览器访问管理lcalca谢 谢!lcalcahttp:/www.ruyipingtaiguanwang.com 俎英华檶 lcalca
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号