交換機路由器以及防火墻共68頁課件

1、交換機、路由器以及防火墻1 路由器的配置2 交換機的配置3 防火墻的配置lca路 由 器 配 置 簡 介lca什么是路由器路由器是一種連接多個網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備，用于連接多個邏輯上分開的網(wǎng)絡(luò)（所謂邏輯網(wǎng)絡(luò)是代表一個單獨的網(wǎng)絡(luò)或者一個子網(wǎng)）的網(wǎng)絡(luò)設(shè)備。它具有判斷網(wǎng)絡(luò)地址和選擇路徑的功能，能在多個網(wǎng)絡(luò)互聯(lián)環(huán)境中，建立靈活的連接；可用完全不同的數(shù)據(jù)分組和介質(zhì)訪問方法連接各種子網(wǎng)；路由器是網(wǎng)絡(luò)層的一種互聯(lián)設(shè)備，它不關(guān)心各子網(wǎng)使用的硬件設(shè)備，但要求運行與網(wǎng)絡(luò)層協(xié)議相一致的軟件。一般說來，異種網(wǎng)絡(luò)互聯(lián)與多個子網(wǎng)互聯(lián)都應(yīng)采用路由器來完成。 lca路由器的主要功能連接多個獨立的網(wǎng)絡(luò)或子網(wǎng)實現(xiàn)網(wǎng)間最佳尋徑和數(shù)據(jù)報傳

2、送流量管理：包過濾、負載分流、負載均衡、優(yōu)先冗余和容錯數(shù)據(jù)壓縮、加密lca網(wǎng)絡(luò)互聯(lián)路由器可以支持多種局域網(wǎng)和廣域網(wǎng)端口，并且實現(xiàn)多種局域網(wǎng)數(shù)據(jù)幀之間的轉(zhuǎn)換，使不同的局域網(wǎng)之間能夠通信園區(qū)網(wǎng)內(nèi)的多個子網(wǎng)之間也需要路由器進行互聯(lián)lca網(wǎng)間尋徑和數(shù)據(jù)傳送尋徑的依據(jù)是經(jīng)過每個路由器中的路由表。路由表指明了從源站點到目的站點的一條路徑。路由協(xié)議是生成路由表的方法，分為靜態(tài)路由協(xié)議和動態(tài)路由協(xié)議。lca網(wǎng)間尋徑和數(shù)據(jù)傳送靜態(tài)路由協(xié)議：手工為每臺路由器編寫一張固定不變的靜態(tài)路由表；動態(tài)路由協(xié)議：為每臺路由器配置一個動態(tài)路由尋徑協(xié)議，讓該路由協(xié)議自動形成和刷新路由表。動態(tài)路由協(xié)議有：RIP、RIP、IGRP

3、、EIGRP、OSPF、ISIS、BGP、EGP等。lca流量管理包過濾：過濾某些用戶不需要的信息流，減少網(wǎng)絡(luò)流量，緩解網(wǎng)絡(luò)阻塞。包括對特定的工作站、某些網(wǎng)絡(luò)或子網(wǎng)、某些協(xié)議。優(yōu)先權(quán)：對特定服務(wù)的包給予特別的優(yōu)先權(quán)，使某些對延時敏感的包快速通過。排隊：對某幾類服務(wù)進行排隊通過lca冗余和容錯負載分流（Load Sharing）負載均衡（Load Balancing）雙路由熱備份（Hot-Stand-By）lca路由器配置基礎(chǔ)簡單了解路由器的組成結(jié)構(gòu)了解路由器的啟動和工作方式了解路由器的配置方法和常用命令學(xué)會使用幫助學(xué)會查看路由器狀態(tài)和判斷網(wǎng)絡(luò)故障lca路由器內(nèi)存體系結(jié)構(gòu)RAM NVRAM Fl

4、ash ROMlca ROM RAM相當于PC的BIOS。存放引導(dǎo)程序和IOS的一個最小子集。為只讀存儲器，系統(tǒng)掉電，程序不會丟失。動態(tài)內(nèi)存，系統(tǒng)掉電，內(nèi)容丟失。運行路由器的操作系統(tǒng)，運行配置存放路由表和轉(zhuǎn)發(fā)表lca Flash NVRAM 包含壓縮的操作系統(tǒng)和微代碼是一種可擦寫，可編程的ROM，系統(tǒng)掉電，程序不會丟失。存放路由器的配置文件。系統(tǒng)掉電，程序不會丟失。lca路由器的網(wǎng)絡(luò)接口局域網(wǎng)接口，雙絞線、光纖，一般是以太網(wǎng)接口廣域網(wǎng)口，高速串口控制臺端口，連接計算機的串口，路由器的初始配置必須通過控制臺端口lca連接路由器的計算機設(shè)置使用WINDOWS自帶的超級終端，或者其它的終端軟件，如S

5、ecureCRT，CTERM等串口設(shè)置必須正確lca路由器的啟動過程首先運行ROM的程序，進行系統(tǒng)自檢和引導(dǎo)，然后讀Flash內(nèi)的IOS，裝入RAM中，并從NVRAM中讀入路由器的配置，計算并生成路由表。在ROM讀取過程中，Ctrl+Break可以進入ROM配置模式中l(wèi)ca路由器產(chǎn)品系列部門級：1600、2500多媒體：2600、3600企業(yè)級：4000、7200骨干級：7500，7600電信運營級：12000訪問服務(wù)：5200、5300、5800lca思科路由器的配置三種工作模式各端口地址連入WAN包封裝路由協(xié)議lca三種工作模式 1、用戶模式 Router 2、特權(quán)模式 Routerena

6、ble Password: Router# 3、全局模式 Router#config term Enter configuration commands, one per line. End with CNTL/Z. Router(config)#lca配置命令簡化輸入方法配置命令可以簡化輸入，只要系統(tǒng)可以找到唯一匹配的一個命令使用Tab鍵使用命令頭幾個字母+“？”可以獲得可以使用的所有命令lca幫助 HELP！在任何模式、任何情況下均可鍵入 “ ？”來得到幫助。Router ？Router# ？Router(config)# ?lca兩個配置文件Start-config 和running-c

7、onfig命令改動的是running-configWrite 保存配置文件running-config 到Start-configWrite erase 清除配置文件Reload 重新啟動lca配置主機名按照一定的原則命名主機名配置主機名是為了便于管理主機名對應(yīng)用沒有影響配置方法 router(config)#hostname XXXXlca使用CDP協(xié)議CDP-Cisco Discovery Protocol思科產(chǎn)品用于發(fā)現(xiàn)互聯(lián)設(shè)備的協(xié)議CDP不依賴于IP地址的設(shè)置，端口連通即可使用router#sh cdp neighborlca路由器的口令配置routerenable ；進入特權(quán)模式ro

8、uter#config terminal ；進入全局配置模式router(config)#enable secret xxx ；設(shè)置特權(quán)加密口令router(config)#enable password xxb ；設(shè)置特權(quán)非密口令lca路由器的口令配置router(config)#line console 0 ；進入控制臺口router(config-line)#password xx ；設(shè)置控制臺口令xxrouter(config-line)#line vty 0 4 ；進入虛擬終端router(config-line)#login ；要求口令驗證router(config-line)#p

9、assword xx ；設(shè)置登錄口令xxrouter(config)#(Ctrl+z) ； 返回特權(quán)模式lca配置局域網(wǎng)端口Router(config)# interface e0Router(config-if)# description wangtong Router(config-if)# ip address 53 Router(config-if)#no shutdownRouter(config-if)# exitlca配置廣域口并封裝協(xié)議Router(config)# int s0Router(config-if)#ip address 52 Router(config-if)#

10、 encap frame-relayRouter(config-if)#frame-relay lmi-type ansiRouter(config-if)#fr map ip 51 104 brolca查看端口狀態(tài)Router#sh int s0/0 端口狀態(tài)正常： Serial0/0 is up, line protocol is up 端口啟動，協(xié)議沒有正常工作，數(shù)據(jù)鏈路層故障： Serial0/0 is up, line protocol is down 端口沒有啟動，協(xié)議沒有正常工作，物理層故障： Serial0/0 is down, line protocol is down 端口

11、被手工關(guān)掉 Serial0/0 is administratively down, line protocol is downlca路由設(shè)置路由是路由器主要的工作之一路由器根據(jù)數(shù)據(jù)報目的IP地址決定下一跳轉(zhuǎn)發(fā)地址路由器通過路由實現(xiàn)不同子網(wǎng)之間的通信lca路由表每個路由器啟動后生成并維護一張路由表，路由表的每一條記錄表示某一個網(wǎng)絡(luò)地址需要向那個地址轉(zhuǎn)發(fā) /24 1/0 via 路由器根據(jù)路由表決定數(shù)據(jù)報從哪個端口轉(zhuǎn)發(fā)lca路由表查詢Router#sh ip routeS /12 1/0 via C /30 is directly connected, Serial0/0C /24 is dire

12、ctly connected, FastEthernet0/0C /24 is directly connected, FastEthernet0/1S /24 1/0 via S* /0 1/0 via S /20 1/0 via S /20 1/0 via lca路由表配置方法自動生成直連網(wǎng)絡(luò)的路由：C靜態(tài)路由：S動態(tài)路由：RIP，OSPF默認路由：“ * ”lca靜態(tài)路由和動態(tài)路由靜態(tài)路由：手工配置的路由，效率高，故障容易查找，網(wǎng)絡(luò)變化需要手動更改路由動態(tài)路由：使用路由協(xié)議，路由器通過交換路由協(xié)議數(shù)據(jù)報動態(tài)生成路由表，網(wǎng)絡(luò)變化不需要手動更改，但是路由表收斂需要時間，出現(xiàn)問題相對不易查找l

13、ca靜態(tài)路由配置Router(config)#ip route x.x.x.x （默認路由）Router(config)#ip route lca路由協(xié)議配置啟動RIP路由協(xié)議router(config)#router rip ；。設(shè)置發(fā)布路由router(config-router)#network XXXX；其它路由協(xié)議配置方法類似lca路由表查詢Router#sh ip routeCodes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external,

14、O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic

15、downloaded static routeGateway of last resort is to network /8 is variably subnetted, 4 subnets, 3 masksS /12 1/0 via C /30 is directly connected, Serial0/0C /24 is directly connected, FastEthernet0/0C /24 is directly connected, FastEthernet0/1S /24 1/0 via S* /0 1/0 via S /20 1/0 via S /20 1/0 via

16、lca查看路由器信息Router# sh versionCisco Internetwork Operating System Software IOS (tm) C2600 Software (C2600-I-M), Version 12.0(7)T, RELEASE SOFTWARE (fc2)Copyright (c) 1986-2019 by cisco Systems, Inc.Compiled Tue 07-Dec-99 02:12 by phanguyeImage text-base: 0 x80008088, data-base: 0 x807AAF70ROM: System

17、Bootstrap, Version 11.3(2)XA4, RELEASE SOFTWARE (fc1)Router uptime is 2 weeks, 1 day, 19 hours, 10 minutesSystem returned to ROM by power-onSystem image file is flash:c2600-i-mz.120-7.Tcisco 2621 (MPC860) processor (revision 0 x102) with 26624K/6144K bytes of memory.Processor board ID JAD04510B3P (3

18、883478776)M860 processor: part number 0, mask 49Bridging software.X.25 software, Version FastEthernet/IEEE 802.3 interface(s)1 Serial network interface(s)32K bytes of non-volatile configuration memory.8192K bytes of processor board System flash (Read/Write)Configuration register is 0 x2102lc

19、a建議的配置步驟配置主機名配置兩個口令配置端口地址和端口描述配置默認路由配置路由查看狀態(tài)lca交換機的配置簡介lca以太網(wǎng)技術(shù)和交換機以太網(wǎng)是應(yīng)用最廣的局域網(wǎng)技術(shù)IEEE 802.3 標準MAC地址交換機根據(jù)目的MAC地址進行幀的轉(zhuǎn)發(fā)lca路由器和交換機路由器工作在網(wǎng)絡(luò)層，管理功能更強交換機工作在數(shù)據(jù)鏈路層，管理功能較弱路由器的每一個端口連接一個子網(wǎng)，能夠?qū)崿F(xiàn)不同子網(wǎng)之間的通信交換機通常只能連接一個子網(wǎng)，無法實現(xiàn)不同子網(wǎng)之間的通信lca傳統(tǒng)的網(wǎng)絡(luò)拓撲lca虛擬局域網(wǎng)VLAN可以跨越物理位置劃分子網(wǎng)lca虛擬局域網(wǎng)每個交換機上可以劃分多個VLAN，不同交換機上同一VLAN內(nèi)的主機可以通信只有同一

20、VLAN的主機才能直接通信，不同VLAN之間的主機必須通過路由器才能通信VLAN對用戶是透明的可以以多種標準劃分VLAN，最常用、最通用的是以交換機端口劃分VLANlca支持VLAN的交換機交換機端口配置分為兩類： VLAN端口和TRUNK端口VLAN端口一般同時只能允許一個VLAN的數(shù)據(jù)報通過TRUNK端口可以允許多個VLAN的數(shù)據(jù)報同時通過TRUNK協(xié)議：ISL和802.1Qlca交換機的基本配置交換機配置方法各個品牌的產(chǎn)品產(chǎn)別比較大，但原理類似思科交換機主機名、口令等基本配置和路由器類似管理IP配置方法 Switch(config)#int vlan 1 Switch(config-in

21、t)#ip address XXXX XXXXSwitch(config-int)#no shut Switch(config)#ip default-gateway XXXXlcaVTP協(xié)議思科用于管理VLAN和TRUNK的協(xié)議可以將整個園區(qū)網(wǎng)分成多個管理域用于在VTP域里廣播VLAN信息，只要在一臺設(shè)備上設(shè)置了VLAN，域內(nèi)其它設(shè)備能夠自動學(xué)習(xí)到一般一個園區(qū)網(wǎng)設(shè)置一個域lca交換機的VLAN配置創(chuàng)建VLANVLAN1、1002、1003、1004、1005是系統(tǒng)默認創(chuàng)建好的同一個VTP域的VLAN號必須一致使用命令switch# vlan database switch(vlan)# vl

22、an vlan-num name vlan switch(vlan)# exitlcaVLAN端口的配置將交換機端口設(shè)置為VLAN模式將交換機端口劃分到某一VLAN使用命令：switch(config)# interface interface f0/1 switch(config-if)# switchport mode access switch(config-if)# switchport access vlan vlan-numswitch(config-if)# endlcaTRUNK端口配置將端口設(shè)為TRUNK模式配置TRUNK端口使用的協(xié)議互聯(lián)的TRUNK端口必須使用相同的協(xié)議使

23、用命令：switch(config)# interface interface f0/1 switch(config-if)# switchport mode trunk switch(config-if)# switchport trunk encap isl | dot1qswitch(config-if)# endlca查看交換機配置Show vlanShow runShow interfaceShwo modulelca路由交換機部分路由器的功能和交換機的功能合二為一路由器的端口是虛擬端口，可以進行多VLAN之間的路由能夠設(shè)置路由表和訪問控制列表lca路由交換機的設(shè)置路由交換機的端口設(shè)

24、置 switch(config)# interface vlan 2 switch(config-if)# ip address XXXX XXXX switch(config-if)# no shut路由設(shè)置和路由器一樣lca常用的網(wǎng)絡(luò)命令Ping 檢查網(wǎng)絡(luò)通斷情況Trace 檢查路由情況telnet登錄設(shè)備lca防火墻配置簡介lca防火墻的簡介擁有多個網(wǎng)絡(luò)接口，每個接口可以定義為不同的安全級別，每一個接口是一個區(qū)域，標準的防火墻一般有三個區(qū)域：inside,outside,DMZ防火墻會對經(jīng)過它的數(shù)據(jù)流進行掃描，并根據(jù)訪問策略決定是否允許通過可以防止一些攻擊，保護服務(wù)器和內(nèi)網(wǎng)免受攻擊lca防火墻和路由器的區(qū)別防火墻默認阻止所有數(shù)據(jù)流路由器默認允許所有數(shù)據(jù)流基本配置和路由配置和路由器基本相同lca防火墻的外網(wǎng)端口配置Pix525(config)#interface GigabitEthernet0Pix52