还剩58页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
路由器配置欢迎参加路由器配置课程!本课程将全面介绍路由器配置的理论和实践知识,从基础概念到高级应用通过系统学习,您将掌握路由器的工作原理、各种配置方法以及故障排除技巧无论您是网络工程师、爱好者还是计算机专业学生,本课程都将为您提供宝IT贵的实用技能我们将使用真实设备和场景,确保您学到的知识可以直接应用于工作实践让我们一起探索路由器配置的精彩世界,提升您的网络技术能力!课程目标和学习成果掌握路由器基础知识熟练配置各种网络功能12了解路由器的工作原理、硬件组成和软件架构,建立坚实的理论能够独立完成路由器的基本配置,包括地址分配、静态动态路IP/基础,为后续的配置实践打下基础熟悉各种路由器型号和分类由、、、等关键网络功能,提高网络管理NAT/PAT ACLVLAN,了解它们的适用场景和优化能力掌握故障排除与优化技能获取专业认证准备34学习识别和解决常见网络问题的方法,培养系统性的故障排除思课程内容与多种网络认证考试要求相符,为您准备、CCNA维,能够在实际工作中快速定位并解决网络故障,确保网络稳定等专业认证提供扎实基础,增强职业竞争力HCNA运行路由器基础知识路由器定义历史发展工作原理路由器是连接两个或多个网络的网络从年代的简单设备发展至今,路由器通过路由表确定数据包的最佳1980设备,可以在网络之间转发数据包现代路由器已成为复杂的多功能网络路径它检查数据包的目的地址,IP它工作在模型的网络层第三层,设备早期路由器仅能处理基本路由查询路由表,然后将数据包转发到下OSI根据数据包的目的地地址决定如何功能,现在的路由器集成了防火墙、一个网络节点路由表可以静态配置IP转发、等多种高级功能或通过动态路由协议自动更新VPN QoS路由器的功能和作用网络互连数据包转发网络安全连接不同网络,实现跨网根据路由表信息,将数据通过访问控制列表ACL络通信路由器能够连接包从源网络转发到目标网和防火墙功能,过滤和控局域网与广域网,或连接络路由器分析每个数据制网络流量,提高网络安多个局域网,使得不同网包的目的地址,确定最佳全性路由器可以阻止未段的设备可以相互通信,转发路径,实现高效的网授权访问,保护内部网络是现代网络基础设施的核络通信资源心组件流量优化通过服务质量管理QoS,优先处理重要流量,确保关键应用获得足够带宽路由器可根据业务需求分配网络资源,提高网络性能路由器的硬件组成中央处理器内存系统网络接口电源和散热系统CPU路由器的大脑,负责执行包括运行内存和提供与不同类型网络的连接为路由器提供稳定电力并维RAM操作系统和各种路由协议算非易失性内存能力,包括以太网接口、串持适当工作温度高端路由NVRAM法的性能直接影响路存储路由表、缓行接口、光纤接口等现代器通常有冗余电源设计和高CPU RAMARP由器的数据处理能力和路由存和运行配置,而路由器通常支持模块化接口效散热系统,确保设备可靠NVRAM计算速度,高端路由器通常保存启动配置文件内,可根据需求更换或扩展运行Flash配备多核处理器存用于存储操作系统镜IOS像路由器的软件组成应用层路由协议、管理界面、安全服务1运行环境2设备驱动、文件系统、内存管理操作系统内核3资源分配、进程调度、中断处理硬件抽象层4实现软件与硬件的交互接口路由器软件系统是分层设计的,底层为硬件抽象层,负责实现软件与硬件的交互接口,屏蔽硬件细节操作系统内核负责基本系统功能,如资源分配和进程调度运行环境提供设备驱动、文件系统和内存管理等功能,为上层应用提供支持最上层是应用层,包含各种路由协议实现、管理界面和安全服务等功能组件,直接面向用户和网络管理员路由器型号和分类类别代表型号适用场景特点家用小型办公系列小型办公室、价格低廉,配/Cisco RV家庭置简单中小企业级中小型企业性能适中,功Cisco1900系列能全面企业级大型企业总部高性能,模块Cisco4000系列化设计运营商级系列,数据中心超高性能,高Cisco ASRISP可靠性核心级系列网络骨干,超极端高性能,Cisco CRS大型数据中心完全冗余路由器根据应用场景和性能可以分为多个等级从简单的家用路由器到复杂的核心级路由器,它们在处理能力、可靠性和功能方面存在显著差异选择合适的路由器型号应考虑网络规模、吞吐量需求和所需功能路由器接口类型以太网接口最常见的接口类型,包括和速率现代路由器通常配备10/100/1000Mbps10Gbps多个以太网接口,用于连接局域网或广域网支持双工模式和自动协商功能,可根据连接设备自动调整工作模式串行接口传统连接的主要接口,使用、等标准虽然在新网络中使用减少,WAN V.35RS-232但在某些遗留系统和特殊场景中仍有应用速率通常低于以太网接口,但有独特的连接能力光纤接口用于高速长距离连接,包括模块接口支持单模和多模光纤,传输距离从几SFP/SFP+百米到几十公里不等广泛应用于骨干网络和数据中心互连无线接口在集成无线功能的路由器上提供连接能力支持多种标准如Wi-Fi,提供不同的覆盖范围和传输速率现代无线路由器通常支持
802.11a/b/g/n/ac/ax双频或三频操作路由器操作系统概述Junos OSCisco IOS设备操作系统,基于2Juniper FreeBSD思科设备标准操作系统,市场份额最大1华为VRP华为设备专用操作系统,界面类似IOS35RouterOSComware路由器操作系统,小型网络流行MikroTik4设备操作系统,功能全面H3C/HPE路由器操作系统是控制路由器功能的核心软件,提供命令行界面或图形界面供管理员配置不同厂商的操作系统有各自特点,但基本功能类似,都提供路由、交换、安全和管理功能选择操作系统时需考虑兼容性、学习曲线、支持资源和特定功能需求大型网络通常选择统一的操作系统平台以简化管理和培训目前市场主流操作系统包括思科、的和华为的等IOS JuniperJunos OSVRP简介Cisco IOS系统架构1模块化设计,支持即插即用功能扩展版本系列
2、、等多个系列Standard EnhancedAdvanced命名规则3以版本号、功能集和文件格式表示管理界面4为主,部分型号支持管理CLI Web互联网操作系统是思科网络设备的标准操作系统,拥有超过年的发展历史它采用模块化设计,支持多种路由协议、安全功能和网络服务Cisco IOS30以其可靠性和广泛的功能集在网络行业建立了强大的地位IOS版本命名遵循特定规则,如,其中包含平台信息、功能集和版本号不同版本支持不同的功IOS c2900-universalk9-mz.SPA.152-
4.M
1.bin IOS能集,包括、、等选择合适的版本对路由器功能发挥至关重要IP BaseIP VoiceSecurity IOS路由器启动过程检测POST1开机后首先进行硬件自检,验证Power-On SelfTest、内存和接口等硬件组件是否正常工作如发现硬CPU引导程序加载件故障,将显示错误信息并可能停止启动过程2加载中的引导程序,它负责初始化系统并寻找BootROM映像文件引导程序首先检查配置寄存器的值,确定IOS加载与解压IOS3启动模式和位置IOS引导程序从存储器或网络服务器加载映像文件Flash IOS到中,并进行解压这个阶段可能需要几十秒到几RAM配置加载分钟,取决于大小和路由器性能4IOS加载完成后,系统从加载启动配置IOS NVRAM如找不到有效配置,某些路由器会startup-config接口初始化5进入初始配置对话模式,提示用户输入基本配置最后,系统初始化硬件接口,建立路由表,启动配置的网络服务和协议路由器完成启动后显示命令提示符,可接受用户输入命令路由器配置方式概述控制台配置通过专用控制台线缆直接连接到路由器的控制台端口进行配置这是最基本和可靠的配置方式,不依赖于网络连接,适用于初始配置和故障排除命令行远程配置通过或协议远程连接到路由器,使用命令行界面Telnet SSHCLI进行配置这种方式要求路由器已有正确的配置和启用了远程访IP问服务界面配置Web某些路由器提供基于的图形界面,通过浏览器访问路由器的Web地址进行配置这种方式对新手更友好,但功能通常比命令行界IP面受限自动化配置通过、或专用管理软件进行批量或自动化配置SNMP NETCONF适用于大型网络中多设备的统一管理,支持配置模板和批量部署控制台配置方法进入配置模式建立连接通过命令进入特权模式,配置终端软件enable启动终端会话,打开路由器电源或再使用进准备物理连接configure terminal打开、或其他按键唤醒已开机的路由器入全局配置模式此时可以开始输PuTTY SecureCRTEnter使用RJ-45转DB-9或USB控终端软件,选择正确的COM端口如果连接正确,将看到路由器的命入配置命令,进行路由器设置制台线缆,一端连接路由器控制台,设置波特率通常为、数令提示符或启动信息9600端口,另一端连接计算机的串行端据位、停止位、奇偶校验81口或端口确保连接牢固,无及流控制无USB避免松动导致连接中断远程配置方法Telnet前提条件路由器必须已配置地址,启用服务,并设置访问密码客户端计算机需与路IP Telnetvty由器在同一网络或有路由可达确认网络防火墙未阻止流量端口Telnet TCP23建立连接Telnet在命令提示符中输入路由器地址,或使用支持的终端软件如telnet[IP]Telnet PuTTY、等系统将提示输入密码,认证成功后即可访问路由器SecureCRT CLI配置注意事项传输数据未加密,不推荐在公共网络使用操作时小心谨慎,错误配置可能导致Telnet远程连接中断建议保持控制台连接作为备份访问方式断开连接配置完成后,输入命令退出当前模式,多次使用直到完全退出,或使用exit命令直接断开会话正确断开连接有助于释放路由器资源disconnect Telnet界面配置方法Web访问界面基本网络设置路由和安全配置保存和应用配置Web确保路由器已开启登录后,导航至网络设置部高级设置部分通常包含路由完成设置后,点击保存或服务,在浏分,可配置接口表配置、防火墙规则、端口应用按钮使配置生效某些HTTP/HTTPS WAN/LAN览器地址栏输入路由器管理地址、子网掩码、默认网转发等功能企业级路由器更改可能需要路由器重启IP地址对于大多数路由器关等基本参数对于家用路的界面可能提供、保存配置前请仔细检查所有IP WebVPN,默认为或由器,通常还可以配置等复杂功能的配置页面设置,避免配置错误导致设
192.
168.
1.1QoS系统会提服务、服务器等备无法访问
192.
168.
0.1DHCP DNS示输入用户名和密码路由器命令行界面()介绍CLI的优势命令结构1CLI2相比图形界面,提供更精细的控制和更全面的功能集命令大多数路由器命令遵循动词名词参数结构例如,CLI CLICLI--show可以脚本化和自动化,提高配置效率也更节省资源,在低端设中,是动词操作,CLI interfacesethernet0/0showinterfaces备或远程连接时性能更好专业网络工程师普遍使用进行路由器是名词对象,是参数具体目标掌握这一结构有CLIethernet0/0配置助于理解和记忆命令帮助功能命令历史和编辑34提供内置帮助系统,输入可显示可用命令或参数命令后接使用上下箭头键可以浏览之前输入的命令键提供命令自动完成CLITab显示该命令可用的参数和说明命令名功能,减少输入错误左右箭头、和键可以编辑command-nameBackspace Delete与问号之间有空格和无空格提供不同类型的帮助当前命令行移动到行首,移动到行尾command-nCtrl+A Ctrl+E信息用户模式和特权模式用户模式特权模式User EXEC Mode PrivilegedEXECMode这是登录路由器后的初始模式,提示符为用户通过在用户模式输入命令并提供密码如已设置进Router enable模式权限有限,只能执行基本查看命令,如、和入,提示符变为特权模式提供对设备的完全访ping telnetRouter#的部分子命令这是一个受限制的模式,主要用于网问权限,可执行所有命令、调试命令、配置命令等show show络监控和基本故障排除常用命令常用命令show version,show clock,ping,telnet,traceroute show running-config,show startup-config,debug,copy,reload,configure terminal从特权模式可以进入配置模式修改设备配置使用disable命令可返回用户模式,或命令可退出会话exit logoutCLI全局配置模式进入全局配置模式1在特权模式下,输入可简写为命令进入全局配置configure terminalconf t模式提示符变为,表示当前可以对路由器进行全局性配置Routerconfig#全局配置功能2在此模式下,可配置影响整个路由器的参数,如主机名、密码策略、启用服务、创建访问控制列表、配置路由协议等这里设置的参数会影响路由器的整体行为和所有接口常用全局配置命令3常用命令包括设置设备名、设置特权模式密码、hostnameenable secretip启用路由、配置静态路由、配置动态路由routing IPip routerouter rip/ospf协议等退出全局配置模式4输入或命令,或按组合键可以退出全局配置模式,返回到特权exit endCtrl+Z模式如需放弃尚未保存的配置更改,可重启设备而不保存配置EXEC接口配置模式接口配置模式用于配置路由器的各种物理和逻辑接口从全局配置模式进入接口配置模式的命令格式为接口类型接interface[][口编号,例如进入后,命令提示符变为]interface fastethernet0/0Routerconfig-if#在接口配置模式下,可以设置接口的地址地址子网掩码、启用或关闭接口或IP ip address[IP][]no shutdown、设置带宽速率、配置接口描述信息描述文本等shutdown bandwidth[]description[]对于不同类型的接口,还有特定的配置命令例如,串行接口可配置时钟速率和封装类型,以太网接口可配置双工模式和速率,接口可配置中继和封装协议使用命令可退回全局配置模式VLAN exit路由器基本配置步骤设置系统标识配置路由器的主机名、域名、横幅消息等系统标识信息这些设置帮助识别和管理网络中的设备,特别是在多设备环境中主机名会显示在命令提示符中,便于识别当前操作的设备配置访问安全设置各种访问密码,包括控制台密码、启用密码、远程访问密码等配置认证方式,如本地用户数据库或服务器认证这一步骤对VTYAAA保障路由器安全至关重要配置接口参数为各物理接口分配地址和子网掩码,设置接口状态启用禁用,配置接口描述信息等根据网络需求,可能还需配置接口的带宽、延迟等参数IP/配置路由功能设置静态路由或启用动态路由协议,确保网络连通性根据网络规模和要求,选择合适的路由协议,如小型网络使用或静态路由,大型网络RIP可能需要或OSPF BGP保存配置完成配置后,使用命令保存配置到,确保路由器重启后配置不会丢失养成定期保存配置的习惯,避免配置丢失copy running-config startup-config NVRAM设置路由器名称Router enableRouter#configure terminalEnterconfiguration commands,one perline.End withCNTL/Z.Routerconfig#hostname Core-Router1Core-Router1config#endCore-Router1#copy running-config startup-configDestination filename[startup-config]Building configuration...[OK]Core-Router1#设置路由器名称是基本配置的第一步,有助于识别网络中的设备一个描述性的主机名可以反映设备的位置、功能或角色,使网络管理更加直观主机名会立即显示在命令提示符中,便于确认当前操作的设备主机名应遵循一定的命名规范,如使用有意义的名称,表示设备位置、功能或序号;避免使用空格,可用连字符或下划线代替;保持一致的命名方案,便于记忆和识别;考虑层次化命名,如位置功能序号格式--修改主机名后,应保存配置以确保重启后名称保持不变命名规范最好形成文档,作为团队共同遵循的标准配置密码和安全访问控制台访问密码保护直接物理访问路由器的控制台端口配置命令line console0password your-password login特权模式密码防止未授权用户进入特权模式建议使用命令而非,因为前者enable secretenable password使用更安全的加密enable secretyour-secure-password远程访问密码VTY保护和远程访问Telnet SSHline vty04password your-vty-password login加密所有密码确保配置文件中的所有密码都以加密形式存储service password-encryption设置强密码是路由器安全的基础密码应包含大小写字母、数字和特殊字符的组合,长度至少个12字符避免使用常见词汇、名字或生日等易猜测的信息定期更换密码并使用不同密码用于不同设备,降低密码泄露的风险配置接口地址IP以太网接口配置串行接口配置环回接口配置以太网接口是最常见的接口串行接口通常用于连环回接口是虚拟接口,常用WAN类型,用于连接或连接接,需要配置时钟速率于测试和路由协议配置配LAN到其他网络设备配置命令端和封装类型配置置命令示例DCEinterface示例命令示例interface interface Loopback0ip addressGigabitEthernet0/0ip Serial0/0ip address
172.
16.
1.1address
192.
168.
1.
110.
1.
1.
1255.
255.
255.255no
255.
255.
255.0no
255.
255.
255.252shutdownshutdown clockrate64000encapsulation pppnoshutdown接口配置VLAN接口用于路由器上的VLAN内部路由配置命令VLAN示例interface Vlan10ip address
192.
168.
10.
1255.
255.
255.0noshutdown启用和禁用接口启用接口禁用接口验证接口状态新配置的接口默认是关闭状态,需要当需要临时关闭接口进行维护或故障使用或show interfacesshow ip手动启用才能正常工作在接口配置排除时,可使用命令命令查看接口状态shutdown interface brief模式下,使用命令启no shutdown Routerconfig#interface Router#show ip interface brief用接口Routerconfig#GigabitEthernet0/0Interface IP-Address OK接interface GigabitEthernet0/0Routerconfig-if#shutdown MethodStatus Protocol口关闭后,系统会显示状态变化Routerconfig-if#no shutdownGigabitEthernet0/0成功启用后,系统通常会显示状态变%LINK-5-CHANGED:Interface
192.
168.
1.1YES manualup up化信息%LINK-3-UPDOWN:GigabitEthernet0/0,changed GigabitEthernet0/1unassignedInterface GigabitEthernet0/0,state toadministratively downYES manualadministratively列显示物理状changed stateto up%LINEPROTO-5-UPDOWN:Line downdown Status态,列显示数据链路层状%LINEPROTO-5-UPDOWN:Line protocol on InterfaceProtocol态两者都为表示接口完全正常protocolonInterface GigabitEthernet0/0,changed up工作GigabitEthernet0/0,changed stateto downstateto up配置默认网关123默认路由作用配置方法验证方式当路由器收到目的地址不在路由表中的数据包时,将通过默认使用命令配置,目标网络和掩码均为,表示使用命令查看路由表,默认路由显示为,ip route
0.
0.
0.0show ip route S*路由转发默认路由是网络连通性的最后保障,确保未知网络任何网络这是最常用的静态路由配置命令表示静态默认路由这是确认配置是否生效的标准方法流量有处理路径Router enableRouter#configure terminalRouterconfig#ip route
0.
0.
0.
00.
0.
0.
0192.
168.
1.254Routerconfig#endRouter#show ip routeCodes:C-connected,S-static,R-RIP,M-mobile,B-BGPD-EIGRP,EX-EIGRP external,O-OSPF,IA-OSPF interareaN1-OSPF NSSAexternal type1,N2-OSPF NSSAexternal type2E1-OSPF externaltype1,E2-OSPF externaltype2i-IS-IS,su-IS-IS summary,L1-IS-IS level-1,L2-IS-IS level-2ia-IS-IS interarea,*-candidate default,U-per-user staticrouteo-ODR,P-periodic downloadedstatic routeGatewayof lastresort is
192.
168.
1.254to network
0.
0.
0.0S*
0.
0.
0.0/0[1/0]via
192.
168.
1.254C
192.
168.
1.0/24is directlyconnected,GigabitEthernet0/0配置静态路由静态路由定义配置语法12静态路由是管理员手动配置的固定路径,用于指导数据包从源网络到达基本配置命令格式为目标网络子网掩码下一跳地址ip route[][][目标网络与动态路由不同,静态路由不会根据网络变化自动调整,需或出接口例如,]ip route
10.
0.
0.
0255.
0.
0.
0192.
168.
1.2要管理员手动更新静态路由适用于网络拓扑简单且变化不频繁的环境表示到达网络的流量应转发到也可以指
10.
0.
0.0/
8192.
168.
1.2定出接口,如ip route
10.
0.
0.
0255.
0.
0.0GigabitEthernet0/1管理距离浮动静态路由34可选参数管理距离用于设置路由的优先级,数值越小优先级越高默通过设置较高的管理距离,创建仅在主路由失效时才使用的备份路由,[]认静态路由的管理距离为,低于大多数动态路由协议当有多条到达称为浮动静态路由例如,配置管理距离为的备份路由1254ip同一目标的路由时,路由器选择管理距离最小的路由命令格式这种方式可以实现iproute
10.
0.
0.
0255.
0.
0.
0172.
16.
1.2254网络掩码下一跳管理距离简单的路由冗余route[][][][]配置动态路由协议概述BGP用于大型网络和互联网,路径矢量协议1EIGRP/OSPF2企业网络首选,高级路由协议RIP3简单网络应用,配置容易静态路由4小型稳定网络基础选择动态路由协议使路由器能够自动共享路由信息并适应网络变化与静态路由相比,动态路由减少了管理开销,提高了网络弹性,但会消耗更多的处理器和带宽资源选择合适的动态路由协议需考虑多种因素网络规模小型网络可用,大型网络适合或;网络拓扑复杂性复杂拓扑受益于等链路状RIP OSPF BGPOSPF态协议;收敛速度需求和收敛较快;厂商兼容性和是开放标准,主要用于思科设备EIGRP OSPFOSPF RIPEIGRP大多数企业网络采用混合方案,主干网使用高级协议如,边缘网络可能使用更简单的协议或静态路由,与外部组织的连接则可能使用OSPFBGP协议配置RIP启用协议RIP在全局配置模式下,使用命令启用路由协议这将进入配置模式,提示符变为是一种router rip RIP RIPRouterconfig-router#RIP简单的距离矢量路由协议,适用于小型网络选择版本RIP使用命令指定使用支持和,并使用组播地址进行路由更新,比更适合现代网络version2RIPv2RIPv2VLSM CIDR
224.
0.
0.9RIPv1默认情况下,路由器同时发送和接收、更新v1v1v2宣告网络使用网络地址命令指定参与路由的网络注意使用地址无需指定子网掩码,如network[]RIP RIPclassfulnetwork路由器会在所有属于指定网络的接口上发送和接收更新
192.
168.
1.0RIP禁用自动汇总在中,使用命令禁用自动路由汇总,以支持不连续子网默认情况下,会在主类边界汇总路由,RIPv2no auto-summary RIP这可能导致不连续子网的路由问题验证配置使用查看路由协议状态,查看通过学习的路由排查问题时,可使用观show ipprotocols show iprouteripRIPdebug iprip察更新过程完成配置后,记得保存更改RIP协议配置OSPFRouter enableRouter#configure terminalRouterconfig#router ospf10Routerconfig-router#network
192.
168.
1.
00.
0.
0.255area0Routerconfig-router#network
10.
0.
0.
00.
255.
255.255area1Routerconfig-router#router-id
1.
1.
1.1Routerconfig-router#auto-cost reference-bandwidth1000Routerconfig-router#passive-interface GigabitEthernet0/1Routerconfig-router#default-information originateRouterconfig-router#endRouter#show ip ospf neighborRouter#show iproute ospf开放最短路径优先是一种链路状态路由协议,广泛应用于中大型企业网络与相比,收敛更OSPFRIP OSPF快,支持更大的网络规模,无跳数限制,并支持路由验证和多区域设计配置时,进程号如例中的仅在本地有意义,不需要匹配邻居路由器命令使用反掩码OSPF10network指定接口,格式为原掩码按位取反用于选举和识别,建议明确配置而wildcard maskrouter-id OSPF非依赖自动选择命令防止在指定接口发送通告,减少不必要的协议流量passive-interface OSPFdefault-information使传播默认路由区域设计是的重要概念,一般使用区域作为骨干区域,所有其他区originate OSPFOSPF0域必须直接或通过虚拟链路连接到骨干区域协议配置EIGRP增强型内部网关路由协议是思科开发的高级距离矢量路由协议,结合了距离矢量和链路状态协议的优点它使用扩散更新算法计算无环路径,支持等成本EIGRPDUAL和不等成本负载均衡,并且快速收敛配置的基本步骤包括首先通过号命令启动进程,号必须在邻居路由器间匹配;然后使用网络地址反掩码命令指定参与的网络例如EIGRP router eigrp[AS]EIGRP ASnetwork[][]EIGRPRouterconfig#router eigrp100Routerconfig-router#network
192.
168.
1.
00.
0.
0.255Routerconfig-router#network
10.
0.
0.
00.
255.
255.255的高级配置包括使用乘数实现不等成本负载均衡;路径数控制等成本负载均衡;禁止指定接口发送EIGRP variance[]maximum-paths[]passive-interface通告;集成其他路由协议的路由使用和命令验证配置EIGRP redistributeshow ipeigrp neighborsshow iproute eigrp协议配置基础BGP建立邻居BGP启用进程BGP配置远程对等体及其号2AS配置本地号和路由器1AS ID网络通告宣告本地网络到表BGP3验证配置5路由策略检查邻居状态和路由表BGP4应用路由过滤和属性修改边界网关协议是互联网的核心路由协议,主要用于自治系统之间的路由信息交换与内部网关协议不同,关注路由策略而非最短路径,支持大量路由,具有丰富的路径属性控制能力BGPAS BGP基本配置示例BGPRouterconfig#router bgp65000Routerconfig-router#neighbor
192.
168.
1.2remote-as65001Routerconfig-router#neighbor
192.
168.
1.2description Connectionto ISPRouterconfig-router#network
172.
16.
0.0mask
255.
255.
0.0在此配置中,本地号为,与的对等体建立连接,并向邻居通告网络在实际部署中通常结合路由策略路由图、前缀列表AS65000AS65001BGP BGP
172.
16.
0.0/16BGP、路径访问列表等进行精细控制,确保符合网络设计和安全要求AS路由器配置NAT定义地址池使用命令创建地址池,指定可用的公网地址范围例如ip natpool NAT IP ipnatpool PUBLIC-POOL
200.
1.
1.
10200.
1.
1.20netmask
255.
255.
255.0创建访问列表使用标准访问列表定义需要转换的内部网络地址例如access-list1permit
192.
168.
1.
00.
0.
0.255配置规则NAT将访问列表与地址池关联,创建规则例如NAT ip nat inside source list1pool PUBLIC-POOL overload指定接口类型标识内部和外部接口interface GigabitEthernet0/0ip natinside interfaceGigabitEthernet0/1ip natoutside网络地址转换允许多台内部设备共享少量公网地址,是解决地址短缺的重要技术NAT IPIPv4还提供了一定的安全性,因为外部网络看不到内部地址除基本配置外,还可以设置静态NAT IP映射将特定内部服务器映射到固定的公网NATIP配置方法PAT工作原理基本配置验证功能高级配置PAT PAT PATPAT端口地址转换是使用配置中的配置完成后,内部主机应能除基本配置外,还可以PAT NATNAT-的一种特殊形式,允许多台参数启用功访问外部网络可使用以下设置转换超时overload PATip nat内部设备共享单个公网地能最常见的配置是将内部命令验证运行状态秒IP PATtranslation timeout[址通过使用不同的源网络转换为出接口数调整特定协议超时PAT IPshow ip nat translations]-端口号区分来自不同内部主显示当前活动的access-list1permit-ip nattranslation udp-机的连接,大大扩展了地址转换表秒数排除某
192.
168.
1.
00.
0.
0.255NAT/PAT show ip timeout[]-利用率,是中小型网络中最显示些内部主机访问列表中明ipnatinsidesourcelist natstatistics-NAT常用的实现方式统计信息,包括命中计数和确拒绝为特定服务配置静NAT1interface-活动转换数态映射,同时使用处理GigabitEthernet0/1debug ipnat PAT实时观察处理过程,其他流量overload-NAT排查问题访问控制列表配置ACL基本概念应用位置配置注意事项ACL ACL ACL访问控制列表是定义允许或拒需要应用到接口的特定方向才能配置时需注意确保理解隐ACL ACL ACL
1.绝流量的规则集合,用于网络流量过生效入站数据进入含的存在,避免意外阻止-inbound denyany滤和控制按自上而下的顺序评接口前评估出站数所有流量定期审查和维护,ACL-outbound
2.ACL估数据包,匹配第一条规则后停止评据离开接口前评估标准建议应用删除过时条目修改已存在的ACL
3.ACL估,所有末尾有隐含的在靠近目的地的位置,扩展建议时,考虑先将其从接口移除,修改后ACL denyACL规则应用在靠近源的位置每个接口、每再应用在末尾添加any
4.ACL permit主要分为两类标准仅基于ACL ACL个方向、每个协议只能应用一个前谨慎考虑安全影响使用ACL any
5.源地址过滤和扩展基于源目IPACL/和show access-lists show ip的、协议、端口等多种条件过滤除过滤流量外,还可用于其他场IPACL命令验证配置复杂环境interface
6.标准编号范围为和景定义转换的地址池、识别路ACL1-991300-NAT下,先在测试环境验证行为再应ACL,扩展编号范围为由重分发的路由、触发拨号路由等1999ACL100-用到生产环境和现代也支正确的设计应遵循具体条目在前1992000-2699IOS ACL持命名,通用条目在后的原则ACL标准配置ACL创建标准编号创建标准命名ACLACL使用命令创建标准命名提供更好的可读性access-list ACLaccess-list10ACL ip access-list standardpermit
192.
168.
1.
00.
0.
0.255access-list10ADMIN-ACCESS permit
192.
168.
10.0deny host
192.
168.
2.10access-list10permit
0.
0.
0.255deny
192.
168.
20.
00.
0.
0.255反掩码中,表示必须匹配,表命名使用子命令模式,每条规则前不any wildcardmask01permit anyACL示忽略例如,表示匹配前位即前三个需要重复名称,方便修改特定条目
0.
0.
0.25524ACL八位组应用标准修改现有ACLACL将应用到接口的特定方向对于命名,可以在特定位置插入或删除条目ACL interfaceACL ip或GigabitEthernet0/0ip access-group10in access-list standardADMIN-ACCESS nodenyinterface GigabitEthernet0/1ip access-group
192.
168.
20.
00.
0.
0.255permit host访问组将编号在旧版中需要完全重新创ADMIN-ACCESS outaccess-group ACL
192.
168.
30.5ACL IOS与接口关联,指定入站或出站方向建,新版支持类似命名的编辑方式inoutIOS ACL扩展配置ACL创建扩展ACL1扩展可以基于源地址、目的地址、协议类型和端口号等ACL条件过滤流量,提供更精细的控制创建扩展的基本语ACL常用协议和端口法2access-list101permit tcphost
192.
168.
1.10该条目允许从到host
10.
0.
0.1eq
80192.
168.
1.10扩展支持多种协议,包括协议可指定ACL-tcp TCP的端口流量
10.
0.
0.1TCP80HTTP端口协议可指定端口协-udp UDP-icmp ICMP议可指定类型任何协议常用端口操作符-ip IP-eq创建命名扩展ACL3等于如表示端口不等于小eq8080-neq-lt于大于端口范围如命名扩展的配置方式-gt-rangerange2021ACL ip access-list extendedFIREWALL-IN denytcp any any eqtelnet permitip
192.
168.
1.
00.
0.
0.255any denyip anyany命应用和验证4名更易于理解和维护,特别是在复杂配置中ACL将扩展应用到接口ACL interface或GigabitEthernet0/0ip access-group101ininterface GigabitEthernet0/0ipaccess-group验证配置和活动FIREWALL-IN outACL showaccess-lists show ipaccess-lists show ip interfaceshowrunning-config|include access-list配置基础VLAN配置中继链路配置接口分配VLAN配置连接到其他交换机的中继配置接口SVI将物理接口分配到相应端口创建VLAN Routerconfig#VLAN配置的三层接口交换虚VLANRouterconfig#interface interface gigabitethernet在支持的路由器或三层交拟接口VLANRouterconfig#range gigabitethernet0/1/1Routerconfig-if#换机上,首先创建VLAN interfacevlan100/0/1-12Routerconfig-switchport modetrunkRouterconfig#vlan10Routerconfig-if#ip if-range#switchport Routerconfig-if#Routerconfig-vlan#name address
192.
168.
10.1mode accessswitchport trunkallowedEngineering Routerconfig-
255.
255.
255.0Routerconfig-if-range#vlan10,20Routerconfig-vlan#exit Routerconfig#Routerconfig-if#no switchportaccess vlan10if#switchport trunkvlan20Routerconfig-shutdownRouterconfig-Routerconfig-if-range#encapsulation dot1qvlan#name Marketingif#exit Routerconfig#exit Routerconfig#Routerconfig-vlan#exit interfacevlan20interface rangeRouterconfig-if#ip gigabitethernet0/0/13-address
192.
168.
20.124Routerconfig-if-
255.
255.
255.0range#switchport modeRouterconfig-if#no accessRouterconfig-if-shutdown range#switchport accessvlan20路由器上配置子接口12子接口概念子接口数量子接口是单个物理接口上创建的多个虚拟接口,用于在不同间路理论上一个物理接口可配置数百个子接口,实际数量受硬件性能限制VLAN由流量,实现路由器配置每个子接口与一个关联,大量子接口会增加单点故障风险,较大网络应考虑多物理接口或三层交on astick VLAN具有独立地址,物理上共享同一接口换解决方案IP3封装协议子接口必须配置封装协议通常是和路由器使用这
802.1Q VLAN ID些信息确定接收和发送数据包的标签,实现间路由VLAN VLAN配置子接口的基本步骤首先确保物理接口已启用但不配置地址;然后创建子接口并配置封装和地址no shutdownIP IPRouterconfig#interface gigabitethernet0/0Routerconfig-if#no shutdownRouterconfig-if#exitRouterconfig#interface gigabitethernet0/
0.10Routerconfig-subif#encapsulation dot1q10Routerconfig-subif#ip address
192.
168.
10.
1255.
255.
255.0Routerconfig-subif#exitRouterconfig#interfacegigabitethernet0/
0.20Routerconfig-subif#encapsulation dot1q20Routerconfig-subif#ip address
192.
168.
20.
1255.
255.
255.0子接口编号通常与匹配如对应,这是最佳实践但非必需配置完成后,连接路由器的交换机端口必须配置为中继端口VLANID0/
0.10VLAN10,允许相应通过VLAN配置服务DHCP排除固定地址创建池DHCP保留特定供静态分配2IP定义地址范围和网络参数1配置选项DHCP设置、网关等信息DNS3验证运行5DHCP启用服务检查绑定和地址分配DHCP4全局激活功能DHCP路由器可配置为服务器,自动为网络客户端分配地址和网络参数基本配置步骤如下DHCP IP!排除不希望DHCP分配的地址Routerconfig#ip dhcpexcluded-address
192.
168.
1.
1192.
168.
1.10!创建DHCP地址池Routerconfig#ip dhcppool OFFICE-POOLRouterdhcp-config#network
192.
168.
1.
0255.
255.
255.0Routerdhcp-config#default-router
192.
168.
1.1Routerdhcp-config#dns-server
8.
8.
8.
88.
8.
4.4Routerdhcp-config#domain-name example.comRouterdhcp-config#lease7对于不同或子网,可创建多个池参数指定地址租期天,默认为天其他可选配置包括服务器、时间服务器等VLAN DHCPlease1WINS netbios-name-server option42验证运行状态可使用查看已分配地址,查看池状态,观察分配过程在大型网络中,可考虑专用服务器而非路由器提供此服务DHCP show ip dhcpbinding show ip dhcppool debug ip dhcpserver eventsDHCP基本配置IPv6启用路由配置接口地址1IPv62IPv6在全局配置模式下,使用命有多种方式配置接口地址手动配置ipv6unicast-routing IPv6-ipv6令启用路由功能默认情况下,路由器上的自动配置IPv6address2001:db8:1:1::1/64-处理是禁用的,即使配置了地址也只能进IPv6IPv6SLAAC ipv6address autoconfig-EUI-64行本地通信启用路由后,路由器才能转发格式IPv6ipv6address2001:db8:1:1::/64eui-数据包链路本地地址IPv664-ipv6address fe80::1link-每个接口至少有一个链路本地地址,即使local IPv6未明确配置配置默认路由验证配置3IPv64IPv6与类似,可以配置默认路由验证配置可使用以下命令IPv4IPv6ipv6route IPv6-show ipv6或指定出接口显示接口配置::/02001:db8:1:1::2ipv6interface IPv6-show ipv6route表示任意显示路由表目标地址测试route::/0GigabitEthernet0/0::/0IPv6-ping ipv6[]目标,相当于中的连通性目标地址跟踪IPv6IPv
40.
0.
0.0/0IPv6-traceroute ipv6[]路由路径显示IPv6-show ipv6neighbors IPv6邻居缓存类似表ARP静态路由配置IPv6基本静态路由IPv6静态路由配置与类似,但使用地址格式IPv6IPv4IPv6ipv6route2001:db8:2::/64此命令表示到达网络的数据包应通过下一跳2001:db8:1:1::22001:db8:2::/64转发2001:db8:1:1::2通过出接口指定路由也可以指定出接口而非下一跳地址ipv6route2001:db8:3::/64GigabitEthernet0/1如果是点对点链路,直接指定出接口通常足够;对于多路访问网络,最好同时指定接口和下一跳ipv6route2001:db8:4::/64GigabitEthernet0/0fe80::2配置管理距离可以设置静态路由的管理距离,控制其优先级ipv6route2001:db8:5::/64管理距离值越小,路由优先级越高默认静态路由的管理距离为2001:db8:1:1::2150IPv6,可设置更高值创建备份路由1默认路由IPv6配置默认路由表示匹配任何目标IPv6ipv6route::/02001:db8:1:1::254::/0IPv6地址,所有未在路由表中明确匹配的流量都将通过默认路由转发在边缘路由器上,通常指向提供的网关ISP动态路由配置IPv6协议配置命令特点适用场景名称简单,兼容性好小型网络RIPng ipv6router rip[]进程广泛应用,扩展性好中大型企业网络OSPFv3ipv6router ospf[ID]号思科专有,快速收敛思科设备网络EIGRP forIPv6ipv6routereigrp[AS]号支持多种地址族和大型企业MP-BGP routerbgp[AS]ISP支持多种动态路由协议,大多是协议的扩展或改进版本与相比,动态路由协议通常使用链路本地地址作为下一跳和邻居关系建立,并支持多种地址前缀和地址类型IPv6IPv4IPv4IPv6以为例,基本配置步骤OSPFv3!启用IPv6路由Routerconfig#ipv6unicast-routing!创建OSPFv3进程Routerconfig#ipv6router ospf10Routerconfig-rtr#router-id
1.
1.
1.1!在接口上启用OSPFv3Routerconfig#interface GigabitEthernet0/0Routerconfig-if#ipv6address2001:db8:1:1::1/64Routerconfig-if#ipv6ospf10area0验证路由可使用、和等命令路由故障排除与类似,但需特别注意链路本地地址的正确配置和流量的放通IPv6show ipv6route show ipv6protocols show ipv6ospf neighborIPv6IPv4ICMPv6配置远程访问SSH生成密钥对RSA需要加密密钥在全局配置模式下使用以下命令生成密钥对系统会提示输入密钥长度模数,建议使SSH RSAcrypto keygenerate rsa用位或更高以提供足够安全性2048配置版本SSH指定支持的版本版本比版本更安全,建议仅启用版本如需同时支持版本和为兼容旧客户端,可使用SSH SSH212ip sshversion212ip sshversion12创建用户账户配置本地用户数据库进行认证赋予用户最高管理权限username adminprivilege15secret strongpasswordprivilege15使用命令确保密码以强加密方式存储secret配置线路VTY配置线路接受连接并使用本地认证VTY SSHline vty04transport input ssh loginlocal exec-timeout100transport仅允许连接禁用,设置闲置会话超时时间inputssh SSHTelnet exec-timeout验证配置SSH使用命令验证服务器状态showip ssh SSHRouter#showipsshSSHEnabled-version
2.0Authentication timeout:使用客户端如连接路由器地址,输入配置的用户名和密码进行测试120secs;Authentication retries:3SSHPuTTY IP路由器安全配置概述控制平面保护访问控制限制路由更新;配置控制平面保护;防CPP止攻击;使用验证路由协议;限制配置访问控制列表限制网络流量;设置DoS MD5ACL2访问;设置日志记录和告警代替;采用强密码策略;实施SNMPSSH Telnet认证框架;控制允许的管理接入方式1AAA数据平面安全实施定向访问控制列表;配置防火墙功能;3启用单播反向路径转发;限制广播流uRPF量;配置流量整形和QoS安全服务5管理平面安全配置;实施动态检测;配置IPSec VPNARP侦听;实施端口安全;部署功4DHCP IPS/IDS加密管理会话、;实现基于角SSH HTTPS能;配置隐藏内部网络NAT/PAT色的访问控制;定期备份和加密配置;物理安全措施;更新修复已知漏洞IOS路由器是网络的关键基础设施,其安全配置对整个网络安全至关重要应采用纵深防御策略,在多个层面实施安全措施,而非依赖单一保护机制默认配置通常偏向易用性而非安全性,需要明确的安全加固配置登录横幅登录横幅是用户连接到路由器时显示的文本消息,通常用于法律声明、安全警告或系统信息通知从法律角度看,配置明确的未授权访问警告有助于在发生安全事件时提供法律保护横幅应明确表明系统是私有的,未授权访问是被禁止的提供多种横幅类型Cisco IOS!MOTD横幅Message ofthe Day,所有用户登录前显示Routerconfig#banner motd#进入受限区域-仅限授权人员未经授权访问将被记录并可能导致法律诉讼#!登录横幅,在用户名/密码提示前显示Routerconfig#banner login#警告本系统仅供授权用户使用所有活动将被监控和记录#!执行横幅,成功登录后显示Routerconfig#banner exec#您已登录到[公司名称]网络设备请注意操作规范和数据安全要求当前时间$t#配置超时设置控制台超时超时辅助线路超时VTY控制台线路的超时设置,防止无人值守的线路的超时设置,防辅助端口的超时设置,如果使用此VTY Telnet/SSH AUX控制台会话保持活动状态止远程管理会话无限期保持活动端口进行拨号或其他访问Routerconfig#line console0Routerconfig#line vty04Routerconfig#line aux0Routerconfig-line#exec-timeout Routerconfig-line#exec-timeout Routerconfig-line#exec-timeout这里配置了分钟秒的超时时间这里配置了分钟秒的超时时间由于辅助端口通常是远程访问或备份10010053053020,控制台会话闲置分钟后将自动断开远程会话通常设置比控制台更短的超时访问途径,应设置较短的超时时间,如102对于高安全要求环境,可设置更短时间时间,因为它们更容易被忘记并构成安全分钟,如分钟或分钟风险53除线路超时外,还可以配置其他类型的超时设置会话超时和命令启用保持活动机制,检测和清理死连接•TCP servicetcp-keepalives-in servicetcp-keepalives-out TCP认证超时设置认证尝试次数限制•ipsshauthentication-retries3SSH协议超时减少攻击影响•ip tcpsynwait-time5SYN合理的超时设置是基本安全实践,但不应替代其他安全措施如强认证和访问控制配置日志记录日志级别设置1支持个日志级别,从紧急最严重到调试最详细根据需求设置CiscoIOS80-7适当级别控制台显示级别及以上logging consoleinformational4logging终端线路显示级别及以上内monitor warning4logging buffereddebugging部缓冲区存储所有日志发送到外部服务器的级别及logging trapnotification5以上配置日志服务器2将日志发送到中央服务器Syslog logginghost
192.
168.
1.100logging中央日志服务器便于长期facility local7logging source-interfaceLoopback0存储和分析,是安全审计和故障排除的宝贵资源使用确保日志来source-interface源一致IP设置时间戳3确保日志条目包含准确时间信息service timestampslog datetimelocaltimeshow-timezone msecservice timestampsdebug datetimelocaltime show-准确的时间戳对事件关联和故障排除至关重要考虑配置确保timezone msecNTP时钟同步日志缓冲配置4设置内部日志缓冲区大小中的数字logging buffered16384logging buffered表示字节数缓冲区日志在路由器重启后丢失,但提供快速访问最近事件的方法对于关键设备,考虑更大缓冲区配置基础SNMP基本概念SNMP简单网络管理协议允许网络管理系统监控和管理网络设备使用管理信息库定义可SNMP SNMPMIB查询和设置的对象有三个主要版本基本功能但安全性低、扩展功能但SNMP SNMPv1SNMPv2c仍使用明文团体字符串和提供认证和加密SNMPv3配置只读访问SNMP允许管理系统读取设备信息这里是团体字符SNMP snmp-server communitypublic ROpublic串如同密码,表示只读权限在生产环境中应使用非默认团体字符串可以加入限制访问RO ACL其中是标准编号,定义允许的管理snmp-server communitySecureString RO1010ACL SNMP站配置读写访问SNMP允许管理系统修改设备配置表示读写权限,应SNMP snmp-server communityprivate RWRW严格限制并仔细保护强烈建议仅在受信任管理网络中启用,并使用严格限制ACL snmp-server其中是只允许特定管理站地址的community SecretStringRW2020IP ACL配置SNMPv3设置更安全的SNMPv3snmp-server groupADMIN v3priv snmp-server userSNMPADMIN这里创建了一个需要认证和加密ADMIN v3auth shaAuth1234priv aes128Priv1234auth的组,然后添加用户到该组提供更高安全性,推荐用于生产环境,特别是通过不安priv v3SNMPv3全网络管理设备时配置时间同步NTP基本概念配置客户端认证NTP NTP NTP网络时间协议用于同步网络将路由器配置为客户端,从启用认证增强安全性NTP NTPNTP ntp设备时钟准确的时间对于日志分外部服务器同步时间ntp authenticatentp析、证书验证、调度操作和故障排server
192.
168.
1.100prefer authentication-key1md5除至关重要使用层级结构NTP ntp server2001:db8::100NTPpass123ntp trusted-key层级服务器直接连接到权威时关键字指定首选服务器1prefer1ntpserver
192.
168.
1.100间源,层级服务器从层级同步应配置多个服务器提供冗余这防止未经授权的服21NTP key1NTP,依此类推在生产环境中,考虑使用知名公务器影响设备时钟,避免时间篡改共服务器或组织内部服和相关攻击密钥应定期更新并安NTPNTP务器全存储验证状态NTP检查运行状态NTP show ntp显示同步状态和配status-NTP置显showntpassociations-示服务器关联NTP clock同步硬件时update-calendar-钟与系统时钟时钟同步通常需要几分钟,状态表synchronized示成功同步路由器备份和恢复配置文件备份方法1定期备份至、或服务器TFTP FTPSCP自动备份策略2使用归档功能定时保存配置恢复配置步骤3从备份文件加载或手动重建配置灾难恢复准备4准备完整恢复流程和文档定期备份路由器配置是预防意外更改和设备故障的基本措施最常用的备份方法是将配置复制到外部服务器!复制到TFTP服务器Router#copy running-config tftp://
192.
168.
1.100/router-backup.cfg!复制到FTP服务器需预先配置用户名密码Routerconfig#ip ftpusername ftpuserRouterconfig#ip ftppassword ftppassRouter#copy running-config ftp://
192.
168.
1.101/router-backup.cfg!更安全的SCP传输Router#copy running-config scp://admin@
192.
168.
1.102/router-backup.cfg可以配置自动备份,使用归档功能Routerconfig#archiveRouterconfig-archive#path tftp://
192.
168.
1.100/router-$h-$tRouterconfig-archive#time-period1440Routerconfig-archive#write-memory这将每小时分钟自动保存配置,文件名包含主机名和时间戳恢复时,可使用或命令从备份恢复241440$h$t copytftp running-config copytftp startup-config升级方法IOS准备工作升级前,确认设备兼容性、硬件需求和所需许可;验证当前版本;检查可用存储空间;备份当前配置和镜IOS showversion Flashshow flash:IOS像;确保有稳定电源和控制台访问;计划维护时段并通知相关方获取新IOS从思科官方网站下载适用于设备的镜像;验证文件完整性校验;将镜像传输到服务器;确保网络连接稳定,服务器IOS MD5/SHATFTP/FTP/SCP可从路由器访问特别注意文件命名格式,不要随意更改复制镜像IOS使用适当命令将镜像文件复制到路由器或或更安全的系统会提示输入服务器地址、Flash copytftp:flash:copy ftp:flash:copy scp:flash:源文件名和目标文件名复制过程可能需要几分钟至几十分钟配置启动参数设置新镜像为启动镜像conf tboot systemflash:/c2900-universalk9-mz.SPA.157-
3.M
3.bin exitcopy running-config startup-保留旧镜像作为备份选项,添加第二条命令旧镜像文件名config bootboot systemflash:/[]重启并验证使用命令重启路由器;监控启动过程确保无错误;启动完成后使用验证新版本;测试基本功能和关键业务应用;记录升级结reload showversion IOS果和任何观察到的问题配置端口镜像端口镜像概念本地端口镜像配置远程端口镜像配置使用注意事项端口镜像在支持的平台上,配置本地某些高端路由器支持端口镜像可能产生大量流量,SPAN-Switched RSPAN是将一个或多远程或封装应确保目标端口带宽足够;避Port AnalyzerSPAN monitor session1SPAN ERSPAN个源端口的流量复制到目的端远程,可将流量镜像到免长时间运行不必要的镜像会source interfaceSPAN口的技术,常用于网络监控、不同设备话;特别注意镜像双向高带宽GigabitEthernet0/0both monitor session流量分析和故障排除在路由链路,可能导致拥塞;仅镜像monitorsession11source interface器上实现端口镜像通常需要使需要分析的特定流量;镜像会destination interface GigabitEthernet0/0用特定命令,具体取决于设备这将话完成后记得禁用GigabitEthernet0/1monitorsession1no型号和版本的入站IOS GigabitEthernet0/0destination remotevlan monitorsession1和出站流量镜像到这需要配置专用作100VLAN为,用于传输GigabitEthernet0/1RSPAN VLAN可替换为仅入站或镜像流量both rx仅出站tx基本配置QoS策略应用1应用服务策略到网络接口策略定义2定义行为和处理方式QoS类映射3创建流量分类标准流量识别4定义或识别流量ACL NBAR服务质量是一组技术,用于管理网络资源,确保关键应用获得所需的网络性能可以控制带宽分配、延迟、抖动和丢包率,在带宽有限的情况下尤为重要QoS QoS配置的基本步骤包括首先创建访问控制列表识别流量;然后定义类映射指定匹配条件;接着创建策略映射定义行为;最后将策略应用到接口一个简单示例QoS QoS!创建ACL识别语音流量access-list100permit udpanyanyrange1638432767!定义类映射class-map VOICE-TRAFFICmatch access-group100!创建策略映射policy-map QOS-POLICYclass VOICE-TRAFFICpriority512class class-defaultfair-queue!应用到接口interface GigabitEthernet0/0service-policy outputQOS-POLICY这个配置为语音流量保留带宽并赋予最高优先级,其余流量使用公平队列复杂环境中可能需要更多类别和更精细的控制机制,如流量整形、标记和管制512Kbps配置概述VPN35类型加密算法VPN路由器支持多种技术,包括站点到站点现代依赖强加密算法保护数据推荐使用VPN VPN、远程访问和选择合适的作为对称加密,或更高VPN VPNDMVPN AES-256RSA-2048类型取决于业务需求、安全要求和网络拓用于密钥交换,或更高用于消息完整VPN SHA-256扑性7隧道协议常用隧道协议包括、、VPN IPSecSSL/TLS和是企业站点到站点的GRE L2TP IPSec VPN主流选择,而常用于远程访问场景SSL VPN虚拟专用网络提供跨公共网络的安全通信隧道,是企业网络基础设施的重要组成部分VPN VPN通过加密和隧道技术确保数据机密性、完整性和身份验证,使远程用户或分支机构能安全访问企业网络资源配置涉及多个组件预共享密钥或证书建立信任关系;加密和哈希算法保护数据;隧道协议封VPN装流量;认证机制验证身份;访问控制定义允许的流量类型和方向配置的通用步骤包括定义流量加密集加密和哈希算法;配置策略第阶段参数;VPNISAKMP1创建转换集第阶段参数;定义加密指定需加密流量;创建加密映射;将加密映射应用到接2ACL口每种技术有特定配置流程,但基本原理相似VPN隧道配置GRE通用路由封装是一种隧道协议,允许在网络上封装多种网络层协议提供隧道但不提供加密,常与结合使用以增加安全性隧道的主要优势包括支持多播和广播流量;可传输任何三层协GRE IPGRE IPSecGRE议;支持动态路由协议穿越隧道;配置相对简单配置隧道的基本步骤以两端路由器和为例GRER1R2!在R1上配置隧道接口R1config#interface Tunnel0R1config-if#ip address
10.
0.
0.
1255.
255.
255.0R1config-if#tunnel sourceGigabitEthernet0/0R1config-if#tunnel destination
203.
0.
113.2R1config-if#tunnel modegre ip!在R2上配置隧道接口R2config#interface Tunnel0R2config-if#ipaddress
10.
0.
0.
2255.
255.
255.0R2config-if#tunnel sourceGigabitEthernet0/0R2config-if#tunnel destination
203.
0.
113.1R2config-if#tunnel modegre ip隧道建立后,可以在隧道接口上启用路由协议,使两个站点的内部网络能够相互通信例如,在隧道上启用隧道可能面临和分片问题,可通过调整隧道OSPF interfaceTunnel0ip ospf1area0GRE MTU或启用调整解决MTU TCP MSS基础配置IPSecVPN第步配置策略1ISAKMP1定义第阶段参数,建立安全关联1IKE cryptoisakmp policy10authentication pre-share encryptionaes256hash第步配置预共享密钥数字越小优先级越高,可配置多22sha256group14lifetime3600个策略支持不同对等体为对等体定义认证密钥IPSec cryptoisakmp key预共享密钥应当复杂且StrongSecretKey address
203.
0.
113.2第步创建转换集33定期更换,企业环境可考虑使用证书认证替代定义第阶段参数,指定加密和验证方法2IPSec cryptoipsectransform-set TSETesp-aes256esp-sha-hmac mode提供加密和认证,tunnel ESPEncapsulatingSecurity Payload第步定义加密44ACL仅提供认证AHAuthentication Header指定需要加密的流量access-list110permit ip
192.
168.
1.0这个定义了从本地
0.
0.
0.
255192.
168.
2.
00.
0.
0.255ACL网络到远程网络的流量将被加第步创建加密映射
192.
168.
1.0/
24192.
168.
2.0/2455密将所有元素绑定到一起IPSec crypto map CMAP10ipsec-isakmp setpeer
203.
0.
113.2set transform-set TSETmatchaddress110set security-association lifetimeseconds第步应用到接口66加密映射将对等体、转换集和流量选择器关联起来14400将加密映射应用到外部接口interfaceGigabitEthernet0/0配置完成后,当有匹配的流量时,隧cryptomapCMAP ACLIPSec道将自动建立路由器故障排除方法物理层检查接口状态诊断验证电源、线缆连接、接口状态和指示灯,确保检查接口是否启用及其协议状态LED showipinterface硬件正常工作检查接口统计信息寻找物理错误表示接口被手动关brief administrativelydown闭,需用命令启用show interfacesno shutdown配置检验连通性测试检查运行配置与预期设计是否一致使用和命令测试基本连通性和路径追showrunning-ping traceroute12对比备份配置识别可能的配置变更踪扩展可提供更多诊断选项目标config showping pingip[源接口次数大小archive configdifferences83IP]source[/IP]repeat[]size[]日志分析路由表检查74检查系统日志获取错误信息启用适验证路由表中是否存在到目标网络的路由show loggingshowip当的调试命令收集更详细信息,如65目标检查路由来源、管理距离和度量值debug iprouting,route[IP],确认最佳路径选择正确debugippacket和检查协议状态验证ACL NAT验证访问控制列表和配置是否阻止流量检查路由协议状态验证邻居关NAT showshowipprotocols检查系access-lists,showipnat translationsACL showipospfneighbor,showipeigrp应用方向和接口检查协议数据库完整性neighbor常见配置错误和解决方案常见错误症状排查方法解决方案接口关闭接口状态显示使用命showipinterfacebriefno shutdown令启用接口administrativelydown地址冲突间歇性连接问题,测试,检查表使用唯一地址,检查IP ARPping ARPIP表异常范围DHCP默认路由缺失无法访问外部网络配置默认路由或默认网关showiproute
0.
0.
0.0路由协议配置错误路由表不完整,网络不可达,检修正网络语句,验证认证showipprotocols查邻居关系设置阻止流量特定流量无法通过,检修改规则,调整顺序ACL showaccess-lists ACL查计数器配置不正确内部主机无法访问外部网检查规则,内外接NAT showipnatNAT络,口定义translations debugipnat不匹配大数据包无法传输,小数和不同大小调整接口或启用MTU pingwith df-bit MTU据包正常调整TCPMSS子网掩码错误只能访问部分网络主机,验证使用正确的子网掩码show interfaces地址配置解决配置问题的系统方法首先识别和隔离问题确定受影响的具体功能和范围;然后收集信息使用适当的命令show;分析数据查找不一致或错误配置;制定解决方案;实施更改并验证结果;最后记录解决方案以备将来参考路由器配置最佳实践标准化命名约定1为设备、接口和网络对象采用一致的命名方案,提高可读性和维护性设备名称应包含位置、角色和编号信息,如表示北京核心路由器接口描述应清晰说明连BJ-CORE-R0101接目的和用途,如LINK-TO-ISP1-10GBPS模块化配置结构2将配置组织为逻辑模块,如基础设置、接口配置、路由配置、安全策略等使用注释标记各部分起始位置,便于查找和理解这种结构化方法使配置文件更易于阅读和维护,尤其是在多人协作环境中变更管理流程3实施严格的变更管理流程,包括变更请求、影响分析、审批、实施计划、备份和回退机制所有配置变更应经过测试环境验证,并在维护窗口内执行每次变更前后应备份配置,并记录变更内容、目的和结果安全加固4应用深度防御原则,包括物理安全、强密码策略、访问控制、加密通信等多层保护禁用不必要的服务,如服务器、等定期更新版本修复已知漏洞,并遵循行业安全标HTTP CDPIOS准如基准或指南CIS NIST课程总结和进阶学习建议核心知识要点本课程涵盖了路由器基础知识、接口配置、路由协议、安全设置和高级功能您已了解路由器的硬件和软件组成,掌握了操作和基本配置方法,CLI学习了静态路由和动态路由协议的配置,以及、、等常用功能的实现原理和配置步骤NAT ACLVLAN实践建议理论学习需结合实际操作建议使用实体设备或模拟器如、或搭建测试环境,重现课程中的配置示例从简单网络Packet TracerGNS3EVE-NG开始,逐步增加复杂度,尝试不同技术组合记录配置过程和结果,分析成功和失败的案例进阶学习方向在掌握基础配置后,可向以下方向深入学习网络自动化和编程、;软件定义网络和意图网络;网络虚拟化技术;高级路由Python AnsibleSDN和交换技术;网络安全专项技能;云网络集成;迁移和双栈网络IPv6认证路径专业认证可验证技能水平并提升职业发展推荐认证路径思科认证;华为认证;认CCNA→CCNP→CCIE HCIA→HCIP→HCIE Juniper证;厂商中立认证如选择与职业目标和所用设备匹配的认证JNCIA→JNCIS→JNCIP→JNCIE CompTIANetwork+持续学习资源技术持续发展,保持学习至关重要推荐资源官方文档和培训材料;技术社区如、;专业博客CCIE.com NetworkEngineering.StackExchange和频道;技术书籍和期刊;参加研讨会和行业会议;加入专业组织如或地方网络工程师协会YouTube IEEE。
个人认证
优秀文档
获得点赞 0
