收藏
下载资源

cisco路由器培训

上传人:tian****1990 文档编号:71735368 上传时间:2019-01-21 格式:PPT 页数:18 大小:1.26MB
返回 下载 相关 举报
cisco路由器培训_第1页
第1页 / 共18页
cisco路由器培训_第2页
第2页 / 共18页
cisco路由器培训_第3页
第3页 / 共18页
cisco路由器培训_第4页
第4页 / 共18页
cisco路由器培训_第5页
第5页 / 共18页
点击查看更多>>
资源描述

《cisco路由器培训》由会员分享,可在线阅读,更多相关《cisco路由器培训(18页珍藏版)》请在金锄头文库上搜索。

1、,CISCO路由器配置培训,集团网络的整体架构,实施部署DMVPN的原因,实施部署DMVPN的原因,我们通过上面两个拓扑图来分析一下普通IPSEC VPN在高扩展性上面的问题,首先 我们来分析一下一号图,这是一个hub spoke的拓扑结构,所有的分支机构都通过中心站点来访问其它分支,这个拓扑在技术上是可行的,很多公司现在也是使用着这个拓扑结构,但是这样的拓扑有两大问题: 第一. 分支机构之间的流量两次加解密 a. 分支到中心 b. 中心到另一个分支 第二张是一个full mesh的拓扑图,所有分支机构之间都是直接连接,很明显的问题就是客户端要维护的IPSEC SA过多,IPSEC VPN配置

2、过于复杂,最后一个就是需要每一个分支站点都要拥有固定IP地址。这样的要求对于一些小的分支机构,并且通过PPPOE动态获得地址的情况是完全不适用的。 为了解决上述问题我们提出的解决方案,这就是DMVPN(动态多点VPN)。,DMVPN是一种高扩展性的VPN 1.MGRE (多点GRE ) 2.NHRP (下一条解析协议) 3.IPSEC VPN,DMVPN的技术介绍,敏捷总部3845 VPN配置,interface Tunnel0 ip address 10.10.10.1 255.255.255.0 no ip redirects ip mtu 1400 no ip next-hop-self

3、 eigrp 1 (分支之间互访的流量不走总部) ip nhrp authentication test (nhrp的认证) ip nhrp map multicast dynamic ( 动态接收客户端的组播映射) ip nhrp network-id 100 (所有加入NHRP的设备都需要相同的ID) ip nhrp holdtime 300 no ip split-horizon eigrp 1 (关闭隧道分离,使分支之间互通) tunnel source GigabitEthernet0/0 tunnel mode gre multipoint (tunnel口跑GRE) tunnel

4、 key 100 (必须敲key,否则Tunnel不会Up),敏捷中山南朗项目,interface Tunnel0 ip address 10.10.10.62 255.255.255.0 no ip redirects ip mtu 1400 ip nhrp authentication test ip nhrp map multicast dynamic ip nhrp map 10.10.10.1 58.62.236.2xx (到中心的手动映射) ip nhrp map multicast 58.62.236.2xx ip nhrp network-id 100 ip nhrp hold

5、time 300 ip nhrp nhs 10.10.10.1 (指定中心为NHS) delay 1000 tunnel source FastEthernet0/0 tunnel mode gre multipoint tunnel key 100,CISCO 路由器上做服务器地址端口映射,ip nat inside source static tcp 172.16.0.x 8081 interface GigabitEthernet0/0 8081 ip nat inside source static tcp 172.16.0.x 110 interface GigabitEtherne

6、t0/0 110 ip nat inside source static tcp 172.16.0.x 25 interface GigabitEthernet0/0 25 ip nat inside source static tcp 172.16.0.x 8080 interface GigabitEthernet0/0 8080 ip nat inside source static tcp 172.16.0.x 3389 interface GigabitEthernet0/0 3389 ip nat inside source static tcp 172.16.0.x 80 int

7、erface GigabitEthernet0/0 80 ip nat inside source static tcp 172.30.0.x 443 interface GigabitEthernet0/0 443 ip nat inside source static tcp 172.16.0.x 1080 interface GigabitEthernet0/0 1080 ip nat inside source static tcp 172.16.0.x 1433 58.62.236.22x 1433 extendable ip nat inside source static tcp

8、 172.16.0.x 4587 58.62.236.22x 4587 extendable ip nat inside source static tcp 172.16.0.x 80 58.62.236.22x 80 extendable,CISCO路由器用的是EIGRP协议 一,router eigrp 1 network 10.10.10.1 0.0.0.0 network 172.16.0.0 network 172.30.0.0 0.0.0.3 no auto-summary,CISCO路由器用的是EIGRP协议 二,nimble-3845-1#sh ip eigrp nei IP-

9、EIGRP neighbors for process 1 H Address Interface Hold Uptime SRTT RTO Q Seq (sec) (ms) Cnt Num 2 10.10.10.58 Tu0 14 00:01:19 1 5000 1 0 4 10.10.10.37 Tu0 13 00:01:35 1 5000 3 0 1 10.10.10.60 Tu0 12 00:08:58 13 5000 0 3358 13 10.10.10.39 Tu0 14 00:09:29 614 5000 0 507 9 10.10.10.61 Tu0 14 00:13:59 1

10、0 5000 0 16 6 10.10.10.62 Tu0 13 01:19:35 1660 5000 0 1254 15 10.10.10.53 Tu0 13 01:39:53 2 5000 0 22 12 10.10.10.50 Tu0 11 02:44:13 16 5000 0 4366 8 10.10.10.70 Tu0 11 09:01:44 60 5000 0 724 5 10.10.10.33 Tu0 14 11:22:25 187 5000 0 862 14 10.10.10.41 Tu0 13 11:26:30 33 5000 0 1526 10 10.10.10.34 Tu

11、0 12 11:57:52 1 5000 0 7402 7 10.10.10.81 Tu0 11 11:57:53 67 5000 0 4566,CISCO 路由器安全命令配置 一,一. 特权口令设置命令: Enable secret password ( Enable password password ),二. 本地用户认证 username routeradmin password 7 0317B21895FE line vty 0 4 login,三. 设置超时时间 (超过这个时间无任何操作,就取消该会话) line con 0 exec-timeout 5 0 line aux 0

12、exec-timeout 10 0 line vty 0 4 exec-timeout 5 0,CISCO 路由器安全命令配置 二,阻止对关键端口的非法访问,access-list 101 deny tcp any any eq 135 access-list 101 deny tcp any any eq 137 access-list 101 deny tcp any any eq 138 access-list 101 deny tcp any any eq 139 access-list 101 deny udp any any eq 135 access-list 101 deny

13、udp any any eq 137 access-list 101 deny udp any any eq 138 access-list 101 deny udp any any eq 139,CISCO 路由器安全命令配置 三,针对sql-slammer、Netbios_Worm.Dvldr_蠕虫的访问列表,access-list 110 deny udp any any eq 1434 access-list 110 deny tcp any any eq 445 access-list 110 deny tcp any any eq 5800 access-list 110 deny

14、 tcp any any eq 5900 access-list 110 deny 255 any any access-list 110 deny 0 any any access-list 110 permit ip any any,CISCO 路由器三种模式,CISCO 路由器基本命令配置 一,https 命令(WEB访问),nimble-3845-1(config)#no ip http server nimble-3845-1(config)#ip http secure-server nimble-3845-1(config)#ip http authen local,hostna

15、me and ping 命令,nimble-3845-1#conf t Enter configuration commands, one per line. End with CNTL/Z. nimble-3845-1(config)#hostname nimble-3845-1,nimble-3845-1#ping 10.10.10.39 Sending 5, 100-byte ICMP Echos to 10.10.10.39, timeout is 2 seconds: !,CISCO 路由器基本命令配置 二,nimble-3845-1(config)#interface gigabitEthernet 0/0 nimble-3845-1(config-if)#ip address 58.62.236.2xx 255.255.255.248,Interface ip address,Nat,nimble-3845-1(config)#interface gigabitEthernet 0/0 nimble-3845-1(config-if)#ip nat outside

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号