还剩58页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
《路由器配置》课程介绍欢迎来到《路由器配置》课程,这是一门专注于网络设备配置与管理的实用技术课程在这门课程中,我们将系统地学习路由器的基本原理、配置方法以及在实际网络环境中的应用技巧路由器作为现代网络基础设施的核心设备,其正确配置直接关系到网络的稳定性、安全性和效率无论您是网络工程师、管理员还是网络技术爱IT好者,掌握路由器配置技能都将为您的职业发展提供有力支持本课程采用理论结合实践的教学方式,通过大量的实例演示和动手操作,帮助您从零开始掌握路由器配置的各项技能,最终能够独立完成复杂网络环境下的路由器部署和优化工作课程目标掌握路由器基础知识熟练配置各类网络协议12通过本课程的学习,学员将学习如何正确配置静态路由掌握路由器的基本工作原理、动态路由协议(、RIP、硬件组成和软件架构,为、、等)OSPF EIGRP BGP后续的配置操作打下坚实基,以及、、NAT DHCP础深入理解路由器在网络等网络服务,掌握这些VPN中的角色和功能,能够辨别协议的工作机制和适用环境不同类型路由器的特点及其,能够根据实际需求选择合适用场景适的协议并进行配置提升网络故障排查能力3培养学员的网络故障诊断与解决能力,学习使用专业工具识别并修复常见网络问题,掌握路由器配置备份和恢复技术通过分析实际案例,提高学员在复杂网络环境中的问题定位和解决能力路由器基础知识路由器的定义路由器的主要功能路由器的分类路由器是一种网络设备,工作在模路由器的核心功能包括路由选择、数据根据应用场景和规模不同,路由器可分OSI型的第三层(网络层),主要功能是连包转发、网络地址转换()、访为家用小型办公路由器()、NAT/SOHO接不同的网络并转发数据包它通过解问控制列表()实现、服务中型企业路由器和核心骨干路由器ACL QoS/析数据包的目标地址,结合路由表中质量保障以及服务等路由器通不同类型的路由器在处理能力、接口数IP VPN的信息,决定将数据包发送到哪个接口过这些功能维护网络连接的稳定性和安量、功能集成度和可靠性方面有显著差,从而实现不同网络之间的互联互通全性,是网络通信的关键节点异,适用于不同规模的网络环境路由器的硬件组成中央处理器()CPU路由器的大脑,负责执行路由操作系统和路由计算的性能直接决定了路由器的处理能力和响应CPU速度,高端路由器通常采用多核处理器以提高并行处理能力,支持更大规模的路由表和更复杂的网络服务内存系统包括(运行内存)、(非易失性内存)和闪存()用于存储运行中的配置RAM NVRAMFlash RAM和路由表;保存启动配置;闪存存储路由器操作系统()内存容量影响路由器支持的路NVRAM IOS由条目数量和并发连接能力网络接口卡()NIC提供与不同类型网络连接的物理接口,包括以太网接口、串行接口、接口、光纤接口等现代路ISDN由器通常集成多种类型和速率的接口,满足不同网络环境的连接需求,某些模块化路由器允许灵活扩展接口类型电源和散热系统为路由器提供稳定电力并维持适宜工作温度高端路由器通常配备冗余电源和风扇系统,确保在单个组件故障时仍能正常工作,提高整体可靠性和可用性,延长设备使用寿命路由器的软件组成路由器操作系统网络协议栈管理工具和接口路由器运行专用的操作系统,如思包括支持各种网络协议的软件模块包括命令行界面()、管CLI Web科的(,如、、、等基理界面、代理等组件,使网IOS InternetworkIP ICMPTCP UDPSNMP)、华为的础协议,以及、、络管理员能够配置、监控和管理路Operating SystemRIP OSPF(、等路由协议这些协由器这些工具提供了对路由器各VRP VersatileRouting EIGRPBGP)等这些操作系统提议模块使路由器能够与其他网络设项功能的控制能力,支持远程管理Platform供用户界面、设备管理功能,并支备交换信息,建立和维护路由表,和自动化运维,简化了网络管理工持各种网络协议和服务的实现路实现数据的正确转发作由器操作系统通常针对网络功能进行了优化,具有高效稳定的特点网络服务模块提供、、、防火墙NAT DHCPQoS、等增值网络服务的软件组件VPN这些服务模块扩展了路由器的基本功能,使其能够满足现代网络环境中复杂多样的需求,提供更全面的网络解决方案路由器的工作原理封装与发送转发决策路由器根据出接口类型重新封装数据查找路由表基于路由表查找结果,路由器决定如包,更新地址等信息,然后通过MAC接收数据包路由器根据数据包中的目标地址,何处理数据包直接转发到连接的网相应接口发送出去在发送前,路由IP路由器通过网络接口接收数据包,并在路由表中查找最匹配的路由条目络、发送到下一跳路由器,或者丢弃器可能需要进行分片处理,以适应出进行初步处理,包括校验和检查、解路由表包含网络目标、下一跳地址和数据包此过程可能涉及转换、接口的限制,确保数据包能够在NAT MTU封装等操作这一步骤确保接收的数出接口等信息,这些信息由静态配置过滤、标记等附加处理,影目标网络上正常传输ACL QoS据包完整无损,为后续处理奠定基础或动态路由协议生成和维护,是路由响数据包的最终处理方式接收过程中,路由器会根据接口配决策的核心依据置决定是否接受该数据包路由器的接口类型路由器提供多种类型的接口以连接不同网络媒介以太网接口()是最常见的接口类型,支持甚至更高速率,主要用于连接局域网Ethernet10/100/1000Mbps串行接口()用于广域网连接,通常需要配合等设备使用Serial CSU/DSU光纤接口支持更高带宽和更远距离的数据传输,常用于骨干网络连接控制台接口()和辅助接口()用于设备管理,而非数据转发无线接口则使路由Console AUX器能够连接无线网络,支持标准Wi-Fi了解不同接口类型的特点、速率和应用场景,对于正确设计网络拓扑和配置路由器至关重要选择合适的接口类型可以优化网络性能并降低成本路由器的启动过程加电自检()POST1路由器通电后首先进行硬件自检,检测、内存、接口等组件CPU是否正常工作自检失败的组件会被标记,影响后续启动过程引导程序初始化这一阶段通常很快完成,用户可通过控制台观察自检信息2完成后,路由器加载引导程序()引导程序是POST Bootstrap存储在中的小型程序,负责初始化系统并定位镜像它ROM IOS加载操作系统3检查系统配置寄存器的值,决定后续启动模式和加载位置IOS引导程序从指定位置(通常是闪存)加载镜像到中,并IOS RAM将控制权交给如果主要位置的损坏或不可用,路由器会IOS IOS加载配置文件尝试从备用位置加载,或进入监控模式以便恢复系统4ROM启动后,路由器从加载启动配置()IOS NVRAMstartup-config如果中没有配置文件,路由器会寻找服务器上的NVRAM TFTP配置,或进入初始配置对话模式,要求用户进行基本设置接口初始化5配置加载完成后,路由器初始化各个接口,应用相应的配置参数接口初始化成功的标志是接口状态变为,表示物理和协up/up议层面均已就绪,可以进行数据传输路由器的配置方法概述界面配置Web远程配置某些路由器提供基于Telnet/SSH的管理界面配置HTTP/HTTPS WebSNMP通过网络使用或协Telnet SSH,管理员可通过浏览器访问并进议远程登录到路由器进行配置使用网络管理系统()通控制台配置NMS行图形化配置这种方法操作直比更安全,因为它过协议远程配置和监控SSH TelnetSNMP观,适合不熟悉命令行的用户,通过控制台电缆将计算机直接连加密传输数据这种方法要求路路由器这种方法适合大型网络自动化配置工具但功能可能受限,不如全面接到路由器的端口,使CLIConsole由器已配置地址且网络连接正环境,可以实现集中管理和自动IP用终端模拟软件(如、使用、等自动化PuTTY常,适合日常管理和配置更改化配置,提高管理效率,降低人Ansible Puppet)进行配置这是工具批量配置多台路由器这些SecureCRT为错误最基本且最可靠的配置方法,即工具通过模板和脚本实现标准化使网络出现问题也能访问路由器配置,大大提高了效率和一致性,常用于初始配置和故障排除,适合大规模网络部署和配置管理32415命令行界面()简介CLI的重要性CLI命令行界面是路由器配置最强大和灵活的方式,提供对设备所有功能的完整访问权限即使在图形界面普及的今天,仍是网络专业人员必须掌握的核心技能,因为它提供最直接和精确的控制方式,尤其在故障CLI排除和高级配置方面命令模式结构思科的采用分层命令模式结构,包括用户模式()、特权模式()、IOS CLIUser EXECPrivileged EXEC全局配置模式()和各种特定配置模式(如接口配置模式)每个模式提供不同级Global Configuration别的访问权限和命令集,用户需要在适当的模式下执行相应的命令命令帮助系统提供内置的帮助系统,用户可以通过输入获取可用命令列表或命令参数提示这一功能对于学习和记CLI忆命令非常有用,也可以减少配置错误命令帮助系统还包括命令历史记录、命令补全和命令语法检查等辅助功能命令行快捷键支持多种快捷键和编辑功能,如键自动补全命令、上下箭头浏览命令历史、移动到行首CLI TabCtrl+A/E/行尾等熟练使用这些快捷键可以大大提高配置效率,减少输入错误,是经验丰富的网络工程师必备技能基本配置命令模式切换命令(进入特权模式)、(进入全局配置模式)、(进入接口配置模式)、(进1enable configureterminal interface type numberline vty/console入线路配置模式)、(退出当前模式)这些命令用于在不同配置模式间切换exit/end配置查看命令(查看当前运行配置)、(查看启动配置)、(查看接口状态2show running-config showstartup-config showinterfaces)、(查看路由表)、(查看系统版本信息)这些命令帮助管理员监控和验证配置show ip route showversion配置管理命令(保存配置)、(擦除启动配置)、copy running-config startup-config erasestartup-config3(重启设备)、(保存配置的另一种方式)、命令(取消某项配置)这些命reload writememory no令用于配置的保存、恢复和管理调试和诊断命令(测试连通性)、(跟踪路由路径)、(启用调试信息)ping traceroutedebug
4、(查看进程状态)、(查看内存使用)这些show processesshow memory命令在故障排除和性能监控中非常有用配置主机名和密码设置路由器主机名在全局配置模式下使用命令设置路由器的主机名例如hostname hostname主机名会显示在命令提示符中,帮助管理员识别正在配置的设Beijing-Core-Router备,尤其在管理多台设备时建议使用能反映设备位置和角色的命名规则配置控制台密码在线路配置模式下设置控制台访问密码使用命令、sequence lineconsole
0、这将保护控制台访问,防止未授权人员通过物password console-password login理连接访问路由器,是基本安全措施的一部分配置特权模式密码使用命令设置加密的特权模式密码,例如enable secretenable secretadmin123这比早期的命令更安全,因为密码以加密形式存储特权模式密码enable password控制对路由器管理功能的访问,必须妥善保护配置远程访问密码为远程访问配置密码使用命令、Telnet/SSH sequenceline vty04password、为提高安全性,可以配置并禁用,只允许加密连接vty-password loginSSH Telnet访问路由器,防止密码被网络嗅探工具截获配置接口地址IP接口类型配置命令示例以太网接口interface typeslot/port interface GigabitEthernet0/0地址配置IP ip address ip-address ip address
192.
168.
1.1subnet-mask
255.
255.
255.0接口启用no shutdownno shutdown接口描述description textdescription ConnectiontoServer Room辅助地址IP ip address ip-address ip address
10.
1.
1.1subnet-mask secondary
255.
255.
255.0secondary路由器的接口配置是网络连接的基础,必须正确配置才能使设备在网络中正常工作在配置接口地址时,IP需要考虑所在网络的地址规划,确保不与其他设备地址冲突,并使用正确的子网掩码以定义网络范围接口启用后(命令),路由器会在物理链路正常的情况下尝试建立连接可以通过no shutdownshow命令验证接口状态,接口处于状态表示物理和协议层均已就绪如果接口状态异常,需interfaces up/up要检查物理连接和配置参数为接口添加描述信息有助于文档化网络连接,便于后期管理和故障排除在大型网络中,良好的接口描述是网络管理的重要组成部分配置默认网关默认网关的概念配置默认网关命令验证默认网关配置默认网关是路由器接收到目的地址在全局配置模式下,使用使用命令查看路由ip routeshow ip route不在本地网络内的数据包时,将其命表,确认默认路由是否存在,通常
0.
0.
0.
00.
0.
0.0next-hop-ip转发到的下一跳地址它是实现跨令配置默认路由例如以表示(表示静态路由,表ip route S*S*网络通信的关键组件,相当于通往示默认路由)也可以通过或
0.
0.
0.
00.
0.
0.0ping外部网络的大门在路由器上,将所有未知目标命令测试连通性,验证
192.
168.
1.254traceroute默认网关通常表现为默认路由(网络的流量发送到默认路由是否正常工作)也可以指定出
0.
0.
0.0/
0192.
168.
1.254接口而非下一跳地址IP浮动默认路由在需要备份链路的情况下,可以配置浮动默认路由通过为备份路由指定更高的管理距离(例如iproute
0.
0.
0.
00.
0.
0.0backup-),使其仅在主要默认路ip254由失效时生效,提高网络可靠性静态路由配置静态路由的优势静态路由的配置命令静态路由类型静态路由由管理员手动配置,不需要路在全局配置模式下使用命令配静态路由可分为多种类型标准静态路ip route由协议交换,因此消耗更少的带宽和处置静态路由,语法为由(指定下一跳)、直连静态路由(ip routeIP理资源它配置简单,适用于网络拓扑指定出接口)、完全静态路由(同时指destination-network subnet-稳定的小型网络,提供可预测的路径选定下一跳和出接口)以及浮动静态路mask{next-hop-ip|exit-IP择静态路由还可以提高安全性,因为例如由(设置更高的管理距离作为备份路由interface}[distance]ip管理员可以精确控制数据流向)管理员应根据网络需求选择适当类route
10.
0.
0.
0255.
0.
0.0创建一个到达型
192.
168.
1.2网络的静态路由,下一跳
10.
0.
0.0/8为
192.
168.
1.2默认路由配置默认路由的作用1默认路由提供了一个处理所有未知目的地流量的机制,当路由表中没有特定目的网络的路由时使用它简化了路由表,减少了管理开销,特别适用于边缘路由器,如连接到互联网的企业路由器默认路由是网络设计中最后一公里解决方案的重要组成部分静态默认路由配置2在全局配置模式下,使用命令配ip route
0.
0.
0.
00.
0.
0.0{next-hop-ip|exit-interface}置静态默认路由表示所有网络(任意目的地)例如
0.
0.
0.
00.
0.
0.0ip route
0.
0.
0.0将所有未知目的地的流量发送到接口
0.
0.
0.0Serial0/0/0Serial0/0/0动态默认路由传播3在运行动态路由协议的环境中,可以通过路由协议传播默认路由例如,在中使用OSPF命令,在中使用或default-information originateRIP default-information originateip命令这使得网络中的多个路由器能够自动学习默认路由,简化配置default-network默认路由验证4使用命令查看路由表中的默认路由条目,通常显示为(静态默认路由)或show ip routeS*(外部默认路由)等可以通过命令追踪数据包路径,验证默认路由O*E2OSPF traceroute是否正确转发流量到预期的下一跳或出接口动态路由协议概述动态路由协议允许路由器自动共享路由信息并计算最佳路径,减少了管理员的手动配置工作根据工作原理,动态路由协议可分为距离矢量协议(如)、链路状态协议(如)、路径矢量协议(如)和混合协议(如)RIP OSPFBGP EIGRP这些协议各有优缺点距离矢量协议实现简单但收敛慢;链路状态协议收敛快但资源消耗大;路径矢量协议适合大型网络但配置复杂;混合协议结合了距离矢量和链路状态的优点,但通常是特定厂商的专有技术选择合适的动态路由协议需考虑网络规模、拓扑结构、设备能力、管理需求等因素在企业网络中,通常内部使用或,与外部OSPF EIGRP网络(如)之间使用,形成分层路由架构ISP BGP协议配置RIP启用路由进程RIP在全局配置模式下使用命令启动路由进程例如这一步创建了进程,但尚未指定任何网络参与路router ripRIP Routerconfig#router ripRIP由是最简单的动态路由协议之一,适用于小型网络环境RIP选择版本RIP使用命令选择协议版本例如相比提供了支持、路由认证和子网掩码信息version RIPRouterconfig-router#version2RIPv2RIPv1CIDR,更适合现代网络环境,建议在新部署中使用RIPv2指定参与路由的网络使用命令指定路由器的哪些网络接口参与路由更新例如这将使所有属于network RIPRouterconfig-router#network
192.
168.
1.0网络的接口参与路由更新,发送和接收路由信息
192.
168.
1.0RIP配置路由汇总默认情况下,会自动在主类网络边界进行路由汇总如果需要禁用自动汇总以支持不连续子网,使用命令例如RIPv2no auto-summary这在环境中特别重要Routerconfig-router#no auto-summary VLSM验证配置RIP使用命令验证配置,查看路由进程参数、网络声明、邻居等信息使用命令查看通过学习到的路show ipprotocols RIPshow iproute ripRIP由这些命令可以帮助管理员确认是否正常工作并排除故障RIP协议配置
(一)OSPF定义路由器ID启用进程使用router-id ip-address命令明确指定OSPF路OSPF由器例如路由器在ID router-id
1.
1.
1.1ID在全局配置模式下使用命router ospf process-id网络中必须唯一,它决定选举和OSPF DR/BDR令启动路由进程例如OSPF router ospf1生成,影响网络拓扑的构建LSA是本地有效的标识符,不需要与其他路process-id2由器匹配,但在同一路由器上必须唯一1指定网络范围使用network addresswildcard-mask area命令指定参与的网络例如area-id OSPF3这network
192.
168.
1.
00.
0.
0.255area0会将匹配条件的接口加入指定区域的进程验证配置5OSPFOSPF使用、、配置区域类型show ip ospf show ip ospfinterface4等命令验证配置和运show ip ospf neighborOSPF根据网络设计需要,配置的不同区域类型标OSPF行状态,检查邻居关系是否建立、区域信息是否正准区域、骨干区域、末节区域、完Area0Stub确等全末节区域和区域划分有助Totally StubNSSA于优化性能并减少传输OSPF LSA协议配置
(二)OSPF接口参数配置OSPF在接口配置模式下调整参数,如间隔时间、间隔时间、认证等例如OSPF HelloDead interface、将接口的包发送间隔设为秒合理配置这些参数GigabitEthernet0/0ip ospfhello-interval5Hello5可以优化的收敛速度和安全性,适应不同类型的网络环境OSPF成本值调整OSPF使用命令在接口上调整链路成本值例如、ipospfcost valueOSPF interface Serial0/0/0ipospf基于成本计算最短路径,通过手动调整成本值,管理员可以影响路由决策,实现流量工cost1000OSPF程的目标路由重分发配置使用命令将其他路由协议的路由重分发到中例如redistribute OSPFredistribute staticmetric100将静态路由重分发到,并指定相关参数路由重分发实现了不同路由域之间metric-type1subnets OSPF的互联互通虚拟链路配置OSPF当区域无法直接连接到骨干区域时,使用虚拟链路配置命令,area area-id virtual-link router-id例如虚拟链路通过非骨干区域创建逻辑连接,维护区域连接的完area1virtual-link
2.
2.
2.2OSPF整性协议配置EIGRP启用进程EIGRP在全局配置模式下使用命令启动router eigrpautonomous-system-number EIGRP路由进程例如自治系统号码必须在所有参与域的路由router eigrp100EIGRP器上保持一致,这是建立邻居关系的前提条件指定网络范围使用命令指定参与的网络例network network-address[wildcard-mask]EIGRP如这会激活匹配该网络的接口参与路network
192.
168.
1.
00.
0.
0.255EIGRP由过程,发送和接收更新消息EIGRP调整值K使用命令调整复合度量值计算中使用的metric weightstos k1k2k3k4k5EIGRP值默认情况下,仅使用带宽和延迟(,其他为)通过调整值K EIGRPK1=K3=10K,可以影响的路径选择,但必须在所有路由器上保持一致EIGRP验证配置EIGRP使用命令查看邻居关系,查show ip eigrp neighborsEIGRP show ipeigrptopology看拓扑表,查看路由这些命令帮助验证是EIGRP show iprouteeigrp EIGRPEIGRP否正常工作,并排除可能的配置问题协议配置
(一)BGP1号码分配AS使用自治系统号码()区分不同的路由域公有号范围为,由分配;私有号范围为,可在BGP ASNumber AS1-64511IANA AS64512-65535内部网络自由使用近年来,已扩展支持字节号()以应对互联网增长需求BGP4AS1-42949672954邻居建立平均时间邻居关系建立通常需要较长时间,取决于网络条件,平均约需秒这是因为采用作为传输层协议,需要完成三次握手,并通过BGP30-60BGP TCP消息交换参数验证兼容性,然后才能开始路由信息交换OPEN BGP25属性数量定义了多种路径属性,用于路径选择和策略实施核心属性包括、、、等这些属性使成为一种BGP AS_PATH NEXT_HOP LOCAL_PREF MEDBGP强大的路由选择工具,通过调整属性值,网络管理员可以实现复杂的流量工程需求720K全球路由表条目当前互联网全球路由表包含约万条前缀和约万条前缀,且持续增长这要求骨干路由器具备足够的内存和处理能力不同于内部BGP72IPv410IPv6路由协议,的设计目标是处理这种规模的路由信息BGP协议配置
(二)BGP启用进程BGP1在全局配置模式下使用命令启动路由进程router bgpas-number BGP例如号必须正确配置,它标识路由器所router bgp65000AS配置邻居属的自治系统,影响路由的处理方式和路径选择算法的计算结果2BGPBGP使用命令手动配置neighbor ip-address remote-as as-number邻居例如BGP neighbor
192.
168.
1.2remote-as65001网络通告配置BGP不自动发现邻居,必须明确配置,这提高了安全性但增加了配置复3杂度邻居关系建立后,路由器开始交换路由信息BGP使用命令通告network network-number[mask network-mask]本地网络例如与其network
172.
16.
0.0mask
255.
255.
0.0他路由协议不同,BGP的network命令不激活接口,而是指定要通告的路由策略配置4特定前缀,且该前缀必须存在于路由表中使用路由映射、前缀列表和路径访问列表route-map prefix-list AS等工具实现路由过滤和操纵,控制路由通告as-path access-list BGP属性调整配置和接收例如neighbor
192.
168.
1.2route-map FILTER-IN in5应用入站路由过滤策略通过设置属性如、、等影响路由选BGP LOCAL_PREF MEDAS_PATH择例如neighbor
192.
168.
1.2route-map SET-LOCAL-设置发送给特定邻居的路由的本地优先级路径选择基PREF outBGP于多种属性的优先级比较,是一个复杂但强大的决策过程访问控制列表概述ACL定义和用途ACL访问控制列表(,)是一种基于一系列条件对网络流量进行过滤的技术在路由器上的主要用途包括实现网络安全策略,限制特Access ControlList ACL ACL定流量的访问权限;控制路由更新的分发,影响路由协议的行为;对和等功能进行流量分类,实现不同类型流量的差异化处理NAT QoS工作原理ACL使用基于规则的匹配机制,按照从上到下的顺序检查数据包是否符合特定条件一旦找到匹配项,立即执行相应动作(允许或拒绝),不再继续匹配后续规ACL则每个的末尾都有一个隐含的拒绝所有规则可以应用于路由器接口的入站或出站方向,影响通过该接口的相应流量ACLACL类型ACL根据功能和复杂度,主要分为几种类型标准(,)仅基于源地址进行过滤,配置简单但灵活性有限扩展(ACL ACL1-991300-1999IP ACL100-,)可基于源目的地址、协议类型、端口号等进行更精细的过滤命名使用字符串名称代替数字编号,便于理解和管理动态1992000-2699/IP ACL(锁匙)临时允许特定用户流量通过基于时间的在指定时间段内生效的访问规则反射允许返回流量通过,实现类似状态检测的功ACL ACL ACL ACL能配置原则ACL配置时应遵循一些基本原则将标准尽量靠近目的地放置;将扩展尽量靠近源头放置;从具体到一般排列规则,特定条件在前,通用条件在后;仔ACL ACL ACL细计划和文档化策略,记录每条规则的用途;定期审查和更新,移除过时规则,避免安全漏洞ACL ACL标准配置ACL标准创建命名标准创建ACLACL在全局配置模式下使用命令创建标准语法为使用命令创建命名标准例如access-list ACL access-list ip access-list standardname ACL ip access-例如进入命名配置模式,然后使用或access-list-number{permit|deny}source[source-wildcard]list standardRESTRICT-ADMIN ACLpermit允许来自语句定义过滤规则命名使用描述性名称而非数字,提高了配置的可读access-list10permit
192.
168.
1.
00.
0.
0.
255192.
168.
1.0/24deny ACL网络的所有流量标准只能根据源地址过滤数据包性和可维护性ACL IP应用到接口验证与管理ACLACL在接口配置模式下使用命令将应用到接口语法为使用命令查看所有已配置的;查看ip access-group ACLip showaccess-lists ACL show ip access-lists例如特定的内容;查看接口上应用的使用命令access-group{access-list-number|name}{in|out}ip access-ACLshow ip interfaceACL remark将应用到接口的入站方向,过滤进入该接口的流量为添加注释说明规则用途,如group10in ACL10ACLaccess-list10remark BlockHRDepartment扩展配置ACL扩展创建ACL1在全局配置模式下使用命令创建扩展语法为access-list ACLaccess-list access-list-number{permit|deny}protocol sourcesource-wildcard destination命名扩展创建等可选参数例如2ACLdestination-wildcard[port][established]access-list101permit tcp
192.
168.
1.
00.
0.
0.255any eq80允许特定网络访问任何目的地的使用ip access-list extendedname命令创建命名扩展ACL例如ipaccess-listHTTP服务extendedRESTRICT-WEB进入命名ACL配置模式,然后定义过滤规则命名扩展提供与编号扩展相同的功能,但更易于理解和管理,特别适合复杂的访问控制ACLACL基于协议的过滤3策略扩展可以根据协议类型(如、、等)过滤流量例如ACL IPTCP UDPICMP access-仅阻止流量(如请求)对于流list102deny icmpany anyICMP pingTCP/UDP量,还可以使用eq(等于)、neq(不等于)、lt(小于)、gt(大于)等操作符指定应用与验证4端口范围扩展应在靠近流量源头的位置应用,以避免不必要的路由过程使用ACLipaccess-命令将应用到接口,如应用后,使用group ACLipaccess-group101in show和命令验证的工作状态和匹配情access-lists debug ip packetdetail access-list ACL况网络地址转换原理NAT基本概念类型工作流程NAT NAT NAT网络地址转换(主要分为三种类型静态(当内部网络主机发送数据包到外部网络时Network AddressNAT NAT,)是一种将私有地)建立私有与公有的一,路由器截获数据包,修改源地址Translation NAT IP StaticNAT IP IP NAT IP址映射为公有地址的技术,使多台设备对一固定映射;动态((和可能的源端口),同时在表中记IP NATDynamic NAT能够共享有限的公有资源访问互联网)从地址池中动态分配公有给私有录此映射关系;当外部回应到达路由IP NAT IP NAT解决了地址短缺问题,同时提,建立一对一临时映射;端口地址转换器时,路由器查询表,将目的地址(NAT IPv4IP NAT供了一定程度的网络隐私保护,因为内部()多个私有共享一个公和可能的端口)转换回内部私有地址,然PAT/NAPT IP网络结构对外不可见有,通过不同端口号区分连接后转发给内部主机IP静态配置NAT验证与排错使用和命令1show ip nat translationsshow ip nat statistics指定内外接口2配置接口方向NAT创建地址映射3配置静态转换规则启用功能NAT4开启基本功能NAT静态()建立一对一的固定地址映射关系,通常用于需要从外部网络访问内部服务器的场景配置静态的第一步是启用功能,这通常是整个配置过NAT StaticNATIPNAT NATNAT程的基础接下来,创建地址映射关系是静态的核心,使用命令,例如NAT ip nat inside source staticinside-local-ip inside-global-ip ip nat inside source static
192.
168.
1.10将内部服务器映射到公网这一映射关系是永久的,不会超时
203.
0.
113.
5192.
168.
1.10IP
203.
0.
113.5然后,必须指定内外接口的方向在连接内部网络的接口上配置,在连接外部网络的接口上配置最后,使用命令验证NAT ip nat inside ip nat outside showip nat translations转换表,确认静态配置生效,并使用或其他工具测试连通性NAT ping动态配置NAT定义地址池NAT使用命令创建公有地址池语法为例如ip nat pool IP ip natpool pool-name start-ip end-ip{netmask netmask|prefix-length prefix-length}ip定义了一个包含个公有地址的池natpool PUBLIC-POOL
203.
0.
113.
10203.
0.
113.20netmask
255.
255.
255.011IP创建定义内部地址ACL使用命令创建标准,指定哪些内部主机可以使用例如允许网络的所有access-list ACLNAT access-list1permit
192.
168.
1.
00.
0.
0.
255192.
168.
1.0/24主机使用服务进行地址转换NAT将与地址池关联ACL使用命令将与地址池关联语法为例如ip nat insidesource list ACLNAT ip nat insidesource list access-list-number pool pool-name ip nat inside将匹配的内部地址与地址池关联起来source list1pool PUBLIC-POOL ACL1PUBLIC-POOL指定接口NAT在接口配置模式下,使用和命令指定内部和外部接口例如,在接口上配置,在接口ipnat inside ipnat outsideGigabitEthernet0/0ipnatinside Serial0/0/0上配置,明确定义的方向和边界ipnatoutside NAT验证动态配置NAT使用命令查看当前活动的转换项,使用查看统计信息,如转换成功次数、失败次数、地址池使用情况等showipnattranslationsNAT showipnatstatistics NAT这些命令可以帮助排除配置问题NAT配置PAT定义内部网络了解工作原理PAT创建以指定要转换的内部网络地址范围2ACL端口地址转换允许多个内部主机共享单个公网,PAT IP1通过源端口号区分不同连接配置规则PAT将内部网络映射到单个公网或接口IP IP35验证运行状态PAT指定接口检查转换表和统计信息确认配置生效NAT4标识内部和外部网络接口方向(,也称为重载)是最常用的形式,它允许多个内部主机共享一个公共地址,大大节约了公网资源PAT PortAddress TranslationNAT/NAT OverloadNATIP IP不仅转换地址,还转换传输层端口号,通过地址端口号的组合来区分不同内部主机的连接PAT IPIP:配置的基本步骤首先是创建一个标准来定义哪些内部网络可以使用,例如然后配置规则,将PAT ACLPAT access-list1permit
192.
168.
1.
00.
0.
0.255PAT内部网络映射到外部接口或指定的公网,如或IPIP ipnatinsidesourcelist1interface Serial0/0/0overload ipnatinsidesourcelist1poolPUBLIC-POOL overload接着在相应接口上应用和命令指定方向最后使用命令验证配置,确认是否正常工作配置简单ipnatinsideipnatoutsideNAT showipnattranslations PATPAT但功能强大,是中小型网络连接互联网的理想选择服务器配置DHCP创建地址池1DHCP在全局配置模式下使用命令创建地址池,进入池配置模式ip dhcppoolpool-name DHCP DHCP例如池名称应具有描述性,便于管理和识别不同网段ip dhcppool CLIENTS-POOL DHCP的地址分配地址池定义了服务器可以分配给客户端的地址范围和相关配置信息DHCP IP定义地址分配范围2在池配置模式下,使用命令指定可分配的地DHCP networknetwork-address subnet-mask IP址网段例如使用命network
192.
168.
1.
0255.
255.
255.0default-router ip-address令指定默认网关,例如这些参数将发送给客户端,用于default-router
192.
168.
1.1DHCP基本网络配置配置和其他参数3DNS使用命令指定服务器地址,例如可dns-server ip-address DNSdns-server
8.
8.
8.
88.
8.
4.4以配置其他参数如设置租约时间,指定lease{days[hours][minutes]}domain-name domain域名,命令设置特定选项这些额外参数帮助客户端完成更完整的网络配置option DHCP排除地址和验证4DHCP使用命令排除特定地址,防止分配给客户端,例如ip dhcpexcluded-address start-ip end-ip使用命令ip dhcpexcluded-address
192.
168.
1.
1192.
168.
1.10showipdhcp binding查看地址分配状态,查看服务器统计信息,showipdhcp serverstatistics DHCPdebugipdhcp跟踪事件,这些命令有助于验证和故障排除server eventsDHCP中继代理配置DHCP中继原理配置中继代理中继工作流程DHCP DHCP DHCP中继代理允许路由器转发请求和在接口配置模式下,使用当客户端发送发现广播时,中继代理收DHCPDHCPip helper-address DHCP应答消息,使位于不同子网的客户端能命令配置中继到后,将其转换为单播并转发给指定的DHCP dhcp-server-address DHCPDHCP够从集中式服务器获取地址配置这功能例如服务器;服务器生成应答后,将其发送回中继DHCP IPinterface解决了广播无法跨越子网的限制,避免、代理;中继代理接收服务器的应答并转发给原DHCP GigabitEthernet0/0ip helper-address了在每个子网都部署独立服务器的需求该命令使路由器将接收到的客户端整个过程中,中继代理在消息DHCP
10.
1.
1.1DHCP,简化了网络管理并降低了成本广播请求转发到指定的服务器中添加特定选项(),包含客户端DHCPDHCPOption82可以配置多个命令,将请所在子网信息,帮助服务器做出正确的地址分ip helper-address求转发给多个服务器以提高可靠性配决策基础知识VLAN定义与作用VLAN虚拟局域网(,)是一种将单个物理局域网在逻辑上分割为多个广播域的技术可以根据功能、部门、应用等因素对网络设备进Virtual LocalArea NetworkVLAN VLAN行分组,不受物理位置限制的主要作用包括增强网络安全性,隔离不同的直接通信;降低广播风暴风险,减小广播域范围;简化网络管理,灵活调整网络结VLAN VLAN构而无需改变物理布线类型VLAN按照划分依据不同,可分为多种类型基于端口的(最常用),根据交换机端口分配成员关系;基于地址的,根据终端设备的地址确定VLAN VLAN VLAN MAC VLAN MAC成员关系;基于协议的,根据数据包使用的网络层协议类型划分;基于子网的,根据源地址及其子网掩码确定成员关系大多数现代网络环境采VLAN VLAN VLAN IP VLAN用基于端口的实现方式VLAN帧标记VLAN是最广泛使用的标记协议,它通过在以太网帧头部插入字节的标记字段来标识数据帧所属的标记字段包括位(IEEE
802.1Q VLAN4VLAN VLAN16TPID TagProtocol,固定值);位优先级(用于);位(规范格式指示符);位(,,其中和为保留值)当帧穿越边Identifier0x81003QoS1CFI12VID VLAN ID0-409504095VLAN界时,需要进行标记()或去标记()处理Tagging Untagging间路由VLAN默认情况下,不同之间的流量无法直接通信,需要通过第三层设备(路由器或三层交换机)进行路由转发间路由的方法包括使用外部路由器和多个物理接口VLAN VLAN连接不同;使用外部路由器的单个物理接口配合子接口和中继实现多连接;使用三层交换机的内部路由功能(或路由端口)直接在交换机上实现VLAN
802.1Q VLAN SVI间路由VLAN路由器上的配置VLAN创建子接口在路由器上配置的第一步是创建子接口使用命令,例如,其中是子接VLAN interfaceinterface-id.subinterface-id interface GigabitEthernet0/
0.1010口编号,通常与保持一致以便于管理子接口是逻辑接口,多个子接口可以共享同一个物理接口VLAN ID配置封装协议在子接口配置模式下,使用命令指定封装协议和例如这告诉路由器该子接口将处理encapsulation dot1q vlan-id VLANID encapsulation dot1q10标记有指定的帧如果需要处理本地()流量,使用命令VLANID
802.1Q VLANnative VLANencapsulationdot1q vlan-id native分配地址IP为子接口分配地址,该地址将作为相应的默认网关例如每个子接口应配置不同子网的IP VLANipaddress
192.
168.
10.
1255.
255.
255.0VLAN地址,确保间流量能够正确路由地址的计划应与整体网络地址方案协调IP VLAN IP启用物理接口确保物理接口处于启用状态,使用命令例如、物理接口是子接口的载体,必须启用no shutdowninterfaceGigabitEthernet0/0no shutdown才能传输数据通常物理接口本身不需要配置地址,因为所有通信都通过子接口进行IPIP验证配置使用命令查看所有接口状态,包括主接口和子接口使用命令查看信息(在支持的路由器上)使用showipinterface briefshow vlanVLAN show验证特定接口配置测试不同间的连通性,确认路由功能正常工作running-config interfaceinterface-id VLAN三层交换概念二层与三层交换的区别三层交换工作原理三层交换接口类型三层交换的优势二层交换基于地址转发数据,工三层交换机首次收到跨数据包三层交换机上主要存在两种接口二与传统路由器配合二层交换机的方MACVLAN作在模型的数据链路层,仅能在时,会查询路由表确定下一跳,执行层接口(交换端口),操作类似普通案相比,三层交换的主要优势包括OSI同一广播域()内转发流量与路由器类似的过程;但在做出路由交换机端口,基于成员关系和通过硬件加速实现更高的数据包转发VLANVLAN三层交换则结合了二层交换和路由功决策后,交换机会在硬件转发表中创地址转发帧;三层接口(路由端速率;消除了路由器与交换机之间的MAC能,能够基于地址在不同网络(建一个条目,记录源目的地址口),直接分配地址,类似路由器瓶颈;简化网络设计,降低设备数量IP/MAC IP)之间转发数据,提供更高效和信息后续相同流量可直接接口,参与路由过程此外,还有和管理复杂度;支持先进的路由协议VLANVLAN的间通信三层交换通常由专通过硬件表查找转发,无需再进行路(交换虚拟接口),代表整个和功能,如、、策略路VLANSVIOSPF EIGRP用硬件实现,比传统软件路由性由查找,大大提高了性能的虚拟接口,用于间路由等;能够实现、等高级网ASIC VLANVLAN QoSACL能更高由络功能路由器上的三层交换配置启用路由功能IP在支持三层交换的路由器上,首先需启用路由功能使用全局配置命令开启路由功能,使设备IPiprouting能够在不同网络间转发数据包虽然许多路由器默认启用该功能,但在某些具有高级路由能力的交换设备上可能需要明确启用,故此步骤不可忽略创建接口VLAN使用命令创建交换虚拟接口,为每个需要路由的配置逻辑接口例如interface vlanvlan-id SVIVLAN,然后使用命令为该接口配置地址interface vlan10ipaddressIPipaddress
192.
168.
10.1,该地址将作为对应内设备的默认网关
255.
255.
255.0IPVLAN配置路由协议根据网络需求配置适当的路由协议,如、、等,以实现与其他路由设备的路由信息交换RIP EIGRPOSPF这一步使三层交换设备能够学习和通告路由信息,融入更大的路由域例如、router ospf1network
192.
168.
10.
00.
0.
0.255area0配置接口类型对于能够灵活切换的接口,使用命令将接口配置为二层接入端口,或使用switchport modeaccess no命令将接口转换为三层路由端口后者类似传统路由器接口,可直接配置地址,不参与switchport IP帧交换,用于连接到其他路由设备VLAN基础知识VPN虚拟专用网络是一种在公共网络(如互联网)上建立私密安全连接的技术,通过加密和隧道协议在不安全的网络上传输敏感数据主要有VPN VPN两种类型远程访问允许个人用户连接到企业网络;站点到站点连接多个固定位置,如企业总部与分支机构之间的连接VPN VPN实现的核心技术包括隧道技术(将数据包封装在另一个数据包中传输)、加密(保证数据内容的机密性)、身份验证(确认通信双方身份)和数VPN据完整性保护(防止数据被篡改)常见的协议有、、、和等,各有特点VPN IPSec SSL/TLS PPTPL2TP OpenVPN配置需考虑安全策略、性能需求、兼容性以及管理维护等因素路由器上的实现通常集成多种安全机制,如加密算法、哈希函数、预共享密VPN VPN钥或数字证书认证等,以确保数据传输的安全性配置
(一)IPSec VPN定义感兴趣流量1使用定义哪些流量需要通过隧道加密保护例如ACL IPSecaccess-list101这一步对permit ip
192.
168.
1.
00.
0.
0.
255192.
168.
2.
00.
0.
0.255配置策略()性能有重要影响,应仅包含需要保护的流量,避免不必要的加密处理,减2ISAKMP Phase1VPN轻设备负担配置密钥交换参数,建立安全关联语法Internet IKEcrypto isakmp,然后配置认证方法、加密算法、哈希算法、policy priorityDiffie-Hellman组和生命周期例如、、encryption aeshash shaauthentication pre-配置预共享密钥
3、、负责协商安全参数和认证share group2lifetime86400IKE Phase1双方身份如果使用预共享密钥认证,配置与对端共享的密钥语法crypto isakmp例如key keystringaddress peer-address cryptoisakmp key预共享密钥必须在两端保持一SecretKey123address
203.
0.
113.2VPN创建变换集()致,是双方身份验证的基础4Phase2定义安全协议(或)和算法,用于保护实际数据流量语法IPSec ESPAH例如crypto ipsectransform-set nametransform1[transform2]变换集创建加密映射crypto ipsectransform-set MY-SET esp-aes esp-sha-hmac5指定了如何加密和验证通过隧道的数据包VPN将前面配置的所有元素关联起来,创建完整的策略语法VPN crypto map例如map-name seq-num ipsec-isakmp crypto map MY-MAP
10、、、ipsec-isakmp setpeer
203.
0.
113.2set transform-set MY-SET加密映射是配置的核心,整合了所有安全参数match address101IPSec配置
(二)IPSec VPN应用加密映射到接口1在连接公共网络的接口上应用加密映射,激活功能IPSec VPN配置豁免NAT2确保流量不受转换影响,保持原始地址信息VPN NAT验证配置IPSec3使用命令检查安全关联状态和统计信息show故障排除4配置调试选项,分析连接问题VPN配置的最后阶段主要涉及功能激活和验证首先,必须将之前创建的加密映射应用到连接公共网络(通常是互联网)的接口上,使用命令、IPSec VPNinterfacetype number例如、这一步激活了处理,路由器开始根据加密映射评估和处理流量cryptomapmap-name interfaceSerial0/0/0cryptomapMY-MAP IPSec如果路由器同时配置了功能,需要创建豁免规则,防止流量被处理,因为会修改头部,导致无法正确验证数据包使用命令NATNAT VPN NATNATIPIPSec ipnatinsidesource,并配置相应的排除流量listaccess-list-number route-map route-map-name interfacetypenumberoverload route-map VPN配置完成后,使用和命令验证安全关联是否成功建立和命令可用于故障排除,但应谨show cryptoisakmp sashow crypto ipsec sadebug cryptoisakmp debugcryptoipsec慎使用,因为它们会生成大量输出并可能影响路由器性能最后,使用等工具测试连接的通信情况ping VPN隧道配置GRE隧道概述配置隧道接口配置隧道上的路由GRE GRE通用路由封装(在全局配置模式下,使用隧道创建后,需要配置路由以便流Generic Routinginterface GRE,)是一种简单的命令创建隧道量能够通过隧道传输可以使用静态路Encapsulation GREtunnel tunnel-number隧道协议,允许将各种网络层协议的数接口例如然由指向隧道另一端的远程网络,例如interface tunnel0据包封装在数据包中,通过公共网络后配置隧道参数IP-ipaddressiproute
192.
168.
2.0传输与不同,本身不提供为隧道接口分配地也可以IPSec GREaddress maskIP
255.
255.
255.0tunnel0加密或强认证,但它支持多播和广播流址在隧道上运行动态路由协议,如-tunnel source{ip-address|OSPF量,可以与路由协议结合使用,适合需或,使网络能够自动学习远程路interface-type interface-number}EIGRP要传输非协议或需要支持动态路由协指定隧道的源端点由配置示例、IP-tunnel routerospf1议的场景隧道常与结合,指定隧道的GRE IPSecdestination ip-address network
10.
0.
0.
00.
0.
0.255area实现既安全又功能完善的解决方案目的端点设(假设是隧道网络)VPN-tunnel modegre ip
010.
0.
0.0/24置隧道模式为(默认值)这些参数动态路由特别适合复杂的多站点部GRE VPN定义了隧道的两个端点和隧道上的地署IP址空间服务质量概述QoS模型QoS思科设备支持多种服务模型最佳努力(无保证);集成QoS QoS基本概念QoS服务(,基于预留资源);区分服务(,基IntServ RSVPDiffServ服务质量(,)是一种网络机制,用于管Quality ofService QoS于流量分类和策略)其中最为常用,它将流量分为不同DiffServ理资源争用、控制拥塞并确保关键应用程序性能通过对不同QoS类别,每个类别获得不同级别的服务,实现可扩展的解决方案QoS类型的网络流量进行优先级排序、带宽分配和延迟管理,以满足不同应用的性能需求在带宽有限或网络拥塞时,确保关键业务QoS流量得到优先处理机制2QoS1实现涉及多种机制分类与标记(识别流量并标记优先级QoS);流量管理(整形与策略,控制流量速率);拥塞管理(队3列,决定丢弃哪些数据包);拥塞避免(如,主动丢弃WRED低优先级数据包);链路效率(压缩、分片等技术)这些机5部署方法制综合作用,确保网络资源的高效利用QoS4部署的主要方法包括模块化命令行(),提供统一QoS QoSMQC衡量指标QoS的配置框架;自动(),简化和企业应用的QoS AutoQoSVoIP QoS评估效果的关键指标包括延迟(数据包从源到目的地所需时配置;策略地图(),定义复杂的策略;网络基于QoSPolicy MapQoS间);抖动(延迟变化);丢包率(网络中丢失的数据包百分比)应用程序识别(),基于深度包检测识别应用选择合适的NBAR;吞吐量(单位时间内成功传输的数据量)不同应用对这些指标方法取决于网络复杂度和需求QoS有不同要求对延迟和抖动敏感;视频流对带宽要求高;数据VoIP传输对丢包敏感基本配置QoS创建流量类别使用命令创建流量类别,定义哪些流量需要特殊处理例如class-map class-map match-、可以基于访问控制列表、协议、值all VOICE_TRAFFIC matchprotocol rtpaudio DSCP、优先级等多种条件进行匹配这一步骤将网络流量分类,为后续差异化处理奠定基础定义策略QoS使用命令创建服务策略,指定对每个流量类别采取的具体措施例如policy-map QoSpolicy-、、,为语音流量保留带map QOS_POLICY classVOICE_TRAFFIC priority512512Kbps宽并赋予最高优先级策略可以包括带宽保障、流量整形、优先级队列、拥塞避免等多种机制应用服务策略使用命令将策略应用到接口例如、service-policy QoSinterfaceSerial0/0service-policy策略可以应用于入站方向(控制进入网络的流量)或出站方向(控制离output QOS_POLICY开接口的流量)选择正确的应用点对效果至关重要QoS验证配置QoS使用、、等命令验证配show class-map show policy-map showpolicy-map interfaceQoS置和运行状态例如显示接口上策略的统计信息,showpolicy-map interfaceSerial0/0包括每个类别处理的数据包字节数、丢弃情况等这些命令帮助确认策略是否正常工作并/QoS达到预期效果路由器安全配置概述物理安全措施1路由器安全始于物理保护,包括将设备放置在受控环境中,限制物理访问,使用机柜锁和访问控制系统同时应配置控制台超时、口令恢复保护等功能,防止通过物理接口进行未授权访问物理安全是网络安全的基础,尤其对于边缘设备和关键网络节点更为重要管理平面安全2管理平面负责路由器的配置和监控功能,应采取多重防护措施禁用不必要的服务(如服务HTTP器);加密管理流量(使用替代);实施强密码策略;配置多级认证系统;限制管理接SSH Telnet入来源(使用限制可管理设备的地址);启用日志记录功能跟踪管理活动ACL IP控制平面安全3控制平面处理路由协议和网络控制信息,需要特别保护启用路由协议认证(如认证);使用MD5控制平面保护()限制发往的流量;配置路由过滤,防止错误或恶意路由信息破坏网络CoPP CPU;禁用不需要的网络服务和协议,减少攻击面;实施流量风暴控制,防止攻击DoS数据平面安全4数据平面负责转发用户流量,安全措施包括使用访问控制列表()限制网络访问;配置状态ACL防火墙功能拦截异常连接;启用(单播反向路径转发)防止欺骗;实施流量过滤和检测;加uRPF IP密敏感数据(使用或);部署入侵防御系统()功能检测和阻止攻击行为IPSecSSLVPN IPS认证配置AAA验证功能AAA测试身份验证方法和服务器连接1配置授权和计费2定义用户可执行的命令和操作记录配置身份验证方法3设置不同服务的认证机制配置服务器RADIUS/TACACS+4定义外部认证服务器参数启用新模式AAA5激活框架基础功能AAA()提供了一个集中式的访问控制框架,加强了路由器安全管理(认证)验证用户身份;(授权)决定用户可以执行的操AAA Authentication,Authorization,and AccountingAuthentication Authorization作;(计费)记录用户活动以便审计和分析可以使用本地数据库或外部服务器(如或)实现集中管理Accounting AAARADIUS TACACS+配置的第一步是启用新模式然后配置外部认证服务器,例如或AAA aaanew-model radius-server host
192.
168.
1.100key SecretKey123tacacs-server host
192.
168.
1.101key TacacsKey456接着定义身份验证方法列表,如,这将首先尝试认证,失败后使用本地数据库aaa authenticationlogin DEFAULTgroup radiuslocal RADIUS授权配置决定用户获得什么权限,例如允许服务器决定用户是否可执行特权级命令计费配置记录用户活动,如aaa authorizationcommands15default grouptacacs+local TACACS+aaa accounting记录所有特权命令最后使用命令或实际登录测试配置是否正常工作commands15default start-stop grouptacacs+test aaa远程登录配置SSH配置版本SSH在全局配置模式下,使用命令配置版本强烈建议使用版本,因为它提供更强ip sshversion2SSH SSH2的安全性,修复了版本中的多个安全漏洞使用更强的加密算法和安全机制,如SSH1SSH v2Diffie-密钥交换、改进的完整性检查等,是当前网络安全标准的推荐实践Hellman生成密钥对RSA使用命令生成服务器的密钥对执行此命令时,系统会提示输入密钥crypto keygenerate rsaSSH RSA模数大小,建议使用位或更高以提供足够的安全性例如2048crypto keygenerate rsamodulus密钥对用于连接的加密和身份验证,是启用服务的必要条件2048RSA SSHSSH配置认证参数SSH设置认证相关参数,如尝试次数和超时时间例如限制认证失败SSH ip ssh authentication-retries3次数,设置会话建立超时时间(秒)这些设置有助于防止暴力破解攻击,增强ipsshtime-out60SSH服务的安全性和可靠性限制访问SSH配置线路以仅接受连接,拒绝等不安全协议例如、VTY SSHTelnet linevty04transport inputssh、同时,可以使用限制能够通过访问路由器的源地址login localACL SSHIP access-list10permit,然后应用到线路
192.
168.
1.
00.
0.
0.255VTY access-class10in网络管理配置SNMP基本概念配置社区字符串配置安全性SNMP SNMP SNMPv3简单网络管理协议()是一个对于,需配置社区字符提供更高安全性,配置步骤SNMP SNMPv1/v2c SNMPv3应用层协议,用于收集和组织网络设备串作为简单密码使用包括创建组(snmp-server SNMPsnmp-server信息,便于网络管理基于管);创建SNMP communitystring[ro|rw]group groupname v3priv理信息库()、代理和网命令,例如用户并关联到组(MIB SNMP[access-list-number]snmp-server user络管理系统()三个组件工作NMS snmp-server communitypublic usernamegroupnamev3auth主要有三个版本(将设为只读访问密码,SNMPSNMPv1ro10public shaauth-password privaes128基本功能但安全性弱)、(并应用限制管理站点社区字);配置视图限制访SNMPv2c ACL10priv-password增强性能但仍使用明文社区字符串)和符串相当于共享密码,必须妥善保护,问范围(snmp-server view(提供加密和认证功能)避免使用默认或易猜测的值)SNMPv3viewname oid-tree included支持认证()和加密(SNMPv3auth)保护通信priv SNMP系统日志配置Syslog配置时间戳格式配置日志源接口定义日志消息的时间格式,便于日志分析和关联2指定发送日志的源地址,提高安全性和可追踪性1IP启用日志记录开启系统日志功能并设置基本参数35配置日志级别配置日志服务器定义记录哪些严重程度的事件4设置集中日志服务器地址和传输参数是一种标准化的日志记录协议,允许网络设备将事件通知发送到中央日志服务器这些日志对于故障排除、安全审计和网络性能监控至关重要路由器上的Syslog配置首先需要启用日志记录功能,可以使用命令(通常默认启用)Syslog loggingon配置服务器是实现集中日志管理的关键步骤,使用命令指定服务器地址,例如可以配置多个Syslog logginghost ip-address logginghost
192.
168.
1.100服务器实现冗余使用命令控制发送到服务器的消息级别,如将发送级别及以上的消息Syslog logging trap levelloggingtrapinformational4时间戳配置对日志分析非常重要,使用命令启用详细时间戳可以使用命令指service timestampslog datetimemsec show-timezone loggingsource-interface定日志的源接口,增强安全性和一致性完成配置后,使用命令验证设置并查看本地日志缓冲区内容,确保日志系统正常工作show logging网络时间协议配置NTP基本概念配置客户端配置服务器认证配置NTP NTP NTP NTP网络时间协议(将路由器配置为客户端,从外部服将路由器配置为服务器,为其他设配置认证以防止未授权的时间源Network TimeNTP NTPNTP,)是一种用于在计算务器获取时间使用备提供时间服务首先路由器自身应配步骤包括定义认证密钥(Protocol NTPntp server ip-ntp机系统之间同步时钟的网络协议,确保置为客户端获取准确时间,然后使用address[prefer][version number]authentication-key key-number网络设备维持准确、一致的时间准确命令,例如命);指定要使用的可信密[key keyid]ntp serverntp master[stratum-number]md5value的时间对于日志分析、证书验证、排障可以配置令启用服务器功能,例如钥(
192.
168.
1.100prefer ntpntp trusted-key key-number和安全审计等功能至关重要使用多个服务器以提供冗余,关还可以使用);启用认证()NTPNTPprefer master3ntp access-ntp authenticate层级结构()组织时键字指定首选服务器客户端模式适用命令控制哪些客户端可以同步时;在命令中引用密钥(Stratum0-15group serverntp间源,服务器直接连接到于大多数网络设备,简单且资源消耗低间,增强安全性Stratum1serverip-address keykey-权威时间源(如原子钟),其他设备逐)认证确保路由器只接受来number级同步自可信时间源的更新基础知识IPv6特性IPv4IPv6地址长度位(字节)位(字节)32412816地址表示法点分十进制冒号分隔十六进制地址空间约亿个地址约万亿亿亿个地址43340头部字段可变长度,个基本字段固定长度,个字段128配置方式手动手动/DHCP/SLAAC/DHCPv6分片处理路由器可分片仅终端节点分片检验和包含在头部移除(依赖下层协议)是下一代互联网协议,设计用于解决地址耗尽问题并提供改进的功能采用位地址长度,提IPv6IPv4IPv6128供几乎无限的地址空间,足以满足可预见的未来需求地址表示为组位十六进制数,用冒号分隔,如842001:0db8:85a3:0000:0000:8a2e:0370:7334地址分为多种类型单播地址(一对一通信)、多播地址(一对多通信)和任播地址(一对最近节点通信IPv6)取消了广播地址,用多播替代特殊地址包括环回地址()、未指定地址()、链路本地地址(IPv6::1::)和独特本地地址()fe80::/10fc00::/7简化了头部结构,提高了处理效率;引入了自动配置机制(),简化了网络管理;改进了安全性,IPv6SLAAC原生支持;增强了支持和移动性能,为新一代互联网应用提供了更好的基础IPSec QoS地址配置IPv6启用路由IPv6在全局配置模式下使用命令启用路由功能这是配置的第一步,激活路由器的包处理能力默认情况下,大多数路由器的ipv6unicast-routing IPv6IPv6IPv6功能是禁用的,即使接口配置了地址,也不会转发数据包,除非执行此命令IPv6IPv6IPv6手动配置地址IPv6在接口配置模式下使用命令手动配置地址例如与不同,ipv6address ipv6-address/prefix-length IPv6ipv6address2001:db8:1:1::1/64IPv4接口通常配置多个地址,包括链路本地地址和全局单播地址手动配置适用于需要精确控制地址分配的场景IPv6使用配置EUI-64使用命令基于接口地址自动生成接口标识符部分例如ipv6address ipv6-prefix/prefix-length eui-64MAC ipv6address2001:db8:1:1::/64方法将位地址转换为位接口标识符,简化了地址管理,但可能引发隐私问题,因为地址是可跟踪的eui-64EUI-6448MAC64MAC配置无状态自动配置使用命令启用无状态地址自动配置()路由器接口将基于接收到的路由器通告消息自动配置地址这种方法最ipv6address autoconfigSLAAC IPv6常用于客户端设备,但在某些情况下路由器也可以作为客户端,特别是在边缘连接场景SLAAC验证配置IPv6使用命令验证接口配置,显示分配的地址和状态使用和测试show ipv6interface[brief]IPv6ping ipv6destination traceroute ipv6destination连通性使用查看路由表,确认路由信息正确这些命令是配置故障排除的基本工具IPv6show ipv6route IPv6IPv6路由配置IPv6静态路由配置默认路由配置配置其他路由协议IPv6IPv6OSPFv3IPv6使用命令配置配置默认路由使用作是为设计的路由器支持多种路由协议ipv6route IPv6IPv6::/0OSPFv3IPv6IPv6静态路由语法为目的前缀例如版本配置步骤(ipv6routeipv6OSPF ipv6EIGRPv6ipv6router将所启动);ipv6-prefix/prefix-length route::/0Serial0/0/0routerospfprocess-id eigrpas-number RIPng有未知目的地的流量发往进程;();{next-hop-address|IPv6OSPFv3router-id ipv6router ripname接口默认路由设置路由器(仍使用(在下使用interface-type interface-Serial0/0/0A.B.C.D IDMP-BGP BGP通常配置在连接到或格式);在接口模式下使命令)number}[administrative-ISP IPv4address-family ipv6例如的边缘路由器上,处用这些协议都是各自版本distance]ipv6route Internetipv6ospfprocess-id areaIPv4理所有无法匹配具体路由的流将接口加入区域的扩展,设计用于处理地2001:db8:2::/64area-id OSPFIPv6将目的网络的量,简化路由表与的主要址格式和特性,核心原理相似2001:db8:1::2OSPFv3OSPFv2流量发往指定的下一跳地址区别在于配置方式和支持但配置语法有所调整IPv6静态路由的配置原理与IPv6类似,但使用地址格IPv4IPv6式过渡技术配置IPv4/IPv6随着网络向过渡,需要各种技术保证新旧协议共存和互通双栈()是最直接的方法,在同一设备上同时运行和协议栈配置双栈路IPv6Dual StackIPv4IPv6由器需要启用路由(),然后在接口上同时配置地址()和地址()IPv6ipv6unicast-routing IPv4ipaddressIPv6ipv6address隧道技术允许数据包穿越网络常见隧道类型包括手动隧道(如隧道,使用命令配置)、自动隧道(如、IPv6IPv4IPv6-in-IPv4interface tunnel6to4等)和隧道代理(如)例如,配置隧道、、,然后配置相应ISATAP Teredo6to4interface Tunnel0tunnel sourceinterface tunnelmode ipv6ip6to4的地址IPv6地址转换技术如和允许设备与服务通信在路由器上配置需要专门的转换表和策略,将数据包转换为格NAT64DNS64IPv6-only IPv4-only NAT64IPv6IPv4式,反之亦然这些技术互为补充,根据网络需求可以单独或组合使用,构建平滑过渡方案基础知识MPLS基本概念网络组件标签结构MPLS MPLS MPLS多协议标签交换(网络主要包含两类设备标签边缘路由标签是一个位的实体,包含四个部Multi-Protocol LabelMPLS MPLS32,)是一种高性能数据转发器(,)位于分位标签值(实际用于转发决策);位Switching MPLSLER LabelEdge Router MPLS203技术,结合了第二层交换和第三层路由的优点域边界,负责为进入数据包添加标签或移除标实验位(用于和);位栈底标志(QoS ECN1在数据包前端插入标签,根据标签而签;标签交换路由器(,位,指示是否为标签栈中的最后一个标签)MPLS LSRLabel S非头部进行转发决策,实现更快速的数据处)位于域内部,根;位生存时间字段(,防止环路)IP SwitchingRouterMPLS8TTL理和更灵活的流量工程不依赖于特定据标签执行高速转发这些设备共同建立标签支持标签栈机制,允许多个标签叠加,MPLS MPLS网络层协议,支持多种协议,这也是多协议交换路径(,),实现诸如等高级服务LSP LabelSwitched PathMPLS VPN名称的由来形成数据包在网络中的转发路径MPLS基本配置MPLS启用CEF在全局配置模式下使用命令启用思科快速转发(),这是的前提条件例如是一种高级包转发技术,将路由表信ip cefCEF MPLSRouterconfig#ip cefCEF IP息预先计算并存储在(转发信息库)中,加速包转发决策,为提供必要的转发基础FIB MPLS启用MPLS全局启用功能使用命令,例如此命令激活路由器的处理能力,但不会立即在任何接口上启用标签交换,需MPLS mpls ip Routerconfig#mpls ipMPLS MPLS要在相关接口上单独配置某些平台可能使用不同的命令语法,如tag-switching ip在接口上启用MPLS在需要参与的接口上启用标签交换,例如,只有启用的接口MPLSMPLSRouterconfig#interfaceGigabitEthernet0/0Routerconfig-if#mplsipMPLS才能参与标签分发和交换,通常这些接口连接到域中的其他或设备MPLS LSRLER配置LDP配置标签分发协议()参数,如和会话参数例如,LDP RouterID Routerconfig#mpls ldprouter-id Loopback0force Routerconfig#mpls ldp负责在网络中分发和管理标签绑定信息,建立所需的标签映射neighbor
10.
1.
1.1password secure123LDP MPLSLSP验证配置MPLS使用各种命令验证配置和运行状态,如查看启用的接口,查看邻居关系,show MPLSshow mplsinterfaces MPLSshow mplsldp neighborLDP showmpls查看转发表这些命令帮助确认功能是否正常工作和排除可能的问题forwarding-table MPLSMPLS路由器备份和恢复配置文件备份方法1路由器配置备份是网络管理的基本实践,有多种实现方式使用copy running-config startup-config命令保存当前配置到;使用将配置复制到服务器;使用NVRAM copy running-config tftpTFTP copy或将配置安全传输到远程服务器;通过控制台捕获会话running-config scpcopyrunning-config ftp将配置保存到本地计算机定期自动备份可通过脚本或网络管理系统实现配置文件恢复方法2当需要恢复配置时,可使用多种方法通过从服务器恢复;使用copy tftprunning-config TFTP copy从恢复;通过控制台粘贴配置命令直接输入;使用配置归档功startup-config running-config NVRAM能回滚到之前的配置版本恢复配置后,应使用命令验证配置是否正确archive showrunning-config加载完整系统备份3除了配置备份,还应考虑完整的系统备份,包括镜像和许可证信息使用命令备份IOS copyflash:tftp:闪存内容;使用命令创建闪存内容的压缩归档;使用特定平台命令备份许可证和注册信息archive tar这些备份确保在硬件故障情况下能够快速恢复系统功能配置版本控制4现代路由器支持配置版本控制功能,使用命令启用并配置、archive archivepath、(每小时自动备份)、(保存tftp://server/folder/$h-$t time-period144024write-memory配置时自动归档)这些功能使管理员能够跟踪配置变更历史,在出现问题时轻松回滚到先前的稳定配置版本升级方法IOS升级准备使用升级替代传输方法IOS TFTPIOS升级路由器前的准备工作至关重要检查是最常用的升级方法设置服除外,还可使用其他文件传输协议升级IOS TFTPIOS TFTPTFTP当前版本(命令);确认设务器并将新文件放入其根目录;确保路由()提供基本认证IOS showversion IOS IOS FTPcopy ftp:flash:备型号和硬件兼容性;验证闪存空间是否足够器能够访问服务器;使用功能;()提供加密传TFTPcopytftp:SCP copyscp:flash:(命令);确认容量满足新命令将新复制到闪存;系统会提示输输,适合通过不安全网络升级;方法(对show flash:RAM flash:IOS USB需求;备份当前配置和镜像;计划维入服务器地址、源文件名和目标文件名支持的路由器,使用IOSIOSTFTP USBcopy usbflash0:护窗口并通知相关方;准备回退方案以防升级;传输完成后验证文件完整性;配置)适用于无网络连接场景;boot flash:XMODEM失败完善的准备可以大大降低升级风险并缩命令指定启动文件;(在模式下使用命令)system flash:filename ROMMONxmodem短停机时间保存配置并重启路由器以加载新用于恢复模式下的紧急升级选择合适的方法IOS取决于网络环境和安全要求路由器故障诊断方法故障隔离1明确定义问题范围和边界,将大问题分解为可管理的小问题数据收集2使用适当的命令和工具收集相关信息show debug分析比较3分析收集的数据并与预期行为或正常配置比较制定解决方案4基于分析结果,制定明确的解决步骤路由器故障诊断遵循结构化流程,从识别问题开始问题识别包括明确描述症状、发生时间和影响范围常见问题类型包括连通性问题(失败、路由丢失)、性能问题(高延迟、丢包ping)和间歇性问题(随机断连、周期性故障)准确的问题定义是成功诊断的关键第一步数据收集阶段使用多种工具获取信息命令(如、、)提供配置和状态信息;命令(谨慎使用,可能影响性能)提供实时show showinterfaces showiprouteshow processescpu debug协议和处理信息;日志分析()查看系统消息;网络测试工具(、、)验证连通性全面的数据收集为问题分析提供坚实基础show loggingping traceroutetelnet分析后制定解决方案,可能包括配置更改、软件升级、硬件替换或网络重新设计实施解决方案时,应遵循变更管理流程,记录所有操作,并验证问题是否已解决最后,进行根本原因分析,防止类似问题再次发生,并将经验教训应用于未来的网络设计和管理中常见配置实例
(一)小型企业网络配置是最常见的路由器应用场景之一典型配置包括接口配置(接口使用私有地址,接口连接);设置(使用LANIPWAN ISPNAT允许多台内部设备共享单个公网);服务(为内部网络自动分配地址);基本安全设置(限制外部访问,启用远程管理)PAT IPDHCP IPACL SSH分支机构与总部连接的配置包括站点到站点隧道(使用保护分支机构与总部之间的数据传输);备份连接(配置浮动静态路由实现链路冗VPN IPSec余);带宽管理(使用确保关键应用优先传输);远程管理(配置允许总部团队监控和管理分支路由器)QoS SNMPIT边缘路由器安全加固配置涉及深度防御策略(多层安全控制);详细的入站和出站;状态检测防火墙功能;防护措施(、拦截等ACL DDoSCAR TCP);入侵防御功能;安全日志记录和审计这些配置综合运用多种技术,构建安全、高效、可靠的网络环境常见配置实例
(二)配置设置实现路由优化安全加固NATVPNQoS数据中心路由器配置是企业网络的核心部分,通常涉及高性能和高可靠性需求典型配置包括冗余路由协议(通常使用或,配置多个区域优化路由性能);路由过滤(使用路由映射和前缀列表控制路OSPF EIGRP由通告);快速收敛机制(检测链路故障,快速包等);虚拟路由功能(提供网关冗余)BFD OSPFhello HSRP/VRRP互联网边缘路由器配置专注于连接性和安全性配置(与多个建立对等连接,实现多路径负载均衡和故障转移);流量工程(通过属性操纵影响流量路径选择);防护(配置检查和流量限速BGP ISPBGP DDoSuRPF);转发平面优化(启用和其他硬件加速功能)CEF服务提供商核心路由器配置强调可扩展性和可靠性基础设施(建立标签交换路径,支持服务);流量工程隧道(优化网络资源利用);策略(端到端服务质量保证);部署(配置双MPLS VPNMPLS TEQoS IPv6栈或过渡技术支持下一代互联网);路由协议安全(配置认证防止路由信息欺骗)MD5课程总结与展望持续学习网络技术快速发展,需保持学习新技术和最佳实践1实践应用2将课程知识应用于实际网络设计和故障排除系统掌握3整合各模块知识,形成完整路由器配置技能体系基础构建4掌握路由器基本配置和协议原理本课程系统介绍了路由器配置的各个方面,从基础的硬件和软件组成,到复杂的协议配置和高级功能实现通过学习路由器的工作原理、接口类型、启动过程和基本配置命令,建立了坚实的知识基础在此基础上,我们深入研究了静态路由、动态路由协议(、、、)的配置方法,以及、、等网络服务的实现技术RIP OSPFEIGRPBGPNAT ACLDHCP安全配置是现代网络不可或缺的组成部分,本课程详细讲解了认证、远程登录、防火墙策略以及配置等安全技术同时,作为下一代互联网协议,其配置方法和过渡技术也得到AAA SSHVPN IPv6了充分介绍此外,课程还涵盖了、等高级网络技术的配置原理和方法,以及路由器管理相关的、、配置QoS MPLSSNMP SyslogNTP随着网络技术的不断发展,路由器功能将持续扩展,新的协议和技术不断涌现(软件定义网络)、(意图驱动网络)等新技术正在改变网络设计和管理方式网络自动化和编程能力也日SDN IBN益重要,掌握、等工具将成为网络工程师的必备技能希望本课程为您构建了坚实的知识基础,使您能够适应未来网络技术的发展趋势Python Ansible。
个人认证
优秀文档
获得点赞 0
